GuiaLaboratorios SR 2019 PDF

UNIVERSIDAD TÉCNICA DEL NORTE
FACULTAD DE INGENIERÍA EN CIENCIAS APLICADAS

CARRERA DE INGENIERÍA EN ELECTRÓNICA Y REDES DE COMUNICACIÓN
SEGURIDAD EN REDES
Guía de Laboratorios
9no
Semestre
DATOS DE INFORMACIÓN
CARRERA: CIERCOM
PROFESOR (es): Fabián Geovanny Cuzme Rodríguez, MSc.
Santiago Javier Meneses Narváez, Ing.
EMAIL: fgcuzme@utn.edu.ec TELÉFONO:
PERIODO ACADÉMICO
Octubre-2018 / Febrero-2019
1 GUÍA DE LABORATORIO
Asignatura: SEGURIDAD EN REDES
Docente: Ing. Fabián Cuzme
Ing. Santiago Meneses
e-mail: fgcuzme@utn.edu.ec
sjmenesesn@utn.edu.ec
Ciclo: Octubre 2018 – Febrero 2019
Introducción
a. Nombre de la práctica
b. Objetivo(s) de la práctica
c. Marco teórico
d. Materiales y equipos
e. Procedimiento experimental
f. Resultados
g. Conclusiones
h. Recomendaciones
Formato Empleado Para La Elaboración Del Informe De La Práctica De

Laboratorio.
• Título principal debe estar escrito en mayúsculas en Times New Roman número
14 y en negrilla.
• El párrafo debe estar en Times New Roman número 12.
• Los párrafos deben estas justificados.
• Espacio entre líneas 1.5
• Espacio entre párrafo y título 2.
• La página debe estar numeradas.
CONTENIDO
a. Título de la práctica
c. Marco teórico
f. Resultados
g. Conclusiones
h. Recomendaciones
Descripción Del Contenido
A. Título de la práctica
ATAQUE DoS
B. Objetivo(s) de la práctica
• Instalar un servidor web sobre Linux.
• Recopilar información Bibliográfica acerca de ataques DoS,

detección etc.
• Entender la importancia de implementar seguridad en una red.
• Realizar un ataque de denegación de servicio y a detectar el mismo

utilizando herramientas de software.
• Instalar los requerimientos básicos que requiere el intérprete Perl

para realizar el ataque de DoS, sobre el sistema operativo Kali.
C. Marco teórico
ATAQUE DoS
Un ataque de denegación de servicio se genera mediante la saturación de los

puertos con flujo de información, haciendo que el servidor se sobrecargue y no
pueda seguir prestando servicios; por eso se lo denomina “denegación”, pues hace
que el servidor no de abasto a la cantidad de solicitudes. [1] Esta técnica es usada
por los llamados crackers para dejar fuera de servicio a servidores objetivo.
En esta práctica se procederá al encontrar la vulnerabilidad de un servidor web
apache instalada en una distribución de SO Ubuntu.
En el siguiente esquema de red detallado en la figura se establece la forma en que

se procederá a realizar la práctica de DoS en un entorno con varios atacantes,
conectadas a una misma red y con el siguiente direccionamiento IP. [2]
Fig. 1 Ilustración ataque DoS
ANÁLISIS DE TRAFICO
En la mayoría de las ocasiones, las causas de estos problemas tienen un origen no

premeditado y se deben a una mala configuración de la red como puede ser
tormentas broadcast, spanning-tree mal configurado, enlaces redundantes, etc.[3]
Pero, en otras ocasiones, puede tratarse de ataques inducidos por terceros que
pretenden dejar fuera de servicio un servidor web mediante un ataque DoS,
husmear tráfico mediante un envenenamiento ARP o simplemente infectar los
equipos con código malicioso para que formen parte de una red zombi o botnet.
En cualquier caso, conocer el origen del incidente es el primer paso para poder
tomar las contramedidas necesarias y conseguir una correcta protección. En este
punto, los analizadores de tráfico pueden resultar de gran utilidad para detectar,
analizar y correlacionar tráfico identificando las amenazas de red para,
posteriormente, limitar su impacto.[4]
MONITOREO CON WIRESHARK
Wireshark es un analizador de protocolos open-source diseñado por Gerald

Combs y que actualmente está disponible para plataformas Windows y Unix.
Conocido originalmente como Ethereal, su principal objetivo es el análisis de
tráfico además de ser una excelente aplicación didáctica para el estudio de las
comunicaciones y para la resolución de problemas de red.[5] Wireshark
implementa una amplia gama de filtros que facilitan la definición de criterios de
búsqueda para los más de 1100 protocolos soportados actualmente; y todo ello
por medio de una interfaz sencilla e intuitiva que permite desglosar por capas
cada uno de los paquetes capturados. Gracias a que Wireshark “entiende” la
estructura de los protocolos, podemos visualizar los campos de cada una de las
cabeceras y capas que componen los paquetes monitorizados, proporcionando un
gran abanico de posibilidades al administrador de redes a la hora de abordar
ciertas tareas en el análisis de tráfico.[6]
Fig 2. Logotipo Wireshark

D. Materiales y equipos
Cantidad Denominación Puertos MODELO; SW VERSIÓN;

SW IMAGE.
1 Switch 26 WS-C2960-24TT; SW
version-12.2; C2960-
LANBASE-M
1 PC - W10.
2 PC - Kali Linux
1 PC - Servidor WEB
Tabla 1: Materiales
3.1. Topología
Figura 3: Topología planteada

3.2. Tabla de direccionamiento
DISPOSITIVO DIRECCIÓN MÁSCARA

DE RED IP DE SUBRED
Servidor Web 192.168.1.10 255.255.255.0
Usuario servidor 192.168.1.33 255.255.255.0
192.168.1.34 255.255.255.0
Atacante 1 192.168.1.15 255.255.255.0
192.168.1.20 255.255.255.0
Atacante 2 192.168.1.21 255.255.255.0
192.168.1.11 255.255.255.0
Tabla 2: Plan de direccionamiento
E. Procedimiento experimental
Instalación de
Levantamiento Lanzar ataque Servidor Caido
herramienta para
de Servidor Web
realizar el ataque
Capturas
paquetes
Figura 4: Diagrama de bloques

Armar la topología de acuerdo con el gráfico.
Figura 5: Topología de la práctica
Introducir la información de direccionamiento.
De acuerdo a la tabla de direccionamiento lógico, realizada por el grupo, se procede a

introducir el direccionamiento, tanto en los equipos, como en el servidor web.
Direccionamiento del servidor Web
Direccionamiento del atacante.
Verificar que las PC puedan comunicarse por medio de comando ping.
Se procede dentro de la simulación, a realizar el comando Ping para afirmar que existe
conectividad entre los hosts de la topología.
Prueba de ping entre el servidor y la máquina del usuario

Ping entre el atacante y el servidor
Verificar que nuestro servidor puede ser accedido sin problemas antes del
ataque.
Para la verificación del correcto funcionamiento del servidor web, ingresamos desde
cualquier navegador, a la siguiente dirección IP:
192.168.1.10→ Servidor Web Grupo Gudiño-Ortega-Vasquez
Acceso al servidor desde el usuario Windows 10 (Máquina física)
Proceder a realizar el ataque a nuestro servidor.
❖ INSTALACIÓN DE LA HERRAMIENTA PARA REALIZAR EL

ATAQUE (SLOWLORIS)
La instalación de la herramienta SLOWLORIS, se la realizará el sistema
operativo de
Kali Linux. Abrimos el terminal y como primer paso actualizamos el sistema .
Escribiendo el comando “apt-get update”. [7]
Luego ingresamos a nuestro navegador y escribimos la siguiente dirección ip para
descargar la herramienta para realizar el ataque. www.fwhibbit.es/dos-con-
slowloris-pl.
Fig. 4 Herramienta para realizar el ataque
Ingresamos al enlace de la herramienta y luego la descargamos desde el GitHub

en el escritorio.
Fig. 5 Descargar herramienta de GitHub
Una vez descargada la herramienta se procede a descomprimirla en el escritorio.

Fig. 6 Permisos de lectura y escritura
Después de damos permisos de lectura y escritura. Ingresando a las propiedades

del archivo.
Fig. 7 Propiedades del equipo

Ingresamos al terminal otra vez. Para instalar “Perl”, nuestro programa intérprete.
Con el comando “sudo apt-get install perl”.
Fig. 8 Instalacion de herramienta Perl
Continuamos instalando complementos necesarios del intérprete.
Fig. 9 Instalacion de complementos Perl
Y para terminar, ingresamos en donde descomprimimos la herramienta Slowloris.

Con el comando ”cd Escritorio”.
Fig. 10 Ingresar al Escritorio

Usando el comando “ls”, podemos ver todos los archivos que se encuentran en
aquella carpeta
Fig. 11 Enlistar directorios
Ingresamos a la carpeta de la herramienta y con el comando “ls”, vemos que

archivos contiene.
Fig. 12 Verificar directorio
Y finalmente, ponemos a correr nuestra herramienta.

Fig. 13 Ejecutamos herramienta
Fig. 14 La herramienta está lista para ejecutar el comando del ataque
Fig. 15 Se muestra la construcción de los sockets al ejecutar el comando perl

Fig. 16 Estado del ataque activo
Verificar que nuestro servidor quede inaccesible luego del ataque.
Después de realizar el ataque de Denegación de Servicio “DoS”, se verifica la dirección

IP, del servidor web configurado. Dando así la conclusión de si fue o no efectivo el ataque
de Denegacion de Servios.
Fig. 17 Caída del servidor al realizar el ataque

F. Resultados
Verificar el servicio.
La manera mas sencilla de verificar el servicio es ingresando, a la pagina web, en este
caso Grupo 1 Seguridad en Redes con la dirección IP: 192.168.1.10.
Servicio web funcionando correctamente
Verificación procedimiento para realizar el ataque.

Para verificar el procedimiento a realizar en el ataque de DoS, se procede a utilizar los
siguientes comandos:
#perl slowloris.pl -dns 192.168.1.10 → Con este comando llamamos a la herramienta

slowloris la cual hará el ataque al servidor de DNS 192.168.1.10 y denegar el servicio al
servidor web con la misma dirección.
Verificar caída del servidor.
La caída del servidor se la justifica debido, al problema en ingresar a la dirección IP del
mismo, lo que demuestra que el servidor esta fallando o un ente ajeno esta realizando un
ataque en contra de este.
Verificar monitoreo del tráfico en la red mediante wireshark y justificar la caída
del servicio.
Para la monitorización del trafico que se esta generando en la red, se a procedido a
utilizar el software Wireshark, el mismo que captura paquetes que cruzan en un
determinado tramo de la red. En primera instancia se procede a capturar tramas, cuando
el servidor esta en su correcto funcionamiento y no a recibido ataques de DoS,
obteniendo:
Fig. 18 Captura de paquetes del servidor funcionando
Posterior a ello se procede a realizar la captura de tramas, cuando se esta efectuando el

ataque DoS, y se obtiene el siguiente resultado:
• Desde el host con direccion ip 192.168.1.132 desea ingresar al servidor Web

192.168.1.10.
• Existen peticiones de SYN, entre el host y el servidor Web, pero no existe
respuesta del mismo, es decir no hay tramas SYN ACK.
• Se ve origen y destino de la transmisión y el número de seq no cambia, es decir
no se puede completar el hanshake de tres vías como en las comunicaciones tcp.
• Esto debido a que el servidor Web esta siendo atacado.
Fig. 19 Captura de paquetes después del ataque
G. Conclusiones
• Los ataques DoS representan en la actualidad una amenaza muy real para
los servicios en especial los online, cuando la disponibilidad del servicio
es una función esencial del negocio.
• En la actualidad los firewalls tradicionales y dispositivos de protección
perimetrales o controles de seguridad, pueden proporcionar un cierto
grado de protección contra ataques de ancho de banda relativamente
bajos, sin ser óptimos ni confiables.
• Los ataques de DoS son muy comunes en las redes actuales, no implican
dificultades en su aplicación y eso se ve reflejado de manera real en la
caída de servidores muy usados en todo el mundo debido a ésta técnica,
por lo cual grandes empresas se han visto altamente afectadas
especialmente a nivel económico.
H. Recomendaciones
• Es difícil defenderse de estos ataques DoS, pero mediante una

planificación cuidadosa, es posible proporcionar un nivel óptimo de protección
frente a los ataques de denegación de servicio.
• Se debe tener un monitoreo constante de la red para detectar este tipo de
ataques y así garantizar la disponibilidad de la misma.
• Una alternativa como medida de seguridad pasiva es tener un backup de
servidores, de manera que cuando uno se vea atacado, el servicio no se detenga
por mucho tiempo garantizando así la disponibilidad.
• Se puede hacer uso de puertos alternativos para que el atacante no pueda
acceder fácilmente al canal de comunicación entre el servidor y los usuarios.

Introducción
c. Marco teórico
f. Resultados
g. Conclusiones
h. Recomendaciones

Laboratorio.
14 y en negrilla.
CONTENIDO
c. Marco teórico
f. Resultados
g. Conclusiones
h. Recomendaciones
Port Mirroring
• Configurar la topología establecida en la hoja guía.

• Realizar las configuraciones básicas en cada uno de los dispositivos a utilizar.
• Realizar las configuraciones de seguridad en los dispositivos de red (comandos
materia)
• Realizar las diferentes configuraciones para aplicar port mirroring.
• PC3 es el dispositivo para usar para la supervisión.
• Monitorear todo el tráfico que se dirige hacia / desde el servidor.
• Utilizar Wireshark para analizar paquetes aleatorios.
C. Marco teórico
PortMirroring
También conocido como SPAN (Switched Port Analyzer) , es un método para

monitorear el tráfico de red. Con la duplicación de puertos habilitada, el conmutador
envía una copia de todos los paquetes de red vistos en un puerto (o una VLAN completa)
a otro puerto, donde se puede analizar el paquete [1].
La función Port Mirroring es compatible con casi todos los switches de clase empresarial
(switches administrados).
La función de duplicación de puertos se describe mejor cuando se comparan el

conmutador regular con el soporte de duplicación de puertos [2].
Port Mirroring es la característica de los switches que nos permite enviar una copia de
todas las tramas enviadas y recibidas por el switch a un determinado puerto del mismo,
ideal para investigar qué está ocurriendo con el tráfico.
Fig. 1 Topología sobre Port Mirroring
Defensa en Perímetro
Telnet envía datos en texto claro. Por lo tanto, si un atacante intercepta paquetes Telnet,
podrían ver su contenido, como nombres de usuario y contraseñas. Para proteger un router
del acceso no autorizado se debe seleccionar una contraseña “fuerte”, segura, que sea
difícil adivinar para un atacante y evitar el lanzamiento de un ataque de fuerza bruta o
ataque de diccionario[3].
La seguridad perimetral informática no deja de tener el mismo significado que la general.

De hecho, también son todos los sistemas destinados a proteger de intrusos tu perímetro.
La única diferencia es que, en lugar de un espacio físico, se protegen las redes privadas
de tu sistema informático.
Se trata de una primera línea de defensa, igual que las alarmas de una oficina. La
seguridad total no existe ni en el mundo físico ni en el informático, pero reduce
muchísimo el riesgo a que nos roben nuestros datos o, incluso, que puedan desaparecer
[4].
Monitoreo con Wireshark
Wireshark es un analizador de protocolos open-source diseñado por Gerald

Combs y que actualmente está disponible para plataformas Windows y Unix.
Conocido originalmente como Ethereal, su principal objetivo es el análisis de
tráfico además de ser una excelente aplicación didáctica para el estudio de las
comunicaciones y para la resolución de problemas de red [5]. Wireshark
implementa una amplia gama de filtros que facilitan la definición de criterios de
búsqueda para los más de 1100 protocolos soportados actualmente; y todo ello
por medio de una interfaz sencilla e intuitiva que permite desglosar por capas
cada uno de los paquetes capturados. Gracias a que Wireshark “entiende” la
estructura de los protocolos, podemos visualizar los campos de cada una de las
cabeceras y capas que componen los paquetes monitorizados, proporcionando un
gran abanico de posibilidades al administrador de redes a la hora de abordar
ciertas tareas en el análisis de tráfico[6].
Fig. 2 Logotipo de Wireshark

SW IMAGE.
1 Switch 26 C3725-
ADVENTERPRISEK9-M;
Version 12.4(15)T7;
2 PC - Virtual PC Simulator
1 SERVIDOR - Virtual PC Simulator
Tabla 1: Materiales
Topología
Fig. 3. Topología Planteada
Tabla de direccionamiento
Equipo IP Máscara
PC-1 192.168.10.10 255.255.255.0
Server 192.168.10.11 255.255.255.0
PC-3 192.168.10.12 255.255.255.0
Tabla 2: Plan de direccionamiento
Capturar Capturar paquetes

Levantamiento Configuración de
paquetes sin con PortMirroring
de Servidor Web Puerto Espejo
PortMirroring
Analizar
Resultados
Identificar los cables y puertos para usar en la red.
Cable par trenzado Directo: Este cable se lo utiliza para la conexión de equipos de
diferente origen en nuestro caso Swtich-Host, la conexión se la realiza desde cualquier
puerto Ethernet (Fast, Gigabit etc.) en el Switch a otro puerto Ethernet en el Host. En la
configuración de colores para este cable directo se utiliza SOLO un estándar sea ANSI
568-A o 568-B.
Introducir la información de direccionamiento.
• Direccionamiento en PC
Ingresamos el comando: ip 192.168.10.10 255.255.255.0 → el cual añade una dirección
ip seguida de su mascara de subred y en caso de existir el Gateway predeterminado.
Para guardar la información se procede a utilizar el comando “save”
Se realiza el mismo procedimiento para todos los PC de la topología.
Verificar que las PC puedan comunicarse por medio de comando ping, y si la red
es convergente.
• PC3-PC1
Mediante el comando Ping se demuestra la conectividad entre estos dos host.
• PC3-SERVER
• PC1-SERVER
CAPTURANDO PAQUETES DESDE LA PC3 sin activar “PORT MIRROR”
Primero hacemos un ping extendido desde la PC1 al Servidor
Abrimos el capturador desde el enlace del Switch – PC3

Y si filtramos por protocolo ICMP, podemos observar que no podemos ver los paquetes
del ping que hicimos desde la PC1-Servidor.
ACTIVAR “PORT MIRROR”
Abrimos la Configuración del Switch (Consola ) e ingresamos el primer comando (no

monitor session 1) elimina cualquier sesión SPAN anterior, esto es solo para estar seguro
porque si hay una sesión SPAN existente.
El segundo comando (monitor session 1 source interface Fa1/2) configura Fa1 / 2
como un puerto de origen.
El último comando (monitor session 1 destination interface Fa1/3) configura Fa1 / 3

como un puerto de destino.
Abrimos el capturador nuevamente desde el enlace del Switch – PC3, y filtramos por
protocolo ICMP, y ya podemos ver los paquetes del ping que hicimos desde la PC1-
Servidor.
Configurar cada switch y router con sus configuraciones básicas como nombre de
host, contraseñas, banner y acceso SSH, número de intentos de inicio de sesión,
timer de inactividad, niveles de privilegio, etc.
• Configuración del nombre de host
• Contraseña para el acceso al modo EXEC privilegiado
• Contraseña cifrada para el acceso al modo EXEC privilegiado
• Configuración de la contraseña de consola
• Configuración de la contraseña del puerto auxiliar
• Configuración de la contraseña de la línea vty
• Comando para encriptar las contraseñas

Al ejecutar el comando show running-config se puede ver las contraseñas en
texto plano:
Se ejecuta el comando de encriptación y se vuelve a consultar en la
configuración.
• Configuración de un mensaje banner de advertencia para evitar el acceso al

dispositivo.
• Configuración del número de intentos de conexión fallidos (dentro de un período
de tiempo especificado) que desencadenan un período de silencio, durante el cual
los intentos de conexión se bloquean.
Bloquea el intento de acceso por 30 segundos si han existido 5 intentos en un

período de 10 segundos.
• Especificar una ACL que identifique excepciones del período de silencio que se
ha configurado en el comando anterior:
• Especificar un período de tiempo mínimo que debe pasar entre intentos de

conexión. El período de tiempo predeterminado es 1 segundo.
• Creación de un registro de intentos de conexión fallidos y exitosos,

respectivamente.
Guardar las configuraciones en ejecución

F. Resultados
• Abrimos el capturador desde el enlace del Switch – PC3
• Filtramos por protocolo ICMP, y ya podemos ver los paquetes del ping que
hicimos desde la PC1-Servidor.
• Comando para verificar las conexiones virtuales y para observar los parámetros
de login.
• Revisión de la configuración del mensaje banner
• Revisión de la configuración general

G. Conclusiones
• PortMirroring o SPAN es básicamente un espejo de un puerto especifico dentro
de un Switch, se lo configura para que todo el trafico que esta pasando por un
puerto se informe o se replique a otro.
• Esta técnica es muy efectiva al momento de capturar tráfico, y analizarlo desde
un host distinto al destinatario, se puede aplicar métodos para encontrar
información importante que se está transmitiendo.
• La técnica de Port Mirroring también se la puede utilizar en VLANs, logrando
hacer un espejo entre VLANs y capturar, todo el trafico que tiene como destino
una VLAN especifica.
• Algunos dispositivos Cisco también disponen de una funcionalidad denominada
Mini Protocol Analyzer gracias a la cual se puede capturar tráfico desde una
sesión SPAN y almacenar los paquetes en un buffer local, pudiendo ser
posteriormente exportados en un fichero .cap
H. Recomendaciones
• Una interfaz puede ser la interfaz de entrada para una sola configuración de
duplicación. No utilice la misma interfaz que la interfaz de entrada para
múltiples configuraciones de duplicación.
• Una vez que la trama fue espejada del puerto origen al destino, se puede analizar
la captura de datos asignando un analizador RMON, un snniffer o un IDS sin
afectar la operación normal del puerto origen del switch.
Introducción
c. Marco teórico
f. Resultados
g. Conclusiones
h. Recomendaciones

Laboratorio.
14 y en negrilla.
CONTENIDO
c. Marco teórico
f. Resultados
g. Conclusiones
h. Recomendaciones
PGP (Pretty Good Privacy)
• Recopilar un marco teórico confiable el cual forme un pilar para el desarrollo de

la practica PGP.
• Analizar PGP de forma clara y concisa para el establecimiento de claves.
• Desarrollar la practica PGP tomando en cuenta la información establecida en la
hoja guía.
• Realizar la comprobación de las claves encontradas y su validación con sus
certificados.
C. Marco teórico
PGP
PGP es un criptosistema híbrido que combina técnicas de criptografía simétrica y

criptografía asimétrica. Esta combinación permite aprovechar lo mejor de cada uno: El
cifrado simétrico es más rápido que el asimétrico o de clave pública, mientras que este, a
su vez, proporciona una solución al problema de la distribución de claves en forma segura
y garantiza el no repudio de los datos y la no suplantación.
Cuando un usuario emplea PGP para cifrar un texto en claro, dicho texto es comprimido.
La compresión de los datos ahorra espacio en disco, tiempos de transmisión y, más
importante aún, fortalece la seguridad criptográfica ya que la mayoría de las técnicas de
criptoanálisis buscan patrones presentes en el texto claro para romper el cifrado. La
compresión reduce esos patrones en el texto claro, aumentando enormemente la
resistencia al criptoanálisis.
Después de comprimir el texto, PGP crea una clave de sesión secreta que solo se empleará
una vez. Esta clave es un número aleatorio generado a partir de los movimientos del ratón
y las teclas que se pulsen durante unos segundos con el propósito específico de generar
esta clave (el programa nos pedirá que los realicemos cuando sea necesario), también
puede combinarlo con la clave anteriormente generada. [cita requerida] Esta clave de
sesión se usa con un algoritmo simétrico (IDEA, Triple DES) para cifrar el texto claro.
Una vez que los datos se encuentran cifrados, la clave de sesión se cifra con la clave
pública del receptor (criptografía asimétrica) y se adjunta al texto cifrado, y el conjunto
es enviado al receptor.
El descifrado sigue el proceso inverso. El receptor usa su clave privada para recuperar la
clave de sesión, simétrica, que PGP luego usa para descifrar los datos.
Las claves empleadas en el cifrado asimétrica se guardan cifradas protegidas por
contraseña en el disco duro. PGP guarda dichas claves en dos archivos separados
llamados llaveros; uno para las claves públicas y otro para las claves privadas.
Fig. 4. Diagrama de bloques PGP
FIRMAS DIGITALES.
PGP ofrece autenticación de mensajes y la comprobación de su integridad. Esta

última es usada para descubrir si un mensaje ha sido cambiado luego de ser
completado (la propiedad de integridad del mensaje), y la anterior para determinar
si realmente fue enviado por la persona/entidad que reclama ser el remitente (una
firma digital). En PGP, estas operaciones son usadas por defecto junto con la
codificación o cifrado del mensaje, pero pueden ser aplicadas a texto simple
también. El remitente usa PGP para crear una firma digital para el mensaje con
algoritmos de firma RSA o DSA. Para hacer esto, PGP calcula un condensado
(también llamado resumen o - en inglés - "hash" del mensaje) del texto simple, y
luego crea la firma digital de aquel condensado usando las llaves privadas del
remitente.
Fig. 5. Ilustración Firma Digital

CRIPTOGRAFÍA
La criptografía actualmente se encarga del estudio de los algoritmos, protocolos y

sistemas que se utilizan para dotar de seguridad a las comunicaciones, a la información y
a las entidades que se comunican.1 El objetivo de la criptografía es diseñar, implementar,
implantar, y hacer uso de sistemas criptográficos para dotar de alguna forma de seguridad.
Por tanto el tipo de propiedades de las que se ocupa la criptografía son, por ejemplo:2
Confidencialidad. Es decir, garantiza que la información sea accesible únicamente a

personal autorizado. Para conseguirlo utiliza códigos y técnicas de cifrado.
Integridad. Es decir garantiza la corrección y completitud de la información. Para

conseguirlo puede usar por ejemplo funciones hash criptográficas MDC, protocolos de
compromiso de bit, o protocolos de notarización electrónica.
Vinculación. Permite vincular un documento o transacción a una persona o un sistema de

gestión criptográfico automatizado. Cuando se trata de una persona, se trata de asegurar
su conformidad respecto a esta vinculación (content commitment) de forma que pueda
entenderse que la vinculación gestionada incluye el entendimiento de sus implicaciones
por la persona. Antiguamente se utilizaba el término "No repudio" que está
abandonándose, ya que implica conceptos jurídicos que la tecnología por sí sola no puede
resolver. En relación con dicho término se entendía que se proporcionaba protección
frente a que alguna de las entidades implicadas en la comunicación, para que no pudiera
negar haber participado en toda o parte de la comunicación. Para conseguirlo se puede
usar por ejemplo firma digital. En algunos contextos lo que se intenta es justo lo contrario:
Poder negar que se ha intervenido en la comunicación. Por ejemplo cuando se usa un
servicio de mensajería instantánea y no queremos que se pueda demostrar esa
comunicación. Para ello se usan técnicas como el cifrado negable.
Autenticación. Es decir proporciona mecanismos que permiten verificar la identidad del

comunicador. Para conseguirlo puede usar por ejemplo función hash criptográfica MAC
o protocolo de conocimiento cero.
Soluciones a problemas de la falta de simultaneidad en la telefirma digital de contratos.

Para conseguirlo puede usar por ejemplo protocolos de transferencia inconsciente.
Un sistema criptográfico es seguro respecto a una tarea si un adversario con capacidades

especiales no puede romper esa seguridad, es decir, el atacante no puede realizar esa tarea
específica.
Fig. 6. Ilustración Criptografía


SW IMAGE.
2 PC - Virtual PC Simulator. Distro
Ubuntu
Instalacion Generar Obterner certificado

OpenPGP Configuración PGP Llaves de digital
encriptación
Analizar
Resultados
Para este laboratorio usaremos el sistema operativo Ubuntu

Abrimos el cliente de correo Thunderbird.
Ahora ingresamos un usuario, correo electrónico y contraseña. En nuestro cliente de
correo Thunderbird. Y seleccionamos continuar.
Automáticamente se configura. Y busca los servidores de email e imap. Y después

damos clic en “Hecho”.
Luego nos pide que ingresemos las credenciales de nuestro correo electrónico.
Damos los permisos necesarios.

Listo, hemos configuramos nuestro cliente de correo.
Y aquí podemos ver que tenemos los mensajes de correo de nuestra cuenta de Google.
Comprobamos que funciona correctamente enviando un correo de prueba a nuestra
cuenta de correo institucional.
Abrimos nuestro correo institucional y comprobamos que el correo llego exitosamente.
Ahora vamos con la generación de claves.

En la esquina superior derecha. Seleccionamos Enigmail.
Luego seleccionamos Administrador de Claves
Seleccionamos la pestaña Generar y damos clic en “nuevo par de claves”.

Ingresamos nuestra Frase-Contraseña. Para el ejemplo usaremos “seggudino”.
Seleccionamos el tiempo de expiración de nuestra clave. Lo dejaremos en 5 años.
Ahora seleccionamos la pestaña de “avanzadas” y generamos la clave con una longitud

de 4096 bytes
Y para terminar damos clic en Generar Clave.
F. Resultados
Después de terminar con la generación de clave. Debemos generar un certificado de

revocación. Firmado con criptografía asimétrica,
Guardamos en el escritorio. Pero nos pide que ingresemos antes la Frase-contraseña que
colocamos anteriormente.
La ingresamos “seggudino”. Y podemos ver que se generó exitosamente.
Vemos que en el escritorio se encuentra el certificado de revocación.

Si abrimos el Administrador de Claves de Enigmail. Vemos la que recién generamos.
Ahora subiremos nuestra clave a un servidor de claves. Para esto seleccionamos la

pestaña “Servidor de claves” y seleccionamos “Subir claves públicas”
Después para comprobar seleccionamos Refrescar todas las claves públicas.
Y podemos ver que nuestra clave se subió con éxito.

Ahora buscamos la clave en el servidor . Para esto ingresamos el correo. Y
seleccionamos el servidor.
observamos la clave que subimos de nuestro usuario.

A continuación enviaremos un mensaje encriptado con un archivo adjunto al usuario 2:
vasquezp2019gpgseg@gmail.com.
El archivo de texto a encriptar es el siguiente.
Ahora redactamos el correo a encriptar, Ingresamos la dirección del destinatario. Y

colocamos un asunto al mensaje.
Ahora adjuntamos nuestro archivo de texto.
Y antes de enviar activamos las opciones de Cifrado y Firmar Mensaje. Y damos clic en
enviar.
Seleccionamos la clave y damos clic en enviar.

Y para finalizar ingresamos nuestra Frase-contraseña “seggudino”.
Ahora abrimos la bandeja de entrada del usuario 2. Y podemos ver que el mensaje no
es legible.
Ahora debemos descargar la Frase-contraseña para poder desencriptarlo.

Ya lo podemos vizualizar y descargar el archivo de texto adjunto.
Abrimos descargas y vemos el archivo de texto descargado.

G. Conclusiones
• En cuanto a los demás programas que se basen en el formato OpenPGP, deberán
ser comprobados uno por uno, y el propio formato habría de ser modificado.
Tarea pesada, pero ese es el precio a pagar por la seguridad. El código fuente y
la política de transparencia son grandes aliados en la búsqueda de fallos, pero
después hay que corregirlos.
• Los expertos en seguridad siempre han aconsejado no confiar solamente en la
fortaleza de la contraseña o en el hecho de que el archivo secring.skr vaya
cifrado. Bruce Schneier compara la seguridad informática con una valla. PGP
representaría una estaca de un kilómetro de altura. Discutir sobre si la clave ha
de tener 1.024 o 2.048 bits es como decidir si la estaca tiene un kilómetro de
altura o kilómetro y medio.
H. Recomendaciones
• No guarden sus archivos de claves en lugares públicamente accesibles. Esto

significa almacenarlas en disquetes, o mejor, en unidades de disco cifrado. Existen
programas como PGPdisk o Scramdisk que permiten hacerlo. Otra medida de
seguridad podría consistir en firmar digitalmente el archivo de claves secring.skr,
o incluso cifrar todo el archivo mediante una opción de cifrado de archivos (como
la que incorpora el propio PGP).
• Es importante que no se nos olvide esta clave, de lo contrario tendremos que
fabricarnos otro par de llaves y asegurarnos de que la gente actualiza nuestra llave
pública en sus ordenadores
• Es bueno 'premiar' aquellas llaves públicas que son claramente fidedignas. Este
acto de premiar se conoce como 'firmar la llave pública con la llave
privada/secreta de uno mismo
Introducción
c. Marco teórico
f. Resultados
g. Conclusiones
h. Recomendaciones
Laboratorio.
14 y en negrilla.
CONTENIDO
c. Marco teórico
f. Resultados
g. Conclusiones
h. Recomendaciones

Configuring Router-on-a-Stick Inter-VLAN Routing Instructions
⎯ Probar la conectividad sin roouting entre VLAN

⎯ Agregar VLAN a un switch
⎯ Configurar subinterfaces
⎯ Probar la conectividad con routing entre VLAN
C. Marco teórico
Introducción
Las VLANs nos permiten separar los switches en varios switches virtuales, en los que
sólo los miembros de una VLAN pueden ver el tráfico de dicha VLAN. El Tráfico entre
VLANs debe pasar por un enrutado.
Las VLANs nos permiten utilizar una sola interfaz de enrutador para llevar tráfico de
varias subredes.
Ejemplo: Sub-interfaces en Cisco
Existen:
VLANs Locales
Dos o más VLANs dentro de un mismo switch, los Puertos de usuario (Edge), donde las
máquinas se conectan, se configuran como miembros de la VLAN. El switch se comporta
como varios switches separados, enviando tráfico solamente entre miembros de la misma
VLAN.
VLAN TRUNKS
Dos o más switches pueden intercambiar tráfico de una o más VLANs, los enlaces inter-
switch se configuran como troncales (trunks), transportando tramas de todas o una parte
de las VLANs de un switch; cada trama lleva una etiqueta (tag) que identifica la VLAN
a la que pertenece
INTERVLAN
Los nodos de usuario ubicados en diferentes VLAN no pueden comunicarse de
forma predeterminada. En muchos casos, es posible que se necesite conectividad
entre usuarios ubicados en diferentes VLAN. La forma en que esto se puede lograr
es a través del enrutamiento entre VLAN.
El enrutamiento entre VLAN es una forma de reenviar el tráfico entre diferentes

VLAN implementando un enrutador en la red. Las VLAN segmentan lógicamente
el conmutador en diferentes subredes, cuando un enrutador está conectado al
conmutador, un administrador puede configurar el enrutador para reenviar el
tráfico entre las distintas VLAN configuradas en el conmutador. Los nodos de
usuario en las VLAN reenvían el tráfico al enrutador, que luego reenvía el tráfico
a la red de destino independientemente de la VLAN configurada en el
conmutador.
Hay dos formas en que se puede lograr el enrutamiento entre VLAN.
▪ Enrutamiento tradicional inter-VLAN

▪ Enrutador en un palo
Enrutamiento tradicional inter-VLAN.
En esta forma de enrutamiento entre VLAN, el enrutador debe tener tantas interfaces
LAN como la cantidad de VLAN configuradas en el switch. Por lo tanto, si un
conmutador tiene 10 VLAN, el enrutador debe tener el mismo número de interfaces LAN.
Tome el escenario que se muestra a continuación.
Enrutamiento inter-VLAN usando enrutador en un stick
Se necesita una forma de utilizar las interfaces limitadas del enrutador para admitir el
enrutamiento entre muchas VLAN que pueden estar en un conmutador.
Router-on-a-stick
El enrutador se conecta al conmutador mediante una única interfaz. El switchport que se

conecta al enrutador está configurado como un enlace troncal. La única interfaz en el
enrutador se configura con varias direcciones IP que corresponden a las VLAN en el
conmutador. Esta interfaz acepta el tráfico de todas las VLAN y determina la red de
destino según la fuente y la IP de destino en los paquetes. Luego reenvía los datos al
conmutador con la información VLAN correcta.
Cantidad Denominación Figura

1 Pc Portátil
Software requerido
- Packet tracer
Topología
Máscara de Gateway
Dispositivo Interfaz Dirección IPv4 subred predeterminado
G0/0.10 172.17.10.1 255.255.255.0 N/A

R1
G0/0.30 172.17.30.1 255.255.255.0 N/A
PC1 NIC 172.17.10.10 255.255.255.0 172.17.10.1
PC2 NIC 172.17.30.10 255.255.255.0 172.17.30.1
o Parte 1: Probar conectividad sin routing entre VLAN

Paso 1: hacer ping entre la PC1 y la PC3.
Haga ping entre la PC1 y la PC3 y como las dos computadoras están en
redes separadas y el R1 no está configurado, el ping falla.
Paso 2: Pasar al modo de simulación para controlar los pings.
Para pasar al modo Simulation (Simulación), haga clic en la ficha

Simulation o presione Mayús+S.
Haga clic en Capture/Forward (Capturar/Adelantar) para ver los pasos que

sigue el ping entre la PC1 y la PC3. Observe que el ping nunca deja la PC1.
¿Qué proceso falló y por qué?
La PC1 está en otra red diferente que la PC3 que está en otra red distinta, al
estar en diferentes redes en la capa 3 no puede hacer ping ya que los switch
son dispositivos de capa 2.
o Parte 2: agregar VLAN a un switch
Paso 1: Crear VLAN en el S1.
Vuelva al modo Realtime (Tiempo real) y cree la VLAN 10 y la VLAN 30 en el S1.

Porque en capa tres las PC’s se encuentran en distintas redes
Parte 3: Configurar subinterfaces

Paso 1: Configurar las subinterfaces en el R1 con la encapsulación 802.1Q.
a. Cree la subinterfaz G0/0.10.
• Establezca el tipo de encapsulación en 802.1Q y asigne la VLAN 10

a la subinterfaz.
• Consulte la tabla de direccionamiento y asigne la dirección IP

correcta a la subinterfaz.
b. Repita el proceso para la subinterfaz G0/0.30.
Paso 2: Verificar la configuración.
a. Utilice el comando show ip interface brief para verificar la

configuración de las subinterfaces. Ambas subinterfaces están inactivas. Las
subinterfaces son interfaces virtuales que se asocian a una interfaz física. Por lo
tanto, para habilitar las subinterfaces, debe habilitar la interfaz física a la que se
asocian.
b. Habilite la interfaz G0/0. Verifique que las subinterfaces ahora estén
activas.
o Parte 4: probar la conectividad con routing entre VLAN

Paso 1: Hacer ping entre la PC1 y la PC3.
En la PC1, haga ping a la PC3. Los pings deberían seguir fallando.
Paso 2: Habilitar el enlace troncal.
a. En el S1, emita el comando show vlan. ¿A qué VLAN se asignó la

interfaz G0/1? VLAN 10 Y VLAN 30
b. Como el router se configuró con varias subinterfaces asignadas a

diferentes VLAN, el puerto de switch que se conecta al router se debe
configurar como enlace troncal. Habilite el enlace troncal en la interfaz G0/1.
a. ¿Cómo puede determinar que la interfaz es un puerto de enlace
troncal mediante el comando show vlan?
b. Emita el comando show interface trunk para verificar que la

interfaz se haya configurado como enlace troncal.
c.
Paso 3: Pasar al modo de simulación para controlar los pings.
a. Para pasar al modo Simulation (Simulación), haga clic en la ficha

Simulation o presione Mayús+S.
b. Haga clic en Capture/Forward (Capturar/Adelantar) para ver los
pasos que sigue el ping entre la PC1 y la PC3.
c. Debería ver solicitudes y respuestas de ARP entre el S1 y el R1.

Luego, solicitudes y respuestas de ARP entre el R1 y el S3. De esta manera,
la PC1 puede encapsular una solicitud de eco ICMP con la información de
capa de enlace de datos correspondiente, y el R1 enruta la solicitud a la PC3.
Nota: una vez finalizado el proceso ARP, es posible que deba hacer clic en
Reset Simulation (Restablecer simulación) para ver el proceso ICMP
completo.
F. Resultados
El propósito de este apartado es presentar los datos obtenidos en el desarrollo de
la práctica de laboratorio, los cuales ponen de manifiesto que la actividad práctica
realizada representa la administración de redes con el protocolo SNMPv3.
G. Conclusiones
⎯ Las redes conmutadas modernas utilizan interfaces virtuales del switch en

los switches multicapas para habilita el enrutamineto entre vlan,,
⎯ La configuración de Router-on-a-stick se usa principalmente en entornos

donde no hay conmutación de capa 3 , porque proporciona servicios de
enrutamiento entre VLAN utilizando un solo enrutador y una interfaz, lo
que lo hace rentable.
H. Recomendaciones
⎯ Verificar que las configuraciones sean las correctas a utilizar para

esta práctica
⎯ Asegurarse que el enrutamiento entre VLANs funcione
correctamente
Introducción
c. Marco teórico
f. Resultados
g. Conclusiones
h. Recomendaciones
Laboratorio.
14 y en negrilla.
Contenido
c. Marco teórico
f. Resultados
g. Conclusiones
h. Recomendaciones
VTP, DTP y VLAN extendidas
- Implementar la topología planteada.
- Asignar el direccionamiento a los equipos.
- Configurar VTP.
- Configurar DTP
- Agregar redes VLAN y asignar puertos
- Configurar VLAN extendidas
- Verificación de conexión y configuraciones.
C. Marco teórico
VTP
El VLAN Trunk Protocol (VTP) reduce la administración en una red de switch.
Al configurar una VLAN nueva en un servidor VTP, se distribuye la VLAN a
través de todos los switches del dominio. Esto reduce la necesidad de configurar
la misma VLAN en todas partes. VTP es un protocolo de propiedad de Cisco que
está disponible en la mayoría de los productos de la serie Cisco Catalyst (CISCO,
2016).
Mensajes VTP en detalle
Los paquetes VTP se envían en las tramas de Inter-Switch Link (ISL) o en las
tramas de IEEE 802.1Q (dot1q). Estos paquetes se envían a la dirección MAC de
destino 01-00-0C-CC-CC-CC con un código de control de link lógico (LLC) de
Subnetwork Access Protocol (SNAP) (AAAA) y un tipo de 2003 (en el
encabezado SNAP). A continuación, se presenta el formato de un paquete VTP
encapsulado en tramas ISL (CISCO, 2016):
Tabla 3. Trama de paquetes VTP

Por supuesto, puede tener un paquete VTP dentro de tramas 802.1Q. En ese caso,
el encabezado ISL y la verificación por redundancia cíclica (CRC) es sustituido
por el etiquetado dot1q.
Ahora considere el detalle de un paquete VTP. El formato de encabezado VTP
puede variar, en función del tipo de mensaje VTP. Pero, todos los paquetes VTP
contienen estos campos en el encabezado:
MODOS de VTP
Se puede configurar la mayoría de los switches para que funcionen en cualquiera

de estos modos de VTP (CISCO, 2016):
Servidor: En el modo de servisor VTP, puede crear, modificar y eliminar VLAN,

y especificar otros parámetros de configuración, como la versión VTP y el recorte
VTP, para el dominio completo de VTP. Los servidores VTP anuncian su
configuración VLAN a los otros switches en el mismo dominio VTP y sincronizan
su configuración VLAN con otros switches en función de los avisos recibidos en
los links de trunk. El servidor VTP es el modo predeterminado.
Cliente: los clientes VTP se comportan de la misma manera que los servidores
VTP, pero no pueden crear, cambiar, o eliminar las VLAN en un cliente VTP.
Transparente: los switches VTP transparente no participan en VTP. Un switch

VTP transparente no anuncia su configuración VLAN y no sincroniza su
configuración VLAN en función de los anuncios recibidos; sin embargo, en la
versión 2 VTP, los switches transparentes reenvían anuncios VTP que reciben los
switches por sus puertos de trunk.
Desconectado (configurable solo en los switches CatOS): en los tres modos

descritos, se reciben y se transmiten los avisos VTP tan pronto como el switch
ingrese el estado del dominio de administración. En el modo de VTP
desconectado, Los switches que funcionan en modo transparente descartan los
anuncios VTP si no están en el mismo dominio VTP.
DTP
El protocolo de enlace dinámico (DTP) se utiliza para negociar la formación de
un tronco entre dos dispositivos Cisco. El DTP causa mayor tráfico y está
habilitado de forma predeterminada, pero puede estar deshabilitado (All Packet
Tracer, 2017).Las interfaces troncales Ethernet soportan diferentes modos de
trunking. Una interfaz se puede establecer en trunking o no trunking, o para
negociar trunking con la interfaz vecina. La negociación de troncales es
gestionada por el protocolo de enlace dinámico (DTP), que funciona de forma
punto a punto únicamente, entre dispositivos de red.
Las interfaces Ethernet de los switches Catalyst 2960 y Catalyst 3560 soportan
diferentes modos de enlace con la ayuda de DTP:
Switchport mode Access
Pone la interfaz (puerto de acceso) en modo permanente no trunking y negocia

para convertir el enlace en un enlace no trunk. La interfaz se convierte en una
interfaz no troncalizada, independientemente de si la interfaz vecina es una
interfaz de troncal.
Switchport mode dynamic auto
Hace que la interfaz sea capaz de convertir el enlace a un enlace troncal. La

interfaz se convierte en una interfaz troncal si la interfaz vecina se establece en
modo troncal o deseable.
El modo de switchport predeterminado para las interfaces Ethernet de conmutador

Cisco más nuevas es auto dinámico. Tenga en cuenta que si dos switches Cisco se
dejan a la configuración predeterminada común de auto, nunca se formará un
tronco.
Switchport mode dynamic deseable
Hace que la interfaz intente activamente convertir el enlace a un enlace troncal.

La interfaz se convierte en una interfaz troncal si la interfaz vecina se establece en
tronco, deseable o modo automático. Este es el modo de switchport
predeterminado en conmutadores antiguos, como los switches Catalyst 2950 y
3550.
Switchport mode trunk

Pone la interfaz en el modo de trunking permanente y negocia para convertir el
enlace vecino en un enlace troncal. La interfaz se convierte en una interfaz troncal
incluso si la interfaz vecina no es una interfaz troncal.
Switchport nonegotiate
Evita que la interfaz genere marcos de DTP. Puede utilizar este comando sólo
cuando el modo switchport de interfaz es acceso o tronco. Debe configurar
manualmente la interfaz vecina como interfaz de troncal para establecer un enlace
troncal.
Figura 1. Modos de DTP según CISCO
Diferencia entre VTP y DTP

En resumen, VTP es un protocolo utilizado para compartir información de VLAN
dentro de un dominio entre conmutadores conectados. Por otro lado, DTP es un
protocolo que se utiliza para negociar trunking entre puertos de switch en
cualquiera de los extremos de un enlace (Network Engineering, 2015).
DTP
Piénselo de esta manera: si desea configurar automáticamente las interfaces de

troncales en un conmutador, cuando el otro lado solicita un troncal, recurre a DTP
(Dynamic Trunking Protocol). Si utiliza la configuración correcta, podrá
configurar automáticamente una interfaz para el modo troncal, si está conectada a
otro interruptor.
VTP
Ahora digamos que tiene varias VLAN que necesita crear en su red. Pero no desea
molestarse en ir a cada conmutador y crear estas VLAN. Así que te diriges a VTP.
Usted configura los ajustes correctos y simplemente crea las VLAN en un
conmutador. VTP también propaga estas VLAN a otros switches que están
configurados en modo cliente.
Son independientes entre sí, excepto por muy poca superposición. Como, por
ejemplo, si tiene dominios VTP configurados en 2 switches y la falta de
coincidencia de dominios, esto afecta la capacidad de los DTP para negociar
trunking entre ellos. Pero para el propósito de su CCNA, este nivel de detalle no
es obligatorio.
VLAN
Una VLAN, acrónimo de virtual LAN (red de área local virtual), es un método
para crear redes lógicas independientes dentro de una misma red física.1 Varias
VLAN pueden coexistir en un único conmutador físico o en una única red física.
Son útiles para reducir el dominio de difusión y ayudan en la administración de la
red, separando segmentos lógicos de una red de área local (los departamentos de
una empresa, por ejemplo) que no deberían intercambiar datos usando la red local
(aunque podrían hacerlo a través de un enrutador o un conmutador de capa OSI 3
y 4).
Diferencia entre VLAN estándar y extendida:
Las VLAN son introducidas por el estándar IEEE 802.1Q , que no tiene esta
noción de VLAN estándar o extendida, ni hace ninguna diferencia entre VLAN
por debajo o por debajo de 1005 (Network Engineering, 2017).
Esta es la implementación de Cisco que introduce esta segregación. La primera

implementación de Cisco en realidad solo admitía VLAN hasta 1001, y Cisco
reservó VLAN 1002-1005 para FDDI y Token Ring. Agregaron soporte para
VLAN 1006-4094 más tarde, y los llamaron "VLAN ampliada". Mi conjetura es
que, dado que era una adición, y probablemente para hacer cumplir la
compatibilidad con versiones anteriores, esas VLAN son técnicamente diferentes,
dentro de Cisco IOS Citado de ID de VLAN extendida Antes del Cisco IOS
Release 12.4 (15) T, los usuarios podían configurar VLAN numeradas del 2 al
1001. Las VLAN restantes (numeradas del 1006 al 4094) estaban reservadas para
su uso como VLAN internas configuradas por las aplicaciones. A partir de Cisco
IOS Release 12.4 (15) T, todos los números de VLAN, excepto los reservados
para VLAN predeterminadas y reservadas
están disponibles para la configuración del usuario.
El resultado es que los usuarios y las aplicaciones comparten el espacio numérico

de VLAN de 1006 a 4094.
Puede encontrar en esta documentación por ejemplo esta tabla:
Tabla 4. Tabla de VLAN según Andriy Berestovskyy
Tenga en cuenta que, como lo señaló @Andriy Berestovskyy, las VLAN

extendidas se propagan mediante la versión 3 del VTP.

Pc Portátil
Software requerido
1
- Packet Tracer 7.2
Topología
Fig. 1. Topología
CONFIGURACIONES
A medida que la cantidad de switches aumenta, la administración de VLAN y enlaces
troncales en una red puede convertirse en un desafío. El protocolo VTP (VLAN Trunking
Protocol, protocolo de enlace troncal de VLAN) permite que un administrador de redes
automatice la administración de VLAN. El protocolo DTP (Dynamic Trunking Protocol,
protocolo de enlace troncal dinámico) administra la negociación de enlaces troncales
automatizada entre los dispositivos de red. El protocolo DTP se encuentra habilitado de
manera predeterminada en los switches Catalyst 2960 y Catalyst 3560.
En esta práctica de laboratorio, configurará enlaces troncales entre los switches. También
configurará un servidor VTP y clientes VTP en el mismo dominio VTP. Además,
configurará una VLAN extendida en uno de los switches, asignará puertos a las VLAN y
comprobará la conectividad completa dentro de la misma VLAN.
Configuración de PCs
A continuación se realiza la asignación de direcciones IP a los computadores para
que puedan comunicarse mediante alas configuraciones de VTP, DTP y VLANs
- Configurar la dirección IP en la PC A
- Configurar la dirección IP en la PC B
- Configurar la dirección IP en la PC C
- Configurar direcciones IP en switches.

• Configuración Básica
Comando Descripción
Switch>enable Entra al modo privilegiado
Switch# configure terminal Entra al modo de configuración

Global.
Configuramos el hostname, de lo
Switch(config)#hostname SW contrario el IOS no nos permite
configurar SSH.
SW(config)# banner motd Configuramos el mensaje de

*BasantesH_FloresK_MoncayoK inicio en el Switch.
Bienvenidos. Acceso Restringido*
Regresar a la línea
SW(config-line)#exit
configuraciones anterior
SW(config)#wr Guardar las configuraciones.
SW(config)#exit Salir de configuraciones
• Configuración de SSH
Switch>enable Entra al modo privilegiado
Switch# configure terminal Entra al modo de configuración

Global.
Configuramos el hostname, de lo
Switch(config)#hostname SW contrario el IOS no nos permite
configurar SSH.
Configuramos el nombre de
SW(config)#ip domain-name cisco.com dominio.
Con este comando generamos

una llave pública de 1024 bits. El
protocolo SSH cifra todos los
SW(config)#crypto key generate rsa 1024 datos enviados y recibidos a
través del puerto 22. Para este
fin, se utiliza el algoritmo de
cifrado asimétrico RSA.
Configuración de tiempo de
espera. Si a los 30 segundos de
inicializar la conexión el usuario
SW(config)#ip ssh time-out 30
no introduce su usuario y
contraseña, automáticamente se
cae la conexión.
Con este comando establecemos

un máximo de tres intentos para
que un usuario se valide en el
SW(config)#ip ssh authentication-retries 3
sistema. De lo contrario el
usuario deberá restablecer una
nueva sesión.
Este comando establece que

utilizaremos la versión 2 del
protocolo SSH. La versión 1 tiene
SW(config)#ip ssh version 2
un fallo de seguridad terrible. No
se recomienda su uso bajo
ninguna circunstancia.
Creamos un usuario y password

SW(config)#username admin privilege 15
para podernos conectar al
password cisco
equipo a través de SSH.
Habilitamos 5 puertos virtuales

SW(config)#line vty 0 4
para las conexiones SSH.
Establecemos que el protocolo a

SW(config-line)#transport input ssh utilizar para conexiones remotas
será SSH.
Configuramos que la validación

de los usuarios que ingresen al
equipo a través de SSH se
SW(config-line)#login local realizará de manera local, es
decir, verificando el usuario y
password estén debidamente
creados en el Cisco IOS.
Regresar a la línea
SW(config-line)#exit
configuraciones anterior

• Configuración de las VLANs en el Switch
SW>enable Entra al modo privilegiado
SW#show vlan Muestra en pantalla las VLANs
creadas en el Cisco IOS
SW#configure terminal Entra al modo privilegiado
SW(config)#vlan 10 Crear la VLAN 10
Sale al modo de configuración
SW(config-vlan)#exit
anterior
anterior
anterior
Asignar un puerto a una VLAN
Entra al modo de configuración de
SW(config)#interface f0/1
interface
Configura la interface en el modo
SW(config-if)#switchport mode trunk
“trunk”
Encapsulación de paquetes en el
SW(config-if)#switchport trunk protocolo de VLANs IEEE 802.1q,
encapsulation dot1q para permitir el comunicado entre
VLANs.
SW(config-if)#no shutdown Inicializa la interface de switch
Salir de las configuraciones de
SW(config-if)#exit
interface
Entra al modo de configuración de
SW(config)#interface f0/5
interface
Configura la interface en el modo
SW(config-if)#switchport mode trunk
“trunk”
Encapsulación de paquetes en el
SW(config-if)#switchport trunk protocolo de VLANs IEEE 802.1q,
encapsulation dot1q para permitir el comunicado entre
VLANs.
SW(config-if)#no shutdown Inicializa la interface de switch
Salir de las configuraciones de
SW(config-if)#exit
interface
Configuración VTP
Todos los switches se configurarán de modo que usen VTP para las
actualizaciones de VLAN. S2 se configurará como el servidor. Los switches S1
y S3 se configurarán como clientes. Estarán en el dominio VTP CCNA y usarán
la contraseña cisco.
1. Configuración de VTP en el switch S2, el cual será el servidor.

2. Configuración de S1 como cliente VTP
3. Configuración de S3 como cliente VTP

Configuración DTP
La negociación de troncales es gestionada por el protocolo de enlace dinámico
(DTP), que funciona de forma punto a punto únicamente, entre dispositivos de
red.
1. Configurar enlaces troncales dinámicos entre S1 y S2.
Configuración VLAN
Configurar un enlace troncal estático que permita el trafico de VLAN entre S1
y S3.
Verificar el enlace trocal configurado
En el switch S3 la interfaz fa0/3 está en modo automático.
Configuración de un enlace troncal permanente entre S2 y S3

No se puede crear la VLAN 10 en S1, porque el switch esta en modo cliente
VTP.
Crear las siguientes VLAN para organizar la red de acuerdo a subredes en las
cuales se conecten equipos de un área de trabajo especifica.
Tabla 5. VLANs de la red
A continuación se procede a la creación de las VLAN mencionadas mediante las

siguientes configuraciones que se indican en el recuadro.
Como siguiente paso se procede asignar puertos a las VLAN creadas.
Se lo realiza mediante las siguientes configuraciones que se muestran en el

recuadro.
En este punto se realiza la configuración de interfaces en modo de acceso para

los host que serán conectados a las VLAN.
Configuración VLAN extendida
Una VLAN extendida es una VLAN entre 1025 y 4096. Como las VLAN
extendidas no pueden administrarse con VTP, VTP debe configurarse en modo
transparente. En esta parte, cambiará el modo VTP del S1 a transparente y creará
una VLAN extendida en el S1.
Configurar una VLAN extendida en S1.

RESULTADOS.
Verificación VTP
Verificamos el estado de VTP de cada uno de los switch, tanto clientes como servidor.
Comprobar las actualizaciones de VTP en el S1 y el S3 de las VLAN que se han creado.

Verificación DTP
Con el comando show interfaces trunk, compruebe el enlace troncal entre el S1 y el
S2.
Verificación de VLAN
Verficar las vlans creadas, con su respectivo numero y nombre: #show vlan brief
Compruebe la creación de la VLAN.

F. Resultados
Desde la PC-B, haga ping en la PC-A, No hace ping porque las PC no se encuentran en la
misma VLAN y en las misma RED.
Desde la PC-C, haga ping en la PC-A, El ping fue satisfactorio porque se encuentran en la
misma VLAN y en la misma RED.
Desde el S1, haga ping en la PC-A. No hace ping porque no se encuentran en la misma VLAN
y en las misma RED.
Desde el S2, haga ping en el S1. El ping fue satisfactorio porque se encuentran en la misma
VLAN y en la misma RED.
G. Conclusiones
▪ VTP puede eliminar la necesidad de administrar manualmente grandes
números de VLAN en una red, si un switch es un servidor VTP y posee un
numero de revisión es más alto es introducido en el dominio VTP, cambiaran
las configuraciones de vlan de los demás switches
▪ El uso del VTP presenta algunas desventajas. Debe sopesar la facilidad de la
administración VTP frente al riesgo inherente de un dominio STP grande, y la
inestabilidad potencial y los riesgos de STP. El mayor riesgo es un loop STP
en toda la oficina central.
▪ El uso de VLAN simplifica la administración de los equipos de red y
proporciona mayor organización para segmentar la red según las necesidades
de la empresa.
H. Recomendaciones
▪ Es muy importante recordar la revisión de la configuración y cómo reajustarla

cada vez que inserta un nuevo switch en su red de modo que no desconecte
toda la red.
▪ Evite en todo momento tener una VLAN que se extienda por toda la red por
motivos de seguridad en la administración de los equipos ya que enviaría el
tráfico hacia todos los dispositivos.
Introducción
c. Marco teórico
f. Resultados
g. Conclusiones
h. Recomendaciones

Laboratorio.
14 y en negrilla.
CONTENIDO
c. Marco teórico
f. Resultados
g. Conclusiones
h. Recomendaciones
IPTABLES
⎯ Buscar información referente a IPTABLES.

⎯ Configurar las diferentes interfaces para cada ejemplo propuesto
⎯ Analizar los diferentes escenarios en los que se requiere la aplicación de
iptables o proxys
⎯ Comprender la estructura de IPTABLES
⎯ Establecer las configuraciones básicas de IPTABLES
⎯ Especificar cada uno de los puntos relevantes de cada ejemplo y sus
variables en el momento de configurar
⎯ Analizar el comportamiento de cada una de ellas Verificar la
funcionalidad de las mismas de forma práctica Establecer conclusiones
y recomendaciones
C. Marco teórico
Introducción:
FIREWALL:
Un firewall es un dispositivo que filtra el tráfico entre redes, como mínimo dos.
El firewall puede ser un dispositivo físico o un software sobre un sistema
operativo. En general debemos verlo como una caja con DOS o más interfaces
de red en la que se establecen reglas de filtrado con las que se decide si una
conexión determinada puede establecerse o no. Incluso puede ir más allá y
realizar modificaciones sobre las comunicaciones, como el NAT.
Esa sería la definición genérica, hoy en día un firewall es un hardware

especifico con un sistema operativo o una IOS que filtra el tráfico
TCP/UDP/ICMP/../IP y decide si un paquete pasa, se modifica, se convierte o se
descarta. Para que un firewall entre redes funcione como tal debe tener al menos
dos tarjetas de red. Esta sería la tipología clásica de un firewall:
IPTABLES
El cortafuegos utilizado para gestionar las conexiones en Linux es iptables. Las
posibilidades de iptables son prácticamente infinitas y un administrador que
quiera sacarle el máximo provecho, puede realizar configuraciones
extremadamente complejas. Para simplificar, diremos que básicamente, iptables
permite crear reglas que analizarán los paquetes de datos que entran, salen o
pasan por nuestra máquina, y en función de las condiciones que establezcamos,
tomaremos una decisión que normalmente será permitir o denegar que dicho
paquete siga su curso.
Para crear las reglas, podemos analizar muchos aspectos de los paquetes de
datos.
Podemos filtrar paquetes en función de:
Tipo de paquete de datos, Interfaz por la que entran (-i = input) o salen (-o =
output) los paquetes, IP origen de los paquetes (-s = source), IP destino de los
paquetes (d = destination), Protocolo de los paquetes (-p = protocol).
2 Pc Portátil
Software requerido
1
- CENTOS instalado en una
máquina virtual
F.
G. Practica script 9:
El primer paso para iniciar con la práctica es ingresar a centos y verificar la
con figuración de iptables existentes con el comando:
Podemos observar el resultado de iptables de nuestro Centos:

Entonces necesitamos borrar la configuración existente, con el siguiente
comando:
Entonces verificamos que el contenido se haya eliminado:
Ahora esta listo para empezar a crear nuestra iptables, para ello empezamos
a establecer políticas por defecto:
Podemos verificar de la siguiente manera:
Empezamos a filtrar
A nuestro firewall tenemos acceso total desde nuestra IP
Para el resto no hay acceso al firewall
Ahora podemos ir metiendo las reglas para cada servidor, como serán
paquetes con destino a otras máquinas se aplica FORWARD
Servidor WEB 10.20.20.22

Acceso a puerto 80
Acceso a nuestra ip para gestionarlo
Servidor MAIL 10.20.20.23

Acceso a puerto 25, 110 y 143
Acceso a gestión SNMP
Servidor IRC 10.20.20.24

Acceso a puertos IRC
Servidor NEWS 10.20.20.25

Acceso a puerto news
El resto, cerrar
Servidor B2B 10.20.20.26

Acceso a puerto 443
Acceso a una ip para gestionarlo

Servidor CITRIX 10.20.20.27
Acceso a puerto 1494
Acceso a una ip para gestionarlo
acceso a otro puerto quiza de BBDD
acceso a otro puerto quiza de BBDD
Verificamos todo
Practica script 10:
PROTEGER LA PROPIA MÁQUINA
Primero observamos si hay alguna configuración de iptables actual
En vista de que si hay configuración presente, hacemos un flush o borramos
todo:
Verificamos que se haya borrado todo:
Establecemos política por defecto

Empezamos a filtrar
El localhost se deja (por ejemplo, conexiones locales a mysql)
A nuestra IP le dejamos todo
A un colega le dejamos entrar al mysql para que mantenga la BBDD
A un diseñador le dejamos usar el FTP
El puerto 80 de www debe estar abierto, es un servidor web.
Cerramos rango de los puertos privilegiados.
Cerramos otros puertos que están abiertos
Verificamos que todo esté correctamente configurado:

Fin de la configuración.
Práctica script 11:

Para empezar esta práctica, limpiamos las reglas existentes:
Y comenzamos escribiendo la primera iptable para aceptar las loopback de

entrada con la siguiente sentencia: iptables -A INPUT -i lo -p all -j
ACCEPT
y permitimos los handshake de tres vías entre los clientes que pasen por el
firewall, con el siguiente comando:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT
ahora usamos las siguientes sentencias para detener ataques enmascarados:
Para el descarte de paquetes inválidos, usamos las siguientes sentencias:
Usamos las siguientes iptables para descartar paquetes RST Excesivos para
Evitar Ataques Enmascarados:
Con las siguientes iptables cualquier IP que intente un Escaneo de Puertos

será Bloqueada por 24 Horas:
Pasadas las 24 Horas, remover la IP Bloqueada por Escaneo de Puertos
Esta Regla agrega el Escaner de Puertos a la Lista de PortScan y Registra el

Evento.
Permitir estos puertos desde Fuera

# smtp
iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
# http
# https
# ssh & sftp
Descartar cualquier otra Entrada
Permitir el Ping
OUTPUT
Permitir estos puertos desde Fuera

# smtp
iptables -A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
# http
# https
# ssh & sftp
Permitir Pings
Descartar cualquier otra Salida
No Permitir Forward
Practica script 12:
Primero observamos si hay alguna congfiguración de iptables actual
En vista de que, si hay configuración presente, hacemos un flush o borramos

todo:
Verificamos que se haya borrado todo:

Establecemos política por defecto
Empezamos a filtrar
Filtrar IP de un ataque
Ejemplo de un rango
El localhost se deja
Aceptar todo el tráfico de conexiones ya establecidas (ESTABLISHED) o

relacionado con otras conexiones (RELATED)
Abrimos puertos SSH
Guardamos la configuración
Finalmente verificamos que la configuración sea correcta:
H. Conclusiones
⎯ Los ejemplos de configuración de IPTABLES en equipos reales reales,

resultan mucho más complejos que los realizados en las prácticas.
⎯ Cada regla puede especificar una gran cantidad de parámetros para buscar
coincidencias.
⎯ La mejor forma de aprenderlo es leyendo ejemplos y escribiendo y
probando nuestros propios ficheros de configuración.
⎯ Para crear un buen cortafuegos es necesario un profundo conocimiento de
redes, a su vez de protocolos y puertos de comunicación.
⎯ Adicionalmente, los firewalls distribuidos utilizan las tecnologías ya
desarrolladas para los esquemas de seguridad ya existentes y han
aparecido nuevas tecnologías que se adaptan más fácilmente a este nuevo
modelo de firewalls como al modelo anterior, ampliando el rango de
posibilidades a considerar al momento de asegurar una red privada.
I. Recomendaciones
⎯ Si se tiene conocimientos limitados le recomendamos crear un cortafuegos

basado en estados, que funcionan de forma más que aceptable y no son
demasiado difíciles de configura
⎯ Existen en el mercado variadas herramientas desarrolladas bajo este nuevo
enfoque que implementan en mayor o menor medida las características de
los firewalls distribuidos. De todas formas, aún no existe una alta
compatibilidad entre las diferentes herramientas para lograr una solución
que aproveche la completa interacción de todos los aspectos de seguridad
que una organización necesita para efectuar sus actividades sobre Internet;
los firewalls son relativamente nuevos y llevará algún tiempo para que
logren el nivel de evolución que hoy en día disfrutan los firewalls
tradicionales.
Introducción
c. Marco teórico
f. Resultados
g. Conclusiones
h. Recomendaciones
Laboratorio.
14 y en negrilla.
CONTENIDO
c. Marco teórico
f. Resultados
g. Conclusiones
h. Recomendaciones
VPN Site to Site en Packet Tracer
• Realizar las configuraciones de VPN Site to Site según la topología

propuesta
• Implementar la topología planteada para el desarrollo de la practica en
packet tracer
• Asignar el respectivo direccionamiento a los equipos
• Implementar las configuraciones de VPN
• Verificar conectividad y configuraciones de los equipos
C. Marco teórico
Introducción
En este documento comenzaremos viendo una breve introducción a VPN , conceptos

básicos de una Red Privada Virtual (VPN),la evolución que ha tenido, el futuro que le
espera a las VPNs , conjuntamente con sus protocolos importantes.
En muchas ocasiones, hemos recomendado a los lectores que utilicen una red privada
VPN cuando se conecten a una red inalámbrica (Wi-Fi) pública. De este modo, el
tráfico que se genera viaja cifrado y se dificulta que un tercero pueda robar información
confidencial. En este post, explicaremos más sobre este tipo de redes, algunos usos que
se le dan, protocolos de cifrado, entre otra información relevante.
Una VPN (Virtual Private Network) es una tecnología de red que se utiliza para
conectar una o más computadoras a una red privada utilizando Internet. Las empresas
suelen utilizar estas redes para que sus empleados, desde sus casas, hoteles, etc.,
puedan acceder a recursos corporativos que, de otro modo, no podrían. Sin embargo,
conectar la computadora de un empleado a los recursos corporativos es solo una
función de una VPN.
Virtual Private Network (VPN)
Una VPN es una red privada que conecta interlocutores a través de redes públicas (por
ejemplo Internet).
No garantiza confidencialidad, pero sí métodos criptográficos y autenticidad de datos.
Para proporcionar confidencialidad se puede unir con IPSec (IP security) que sí
proporciona esta característica junto con autenticidad e integridad.
IPSEC (IP Security)
Es un protocolo seguro de la capa de Red, contenido en el estándar 2401, es del IETF del
1999. Proporciona seguridad para IP y los protocolos de capas superiores. Provee control
de acceso, integridad, rechazo o reenvio de paquetes, confidencialidad, autenticación y
negociación de compresión IP. Es independiente de los algoritmos criptográficos,
contempla su implementación en IPv4 e IPv6.
La arquitectura de IPSEC estácompuesta por: protocolos de seguridad (AH –

Authentication Header y ESP – Encapsulation Security Payload), Asociaciones de
seguridad (SA), IKE (Internet Key Exchange) y algoritmos de autenticación y cifrado.
Existen dos tipos de tecnologías VPN:
VPN DE ACCESO REMOTO
Se caracteriza porque los usuarios remotos deben tener acceso de banda ancha, el usuario
establece un túnel VPN a través de un proveedor de servicios de Internet, el túnel se
establece solo cuando se necesita y los parámetros VPN se negocian dinámicamente.
VPN SITE-TO-SITE
Son configuradas entre dos dispositivos compatibles en los extremos de la conexión,

provee conectividad a múltiples redes en ambos lados de la comunicación y en cada
extremo del túnel actúa como una puerta de enlace a las diferentes redes.
Configuración VPN
• Política de encriptación: Se utiliza para establecer una política de

seguridad compartida y las claves autenticadas para los servicios (como
IPSec) que requieren una clave
• Isakmp: (Asociación de seguridad en Internet y Protocolo de
administración de claves): estructura de protocolo que define el
mecanismo de implementación de un protocolo de intercambio de claves
y la negociación de las políticas de seguridad.
• Authentication: Establece el método de protección.
• Encryption: Algoritmo de encriptación.
• AES: Es un esquema de cifrado por bloques adoptado como un estándar

de cifrado.
• Group Diffie-Hellman: Es un protocolo de establecimiento de claves

entre partes que no han tenido contacto previo, utilizando un canal
inseguro, y de manera anónima (no autentificada).
• Lifetime: Tiempo de vida para la conexión, puede configurarse entre

60 y 86400 s
• Transform-set: El transform set define las políticas de seguridad que

serán aplicadas al tráfico que entra o sale de la interfaz. El estándar
IPSec especifica el uso de Security Asociations para determinar qué
políticas de seguridad se aplican al tráfico deseado. Los transform-set
se definen a través de crypto-maps. egundos.
• Esp-aes: Esptransformado utilizando cifrado AES.
• Esp-sha-hmac: Esp transformado utilizando autenticación HMAC-SHA.

• Access-list: Las listas de control de acceso (ACL) IP pueden filtrar el
tráfico de red.
• Crypto map: Parámetro que define el transform-set.
• IPsec: IPsec (Internet Protocol Security): permite mejorar la seguridad a

través de algoritmos de cifrado robustos y un sistema de autentificación más
exhaustivo. IPsec posee dos métodos de encriptado, modo transporte y modo
túnel. Asimismo, soporta encriptado de 56 bit y 168 bit (triple DES).

1 Pc Portátil
Software requerido
- Packet tracer
Topología planteada.
• Configurar los equipos usados tal y como se muestra en la figura.

• Las interfaces seriales que comunicarán entre routers serán las S0/0/0.
• Las interfaces que conectan a los Switches desde los routers serán las Fast
Ethetnet 0/0.
• Desde los switches hacia los Host se utilizaran los puertos Fast Ethetnet 0/24.
Desarrollo
En esta topología implementaremos una conexión VPN entre la sede de Ibarra

(ROUTER IZQUIERDA) y Quito (ROUTER DERECHA), cada una maneja un
direccionamiento LAN diferente
Pasos a realizar:
1. Realizar las configuraciones básicas de seguridad en cada uno de los routers

2. Configurar las interfaces de acuerdo a la topología planteada.
3. Configurar el protocolo de enrutamiento (OSPF, RIP)
4. Verificar que exista conectividad de extremo a extremos en la red, en ambos

sentidos; en caso de no tener conectividad revisar las configuraciones antes
realizadas.
Parte 1 Configuraciones Básicas (Seguridad)

Paso 1: Router Ibarra
Configuración Básica Router Ibarra (HOSTNAME, INTERFACES,

DIRECCIONAMIENTO)
Configuración Básica Router Ibarra (MENSAJE DEL DIA, CONTRASEÑA MODO
ENABLE, CONTRASEÑA DE CONSOLA Y DE LAS LINEAS VTY)
Paso 2: Router Quito.
Configuración Básica Router Quito (HOSTNAME, INTERFACES,

DIRECCIONAMIENTO)
Configuración Básica Router Quito (MENSAJE DEL DIA, CONTRASEÑA MODO
ENABLE, CONTRASEÑA DE CONSOLA Y DE LAS LINEAS VTY)
Parte 2 Configuración Protocolo de Enrutamiento OSPF
Paso 1 Router Ibarra

Configuración de OSPF 1 y asignación de la dirección IP utilizando la Máscara de
Wildcard con área 0
Paso 2 Router Quito
Configuración de OSPF 1 y asignación de la dirección IP utilizando la Máscara de

Wildcard con área 0
Parte 3 Prueba de conectividad entre Hosts
Paso 1 Verificar la configuración de OSPF mediante el uso de la consola de los host

Parte 4 Configuración VPN router Ibarra
Nota: El número después de la declaración de mapa criptográfico es sólo el número de

secuencia que identifica un mapa criptográfico de otro, es decir, puede tener varios túneles
enlazados a una sola interfaz, esto tampoco vincula el mapa criptográfico a la política
isakmp ellos).
Así que básicamente lo que sucedería es que si cambia el mapa de cifrado de 54 a 100, se
moverá hacia abajo en la lista de túneles existentes y muy probablemente sólo tendría
entradas duplicadas en esto.
Parte 5 Configuración VPN router Quito

F. RESULTADOS
Paso 1 Comprobación que se encuentra Habilitada la VPN
Realizamos ping desde pc0 a pc1
Como se observa el Ping fue exitoso y se tiene respuesta desde el otro Host
Paso 2 Verificación de SA
Verificación la asociación de seguridad (SA) en ambos router, con el siguiente
comando:
Ibarra#show crypto isakmp sa

Paso 3 Verificación de VPN
Verificación que la VPN se encuentre en estado activo, con el siguiente comando:
Ibarra#showcrypto ipsec sa
G. Conclusiones:
• Las VPN representan una gran solución para las empresas en cuanto a
seguridad, confidencialidad e integridad de los datos y prácticamente se ha
vuelto un tema importante en las organizaciones, debido a que reduce
significativamente el costo de la transferencia de datos de un lugar a otro, el
único inconveniente que pudieran tener las VPN es que primero se deben
establecer correctamente las políticas de seguridad y de acceso porque si esto
no está bien definido pueden existir consecuencias serias.
• Las VPNs representan una gran solución para las empresas para garantizar
seguridad, confidencialidad e integridad de los datos.
• Esta práctica nos permite observar que los paquetes lleguen al destino
solicitado, se realiza la encriptación de los paquetes para que Router Ibarra a
Quito y viceversa y tienen una integridad y confidencialidad de toda la
comunicación.
• Esta solución VPN nos permitirá no solo crear la interconexión con dos sucursales
sino que es escalable, es decir nos permitirá crear conexiones virtuales con otros
puntos cuando la empresa lo requiera, generando solo un gasto de mínimo con el
PSI de la localidad en la que esta destinados la interconexión y un CPU con mínimas
características.
• El intercambio de claves se utiliza el proceso ISAKMP para identificar el algoritmo

de hash y el método de autenticación.
H. Recomendaciones
• Revisar la bibliografía relacionada al tema a desarrollar para tener claro el proceso

de configuración de la practica
• Realizar las configuraciones correctamente para evitar fallos en la comunicación.
• Realizar varias pruebas para poder observar el proceso de encapsulamiento,

encriptación, des encapsulamiento, des encriptación

GuiaLaboratorios SR 2019 PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

GuiaLaboratorios SR 2019 PDF

Caricato da

Copyright:

Formati disponibili

UNIVERSIDAD TÉCNICA DEL NORTE

FACULTAD DE INGENIERÍA EN CIENCIAS APLICADAS

Docente: Ing. Fabián Cuzme

Ing. Santiago Meneses

Ciclo: Octubre 2018 – Febrero 2019

Formato Empleado Para La Elaboración Del Informe De La Práctica De

Descripción Del Contenido

• Instalar un servidor web sobre Linux.

• Recopilar información Bibliográfica acerca de ataques DoS,

• Entender la importancia de implementar seguridad en una red.

• Realizar un ataque de denegación de servicio y a detectar el mismo

• Instalar los requerimientos básicos que requiere el intérprete Perl

Un ataque de denegación de servicio se genera mediante la saturación de los

En el siguiente esquema de red detallado en la figura se establece la forma en que

Fig. 1 Ilustración ataque DoS

En la mayoría de las ocasiones, las causas de estos problemas tienen un origen no

MONITOREO CON WIRESHARK

Wireshark es un analizador de protocolos open-source diseñado por Gerald

Fig 2. Logotipo Wireshark

Cantidad Denominación Puertos MODELO; SW VERSIÓN;

Figura 3: Topología planteada

DISPOSITIVO DIRECCIÓN MÁSCARA

Figura 4: Diagrama de bloques

Figura 5: Topología de la práctica

Introducir la información de direccionamiento.

De acuerdo a la tabla de direccionamiento lógico, realizada por el grupo, se procede a

Direccionamiento del atacante.

Verificar que las PC puedan comunicarse por medio de comando ping.

Prueba de ping entre el servidor y la máquina del usuario

Proceder a realizar el ataque a nuestro servidor.

❖ INSTALACIÓN DE LA HERRAMIENTA PARA REALIZAR EL

Fig. 4 Herramienta para realizar el ataque

Ingresamos al enlace de la herramienta y luego la descargamos desde el GitHub

Fig. 5 Descargar herramienta de GitHub

Una vez descargada la herramienta se procede a descomprimirla en el escritorio.

Después de damos permisos de lectura y escritura. Ingresando a las propiedades

Fig. 7 Propiedades del equipo

Con el comando “sudo apt-get install perl”.

Fig. 8 Instalacion de herramienta Perl

Continuamos instalando complementos necesarios del intérprete.

Fig. 9 Instalacion de complementos Perl

Y para terminar, ingresamos en donde descomprimimos la herramienta Slowloris.

Fig. 10 Ingresar al Escritorio

Fig. 11 Enlistar directorios

Ingresamos a la carpeta de la herramienta y con el comando “ls”, vemos que

Fig. 12 Verificar directorio

Y finalmente, ponemos a correr nuestra herramienta.

Fig. 14 La herramienta está lista para ejecutar el comando del ataque

Fig. 15 Se muestra la construcción de los sockets al ejecutar el comando perl

Verificar que nuestro servidor quede inaccesible luego del ataque.

Después de realizar el ataque de Denegación de Servicio “DoS”, se verifica la dirección

Fig. 17 Caída del servidor al realizar el ataque

Servicio web funcionando correctamente

Verificación procedimiento para realizar el ataque.

#perl slowloris.pl -dns 192.168.1.10 → Con este comando llamamos a la herramienta

Fig. 18 Captura de paquetes del servidor funcionando

Posterior a ello se procede a realizar la captura de tramas, cuando se esta efectuando el

• Desde el host con direccion ip 192.168.1.132 desea ingresar al servidor Web

Fig. 19 Captura de paquetes después del ataque

• Es difícil defenderse de estos ataques DoS, pero mediante una

Docente: Ing. Fabián Cuzme

Ing. Santiago Meneses

Ciclo: Octubre 2018 – Febrero 2019