12. Seguridad Básica de Red#

12.1. ¿De qué va este tema?#

Una vez que tenemos claro como funciona una red TCP/IP (Internet) y algunos servicios de forma básica y sencilla podemos revisar algunos aspectos de seguridad de red.

Aunque los aspectos de seguridad se profundizan en un módulo específico en segundo (SAD ) y en los cursos de especialización, englobo aquí diferentes aspectos más centrados en el currículum de este módulo.

12.2. Clases#

Le dedicaremos unas 12 sesiones de clase

12.2.1. Conceptos Básicos#

La seguridad informática (y la humana):

  1. Es cuestión de equilibrio: usabilidad vs seguridad

  2. 100% no existe (y si te lo aseguran mienten)

  3. implica una relación coste / beneficio. Lo que consigo, por lo que me cuesta.

  4. Es muy compleja. Intervienen muchos elementos

  5. Depende del eslabón más débil (no del más fuerte)

  6. El eslabón más débil (casi) siempre es la persona

  7. es (la gran parte de las veces) irracional (y es una emoción primaria)

  8. Implica un gran conocimiento técnico (y humano) de cada elemento)

  9. mejor es la transparente (la tienes, pero ni te enteras)

  10. y la privacidad (la gran parte de las veces) van unidas (y no debería)

Los sistemas AAA :

  1. Autenticación

  2. Autorización

  3. Auditoría

Los principios CID :

  1. Confidencialidad

  2. Integridad

  3. Disponibilidad

Actividad. Glosario Seguridad Informática

Puedes revisar el Glosario de términos de ciberseguridad (pdf 40 Páginas) del INCIBE

12.2.2. Seguridad en los Switches#

  1. Seguridad en el Acceso:

    1. Permisos y privilegios (enable)

    2. Seguridad en el Acceso Físico :

      https://media.fs.com/images/community/upload/kindEditor/202110/06/the-console-port-1633484908-e8dixxPQVm.jpg

      1. ¿Qué puerto de conexión al hardware utilizo?

      2. ¿Cómo es el acceso físico a los puertos?

    3. Seguridad en el Acceso Lógico: ¿ cómo accedo al SO ? (show line)

      1. Local (con): Directamente conectado (con privilegios o no).

      2. Remoto (tty/vty): sólo L3 en VLAN de gestión

      3. Uso GUI: vía navegador web integrado

  2. Protección de los puertos de acceso

    1. Activarlos / Desactivarlos (shutdown)

    2. Seguridad en el Puerto

  3. Revisión de las Tablas ARP

  4. Configuración Enlaces Troncales VLAN

Actividad. Seguridad en los Switches

Retomando Ejercicios VLAN (Ejercicio 2) añade ciertas políticas de seguridad (por ejemplo sobre el Switch 1):

  1. ¿Cuantas líneas de conexión tiene? Ojo, no confundir con los puertos.

  2. Deshabilita los puertos donde no hay ningún equipo conectado

  3. Crea contraseña (consola) para conectarte en consola y contraseña root para el usuario privilegiado.

  4. Permite el lógin solo por la consola local y 4 de las remotas

  5. Añade un control sobre el enlace troncal. Sólo podrán verse, entre los switches, los equipos de la VLAN10 (no los de la 20 y la 30).

12.2.3. Seguridad en los Routers#

  1. Acceso a un router

    1. Igual que un switch

    2. Pero tiene más funcionalidad (activo valioso) y está más expuesto (mayor área de ataque)

    3. Acceso remoto vía consolas vty (telnet y ssh)

  2. Configurar SSH en Cisco IOS

    1. Añadir servicio ssh (y parámetros generales)

    2. Definir usuarios

    3. Asignar ssh a las consolas

Actividad. Activar servicio SSH en un router (con Cisco IOS)

Activa el servicio SSH en un router de ejemplo y haz una prueba de conexión.

12.2.4. Listas ACL Básicas#

  1. Concepto de Firewall (filtrando paquetes IP en un router)

    1. Se puede implementar de diferentes maneras (y en diferentes capas de red)

    2. Define una seguridad perimetral: dentro / fuera

  2. Listas de Control de Acceso ( ACLs )

    1. Regla (allow/deny) para …

    2. … filtrar el acceso a un recurso (objeto) …

    3. … según unas reglas (in/out)

    4. Tipos (en Cisco IOS):

      1. ACL Básicas: sólo a nivel L3 (direcciones ip)

      2. ACL Extendidas (ACE): a nivel L3 y L4 (puertos y protocolos)

  3. Listas ACL Estándar:

    1. Controlan (permit/deny) hacia o desde la red

    2. Funcionan en capa 3 (red) revisando la cabecera IP

    3. Configuración ACLs en Cisco IOS :

      1. Creación de la lista de acceso. Mejor con nombre (ip access-list standard NAME)

      2. Se van creando las reglas de filtrado (permit/deny + wildcard)

      3. Ideal incluir alguna descripción y/o comentario (remark)

      4. Eliminación de la lista d e acceso (no access-list ACL_ID …)

      5. Mostrar las ACL creadas (show access-list)

      6. Aplicar la ACL a la interfaz (access-group) según el sentido del tráfico (in / out)

Actividad. Ejercicio de ACLs Básicas (estándar)

Retomando Ejercicios VLAN (Práctica Final) añade ciertas políticas de seguridad en el router:

  1. Los equipos de la VLAN 10 no podrán conectarse a los de la VLAN 20

  2. Uno de los equipos de la VLAN 30 sólo podrá conectarse a los equipos de su red

  3. Y sólo uno de los equipos podrá conectarse al router para administrarlo vía ssh

12.2.5. Listas ACL Extendidas (ACE)#

  1. Funcionalidad ACL + Capa 4 (puertos) + Capa Aplicación (por protocolos)

  2. Revisan el origen, el destino y/o protocolo y/o puertos

  3. Configuración de ACE :

    1. Crear la lista

    2. Definir los Objetivos: ip origen, destino, puertos y protocolos

    3. Añadir una entrada por cada objetivo

    4. Asignar la interfaz y el sentido

    5. Comprobar.

  4. Documentación Oficial: Configuring IP Access Lists

Actividad. Práctica Final ACLs

Ejercicios Seguridad Básica de Red y ACLs

12.2.6. Traducción de Direcciones (NAT)#

  1. ¿Qué es y como funciona ?

  2. Traducir en tiempo real:

    1. Direccionamiento Privado (LAN). No enrutable en Internet

    2. Direcconamiento Público (WAN). Válido para ofrecer servicios a Internet

  3. Esquemas de Traducción (dentro -> fuera)

    1. Básico / Estático (SNAT): traducción 1 a 1

      https://i.blogs.es/bad791/nat/1366_2000.jpg

    2. Dinámico: Estático pero dentro de un grupo

    3. Con Sobrecarga (PAT): una dirección -> varios usos (con puertos)

Actividad. Repasar Conceptos

Repasa los conceptos vistos

12.2.7. Configuración de NAT (Cisco IOS)#

  1. Conceptos y Configuración en Cisco IOS:

    1. Red interna vs Red Externa

    2. Dirección Local vs Dirección Global

      https://ccnadesdecero.es/wp-content/uploads/2018/02/Tipos-de-direcciones-NAT.png

    3. Configuración SNAT:

      https://ccnadesdecero.es/wp-content/uploads/2018/02/Configuraci%C3%B3n-NAT-est%C3%A1tica-de-ejemplo.png

    4. Configuración NAT Dinámico:

      https://ccnadesdecero.es/wp-content/uploads/2018/02/Topolog%C3%ADa-NAT-Din%C3%A1mica.png

    5. Configuración PAT (con sólo una IP pública):

      https://ccnadesdecero.es/wp-content/uploads/2018/02/PAT-con-direcci%C3%B3n-%C3%BAnica.png

  2. ¿Qué es CG-NAT? Una especie de NAT Intermedio (no tengo interfaz pública pero añade una traducción extra)

Actividad. Crear NAT en un router

Sobre una simulación cualquiera:

  • Los equipos de la red privada acceden a Internet con una única dirección ip pública

  • Puedes jugar a poner SNAT o Dynamic NAT, pero mejor usa directamente PAT (con una sóla dirección pública).

12.2.8. Reenvío de Puertos#

  1. Esquema de Traducción (fuera -> dentro):

    1. Con NAT estática: es directo

    2. Habitual sobre PAT sobre puertos públicos (se inicia la conexión fuera de la red privada). Se llama DNAT (D de Destination, no de Dynamic, son dos tipos diferentes).

    3. Traducción ip publica:puerto público <–> ip privada:puerto privado (redirección de puertos)

  2. Configuración de Reenvío de Puertos

    https://ccnadesdecero.es/wp-content/uploads/2017/12/Ejemplo-de-reenv%C3%ADo-de-puertos-con-IOS.png

Actividad. Añade un servicio público desde tu red privada.

Sobre una simulación cualquiera:

  • Los equipos de la red privada acceden a Internet con una única dirección ip pública

  • La red privada tiene un servidor HTTP que puede ser visto desde fuera (Internet).

12.2.9. Enlaces WAN#

Enlaces WAN :

  1. Conexiones WAN

  2. Dispositivos WAN (p.ej módem ADSL, o módem Cable)

  3. Protocolos y Estándares

Los enlaces WAN no son imprescindibles pero puedes ponerlos y aprender a usar el concepto Cloud PT en Packet Tracert:

  1. Conectas tu red a Internet (Cloud)

  2. Conectas los interfaces (de uno a otro)

  3. Asignas direccionamiento IP y haces las pruebas

Usando xDSL

Usando Frame Relay

Actividad. Conecta varias redes, usando enlaces WAN a Internet

Sobre una simulación cualquiera:

  • En vez de conectar los routers directamente, los conectas a un elemento Cloud

  • Puedes usar diferentes tecnologías (Cable, DSL o FrameRelay)

12.2.10. Práctica Final NAT#

Actividad. Práctica Final

Configuración NAT (4 tipos)