miércoles, 24 de septiembre de 2014

configuración de SSH, seguridad de puertos de switch y VLAN




CONFIGURACIÓN DE SSH POR MEDIO DE TELNET












1.Desde el símbolo del sistema en la PC1, se acceda a Switch S1 mediante Telnet. La contraseña de los modos EXEC del usuario y EXEC privilegiado es cisco
Se ingresa desde PC1 a S1 por Telnet:
telenet 10.10.10.2
pass es: cisco en ambos

2.Se Guarda la configuración actual, de manera que se pueda revertir cualquier error que cometa reiniciando el S1.

Se guardan cambios con el comando
#copy running-config startup-config




3.Se debe cifrar contraseñas se introduce comando y se verifican que las contraseñas esten cifradas 

Se cifran contraseñas con el comando:
(config)#service password-encryption

4.No es recomendable utilizar Telnet, porque los datos se transfieren como texto no cifrado. Por lo tanto, es mejor utilizar SSH en lo mejor posible.
-Se configura nobre del dominio netacad.pka.
-Se generan las claves RSA con la longitud de clave 1024

Se agrega dominio con el comando:
(config)#ip domain-name netacad.pka
Se generan claves RSA con el comando:
(config)#crypto key generate rsa

5.Se crear un usuario de SSH y se reconfiguran las líneas VTY para que solo admitan acceso por SSH
- Se crea usuario llamado Administrator con la contraseña cisco
- Se guarda configuración
- Se verifica versión y autenticación de SSH

Se configura y se crea usuario SSH con comando:
(config)#username administrator privilege 3 password cisco

6.Se configura las líneas VTY para que solo permitan el acceso remoto mediante SSH.
Se verifica conexión a Telnet y no permite la entrada ya que al configurar VTY a modo SSH asegura la conexión obligando al usurio a utilizar SSH.
En el recuadro azul podemos ver que no permite la entrada a Telnet y dice: conection to 10.10.10.2 closed by foreign host.

Para configurar VTY se utilizan los siguientes comandos:
(config)#ip ssh version 2
config)#line vty 0 4
(config-line)#transport input ssh
(config-line)#login local
(config)#ip ssh version 2

7. Se cierra seccion Telnet se inicia seccion SSH se verifica entrada con el usuario y contraseña que asignamos anteriormente con el comando (config)#username administrator privilege 3 password cisco.
se debe copiar en el PC de esta manera: ssh -l administrator 10.10.10.2 luego de esto ingresar el pasword que en este caso es cisco y ya tenemos conexión por SSH


Para ingresar a SSH devemos entrar de esta manera:
 ssh -l administrator 10.10.10.2 luego ingresar el pasword


COMANDOS UTILIZADOS


#copy running-config startup-config

agregar nombre de dominio
(config)#ip domain-name XXXX

Cifrar claves RSA configurar longitud de bits
(config)#crypto key generate rsa

Cifrar claves RSA configurar longitud de bits
(config)#crypto key generate rsa

Habilitar de SSH version 2
(config)#ip ssh version 2

Crear usuario SSH con 3 intentos y contraseña
(config)#username xxxxxx privilege 3 password xxxx

Linea donde se aplicara el SSH
(config)#line vty 0 4

Activa el SSH en la Line VTY
(config-line)#transport input ssh

Para que se haga uso del usuario
(config-line)#login local



ERRORES Y SOLUCIONES

Luego de hacer todas las configuraciones me encontré con que no me daba conexión con ssh ya que cuando estaba entrando a ssh el comando de entrada que utilizaba no era el correcto y la contraseña nunca me funcionaba según el error era este: ssh -l s1 10.10.10.2 y de esta manera no me va a funcionar el usuario que configure en el switch, luego me di cuenta que se debe hacer así: 
ssh -l administrator 10.10.10.2 y así tomo el usuario y contraseñas configuradas anteriormente.


CONCLUSIONES

-Puse en practica algunos comandos para la configuración basica de este y adquiri nuevos comandos para configurar en ssh que me fueron de gran utilidad.
-Aprendi a configurar la seguridad de un switch a través de un PC por medio de Telnet. 
-Entendí que una adecuada configuración y un uso adecuado de los comandos por parte de el administrador promete una gran seguridad de la red y que esto es fundamental.
-Un correcto orden a la hora de configurar estos equipos por parte del administrador se vera reflejado en el entorno de la seguridad y protección de la red 





SEGURIDAD DE PUERTO DE SWITCH


1. 
  • Se accede a la línea de comandos del S1 y se habilita la seguridad de puertos en Fast Ethernet 0/1 y 0/2.
  • Se establezca la seguridad máxima, de modo que solo un dispositivo pueda acceder a los puertos Fast Ethernet 0/1 y 0/2.
  • Se proteja los puertos de modo que la dirección MAC de un dispositivo detecte de forma dinámica y se agregue a la configuración en ejecución.
  • Se establece la infracción de manera que no se deshabiliten los puertos Fast Ethernet 0/1 y 0/2 cuando se produzca una infracción, y para que se descarten los paquetes de origen desconocido.
  • Se deshabilitan todos los demás puertos que no se van a utilizar



Se utilizaron comandos como:
(config)#interface range
(config-if-range)#switchport mode acces
(config-if-range)#switchport port-security
(config-if-range)#switchport port-security maximum 1
(config)#switchport port-security mac-address stick
(config-if-range)#switchport port-security violation protect
(config-if-range)#switchport port-security violation restrict
(config-if-range)#switchport port-security violation shutdown


2. Se verifica la seguridad del puerto:

  • Se hace ping de PC1 a PC2
Se envia un paquete de PC1 a PC2 funciona correctamente




3. Se verifica seguridad de los puertos con el comando Show running nos encontramos con las restricciones correctamente configuradas en las interface 1 y 2 y que las demás interfaces 3 hasta la 24 se encuentran apagadas.




4. Para hacer pruebas de seguridad se conecta PC malicioso en puerto o interface 3 y vemos que se encuentra apagada mostrando en la topografía los puntos en color rojo

Para esto agregamos un cable desde la PC portatil a puerto 3 del Switche

5. Se habilita puerto 3 y verificamos que PC malicioso hace ping con PC1 y PC2.
Esto quiere decir que si por algun motivo dejamos un puerto utilizable alguien puede atacar la red

Se habilita interface 3 con el comando:
(config)#interface f0/3
(config-if)#no shutdown

6 Podemos apreciar como se ingreso comando para activar interface 3 y finalizada la prueba nuevamente debemos apagar esta interface



7. Se desconecta PC2 y se conecte la PC portátil maliciosa al puerto de la PC2. Se verifica que la
PC portátil maliciosa no pueda hacer ping a la PC1.
Esto debido a que los interfaces 1 y 2 están configuradas bajo unas restricciones configuradas anteriormente que no permiten que PC malicioso entre en la red.

Se hace un ping desde PC malicioso a PC1 automaticamente
el Switche deshabilita el puerto por seguridad 



8. Verificamos infracciones cometidas en puerto o interface 2 del Switch, encontramos como se agrega en el listado que la interface 2 ha sido apagada y nos muestra la direccion fisica del PC malicioso que quería realizar dicha conexión o ataque mal intencionado.

el comando utilizado para ver estas infracciones es:
#show interface f0/2

9. Se desconecta la PC portátil maliciosa y se vuelve a conectar la PC2. Se verifica que la PC2 pueda
hacer ping a la PC1 Se guarda configuraciones con comando WR y listo con esta serie de pruebas podemos confirmar que nuestra configuracion de seguridad para Switche S1 fue concluyente.

Se hace ping nuevamente de PC2 a PC1 funciona correctamente
se guarda configuración con comando  #WR 



COMANDOS UTILIZADOS


Ingresa a las interfaces simultaneamente para configurar
(config)#interface range f0/1-24

Establecer seguridad maxima:
(config-if-range)#switchport mode acces
(config-if-range)#switchport port-security
(config-if-range)#switchport port-security maximum 1

reconconocer mac del puerto:
(config)#switchport port-security mac-address stick

Agrega seguridad se para proteger, restringir o apagar interface
(config-if-range)#switchport port-security violation protect, restric, shutdown

Apagar interfaces simultaneamente
(config)#interface range f0/3-24
shutdown

Guardar configuración
#wr


ERRORES Y SOLUCIONES

Me  encontre con que estaba haciendo pruebas de seguridad de puerto con interface 3 cuando debia haber hecho con interface 2 pero luego de haber visto el problema entre a trabajar con la interface 2 conectando con pc malicioso para hacer las pruebas correctas de seguridad



CONCLUSIONES

- Aprendí a configurar la seguridad de cada uno de los puertos de un Switch con los comandos correspondientes y las medidas establecidas.
-saber y tener presente que un ataque se puede presentar por una mala administración puede ser grabe por lo tanto es muy importante saber que estamos haciendo y configurando a la hora de aplicar una restricción de seguridad.
-hacer pruebas correctas para vulnerar la red es muy importante para saber que tipo de falla tuvimos en nuestra configuración.
-Tener siempre presente que las seguridad y un buen orden nos evita cometer errores que pueden ser fatales por ello las pruebas deben funcionar correctamente. 




CONFIGURACIÓN DE VLAN



Se crea VLSM para equipos de soporte, ventas, vigilancia, administradores
estas se ingresan en cada uno de los equipos correspondientes al area
















Se crean 4 interfaces VLAN en un mismo Switche en modo de acceso esto aplica para S1,S2,S3,S4.
Podemos observar que por cada recuadro de diferente color tenemos una VLAN asignada a un área especifica.
Nota: se crea una quinta interface VLAN que nos va a soportar las conexiones entre Switches con los puertos GigaBit esta se crea en modo troncal y aplica para S1,S2,S3,S4. Se puede observar en recuadro amarillo.


Se verifican puertos organizados según su VLAN correspondiente con el área aplica para S1,S2,S3,S4.



Se configuran protocolos de seguridad tambien aplica para S1,S2,S3,S4.
Se crean contraseñas tanto para al ingreso del Switche para conexión SSH se habilita protocolo SSH se hacen configuraciones de seguridad y encriptacion para poder acceder remotamente 



Se deben activar todas las interfaces VLAN configuradas de cada área, aplica para S1,S2,S3,S4.




Se conectan Switches por puertos Gigabit configurados en modo troncal, sucesivamente con los demas Switches




Se ingresa direcciones IP a los host de acuerdo al los rangos VLCM respetando cada una de las areas esto apica para 31 host de soporte, 16 host de ventas, 11 host de  vigilancia y 6 host administrativos.
En las fotos solo podemos apreciar 4 host siendo cada uno de una area diferente

   


















Se conectan Host con Switches respetando cada uno de los puertos configurados en la VLAN de su área esto aplica tambien para S1,S2,S3,S4.
Es decir si en S1 se configuraron puertos de 1 a 8 para soporte, los Host de soporte se conectan del puerto 1 al 8 en el Switch.



Se conectan todos los host con los Switches ya configurados y en sus puertos de cada área


Se hacen pruebas de PING entre los host de su misma área verificar que todos tengan conexión y den respuesta al paquete enviado. 



Por ultimo probamos que nuestra configuración de acceso remoto con SSH que aplicamos anteriormente a los Switches S1,S2,S3,S4 halla quedado correctamente.
Ejemplo: Accedemos desde un host que corresponda a la misma VLAN configurada. Por medio de cmd establecemos conexion SSH en este caso con Switche S3.




COMANDOS UTILIZADOS

(config)#vlan 5
(config-if-vlan)#name prueba
(config-if-vlan)#exit

(config)#interface range fastEthernet 0/1-8
(config-if-range)# switchport mode access
(config-if-range)# switchport access vlan 10
(config-if-range)# do sh vlan

(config)#interface range fastEthernet 0/11
(config-if-)# switchport mode access vlan 5
(config-if-)# do sh vlan

Configurar puertos Gbit en modo troncal
(config)#interface range gigabitEthernet g0/1-2
(config-if-range)# switchport mode trunk
(config-if-range)# switchport trunk native vlan 10
config-if-range)# do sh vlan

limitaciones contraseña al dispositivo:
(config)#enable password xxx
(config)#enable secret xxx

contraseña terminal
(config)#line console 0
(config)#password xxx
(config)#login

para encriptar contraseñas
(config)#service password-encryption

Configura nombre de dominio
(config)# ip domain-name cisco.com

Cifrar claves RSA configurar longitud de bits
(config)#crypto key generate rsa

Desconecta por 30 minutos de no usar ssh
(config)#ip ssh time-out 30

(config)#ip ssh authentication-retries 3

Habilitar de SSH version 2
(config)#ip ssh version 2

Crear usuario SSH con 3 intentos y contraseña
(config)#username xxxxxx privilege 3 password xxxx

Linea donde se aplicara el SSH
(config)#line vty 0 4

Activa el SSH en la Line VTY
(config-line)#transport input ssh

Para que se haga uso del usuario
(config-line)#login local
(config-line)#password xxx
(config-line)#login



ERRORES Y SOLUCIONES

Configure correctamente el modo SSH en los Switches pero en S4 la conexión desde la Host remoto no me respondía debido a que olvide configurar comandos (config-line)#transport input ssh, (config-line)#login local, (config-line)#password xxx, (config-line)#login siendo estos los que me permiten activar modo SSH con su seguridad, verifique esto e hice pruebas y me funciono correctamente desde hosts de soporte de S4 a la ip 198.168.20.62.



CONCLUSIONES

-Al aplicar los rangos VLCM se debe ser muy exacto a la hora de configurar los host y las ip VLAN ya que esto nos puede generar un gran doble trabajo.
-El uso de recursos como implementar las VLAN para separar áreas es de gran importancia ya que evita grandes costos y tener muchos dispositivos.
-Se debe tener un buen orden a la hora de conectar los host con cada una de sus interfaces configuradas específicamente para su área.
-Estas confuguraciones requieren de un gran tiempo dependiendo la cantidad de host y dispositivos pero vale la pena ya que estamos hablando de evitar problemas de seguridad, ahorrando costos y espacio a una empresa.
-cada comando y configuracion debe ser ensayada y probada continuamente para no cometer algún tipo de error que pueda quitar mas tiempo de lo normal.   

miércoles, 10 de septiembre de 2014

División En Subredes


Luego de hacer procedimiento matematico de esquema de direcciones IP se asientan en la tabla correspondiente cada una de las direcciones.



Se crea esquema en Cisco Packet Tracer colocando a R1,R2,S1,S2,PC1,PC2,PC3,PC4 en orden correspondiente para formar 6 subredes en su totalidad.



A continuación se hacen conexiones teniendo en cuenta las interfaces y el tipo de cable donde se deben conectar entre R1 con R1, PC1 con S1 y S1 con R1 y así sucesivamente las demas conexiones de R2
(1)
(2)
(3)





















Se da por terminada la conexión de R1 con las dos subredes como en la imagen, esto aplica también para R2 quien se conectara de la misma manera con PC3 y S3, y PC4 con S4 interconectados de R2



Continuamos con la configuración de R1 el cual necesita de una tarjeta interface WAN  igual que R2 requiere de la instalación de esta misma tarjeta para extablacer comunicacion entre los mismos.





Procedemos con la configuracion del direccionamiento IP de R1 y R2 siguiendo el orden de la tabla al principio de este enunciado. Abrimos R1 o R2 ingresamos los comandos de inicialización del router entramos a la interface g0/0, g0/1 y s0/0/0 asignamos IP segun la tabla tener siempre en cuenta activar las interfaces luego de configurar direccionamiento en cada una de ellas.

Agregamos direcciones IP en interface g0/0, interface g0/1 y interface s0/0/0
según tabla
Agregamos direcciones IP en interface g0/0, interface g0/1 y interface s0/0/0
según tabla


Los PC que se encuentran en cada uno de las subredes deben tener su IP, mascara y puerta de enlace predeterminada de acuerdo a la subred que corresponde, ejemplo: si PC1 esta en la subred de R1 tendría la misma mascara y puerta de enlace que corresponde a R1.
A continuación podemos observar que PC1 y PC2 corresponden a R1 pero como están en diferentes subredes estos tienen diferente puerta de enlace predeterminada y PC3 y PC4 sucede lo mismo estando conectados con R2.
PC 1













PC 2














PC 3














PC 4





























En la configuracion de los Switches la tabla nos dice que debemos configurar la interface Vlan1 de cada uno de ellos e ingresar puerta de enlace por default ya sea para acceder de manera remota a estos y prestar soporte a través de la red.
Se configura interface Vlan1 con direccion IP 192.168.100.2
con mascara 255.255.255.224
que es la siguiente direccion IP de la interface g0/0 de R1.
se confugura puerta de enlace por default
que es la misma IP de la interface g0/0 de R1


S1
















Se configura interface Vlan1 con direccion IP 192.168.100.34
con mascara 255.255.255.224
que es la siguiente direccion IP de la interface g0/1 de R1.
se confugura puerta de enlace por default
que es la misma IP de la interface g0/1 de R1


S2














Se configura interface Vlan1 con direccion IP 192.168.100.66
con mascara 255.255.255.224
que es la siguiente direccion IP de la interface g0/0 de R2.
se confugura puerta de enlace por default
que es la misma IP de la interface g0/0 de R2








S3









Se configura interface Vlan1 con direccion IP 192.168.100.98
con mascara 255.255.255.224
que es la siguiente direccion IP de la interface g0/1 de R2.
se confugura puerta de enlace por default
que es la misma IP de la interface g0/1 de R2










S4


















Se hace prueba de conexion de la red con ping y paquete desde PC1 a PC2 y desde PC3 a PC4, la red funciona correctamente.


COMANDOS UTILIZADOS

Configurar nombre:

(config)#hostname xxx

Guardar configuracion
#copy running-config startup-config

agregar direccion ip a interfaces ej:
(config)# interface vlan1
(config-if)# ip address xxx.xxx.xxx.xxx   xxx.xxx.xxx.xxx
(config-if)# no shutdown

Agregar Gateway a switch 
(config)#ip default-gateway xxx.xxx.xxx.xx

ERRORES DE PRACTICA

Pensé que esta red se podía configurar con cinco subredes pero a la hora de asignar direccion ip a la interface s0/0/0 de R2 no tenia dirección IP para asignarle a este por lo tanto determine que esta red maneja seis subredes.

 CONCLUSIÓN

  • Saber manejar y entender las reglas de direccionamiento IP son fundamentales a la hora de implementar un proyecto.
  • El direccionamiento IP es eficaz asegura que las redes puedan operar de manera eficaz y eficiente.
  • Comprendí que la estructura jerárquica de la dirección ip puede comprender un gran numero de direcciones que se asignan para determinados numero de equipos según sus requerimientos.
  • aprendí a que es posible reenviar el trafico entre hosts directamente, siempre que estén en la misma subred.
  • Se requiere una buena planificación para hacer buen uso del espacio de direcciones disponibles