Herramientas de usuario
redes:lab8
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| redes:lab8 [2024/12/05 14:39] – thejuanvisu | redes:lab8 [2024/12/05 18:53] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 1: | Línea 1: | ||
| - | ====== Laboratorio 8 ====== | + | ====== Laboratorio 8: Seguridad Perimetral |
| La VLAN de servicios no tienen interfaz SVI, se propaga al firewall. Esa VLAN va a una interfaz gigabit con encapsulamiento de VLAN de servicios, el switch multicapa no la enruta, la deja pasar hasta el firewall. El control de la VLAN de servicios se hace en el firewall. La Vlan de servicios esta conectada a nivel de capa 3 al firewall. Fisicamente cuando se piensa en las VLANS de administración y gestión se piensa que vienen por dos sitios diferentes, pero en este caso vienen por el mismo cable y se inyectan en el switch multicapa, donde se crean 2 vlans. A nivel 3 no se crea nada. A nivel lógico la subred de servicios está conectada al firewall (Lo que sería una DMZ). | La VLAN de servicios no tienen interfaz SVI, se propaga al firewall. Esa VLAN va a una interfaz gigabit con encapsulamiento de VLAN de servicios, el switch multicapa no la enruta, la deja pasar hasta el firewall. El control de la VLAN de servicios se hace en el firewall. La Vlan de servicios esta conectada a nivel de capa 3 al firewall. Fisicamente cuando se piensa en las VLANS de administración y gestión se piensa que vienen por dos sitios diferentes, pero en este caso vienen por el mismo cable y se inyectan en el switch multicapa, donde se crean 2 vlans. A nivel 3 no se crea nada. A nivel lógico la subred de servicios está conectada al firewall (Lo que sería una DMZ). | ||
| Línea 12: | Línea 12: | ||
| **OJO, Sobre el Pin**: Mucho ojo, no nos despistemos y nos pongamos a hacer ping donde hay NAT dinámico, que no va a hacer ping | **OJO, Sobre el Pin**: Mucho ojo, no nos despistemos y nos pongamos a hacer ping donde hay NAT dinámico, que no va a hacer ping | ||
| + | Para la VLAN de servicios hacen falta varias Pool de direcciones que no son mencionadas en el enunciado del laboratorio. | ||
| ===== Parte 1: Servidores ===== | ===== Parte 1: Servidores ===== | ||
| + | ==== Servicios HTTP/HTTPS ==== | ||
| + | |||
| Primero se necesita Apache para montar el servicio Web: | Primero se necesita Apache para montar el servicio Web: | ||
| < | < | ||
| Línea 33: | Línea 36: | ||
| SSLCertificateKeyFile / | SSLCertificateKeyFile / | ||
| </ | </ | ||
| + | </ | ||
| + | |||
| + | El certificado SSL se puede crear con el siguiente comando: | ||
| + | <code bash> | ||
| + | sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout / | ||
| </ | </ | ||
| Línea 47: | Línea 55: | ||
| </ | </ | ||
| + | ==== Servicios DNS ==== | ||
| + | |||
| + | Comenzamos instalando el servicio DNS con el siguiente comando: | ||
| + | <code bash> | ||
| + | sudo apt install bind9 bind9utils bind9−doc | ||
| + | </ | ||
| + | |||
| + | Para configurar el servidor DNS se modifica el archivo / | ||
| + | < | ||
| + | options { | ||
| + | ... | ||
| + | | ||
| + | 193.144.48.30; | ||
| + | } | ||
| + | } | ||
| + | </ | ||
| + | |||
| + | Una vez realizadas las configuraciones se inicia el servicio con el siguiente comando: | ||
| + | < | ||
| + | sudo systemctl enable --now named | ||
| + | </ | ||
| + | Tras eso se comprueba que el servicio esté corriendo con el siguiente comnado: | ||
| + | < | ||
| + | sudo systemctl status named | ||
| + | </ | ||
| + | Se prueba a hacer una petición desde localhost a google para comprobar que se nos entrega una ip con el siguiente comando: | ||
| + | <code bash> | ||
| + | sudo dig @127.0.0.1 google.com | ||
| + | </ | ||
| ===== Parte 2: Configuración de los filtros del firewall ===== | ===== Parte 2: Configuración de los filtros del firewall ===== | ||
| Línea 57: | Línea 94: | ||
| * Direcciones que nunca puedan ser de origen (ej. 127.0.0.0/ | * Direcciones que nunca puedan ser de origen (ej. 127.0.0.0/ | ||
| * Direcciones potencialmente peligrosas | * Direcciones potencialmente peligrosas | ||
| - | Las ACL se deben configurar en el CPE ya que son la primera medida de seguridad. En el FW se deben configurar ACL extendidas y complementarlas con CBAC. En el DL-SW se deben usar ACL extendidas. | + | Las ACL se deben configurar en el CPE ya que son la primera medida de seguridad. En el FW se deben configurar ACL extendidas y complementarlas con CBAC. En el DL-SW se deben usar ACL extendidas. |
| + | < | ||
| + | CPE> Enable | ||
| + | CPE# Config Terminal | ||
| + | CPE(config)# | ||
| + | CPE(config-std-nacl)# | ||
| + | CPE(config-std-nacl)# | ||
| + | CPE(config-std-nacl)# | ||
| + | CPE(config-std-nacl)# | ||
| + | CPE(config-std-nacl)# | ||
| + | CPE(config-std-nacl)# | ||
| + | CPE(config-std-nacl)# | ||
| + | CPE(config-std-nacl)# | ||
| + | CPE(config-std-nacl)# | ||
| + | CPE(config)# | ||
| + | CPE(config-if)# | ||
| + | </ | ||
| + | Se crea una ACL a la que llamaremos InternetToCPE que se aplica a la interfaz que conecta el ISP con el CPE (G0/1) en modo in, para bloquear el tráfico entrante proveniente de internet, evitando que este pueda saturar el CPE. | ||
| + | < | ||
| + | ISP(config)# | ||
| + | ISP(config-if)# | ||
| + | IPS(config-if)# | ||
| + | </ | ||
| + | Finalmente se aplica una ACL en las "line vty" en cada dispositivo para que solo se permita el envío de tráfico SSH entre los dispositivos que se encuentran en la vLan de Administración (743): | ||
| + | < | ||
| + | AL-SW1> | ||
| + | AL-SW1> | ||
| + | AL-SW1(config)# | ||
| + | AL-SW1(config)# | ||
| + | AL-SW1(config)# | ||
| + | AL-SW1(config-line)# | ||
| + | </ | ||
| - | ==== Configuración CBAC en FW ==== | ||
| + | ==== Configuración CBAC en FW ==== | ||
| + | Las ACL estan configuradas para controlar el tráfico entrante en las interfaces del FireWall. El trafico de retorno TCP y UDP se controla con CBAC, mientras que el ICMP será permitido. Interfaz específica: | ||
| + | * Mombre de ACL: MSStoFW | ||
| + | * Permitir mensajes ICMP de respuesta desde la maquina de servicios a dispositivos de red interna 10.0.0.0/8, incluyendo VLAN actuales y futuras. | ||
| + | * Bloquear tráfico ICMP que no sea una respuesta hacia dichos dispositivos. | ||
| + | * Permitir Tráfico ICMP hacia internet sin restricciones. | ||
| + | * Permitir mensajes de respuesta DHCP (Puerto UDP 67) a los dipositivos de la red interna 10.3.0.0/16 (VLANS actuales) | ||
| + | * Permitir tráfico HTTP (Puerto 80), HTTPS (puerto 443) y DNS (Puerto 53 TCP y UDP) hacia internet | ||
| + | * Bloquear Tráfico HTTP,HTTPS y DNS hacia la red interna. | ||
| + | El tráfico restante será denegado. | ||
| + | Se aplican las reglas anteriores, bloqueando cualquier tráfico no especificado: | ||
| + | < | ||
| + | FW(config)# | ||
| + | FW(config-ext-nacl)# | ||
| + | FW(config-ext-nacl)# | ||
| + | FW(config-ext-nacl)# | ||
| + | FW(config-ext-nacl)# | ||
| + | FW(config-ext-nacl)# | ||
| + | FW(config-ext-nacl)# | ||
| + | FW(config-ext-nacl)# | ||
| + | FW(config-ext-nacl)# | ||
| + | FW(config-ext-nacl)# | ||
| + | FW(config-ext-nacl)# | ||
| + | FW(config-ext-nacl)# | ||
| + | FW(config-ext-nacl)# | ||
| + | FW(config-ext-nacl)# | ||
| + | FW(config-ext-nacl)# | ||
| + | FW(config-ext-nacl)# | ||
| + | FW(config-ext-nacl)# | ||
| + | FW(config-ext-nacl)# | ||
| + | FW(config-ext-nacl)# | ||
| + | FW(config-ext-nacl)# | ||
| + | FW(config-ext-nacl)# | ||
| + | </ | ||
| ==== Configurar Zone-Based Firewal en FW ==== | ==== Configurar Zone-Based Firewal en FW ==== | ||
| ==== Configurar filtrado en DL-SW1 ==== | ==== Configurar filtrado en DL-SW1 ==== | ||
redes/lab8.1733409565.txt.gz · Última modificación: 2024/12/05 14:39 por thejuanvisu
Herramientas de la página
