14. Seguridad Básica de Red

14.1. ¿De qué va este tema?

Una vez que tenemos claro como funciona una red TCP/IP (Internet) y algunos servicios de forma básica y sencilla podemos revisar algunos aspectos de seguridad de red.

Aunque la seguridad informática es algo muy amplio y complejo vamos a introducir algunos aspectos centrados en redes. Se profundiza un poco más en un módulo específico en segundo (SAD ) y en los cursos de especialización (Ciberseguridade )

Pero no te pierdas mucho, la idea aquí es:

  1. Comenzar a pensar en hacer nuestra red cada vez más segura (es un proceso continuo) …

  2. … sin hacerle la vida imposible al usuario (la red más segura es la que no se usa).

14.2. Clases

Son 30 sesiones de clase

14.2.1. Conceptos Básicos

  1. La seguridad informática (y la humana):

    1. Es cuestión de equilibrio: usabilidad vs seguridad

    2. 100% no existe (y si te lo aseguran mienten)

    3. Implica una relación coste / beneficio. Lo que consigo, por lo que me cuesta.

    4. Es muy compleja. Intervienen muchos elementos

    5. Depende del eslabón más débil (no del más fuerte)

    6. El eslabón más débil (casi) siempre es la persona

    7. Es (la gran parte de las veces) irracional (y es una emoción primaria)

    8. Implica un gran conocimiento técnico (y humano) de cada elemento)

    9. Mejor es la transparente (la tienes, pero ni te enteras)

    10. No puede ser a costa de la privacidad (y es un equilibrio complejo)

  2. Los sistemas AAA :

    1. Autenticación

    2. Autorización

    3. Auditoría

  3. Los principios CID :

  1. Confidencialidad

  2. Integridad

  3. Disponibilidad (y no repudio)

Actividad. Glosario Seguridad Informática

Puedes revisar el Glosario de términos de ciberseguridad del INCIBE. Muy completo (más de 80 páginas) y divulgativo.

14.2.2. Seguridad en los Switches

  1. Seguridad en el Acceso:

    1. Permisos y privilegios (enable)

    2. Seguridad en el Acceso Físico:

      1. ¿Qué puerto de conexión al hardware utilizo?

      2. ¿Cómo es el acceso físico a los puertos?

      https://media.fs.com/images/community/upload/kindEditor/202110/06/the-console-port-1633484908-e8dixxPQVm.jpg

    3. Seguridad en el Acceso Lógico: ¿ cómo accedo al SO ? (show line)

      1. En Local (console): Directamente conectado (con privilegios o no).

      2. En Remoto (vía IP o conexión telefónica)

        1. En consola remota (tty/vty): sólo L3 en VLAN de gestión

        2. Vía navegador web integrado

  2. Protección de los puertos de acceso

    1. Activarlos / Desactivarlos (shutdown)

    2. Seguridad en el Puerto (port_security) :

      1. Activar / Desactivar

      2. Configura el «aprendizaje» de las MAC (estático | sticky | limitado)

      3. Configurar el nivel de alerta (protect | restrict | shutdown)

  3. Revisión de las Tablas ARP (problema ARP poisoning)

  4. Configuración Enlaces Troncales VLAN

    1. Imitando la seguridad intrínseca de una subred (sólo los equipos en la red local se comunican)

    2. Puedo configurar las VLAN que pueden acceder a un enlace troncal (por ejemplo)

Actividad. Seguridad en los Switches

Retomando Ejercicios VLAN (Ejercicio 2) añade ciertas políticas de seguridad (por ejemplo sobre el Switch 1):

  1. ¿Cuantas líneas de conexión tiene? Ojo, no confundir con los puertos.

  2. Crea contraseña (consola) para conectarte en consola y contraseña root para el usuario privilegiado.

  3. Permite el lógin solo por la consola local y 2 de las remotas

  4. En el puerto Fa/2, configura un límite de 4 equipos máximo con posiblidad de conexión

  5. En el puerto Fa/4 sólo puede conectarse un equipo con MAC 2020.0090.9090

  6. En caso de violación en el puerto Fa/4, el equipo debe apagarse

  7. Deshabilita los puertos donde no hay ningún equipo conectado

  8. Añade un control sobre el enlace troncal. Sólo podrán verse, entre los switches, los equipos de la VLAN10 (no los de la 20 y la 30).

14.2.3. Seguridad en el Acceso Remoto (ssh)

  1. En cualquier equipo accesible de forma remota

  2. Configurar SSH en Cisco IOS

    1. Añadir servicio ssh (y parámetros generales)

    2. Definir usuarios

    3. Asignar ssh a las consolas

  3. Acceso a un router

    1. Igual que un switch

    2. Pero tiene más funcionalidad (activo valioso) y está más expuesto (mayor área de ataque)

    3. Acceso remoto vía consolas vty (telnet y ssh)

Actividad. Activar servicio SSH en un router (con Cisco IOS)

Activa el servicio SSH en un router de ejemplo y haz una prueba de conexión.

14.2.4. Listas ACL Básicas

  1. Concepto de Firewall (filtrando paquetes IP en un router)

    1. Se puede implementar de diferentes maneras (y en diferentes capas de red)

    2. Define una seguridad perimetral (o con niveles de protección diferentes):

      1. dentro: origen seguro

      2. fuera: origen peligroso

  2. Listas de Control de Acceso ( ACLs )

    1. Regla (allow/deny) para …

    2. … filtrar el acceso a un recurso (objeto) …

    3. … según unas reglas (in/out)

    4. Tipos (en Cisco IOS):

      1. ACL Básicas: sólo a nivel L3 (direcciones ip)

      2. ACL Extendidas (ACE): a nivel L3 y L4 (puertos y protocolos)

  3. Listas ACL Básicas (standard):

    1. Controlan (permit/deny) hacia o desde la red

    2. Funcionan en capa 3 (red) revisando la cabecera IP

    3. Configuración ACLs en Cisco IOS :

      1. Creación de la lista de acceso. Mejor con nombre (ip access-list standard NAME)

      2. Se van creando las reglas de filtrado (permit/deny + wildcard)

      3. Ideal incluir alguna descripción y/o comentario (remark)

      4. Eliminación de la lista de acceso (no access-list ACL_ID …)

      5. Mostrar las ACL creadas (show access-list)

      6. Aplicar la ACL a la interfaz (access-group) según el sentido del tráfico (in / out)

Actividad. Ejercicio de ACLs Básicas (estándar)

Retomando Ejercicios VLAN (Práctica Final) añade ciertas políticas de seguridad en el router:

  1. Los equipos de la VLAN 10 no podrán conectarse a los de la VLAN 20

  2. Uno de los equipos de la VLAN 30 sólo podrá conectarse a los equipos de su red

  3. Y sólo uno de los equipos podrá conectarse al router para administrarlo vía ssh

14.2.5. Listas ACL Extendidas (ACE)

  1. Funcionalidad ACL + Capa 4 (puertos) + Capa Aplicación (por protocolos)

  2. Revisan el origen, el destino y/o protocolo y/o puertos

  3. Configuración de ACE :

    1. Crear la lista

    2. Definir los Objetivos: ip origen, destino, puertos y protocolos

    3. Añadir una entrada por cada objetivo

    4. Asignar la interfaz y el sentido

    5. Comprobar.

  4. Documentación Oficial: Configuring IP Access Lists

Actividad. Práctica Final ACLs

Ejercicios Seguridad Básica de Red y ACLs

14.2.6. Traducción de Direcciones (NAT)

  1. ¿Qué es y como funciona ?

  2. Traducir en tiempo real:

    1. Direccionamiento Privado (LAN). No enrutable en Internet

    2. Direcconamiento Público (WAN). Válido para ofrecer servicios a Internet

  3. Esquemas de Traducción (dentro -> fuera)

    1. Básico / Estático (SNAT): traducción 1 a 1

      https://i.blogs.es/bad791/nat/1366_2000.jpg

    2. Dinámico: Estático pero dentro de un grupo

    3. Con Sobrecarga (PAT): una dirección -> varios usos (con puertos)

Actividad. Repasar Conceptos

Repasa los conceptos vistos para entenderlos bien antes de realizar la configuración.

14.2.7. Configuración de NAT (Cisco IOS)

  1. Conceptos y Configuración en Cisco IOS:

    1. Red interna vs Red Externa

    2. Dirección Local vs Dirección Global

    3. Configuración SNAT:

      https://ccnadesdecero.es/wp-content/uploads/2018/02/Configuraci%C3%B3n-NAT-est%C3%A1tica-de-ejemplo.png

    4. Configuración NAT Dinámico:

      https://ccnadesdecero.es/wp-content/uploads/2018/02/Topolog%C3%ADa-NAT-Din%C3%A1mica.png

    5. Configuración PAT (con sólo una IP pública):

      https://ccnadesdecero.es/wp-content/uploads/2018/02/PAT-con-direcci%C3%B3n-%C3%BAnica.png

  2. ¿Qué es CG-NAT? Una especie de NAT Intermedio (no tengo interfaz pública pero añade una traducción extra)

Actividad. Crear NAT en un router

Sobre una simulación cualquiera:

  • Los equipos de la red privada acceden a Internet con una única dirección ip pública

  • Puedes jugar a poner SNAT o Dynamic NAT, pero mejor usa directamente PAT (con una sóla dirección pública).

14.2.8. Reenvío de Puertos

  1. Esquema de Traducción (fuera -> dentro):

    1. Con NAT estática: es directo

    2. Habitual sobre PAT sobre puertos públicos (se inicia la conexión fuera de la red privada). Se llama DNAT (D de Destination, no de Dynamic, son dos tipos diferentes).

    3. Traducción ip publica:puerto público <–> ip privada:puerto privado (redirección de puertos)

  2. Configuración de Reenvío de Puertos

    https://ccnadesdecero.es/wp-content/uploads/2017/12/Ejemplo-de-reenv%C3%ADo-de-puertos-con-IOS.png

Actividad. Añade un servicio público desde tu red privada.

Sobre una simulación cualquiera:

  • Los equipos de la red privada acceden a Internet con una única dirección ip pública

  • La red privada tiene un servidor HTTP que puede ser visto desde fuera (Internet).

14.2.9. Enlaces WAN

  1. Enlaces WAN :

    1. Conexiones WAN

    2. Dispositivos WAN (p.ej módem ADSL, o módem Cable)

    3. Protocolos y Estándares

  2. Los servicios (o acceso público) tiene implicaciones importantes en seguridad (si hay acceso desde el exterior).

  3. Los enlaces WAN no son imprescindibles (en el contexto de este módulo) pero puedes añadirlos y aprender a usar el concepto Cloud PT en Packet Tracert:

    1. Conectas tu red a Internet (Cloud)

    2. Conectas los interfaces (de uno a otro)

    3. Asignas direccionamiento IP y haces las pruebas

  4. Dos ejemplos:

    1. Usando xDSL

    2. Usando Frame Relay

Actividad. Conecta varias redes, usando enlaces WAN a Internet

Sobre una simulación cualquiera:

  • En vez de conectar los routers directamente, los conectas a un elemento Cloud

  • Puedes usar diferentes tecnologías (Cable, DSL o FrameRelay)

14.2.10. Práctica Final NAT

Actividad. Práctica Final

Configuración NAT (4 tipos)