Luis Alfonso Sánchez Brazales SERVIDORES

Transcripción

SERVIDORES DE ACCESO REMOTO
Protocolos de autenticación:
1.- Escenarios CISCO: Interconexión de redes mediante protocolos PPP,PAP, CHAP
- Realizar en el laboratorio virtual (GNS3) individualmente.
PAP
En estas dos imágenes vemos la configuración de dos routers que hemos configurado el
protocolo pap para ellos primero le ponemos un nombre al router, luego vamos a poner el
nombre del usuario y contraseña del router con el que nos vamos a conectar, ponemos la
encapsulación que es ppp luego le ponemos la autenticación que va a ser pap y para
finalizar vamos a poner el usuario y la contraseña que vamos a enviar desde el router de
origen.
CHAP
Ahora vamos configurar los router por el protocolo chap para ellos ponemos el nombre
del router y el usuario y contraseña del otro router, nos metemos en la interfaz y ponemos
la encapsulación y la autenticación que va a ser chap y en el otro router hacemos lo mismo
Luis Alfonso Sánchez Brazales
Servidores de autenticación
a) REDES INALÁMBRICAS: WPA Personal y Empresarial.
1.-Configurar un router de acceso inalámbrico CISCO Linksys WRT54GL ,
utilizando el simulador.
http://ui.linksys.com/files/WRT54GL/4.30.0/Setup.htm
Para configurar la seguridad de una red inalámbrica nos vamos a la pestaña de wireless y
lego le damos a wireless security aquí vamos a seleccionar de la lista wpa personal, el tipo
de algoritmos de encriptación va a ser AES y la clave que vamos a compartir va a ser
“clave”, ya le damos a save settings para que se guarde los cambios
Nos vamos a las misma pestaña que la anterior, en este camos la seguridad va a ser wpa
Enterprise, el algoritmos vamos a seleccionar el mismo AES y en este tipo de seguridad ya
vemos una cosa nueva que es la direccion ip del servidor radius, le ponemos la direccion ip
de nuestro servidor, el puerto le dejamos el que tiene por defecto y la clave precompartida
será “clave”, y guardamos los cambios
Configurar router inalámbrico Linksys WRT54GL en modo seguro:
(Cambia el SSID por defecto y desactivar el broadcasting SSID,
deshabilitar DHCP, cambiar nombre de usuario y contraseña, activar el
filtrado de MAC, WPA2, cifrado TKIP+AES).
- Configurar la tarjeta de red de un cliente inalámbrico con dichas
medidas de seguridad y comprobar la autenticación a dicho router
inalámbrico.
- Realizar en grupos de alumnos.
Se va a configurar el router Linksys como seguro, para ello se accede a él y se le desactiva el
servicio DHCP:
Se le modifica el SSID
Se le asigna el cifrado TKIP + AES con la configuración de WPA2 Personal.
Ahora se accede con el cliente inalámbrico, dadas estas pautas. Para ello se agrega una nueva
red y, con una configuración de direcciones IP estática, se accede mediante AES (que conecta
también TKIP+AES) y se le asigna la contraseña.
Con estos parámetros conecta a la red.
SERVIDOR RADIUS:
1.- Simulación de un entorno de red con servidor RADIUS CISCO en el
simulador Packet Tracer.
Aquí podemos ver el escenario donde vamos a simular un servidor radius
Nos vamos al servidor DNS y nos vamos a config, luego le vamos a dar a la pestaña de
fastethernet y vamos a configurar la direccion ip del servidor dns
Ahora nos vamos a la pestaña HTTP y vamos a poner a ON para poder entrar a nuestra página
de bienvenida tanto en http como en https
Ahora nos vamos a la pestaña de DNS y vamos a añadir al registro los nombres para poder
conectarnos a través del navegador con el nombre en vez de con la dirección ip
Nos vamos al servidor radius y vamos a la pestaña AAA, lo primero que vamos a hacer es
configurar la red, para ello vamos a poner el nombre del cliente, la clave secreta y la dirección
ip y lo añadimos.
Más abajo vamos a añadir los usuarios con su contraseña y los añadimos a la lista
Ahora nos vamos al router y nos vamos a setup y en la lista desplegable seleccionamos la ip
estática y configuramos la dirección ip, mascara, la puerta de enlace, etc.
En la misma pestaña donde estamos vamos a habilitar el servidor dhcp y dejamos el rango de
las dirección que va a dar como viene por defecto, le vamos a poner la ip del servidor dns
Ahora nos vamos a la pestaña de wireless y vamos a configurar los datos del servidor radius
Ahora nos vamos a los clientes y vamos a la opción de pc wireless para conectarnos al servidor
radius
En esta pantalla lo que vamos a hacer es darle a advanced setup y empezar a configurar la
conexión
En esta pantalla vamos a seleccionar la primera opción y le damos a next
Vamos a dejar la opción que viene por defecto para que obtenga la dirección ip por dhcp y
le damos a next
Vamos a seleccionar la seguridad que va a ser wpa2-enterprise y le damos a next
Vamos a poner el nombre de usuario y contraseña que están dados de alta en el servidor
radius
Aquí nos sale un resumen de la configuración que hemos realizado anteriormente y le
damos a save
CISCO CCNA Security 1.1. Laboratorio Lab-3-A; Acceso administrativo seguro utilizando AAA
y RADIUS (WinRadius en Windows XP)
Se configuran los parámetros de los routers para que se reconozcan en el escenario siguiente.
Se va a configurar el router R1 para probar la autenticación local.
Se realiza una conexión Telnet a R1.
Se habilita el protocolo AAA en R3
Se configura el reloj.
Se le asigna el protocolo aaa y se realiza un debug del mismo para observar lo que ocurre
Se realiza un Telnet a R3, aparece una pantalla de que se ha generado una clave RSA.
Se observa lo ocurrido en R3.
Se modifca el R1 devolviéndole su configuración inicial.
Se habilita WinRADIUS en Windows XP, para ello se instala y se inicia.
Escucha en el 1812 y 1813.
Se limpia el log con Log > Clear
Se realiza un test para observar la conexión.
Se configura R1 para asignarle el servidor RADIUS.
Se observan los comandos que se pueden realizar.
Se observa la configuración RADIUS en el running-config.
Se ve en Windows 7 la configuración del servidor.
Se realiza un test desde WinRADIUS, en el sistema operativo Windows 7.
Instalación de un servidor RADIUS bajo GNU/LINUX (freeradius) , para autenticar conexiones
que provienen de un router de acceso CISCO
Linksys WRT54GL.
Autenticación de usuarios basado en bases de datos (MySQL,SQL Server,etc.)
Instalamos el servidor
Si no tenemos instalado mysql server lo instalamos tambien. Iniciamos el servicio mysql
Asignamos una clave para el usuario root
Creamos una base de datos llamada radius
Accedemos a mysql y le damos permisos al usuario que vamos a crear llamado radius
Ahora importamos las tablas de freeradius a la base de datos radius
Editamos el archivo radiusd.conf
y descomentamos la siguiente línea
Ahora editamos el fichero sql.conf e introducimos estos parametros;
y descomentamos la linea de readclients
En el archivo /etc/raddb/sites-enabled/default des comentamos las variables sql de authorize
y accounting
Entramos en mysql y añadimos 2 usuarios para la base de datos, fulado y pepe
Comprobamos que se han añadido correctamente
Iniciamos el servicio radius
Verificamos que radius puede autentificar con mysql
A partir de este punto, solo podrá autenticar usuarios de manera local. Para poder conectar el
punto de acceso hacia el servidor Freeradius, vuelva a conectarse MySQL
Ejecute lo siguiente, definiendo la dirección IP del punto de acceso, nombre corto, tipo de NAS
(other, cisco, livingston, computon, max40xx, multitech, natserver, pathras, patton, portslave,
tc o usrhiper). Si utiliza un pinto de acceso casero, defina el tipo other.
Comprobamos que hemos insertado correctamente
En el fichero /etc/raddb/sites-available/inner-tunner descomentamos las variables sql de
authorize y post-auto
Reiniciamos el servicio radius
Configuramos el punto de acceso. Configuramos la ip de internet que tiene que ser diferente a
la subred que vamos a crear para el servidor radius, establecemos una ip al punto de acceso.
Ponemos el ssid de la red inalámbrica
Establecemos el tipo de seguridad, la encriptacion, la ip del servidor radius de centos en
nuestro caso, el puerto y la contraseña compartida entre el servidor radius y el punto de
acceso.
Ya tenemos configurado el servidor ahora nos queda configurar el cliente
VALIDACIÓN DE TEXTO PLANO
Editamos el archivo /etc/rddb/users y añadimos un usuario
Editamos el archivo radiusd.conf
y descomentamos la siguiente línea
Reiniciamos el servidor y listo
CONFIGURAR CLIENTE RADIUS WINDOWS 7
Vamos al centro de redes y recursos compartidos/administrar redes
inalambricas/agregar/crear perfil de red manualmente
Añadimos el nombre de la red, la seguridad y el cifrado
Vamos a cambiar la configuración
En configuración, desmarcamos la validación con certificado y usar automáticamente el
nombre de inicio de sesión de Windows.
En configuración avanzada especificamos el modo de autentificación por usuarios.
Nos conectamos a la red
Instalación de un servidor RADIUS en Zentyal para autenticar conexiones que provienen de
un router de acceso Linksys WRT54GL.
Comprobación en un escenario real.
Abrimos el localhost de zentyal e instalamos los paquetes RADIUS y Users and Groups
Configuramos la interfaz de red
Ponemos la puerta de enlace
Añadimos el cliente radius, cliente es el SSID de la red, la IP es la IP del punto de acceso y la
contraseña es la clave compartida entre el punto de acceso y el servidor radius.
Creamos un usuario
Configuramos el punto de acceso
El ssid
Establecemos el tipo de seguridad, la encriptacion, la ip del servidor radius de zentyal, el
puerto y la contraseña compartida entre el servidor radius y el punto de acceso.
CONFIGURAR CLIENTE RADIUS WINDOWS 7
Vamos al centro de redes y recursos compartidos/administrar redes
inalambricas/agregar/crear perfil de red manualmente
Añadimos el nombre de la red, la seguridad y el cifrado
Vamos a cambiar la configuracion
En configuración, desmarcamos la validación con certificado y usar automáticamente el
nombre de inicio de sesión de Windows.
En configuración avanzada especificamos el modo de autentificación por usuarios.
Nos conectamos a la red
Busca información sobre EDUROAM y elabora un breve informe sobre dicha infraestructura.
http://www.eduroam.es/
Eduroam (contracción de education roaming) es el servicio mundial de movilidad segura
desarrollado para la comunidad académica y de investigación. Eduroam persigue el lema "abre
tu portátil y estás conectado".
El servicio permite que estudiantes, investigadores y personal de las instituciones participantes
tengan conectividad Internet a través de su propio campus y cuando visitan otras instituciones
participantes.
Eduroam es una iniciativa englobada en el proyecto RedIRIS que se encarga de coordinar a
nivel nacional los esfuerzos de instituciones académicas con el fin de conseguir un espacio
único de movilidad. En este espacio de movilidad participa un amplio grupo de organizaciones
que en base a una política de uso y una serie de requerimientos tecnológicos y funcionales,
permiten que sus usuarios puedan desplazarse entre ellas disponiendo en todo momento de
conectividad.
Por otro lado, eduroam forma parte de la iniciativa eduroam a nivel internacional, financiada a
través de GEANT 3, y operada por varias redes académicas europeas y TERENA. Esta iniciativa
amplía el espacio de movilidad al ámbito académico europeo, a través de eduroam Europa, y
tiende puentes con eduroam Canadá, eduroam US, y eduroam APAN (Asia y Pacífico).

Luis Alfonso Sánchez Brazales SERVIDORES

Transcripción

Documentos relacionados

Luis Alfonso Sánchez Brazales Configuración

Luis Alfonso Sánchez Brazales INTENTOS DE PENETRACIÓN

Luis Alfonso Sánchez Brazales AMENAZAS Y ATAQUES EN