SEGURIDAD Y ALTA

DISPONIBILIDAD
Tema 5. Seguridad en Redes
Corporativas
Prcticas
En las siguientes prcticas se pide documentar todo el proceso para
realizarlas, as como las pruebas necesarias.
Deber entregarse un documento en formato Word o Pdf con las
soluciones documentadas antes del da 30 de enero de 2014.

1. A continuacin se lista una serie de enlaces que permiten realizar un test

de la velocidad de acceso a Internet, de modo que un resultado muy inferior
al contratado podra ser un sntoma de tener ocupantes no deseados en
nuestra mquina. Son las velocidades de subida y bajada las esperadas?
http://www.adsl4ever.com/test/

http://www.testdevelocidad.es/

No se ha podido realizar la prueba debido al proxy

http://www.internautas.org/testvelocidad/

http://www.adslayuda.com/test-de-velocidad/

Recuerda que el ancho de banda del aula es compartido por todos los PC del
mismo. Realiza el test de velocidad de manera individual (sin que nadie en
el aula lo realice o est haciendo uso de Internet).

2. Configura de forma segura un router Linksys WRT54GL mediante su web

para simulacin de configuracin online:
http://ui.linksys.com/files/WRT54GL/4.30.0/Setup.htm

Cambiamos el nombre al router y la direccin IP, adems le

configuramos con la hora de Espaa y desactivamos el servidor DHCP

Ahora configuramos wifi de manera que cambiamos el nombre de la

red wireless (SSID)

Activamos la seguridad wireless con el algoritmo AES y la

encriptacin WPA2 Personal, adems la clave tendr 20 dgitos que es
lo ms adecuado para que WPA2 sea efectivo

En Windows, abrimos la consola de comandos y escribimos ipconfig /all para

ver la direccin MAC de nuestro ordenador e incluirla en la lista de
dispositivos a los que se permite la conexin. Pongamos el caso de que en
lugar de ser un adaptador Ethernet fuera un adaptador wi-fi.

La siguiente ventana la dejamos como est

Dejamos el Firewall activado

Aqu tampoco hacemos nada

En el caso de que tuviramos que redirigir puertos a nuestro ordenador

porque tenemos por ejemplo un servidor web y queremos que sea accesible
desde el exterior de nuestra red, la configuracin de los puertos la haramos
aqu

Si quisiramos que algn equipo estuviera en la zona desmilitarizada le

pondramos aqu

En esta ventana aadimos el acceso web por HTTPS

Es posible configurar todos los aspectos analizados en el tema?

Creo que se han configurado los aspectos ms importantes en cuanto a
seguridad wireless

3. Busca informacin sobre la pintura antiwifi de EM-SEC Technologies y

descubre su principio de funcionamiento. Crees que podra ser til y
seguro? Cmo se implementara?
Puedes leer sobre dicha pintura en:
http://www.publico.es/ciencias/273942/una-pinturaprotege-a-losnavegantes-de-los-intrusos/version-imprimible
Si en realidad funciona podra ser bastante til por ejemplo en los
hospitales donde las ondas de baja frecuencia pueden interferir con
determinados aparatos mdicos hospitalarios. Su implementacin consistira
en pintar las paredes de las salas donde estn estos equipos con esta
pintura.

4. Realiza el siguiente test sobre phishing de Verisign disponible en

https://www.phish-nophish.com/es con consejos tiles para reconocer
pginas web falsas y realiza un resumen con recomendaciones tiles.
Crees ahora que solo garantizando que la web es https se trata de
una web confiable?
Una web no es confiable nicamente porque en la URL ponga https ya que
hay imitaciones de las pginas originales muy buenas que a veces se
detectan por fallos en el texto o el formato, pero que en caso de navegar
con premura casi no nos daramos cuenta de ello.
5. Establece una comunicacin HTTP entre dos mquinas bajo un tnel
SSH previamente establecido. Primero realiza la comunicacin en HTTP y
monitorzala con WireShark. Despus establcela bajo el tnel SSH y
monitorzala con WireShark. Compara los resultados.
Realizamos una conexin desde el explorador de W715 a la mquina
Ubuntu15 que tiene a Webalizer como pgina principal del servidor web

Al hacer la captura del trafico con Wireshark, podemos ver que se ven todos
los datos de la conexin, cosa que no es muy segura

Para asegurar la conexin http, vamos a crear un tunel ssh con la opcin de
Putty SSH-->Tunnels

Nos conectamos a la mquina Ubuntu15 por ssh

Ahora que tenemos el tunel creado, volvemos a conectarnos por http a la

mquina Ubuntu15 y a su pgina principal de Webalizer

Como podemos ver, ya no se captura ningn dato con Wireshark, por lo que
el tnel ssh es realmente efectivo en cuanto a seguridad

6. Crea una VPN del tipo acceso remoto entre dos equipos. El cliente VPN
estar en la red externa y el servidor VPN en la red interna. El servidor
VPN ser Windows Server. Aplicarlo al uso por parte del usuario remoto
de cualquier aplicacin/servicio de la red interna.
Instalamos en el Server 2008 el servidor de enrutamiento y acceso remoto

En la siguiente ventana seleccionamos Configuracin personalizada

Elegimos Acceso a VPN

Damos a finalizar

iniciamos el servicio de enrutamiento y acceso remoto

En usuarios y equipos de Active Directory, creamos el usuario manu

En propiedades de manu, vamos a Marcado y en Permiso de acceso a redes

marcamos Permitir acceso, damos a Aplicar y aceptamos

Al crear una nueva conexin entrante, lo primero que se nos pregunta es

Quin puede conectarse a este equipo? Seleccionamos a los usuarios
Administrador y manu

Por defecto se conectarn a travs de Internet

Pinchamos en Propiedades del Protocolo de Internet versin 4

Asignamos un rango de direcciones desde 10.0.15.100 hasta 10.0.15.150

El sistema nos informa que el nombre del equipo es WS2008NAT15

Vamos a Windows 7 y configuramos una nueva conexin de red.

Seleccionamos Conectarse a un rea de trabajo

En la direccin de Internet ponemos el nombre del servidor VPN

Introducimos el usuario manu que creamos anteriormente en el servidor

Efectivamente, nos hemos conectado

Poniendo ipconfig /all en la consola de Windows 7, vemos que la IP que nos

ha dado el servidor VPN es la 10.0.15.102, que est dentro del rango de
direcciones que habamos configurado en el servidor

7. Crea una VPN del tipo acceso remoto usando Zentyal. En este caso
Zentyal har tambin las funciones de router software.

Se puede consultar la web http://doc.zentyal.org/es/vpn.html

Creamos la ruta a la IP de Carlos 10.0.14.0/24

Hacemos un ping desde Zentyal15 a la mquina de Carlos

Vemos que tenemos el servicio VPN corriendo

Vemos los certificados que tenemos en el servidor

Habilitamos el servidor VPN

Comprobamos la configuracin del servidor VPN

Por ltimo nos aseguramos que el mdulo VPN est activado

Parte cliente desde mquina Windows 7

Como cliente desde W715, nos conectamos via WinSCP a la mquina de
Carlos que es el servidor VPN de Zentyal

Hemos descargado el paquete de certificados del servidor VPN en Zentyal

de Carlos

Desempaquetamos los certificados en el directorio config de la carpeta

OpenVPN

Realizamos la conexin VPN a la mquina Zentyal

Vemos la IP que nos ha asignado el servidor VPN

Hacemos ping a una IP de la red privada virtual y aunque nos aparezca que
es un destino inaccesible, los paquetes han sido recibidos

Parte de la prctica correspondiente al cliente de Carlos

Descarga por parte de Carlos del paquete de certificados del servidor VPN
Zentyal15 de Manuel

Desempaquetado de certificados en la carpeta config de OpenVPN

Conexin de Carlos a Zentyal15

Direccin IP asignada por el servidor VPN de Zentyal15

Ping desde la mquina Windows de Carlos al servidor VPN de Manuel en

Zentyal15

8. Crea una VPN del tipo site-to-site usando Zentyal, tal y como se
muestra en la figura.

Se puede consultar la web http://doc.zentyal.org/es/vpn.html

Nota: para esta prctica ser necesario coordinarse con un compaero si
se utilizan los equipos del aula. En el caso de los porttiles habr que
utilizar dos instancias de VirtualBox y/o VMware para simular las dos redes
internas.
Creamos un cliente en Zentyal15

Subimos el paquete del servidor Zentyal de Carlos

Habilitamos el cliente de Zentyal15

En la consola hacemos un ifconfig para ver si el servidor VPN nos ha dado IP

Hacemos ping al servidor VPN de Carlos y vemos que estamos conectados

Parte Servidor
Aadimos un servidor VPN a Zentyal15

Habilitamos el servidor VPN

Configuramos el servidor VPN de Zentyal15

Descargamos el paquete del cliente para envirselo a Carlos

Enviamos el paquete de configuracin a Carlos en 10.0.14.1

La parte cliente de Carlos es la siguiente

Carlos vuelve a descargar con WinSCP en Windows 7 el paquete de
configuracin.

Una vez lo ha descargado lo desempaqueta en la carpeta OpenVPN

Desde Windows 7, se realiza la conexin al servidor VPN de Zentyal15 en la

IP 10.0.15.6

Carlos hace un ipconfig en la consola de Windows y aparece la IP asignada

por el servidor VPN

Desde Windows 7, Carlos hace ping al servidor VPN de Manu en Zentyal 15

con la direccin VPN de este, producindose la conexin

9. Instalar OpenVPN Access Server en Ubuntu o en Debian. Es una

solucin VPN completa sobre SSL que integra las capacidades del servidor
OpenVPN, gestin empresarial, interfaz de usuario para la conexin
OpenVPN simplificada y paquetes software para clientes OpenVPN en
Windows, MAC y Linux.
- Descargar el paquete de 32 bits segn se haga para Ubuntu o para
Debian:
sudo wget http://swupdate.openvpn.org/as/openvpn-as-1.8.5Ubuntu12.i386.deb
wget http://swupdate.openvpn.org/as/openvpn-as-1.8.5Debian6.i386.deb

o para 64 bits.

wget http://swupdate.openvpn.org/as/openvpn-as-1.8.5Ubuntu12.amd_64.deb
wget http://swupdate.openvpn.org/as/openvpn-as-1.8.5Debian6.amd_64.deb

- Instalar el paquete que corresponda:

dpkg -i openvpn-as-1.8.5-Ubuntu12.i386.deb
dpkg i openvpn-as-1.8.5-Debian6.i386.deb

o para 64 bits.

dpkg -i openvpn-as-1.8.5-Ubuntu12.amd_64.deb
dpkg i openvpn-as-1.8.5-Debian6.amd_64.deb

- Crear una clave para el usuario openvpn:

sudo passwd openvpn

- Configurar el software de administracin y cliente abriendo las siguientes

URIs:
Admin UI: https://YourIpAddress:943/admin
Client UI: https://YourIPAddress:943/

- Desde la interfaz del cliente se puede acceder al servidor. Se introduce el

usuario openvpn y la password creada anteriormente. Aparecer una
ventana como sta:

Se descarga el fichero de configuracin del cliente. Una vez descargado, se

instala openvpn (si no lo est ya) y se realiza la conexin al servidor
mediante el siguiente comando:

sudo openvpn --config client.ovpn

En cualquier momento se pueden hacer cambios de configuracin en el
servidor accediendo a travs del interfaz de usuario Admin.
Se puede acceder al servidor OpenVPN AS desde un Smartphone. Se puede
descargar la app desde la pgina oficial de Android
https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=es
o desde la de IOS.
https://itunes.apple.com/es/app/openvpn-connect/id590379981?mt=8
Descargamos OpenVPN en Ubuntu15

Instalamos con dpkg

Creamos contrasea para openvpn

En el navegador de Windows715, introducimos la direccin:

https://10.0.15.3:943. Nos aparecer un mensaje y responderemos
que vaya a ese sitio

Introducimos el usuario openvpn y la contrasea que le dimos en

Ubuntu15

Ahora hacemos click en click here to continue para descargar el

paquete que nos permitir conectarnos al servidor VPN

Damos a guardar

Ahora hacemos doble click en el archivo de conexin

Tras identificarnos con el usuario openvpn, ya estamos conectados