UD 3: Implantación de técnicas de acceso remoto. Seguridad

perimetralSAD

RESULTADOS DE APRENDIZAJE

Implanta técnicas seguras de acceso remoto a un sistema informático, interpretando y aplicando el plan de seguridad.

UUDD 3: 3: “Implantación de técnicas de seguridad “Implantación de técnicas de seguridad

remoto. Seguridad perimetral.”remoto. Seguridad perimetral.”

• Elementos básicos de la seguridad perimetral:- Concepto de seguridad perimetral.- Objetivos de la seguridad perimetral.- Perímetro de la red:

-Routers frontera. - Cortafuegos (firewalls).- Sistemas de Detección de Intrusos.- Redes Privadas Virtuales.- Software y servicios. Host Bastion.- Zonas desmilitarizadas (DMZ) y subredes controladas.

• Arquitecturas de cortafuegos:- Cortafuego de filtrado de paquetes.- Cortafuego Dual-Homed Host.- Screened Host.- Screened Subnet (DMZ).- Otras arquitecturas

CONCEPTOSI

UUDD 3: 3: “Implantación de técnicas de seguridad “Implantación de técnicas de seguridad

remoto. Seguridad perimetral.”remoto. Seguridad perimetral.”

• Políticas de defensa en profundidad:- Defensa perimetral.

Interacción entre zona perimetral (DMZ) y zona externa.Monitorización del perímetro: detección y prevención de intrusos

- Defensa interna.Interacción entre zona perimetral (DMZ) y zonas de seguridad interna).Routers y cortafuegos internosMonitorización internaConectividad externa (Enlaces dedicados y redes VPN)Cifrados a nivel host

- Factor Humano.

UUDD 3: 3: “Implantación de técnicas de seguridad “Implantación de técnicas de seguridad

remoto. Seguridad perimetral.”remoto. Seguridad perimetral.” CONCEPTOSII

• Redes privadas virtuales. VPN.- Beneficios y desventajas con respecto a las líneas dedicadas.- Tipos de conexión VPN:

VPN de acceso remotoVPN sitio a sitio (tunneling) . VPN sobre LAN.

- Protocolos que generan una VPN: Nivel Enlace (2): PPTP, L2F, L2TP, L2Sec.Nivel Red (3): GRE , IPSec (modo túnel, modo transporte).Nivel Aplicación (7): Cifrado. Clave pública y clave privada:

- Pretty Good Privacy (PGP). GNU Privacy Good (GPG).- SSH (“Secure Shell”).- SSL ("Secure Socket Layer“). TLS ("Transport Layer Security”)

Implementacion OpenVPN. Nivel 2 o 3. Red (3): SSL/TLS.

CONCEPTOSIII

UUDD 3: 3: “Implantación de técnicas de seguridad “Implantación de técnicas de seguridad

remoto. Seguridad perimetral.”remoto. Seguridad perimetral.”

• Redes privadas virtuales. VPN.- Complejas topologías VPN Sitio a Sitio

Multiprotocol Label Switching (MPLS) VPNDynamic Multipoint VPN (DMVPN)Group Encrypted Transport VPN (GETVPN)

- Tráfico VPNHairpinning Split Tunneling

CONCEPTOSIV

UUDD 3: 3: “Implantación de técnicas de seguridad “Implantación de técnicas de seguridad

remoto. Seguridad perimetral.”remoto. Seguridad perimetral.”

• Servidores de acceso remoto:- Protocolos de autenticación .

- Protocolos PPP, PPoE, PPPoA- Autenticación de contraseña: PAP- Autenticación por desafío mutuo: CHAP- Autenticación Microsoft: MS-CHAP, NTLM.- Autenticación extensible: EAP. Métodos. PEAP.- Protocolos AAA:

• Radius. DIAMETER.• TACACS+

- Kerberos.- LDAP. Implementaciones.

- Servidores de autenticación. - Usuario y contraseña, certificados digitales, tarjetas físicas (“token”).

- Configuración de parámetros de acceso.

CONCEPTOSV

UUDD 3: 3: “Implantación de técnicas de seguridad “Implantación de técnicas de seguridad

remoto. Seguridad perimetral.”remoto. Seguridad perimetral.”

Pruebas escritas

UUDD 3: 3: “Implantación de técnicas de seguridad “Implantación de técnicas de seguridad

remoto. Seguridad perimetral.”remoto. Seguridad perimetral.”

SEGURIDAD PERIMETRAL:1. Router frontera:

a) Manual usuario /técnico de un router doméstico.b) Realiza una comparativa entre los routers frontera atendiendo a las opciones

de seguridad perimetral (NAT, Firewall, DMZ,…etc).Router DLINK: http://support.dlink.com/emulators/di604_reveRouter LINKSYS:

simulador: http://ui.linksys.com/WRT54GL/4.30.0/Setup.htmsimulador: http://ui.linksys.com/AG241/1.00.16/Setup.htm

Router TP-LINK:simulador: http://static.tp-link.com/resources/simulator/WR842ND(UN)1.0/index.htm

2. DMZ:a) DMZ contruido con un router doméstico. Servicio Web.

3. NAT:a) Comprobación de la seguridad perimetral de un router doméstico. Utilizar DNS Dinámico (DDNS).b) Port Forwarding (Reenvío de puertos) en un router doméstico. Servicio Web en la red interna.c) Informe : Diferencia entre “Port Forwarding” y “Port Triggering” en los routers.

Demuestra su utilización.

UUDD 3: 3: “Implantación de técnicas de seguridad “Implantación de técnicas de seguridad

remoto. Seguridad perimetral.”remoto. Seguridad perimetral.”EXPOSICIÓN DE

TAREAS O ACTIVIDADES

I

1

2

REDES PRIVADAS VIRTUALES (VPN)4. VPN de acceso remoto

a) Simulación VPN de acceso remoto, utilizando Packet Tracer.b) Informe protocolo PPTP. Comparación con otros protocolos VPN.c) Acceso VPN a IES Gregorio Prieto. Protocolo PPTP.

1.- Cliente Windows / Cliente Linux.2.- Otros clientes.

d) Acceso VPN a Casa. Servidor VPN. Protocolo PPTP.e) Acceso VPN a IES Gregorio Prieto. Protocolo IPSEC.f) (OPCIONAL). Acceso VPN Passthrough. Protocolo PPTP.g) (OPCIONAL). CISCO CCNA Security 1.1. Laboratorio Lab-8-B; VPN Acceso remoto

- Realizar en el laboratorio virtual (GNS3) ó laboratorio físico CISCO.

5. VPN sitio a sitioa) (OPCIONAL). CISCO CCNA Security 2.0. Laboratorio Lab-8.4.1.3: Configurando

una VPN sitio-a-sitio usando CISCO IOS.- Realizar en el laboratorio virtual (GNS3) o laboratorio físico CISCO

UUDD 3: 3: “Implantación de técnicas de seguridad “Implantación de técnicas de seguridad

remoto. Seguridad perimetral.”remoto. Seguridad perimetral.”EXPOSICIÓN DE

TAREAS O ACTIVIDADES

II

3

5

4

Grupo de alumnos

Grupo de alumnos

Grupo de alumnos

REDES PRIVADAS VIRTUALES (VPN)6. VPN sobre red local

a) Protocolo L2TP/PPTP. Instalación de un servidor VPN en Windows. Acceso desde cliente VPN.b) (OPCIONAL). Protocolo OpenVPN. Instalación de un servidor OpenVPN en GNU/Linux .Acesso

desde cliente VPN.c) Configurar un router Linksys como un servidor VPN sobre red local. Elige un simulador de los

modelos que aparecen en el siguiente enlace:https://supportforums.cisco.com/community/911/cisco-small-business-online-device-emulators

TECNICAS DE CIFRADO: COMUNICACIONES SEGURAS7. SSH

a) Conexión segura SSH a la administración de un router CISCO (Simulación GNS3)b) Instalación del servidor SSH en GNU/Linux. Conexión al servidor SSH mediante cliente GNU/Linux

y cliente Windows.

UUDD 3: 3: “Implantación de técnicas de seguridad “Implantación de técnicas de seguridad

remoto. Seguridad perimetral.”remoto. Seguridad perimetral.” EXPOSICIÓN DE TAREAS O

ACTIVIDADESIII

6

Grupo de alumnos

SERVIDORES DE ACCESO REMOTO8. Protocolos de autenticación:

1.- Escenarios CISCO: Interconexión de redes mediante protocolos PPP,PAP, CHAP- Realizar en el laboratorio virtual (GNS3) individualmente.

9. Servidores de autenticacióna) SERVIDOR RADIUS.

1.-Simulación de un entorno de red con servidor RADIUS CISCO en el simulador Packet Tracer

2.- Instalación de un servidor RADIUS en GNU/LINUX (freeradius), para autenticar conexiones que provienen de un ROUTER INALÁMBRICO.

a.- Autenticación de usuarios en texto plano.b.- Autenticación de usuarios basado en bases de datos (MySQL, SQL Server, etc)

UUDD 3: 3: “Implantación de técnicas de seguridad “Implantación de técnicas de seguridad

remoto. Seguridad perimetral.”remoto. Seguridad perimetral.”EXPOSICIÓN DE

TAREAS O ACTIVIDADES

IV

Grupo de alumnos

SERVIDORES DE ACCESO REMOTO3.- Configurar Windows 2008/2012 Server como servidor RADIUS.

Comprobar la autenticación con conexiones que provienen de un ROUTER INALÁMBRICO.

4.- (OPCIONAL). CISCO CCNA Security 2.0. Laboratorio Lab-3.6.1.1. Acceso administrativo seguro utilizando AAA y RADIUS (WinRadius).

5.- Informe EDUROAM. Analiza dicha infraestructura y características. http://www.eduroam.es

UUDD 3: 3: “Implantación de técnicas de seguridad “Implantación de técnicas de seguridad

remoto. Seguridad perimetral.”remoto. Seguridad perimetral.”EXPOSICIÓN DE TAREAS

O ACTIVIDADESV

Grupo de alumnos

Grupo de alumnos

Grupo de alumnos

SERVIDORES DE ACCESO REMOTO9. Servidores de autenticación

b) SERVIDOR LDAP: (OPCIONAL)1.- Instalación de un servidor OpenLDAP GNU/LINUX (OpenLDAP).

http://www.openldap.org/2.- Instalación de un cliente LDAP bajo Windows o GNU/Linux para

autenticarse.3.- Busca información sobre LDAP y su implementación en productos

comerciales. http://www.rediris.es/ldap/

UUDD 3: 3: “Implantación de técnicas de seguridad “Implantación de técnicas de seguridad

remoto. Seguridad perimetral.”remoto. Seguridad perimetral.”EXPOSICIÓN DE

TAREAS O ACTIVIDADES

VI

SERVIDORES DE ACCESO REMOTO9. Servidores de autenticación

c) SERVIDOR KERBEROS (OPCIONAL)1.- Instalación de un servidor Kerberos 5 GNU/LINUX.

http://web.mit.edu/kerberos/www/2.- Instalación de un cliente Kerberos 5 bajo Windows o GNU/Linux para

autenticarse.3.- Busca información sobre el estado actual de Kerberos y su adaptación

e integración en las Empresas

UUDD 3: 3: “Implantación de técnicas de seguridad “Implantación de técnicas de seguridad

remoto. Seguridad perimetral.”remoto. Seguridad perimetral.”EXPOSICIÓN DE

TAREAS O ACTIVIDADES

VII

SERVIDORES DE ACCESO REMOTO9. Servidores de autenticación

d) SERVIDOR TACACS+ (OPCIONAL)Busca en CISCO, información referente a :1.- Diferencias entre RADIUS y TACACS+. Ventajas e inconvenientes.2.- Instalación de un servidor TACACS+.3.- Autenticación de cliente TACACS+. 4.- Simulación en GNS3.

UUDD 3: 3: “Implantación de técnicas de seguridad “Implantación de técnicas de seguridad

remoto. Seguridad perimetral.”remoto. Seguridad perimetral.”EXPOSICIÓN DE

TAREAS O ACTIVIDADES

VIII

REALIZACIÓN DE TAREAS O ACTIVIDADES POR EL ALUMNO

UUDD 3: 3: “Implantación de técnicas de seguridad “Implantación de técnicas de seguridad

remoto. Seguridad perimetral.”remoto. Seguridad perimetral.”