Seguridad en redes, Guia 1 Facultad: Ingenieria Escuela: Electronica Asignatura: Seguridad en redes Tema: Introduccién a GNS3 y uso de listas de acceso. Contenidos Carga de IOS y manejo de la interfaz. Configuracién basica de los Routers. Conexidn de la interfaz de red fisica con GNS3. Aplicando ACLs Objetivos Especifi # Reconozca el entorno de la herramienta GNS3. # Realice la configuracién necesaria para el correcto funcionamiento de los elementos de red, Materiales y Equipo * PC con GNS3 instalado. * VirtualBox con maquina virtual Windows XP. Introduccién Teérica GNS3 es un simulador grafico de red que te permite disefiar topologias de red complejas y poner en marcha simulaciones sobre ellos. Para permitir completar simulaciones, GNS3 est estrechamente vinculada cot + Dynamips, un emulador de IOS que permite a los usuarios ejecutar binarios imagenes IOS de Cisco Systems. + Dynagen, un front-end basado en texto para Dynamips © Qemu, un emulador de los firewall PIX y ASASeguridad en redes. Guia 6 Procedimien Parte I. Carga de IOS y manejo de /a interface. 1. Inicie GNS3 y cree un nuevo proyecto cuyo nombre sea su ntimero de carnet. 2. De un diic en el icono con forma de router (Browse Routers), como vera se despliega una lista de modelos de router pero estos no contienen los 10S. Cuando se instala GNS3, este no trae las imagenes IOS de los routers, para cargarlos clic en Edit luego IOS imagen and hypervisors. 3. Enla ventana JOS imégenes and hypervisors y pestafia IOS Images, ubique el campo Image file: , \uego clic en el botén de biisqueda (...) y cargue la imagen ¢2600- telco-mz124-25c.image que esta ubicada en la siguiente ruta C:\IOS_R\ ‘Como vera son agregados automaticamente los parameros Platform, Model y Default RAM, es posible que al cargar otra IOS diferente, sea necesario colocar manualmente el valor de la RAM adecuada a la 10S. Figura 1. Ventana para cargar los IOS, 4. Guarde la configuracion de I jagen y cierre la ventana. 5. Repita los pasos anteriores para cargar la imagen 1700. Nota: Al finalizar su practica o el desafio, usted debera eliminar las imagenes cargadas en la ventana JOS imagen and hypervisors. Los modelos de router a utilizar en la simulacién serén los 2621, para insertarlos en la simulacién, de clic en el botén "Browse Routers” para que se muestren los Routers anteriormente afiadidos, luego de clic en el modelo 2600 y arrastrelo hasta el area de la simulaci6n, necesitara colocar 3 router en el area de simulacion.Seguridad en redes. Guia 3 7. Interconecte los router como en la figura 2 y haga uso de la informacion de la misma: Ra Add a Link: Usado para conectar los cables entre los diferentes dispositivos de la red. foo oa Utilice la opcién manual en esta ocasién. on we @_ 6 Show/Hide interface label: Usado para foro SA mostrar_y ocultar las etiquetas de las fo10 bY interfaces Figura 2. Topologia de la simulacién. 8. Ahora, etiquete la topologia como se muestra en la figura 3. sommm Add a note: Es utilizado para insertar una nota o \—— apuntes en el area de la simulacién, Draw a Rectangle: Dibuja tun cuadro o recténgulo en el tea de la simulacién. Con lic derecho en el recténgulo construido, puede cambiar el color de fondo y llevar al frente o atras el recténgulo. Figura 3. Colocacion de texto y recuadros. 9. Guarde el proyecto e inicie la simulacién dando clic en el botén Start/Resume all devices 10. Abra las ventanas de consola de los router, dando clic en el botén Start Console... y elija la opcién Console connect to all devices. Si desea abrir individualmente la ventana de consola de un router en especifico, solo debe hacer clic derecho al router y seleccionar Console o simplemente doble clic en el router 11. Espere que los router carguen completamente.12. Debemos evitar el consumo excesivo del microprocesador de la maquina fisica, abra el administrador de tareas de Windows (Shift + Contol + Escape), pestafia Rendimiento. Observe el uso de! CPU Figura 4. Uso del microprocesador en la emulacién, 13. Para disminuir el consumo de CPU, de clic derecho en un router, elija la opcién Jdle- Pc, espere a que los valores se carguen y escoja de la lista desplegable algun valor que poséa el simbolo de *.Si no existiera un valor con *, escoja un valor cuyo intimero entre corchetes sea pequefio. Clic en Apply y observe el decremento de la sobrecarga del microprocesador (Si en el caso no disminuye el uso del CPU, pruebe con otro nimero). Clic en OK y guarde la simulacién. (ise al ee ate a of (tee Cs me Figura 5. Uso de los valores Idle PC para la disminucion del uso de CPU. Parte II. Configuracion basica de los Routers. 1. Configure a Router 1 Ri#configure terminal Ri(config)#hostname Extremol Extremo (config) #interface loopback 0 Extremol(config-if)#Ip address 10.0.0.1 255.255.255.0 Extremol(config-if}#exit2 Seguridad en redes, Guia 6 Extremol (config) #interface loopback 1 Extremol(config-if)#ip address 1.0.0.1 255.255.255.0 Extremo (config-if)#exit Extremol (config) #interface fa 0/0 Extremoi (config-if)#ip address 12.0.0.1 255.255.255.0 Extremol(config-if}#ne shutdown Extremol(config-if)#exit Extremot(config)#router rip Extremo (config-router)#version 2 Extremo (config-router)#network 10.0.0.0 Extremo (config-router)#network 11.0.0.0 Extremo (config-router) #network 12.0, Extremo (config-router)#exit Extremo (config)#do write Configure a Router 2 R2#configure terminal R2(config)#hostname Borde Borde(config).#interface fa 0/0 Borde(config-if)#ip address 12.0.0.2 255.255.255.0 Borde(config-if}#no shutdown Borde(config-if)#exit Borde(config)#interface fa O/t Borde(config-if)#ip address 13.0.0.2 255.255.255.0 Borde(config-if)#ne shutdown Borde(config-if)#exit Borde(config)#router rip Borde(config-router)#version 2 Borde(config-router)#network 12,0.0.0 Borde(config-router) #network 13.0.0.0 Borde(config-router)#exit Borde(config)#do write 3. Configure a Router 3 Reconfigure terminal R3(config)#hostname Extremo2 Extremo2(config)#interface loopback 0 Extremo2(config-if)#ip address 172.10.0.1 255.255.0.0 5Seguridad en redes. Guia 6 4. 5. Parte III. Conexion de la interfaz de red fisica con GNS3. Una de las ventajas que nos proporciona GNS3, es la interaccién de las interfaces de red fisicas y légicas con el escenario de dispositivos emulados. Entre las interfaces Iégicas Extremo2(config-i#exit Extremo2(config)#interface loopback 1 Extremo2(config-if)#ip address 172.20.0.1 255.255.0.0 Extremo2(config-if#exit Extremo2(config) interface fa 0/0 Extremo2(config-if)#ip address 13.0.0.1 255.255.255.0 Extremo2(contig-if}#ne shutdown Extremoz(config-i)#exit Extremo2(config)#router rip Extremo2(config-router)#version 2 Extremo2(config-router)#network 13.0.0.0 Extremo2(config-router)#network 172.10.0.0 Extremo2(config-router)#network 172.20.0.0 Extremo2(config-router)#exit Extremo2(config)#do write Obtenga la tabla de enrutamiento en cada router. Show jp route Realice pruebas de conexién utilizando las herramientas ping y traceroute, desde router extremol hacia todas las interfaces de router extremo 2. tenemos las maquinas virtuales de VirtualBox. 1 Agreguemos una nube para la conexidn, para esto, clic en Browse ail devices y arrastre una nuve al area de trabajo. A esta nube le asignaremos la interfaz fisica correspondiente “Conexion de area local” (clic izquierdo sobre la nube > configuracién > NIO Ethernet seleccione interface > agregar) figura 6. ieseNOece FORMS 2078 5-0 ACFE oh he 9 nar rk ce ed) Core Figura 6. Seleccién de /a interface fisica,Seguridad en redes. Guia 67 2. La nube la conectaremos a la interface FastEthernet 0/1 del router Extremol. Ronde 2. foo fort 02 \a2 Red 12:000/24 Red 13.00.0/24 Figura 7. Conexién de la interface fisica de la computadora al escenario. 3. Configure el adaptador de red de Windows de la siguiente manera: El valor de X deberd ser distinto al de sus compafieros, puede utilizar su ntimero de lista o pregunte a su instructor el nimero a utilizar. Direccién IP: 14.X.0.2 Mascara de subred: 255.255.255.0 Puerta deenlace: 14.X.0.1 4. Ahora configuraremos la interface Fa0/1 de Extremo! y agregamos la nueva red al proceso de enrutamiento. Extremol #configure terminal Extremo (config) #interface fa0/1 Extremol(config-if)#Ip address 14.X.0.1 255.255.255.0 Extremo (config-if}#no shutdown Extremot(config-if)#exit Extremo (config)#router rip Extremol (config-router)#network 14.X.0.0 Extremo (config-router)#exit Extremo (config)#do writeG Seguridad en redes. Guia 6 5. Realice pruebas de ping desde el CMD de Windows hacia todas las interfaces del router Extremo2, como también realice ping desde los routers hacia la maquina fisica de Windows (el firewall de Windows debera estar desactivado). Parte IV. Aplicando ACLs 1. Aplicaremos una ACL extendida al router Extremol, para denegar ping hacia la red de la maquina fisica Windows. Extremo (config)# access-list 101 deny iemp any 14.X.0.0 0.0.0.255 Extremol (config)# access-list 101 permit jp any any Extremo (config) interface fa0/0 Extremot(config-if)# ip access-group 101 in 2. Compruebe la configuracién realizando ping desde los router Borde y Extremo2 a la maquina fisica. 3. Ahora realice ping desde la Windows hacia cualquier red de Extremo2, el resultado debe negativo, ya que la restriccién es en ambos sentidos al no permitir el echo replay. Para solucionario colocaremos una regla pata permitir el echo replay. Elimine la ACL creada. Extremo (config)#no access-list 101 Cree nuevamente la ACL 101 Extremot(config)# access-list 101 permit icmp any 14.X.0.0 0.0.0.255 echo-reply Extremoi (config) # access-list 101 deny icmp any 14.X.0.0 0.0.0.255 Fxtremot(conyig)# access-list 101 permit jp any any 4. Compruebe el funcionamiento de la ACL realizando ping desde Extremo2 hacia Windows y viceversa. 5. Investigue como delimitar el tréfico a un puerto en especifico mediante ACL's, esto le ayudara a completar el desaffo. 6. Recuerde eliminar los 10S cargados al finalizar la practica o el desafio.Seguridad en redes. Guia 9 Desafio cort 1. Agregue una nueva conexidn al escenario, conecte Ia interface de VirtualBox a la fastEthernet 0/1 de Extremo2 (El adaptador de red Virtualbox debe de estar en modo Adaptador sdlo-anfitridn, usted utilizara la caja virtual de Windows XP instalada en su méquina), Configure lo necesario en router Extremo2 para la comunicacién. Utilice la red 15.0.0.0 /24 para la nueva red. 2. No permita ping desde cualquier origen a las interfaces del router Borde, exceptuando la IP de la maquina virtual. 3. Configure el router Borde, para poder ser accedido remotamente via telnet con los siguientes requerimientos. a, Se permitira acceso via telnet Unicamente a las ultimas 15 IPs de la red 14.X.0.0 b, Se permitird acceso via telnet Unicamente IPs pares de la red 15.0.0.0 Evaluacién Asistencia 20% Desarrollo de la préctica completa 40% Desarrollo del desafio corté 40%