Principales Componentes de Communications

Slides:



Advertisements
Presentaciones similares
Capturas en IOS (Embedded Packet Capture)
Advertisements

Dirección IP Las direcciones IP son un número único e irrepetible con el cual se identifica una computadora conectada a una red que corre el protocolo.
Nau Gran dHivern Intr. a la creación y gestión de páginas web Introducción a la web.
© Aastra – 2011 Aastra Redirection and Configuration Service (RCS)
Configuración básica de un router CISCO
Configuración y administración de una red
Conexiones VPN usando RouterOS
Interfaz de Línea de Comando
Caracterización de la red existente
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Configuración de un switch Conmutación y conexión inalámbrica de.
OBJETIVOS Adquirir los mas inportantes conocimientos y conceptos (teoricos-practicos) en Seguridad Informatica.
Creación del prototipo de la red del campus
29/03/2017 ROUTING IP Herramientas Basicas Redes Convergentes.
Listas de Acceso Módulo 11.
Access Control Lists (ACLs)
SERVICIOS DE TCP/IP.
Ing. Horacio Carlos Sagredo Tejerina
Trabajar en una pequeña o mediana empresa o ISP. Capítulo 7
Los servicios de red son la fundación de una red de trabajo en un ambiente de computadoras. Generalmente los servicios de red son instalados en uno o.
Problemas asociados a DHCP. Seguridad
Curso de Actualización
Introducción a los protocolos de enrutamiento dinámico
MODELO TCP/IP Conectividad de extremo a extremo especificando como los datos deberian ser formateados,direccionados,transmitidos,enrutados y recibidos.
Tecnologías inalámbricas
PROTOCOLOS Un protocolo es un conjunto de reglas que hacen que la comunicación en una red sea más eficiente.
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Resolución de problemas de una red empresarial Introducción al.
L.I. Homero González Gamiño
Conceptos y protocolos de enrutamiento. Capítulo 7
Enrutamiento estático
© 2003 Cisco Systems, Inc. All rights reserved.. 2 Session Number Presentation_ID Troubleshooting de Protocolos de Enrutamiento.
Aspectos básicos de networking: Clase 5
Configuración de Area Simple de OSPF
Access List A continuación aprenderemos a configurar las listas de acceso en los routers Cisco. Las mismas son empleadas las redes de datos permanentemente,
LISTAS DE CONTROL DE ACCESO ACL Semestre 2 Capítulo 11
DIPLOMADO EN OPERADOR DE SOFTWARE BÁSICO
David Ruete Z1 ENRUTAMIENTO BÁSICO. David Ruete Z2 Agenda Modelo OSI v/s modelo TCP Flujo de la información en los modelos Clasificación de protocolos.
Enrutamiento estático
Principios básicos de routing y switching
III. Protocolo RIP Versión 1.
Existen dos tipos básicos de redes VPN:
LISTAS DE CONTROL DE ACCESO (ACL)
LOS SERVIDORES DHCP. Acerca del protocolo DHCP DHCP (acrónimo de Dynamic Host Configuration Protocol, que se traduce Protocolo de configuración dinámica.
Access Control List Modulo 11, Semestre 2 CCNA..
Configuración de un router. Agenda Trabajo con el archivo de configuración Password de acceso Procedimiento de configuración.
© 2014 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 11: Traducción de direcciones de.
1 Nivel aplicación Interacción Cliente Servidor Agustín J. González ELO309.
AXEL LATORRE GABRIEL VALENZUELA GIAN PAOLO ALMEIDA ROMMEL CHIFLA ISABEL VILLEGAS INTEGRANTES.
DHCP protocolo de configuración dinámica de host.
RESUMEN CAPITULO 6.
Fundamentos de TCP/IP.
Capítulo 5: Routing entre VLAN
Capa de Red4-1 Capítulo 4: Capa Red - IV ELO322: Redes de Computadores Agustín J. González Este material está basado en:  Material de apoyo al texto Computer.
111 © 2002, Cisco Systems, Inc. All rights reserved. Presentation_ID.
UNIVERSIDAD DE GUADALAJARA CENTRO UNIVERSITARIO DE LA COSTA SUR ALUMNA: CLEMENTINA RANGEL ALMEDA MATERIA: SISTEMAS OPERATIVOS ABIERTOS 16 DE JUNIO 09,
Documentación de una red empresarial:
Servicios de Red e Internet
N A T Network Address Translation.
Redes virtuales.
Ing. Elizabeth Guerrero V.
Configurando enrutadores.. Ejemplo Topología. #SRID SubredBroadcastIntervalo de direcciones válidas Hosts 
UD 1: “Introducción a los servicios de red e Internet”
PROTOCOLO TCP Y UDP.
Protocolos de comunicación TCP/IP
Ing. Elizabeth Guerrero V.
Protocolos de Transporte y Aplicación. – TCP y UDP
UNIVERSIDAD LATINA SEGURIDAD INFORMATICA II
Tipos de Redes y sus Topologias. ¿Qué es una red? Una red es la unión de dos o más ordenadores de manera que sean capaces de compartir recursos, ficheros,
UD09 Sergio Lucas Madrid. Es un protocolo de Internet para sincronizar los relojes de los sistemas informáticos a través del ruteo de paquetes en redes.
¿Qué es una red? Una red es la unión de dos o más ordenadores de manera que sean capaces de compartir recursos, ficheros, directorios, discos, programas,
1.- C onmutadores CISCO 2.- Admin y configuración de Switches Cisco 3.- Redes LAN virtuales (VLAN). 5.- Enrutamiento Inter-VLAN 4.- Spanning Tree.
Transcripción de la presentación:

Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente

Protocolo estándar de red Conceptos preliminares de Protocolos TCP/IP Protocolo estándar de red Posee los siguientes elementos para comunicarse: IP Puerto Comunicación TCP/UDP Commando netstat

Conceptos preliminares de Protocolos Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente Conceptos preliminares de Protocolos TCP: Transmission Control Protocol Control de flujo y de errores Los enlaces de múltiples aplicaciones de un mismo nodo se diferencian por el valor del puerto Cada proceso de una aplicación se define por una dirección IP y un número de puerto UDP: User Datagram Protocol Protocolo sin conexión El control de errores lo realizan las aplicaciones

Secuencia de apertura TCP/IP Conceptos preliminares de Protocolos Secuencia de apertura TCP/IP Conocida como comunicación de 3 vías Host A Host B Envía SYN (seq=x) Recibe SYN (seq=x) Envia SYN (seq=y, ack=x+1) Recibe SYN (seq=y, ack=x+1) Envía ACK (ack=y+1) Recibe ACK (ack=y+1)

Conceptos preliminares de Protocolos Netstat

ARP (Address Resolution Protocol) Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente ARP (Address Resolution Protocol) Necesito la dirección MAC de 172.16.3.2 172.16.3.2 Esta es mi dirección MAC 172.16.3.1 IP: 172.16.3.2=??? IP: 172.16.3.2= ethernet: 0800.0020.1111 Mapea IP Mac

Hubs Componentes de una Red: vulnerabilidades y seguridad Concentradores de red Red bus – estrella Todo el tráfico para cada estación es enviado a todos Reproduce mucho tráfico. Inseguro, cada PC conectado puede ver tráfico que no le corresponde con el uso de un sniffer.

Switch Concentrador de red “inteligente” Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente Switch Concentrador de red “inteligente” Almacena el Mac Adress de cada estación El tráfico es enviado al destinatario únicamente a menos que tenga la forma 255.255.255.255

Port Security Problema : Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente Port Security Problema : Cada dispositivo que se agrega a la red va ha recibir una dirección IP. Solución: Restringir acceso por mac address. Es buena solución para redes que son relativamente estáticas. Eso no deja que un hacker desconecte una máquina permitida en la red y conecte su laptop. Es crítico al nivel del core switch, porque en esa zona no tiene que abrir Mucho movimiento de dispositivos.

Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente Configuración: El switch aprende el primer mac address que ve en el port. Entonces se puede asignar automáticamente: Core1> (enable) set port security 2/23 enable Port 2/23 port security enabled with the learned mac address. También se puede agregar un mac address diferente: Core1>(enable)set port security 2/20 enable xx-xx-xx-xx-xx-xx Port 2/20 port security enabled with xx-xx-xx-xx-xx-xx as the secure mac address.

Configuración: Switch)# config t Switch(config)# int fa0/18 Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente Configuración: Switch)# config t Switch(config)# int fa0/18 Switch(config-if)# switchport port-security ? aging Port-security aging commands mac-address Secure mac address maximum Max secure addresses violation Security violation mode Switch(config-if)# switchport port-security Switch(config-if)#^Z

Arp Spoofing 192.168.1.1 192.168.1.138 192.168.1.10

Backtrack, Live CD www.offensive-security.com Dsniff Macof Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente Backtrack, Live CD www.offensive-security.com Dsniff Macof

Configurar tabla de arp local Protección Usar Port Security Configurar tabla de arp local PromiScan: www.securityfriday.com/products/promiscan.html Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente

VLAN Reduce Brodcasts/manejo preferible de ancho de banda en el LAN. Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente VLAN Reduce Brodcasts/manejo preferible de ancho de banda en el LAN. Agrupa puertos lógicamante/ por departamento. Controla distribution de virueses/trojanos dentro del LAN. Crear por lo menos un VLAN para los usuarios y otro para servidores. Cuando un usuario se cambia de departamento, es suficiente con cambiar el Vlan en el switch y no mover el usuario físicamenete. Para pasar tráfico de Vlan a Vlan es necesario un switch L3. Red mas segura. VLAN PRIVADO

VLAN Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente VLAN

802.1x Port Baseed Network Access Control

Switch Router Concentrador de red “inteligente” Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente Switch Concentrador de red “inteligente” Almacena el Mac Adress de cada estación El tráfico es enviado al destinatario únicamente a menos que tenga la forma 255.255.255.255 Router Permite unir dos diferentes redes Algunos permiten filtrar el contenido El Router siempre es la primera línea de defansa de la red ( Seguridad en profundidad( El router de perímetro es el punto de contacto entre la WAN y la red corporativa, pudiendo ser la primer barrera de protección. Deben configurarse todas la opciones de seguridad brindadas por el dispositivo, contribuyendo así al concepto de seguridad en profundidad En muchos casos, el router es provisto y administrado por el proveedor.

Switch Router Concentrador de red “inteligente” Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente Switch Concentrador de red “inteligente” Almacena el Mac Adress de cada estación El tráfico es enviado al destinatario únicamente a menos que tenga la forma 255.255.255.255 Router 172.16.200.1 172.16.3.10 172.16.12.12 172.16.2.1 E0 E1 10.1.1.1 10.250.8.11 10.180.30.118 10.6.24.2 172.16 . 12.12 Red Host Tabla de routing Red Interface 172.16.0.0 E0 10.0.0.0 E1

¿Qué significa un proceso de Hardening para un Router? Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente ¿Qué significa un proceso de Hardening para un Router? Control de acceso. Eliminar tráfico no necesario. Reducir los vectores de ataque

Metodología Protection de los passwords Configurar diferentes niveles de privilegios Limitar accesso remoto Configurar banners Configurar SNMP Configurar logging y NTP Configurar anti-spoofing Mitigar Denial of Service attacks Verificar la configuración

Banners banner login banner motd ^C ************************************************************* !! Sólo se permite entrar a usuarios autorizados. El acceso no autorizado es penado por la ley!! Esta es una red privada y debe ser usada sólo con el permiso directo de su propietario(s). El propietario se reserva el derecho de monitorear el uso de esta red para asegurarse de la seguridad de la red y responder a alegatos específicos de uso inapropiado. El uso de esta network debería constituir consentimiento para ser monitoreada para estos y otros propósitos. Además, el propietario se reserva el derecho de consentir un refuerzo legal válido requerido para buscar en la red evidencia de un crimen de robo en esta red.************************************************************* ^C

Servicios no necesarios: no cdp run (tener cuidado) no boot network ( comando viejo) no service config no ip source-route no service finger (comando viejo) no ip finger no ip identd no service pad no service tcp-small-servers no service udp-small-servers no ip bootp server no tftp-server

Acess List (ACL) Number | Traffic | Destination IP | Source IP | Action Block rangos ips privados access-list 110 deny ip 192.168.0.0 0.0.255.255 any log-input access-list 110 deny ip 10.0.0.0 0.255.255.255 any log-input access-list 110 deny ip 172.16.0.0 0.15.255.255 any log-input Block Ping access-list 110 deny icmp any any redirect log-input Para no cargar tanto el CPU del Router access-list 110 permit tcp any any established

Limitar Acesso al router Telnet Ssh e HTML IOS desde version 12.0.5 soporta SSH Abilitar SSH: gw1(config)#ip domain-name example.com gw1#crypto key generate rsa gw1#config t Enter configuration commands, one per line. End with CNTL/Z. gw1(config)#ip ssh gw1(config)#ip ssh timeout 60 gw1(config)#ip ssh authentication-retries 3 Desabilitar Telent: gw1(config)#transport input ssh

Limitar Acesso al router Telnet Ssh e HTML Desabilitar Web server en el router: gw1(config)#no ip http server

Cambiar default password. Autenticar por Radius+AD. Configurar Accout luckput para evitar ataques de Fuerza bruta.

Syn Flood Protection para los servidores Dos Modos TCP Intercept Syn Flood Protection para los servidores Dos Modos Watch – fija y termina sesiones incompletas. Intercept – Trata de completar conectarse con el cliente por el servidor. Si tiene éxito, crea una conexión directa del cliente al servidor ,si no puede, cierra la conexión.

Riverhead Networks-http://www.riverhead.com

Pen test network Devices

ASS-Autonomous System Scanner Es una herramienta en la Internetwork Routing Protocol Attack Suite (IRPAS) que desenvuelve colecciones de protocolos de routing activas y pasivas. Información. Soporta un amplio número de protocolos de routing y puede proveer información muy útil. Informació en los protocolos, tal como la siguiente: ■ Cisco Discovery Protocol (CDP) ■ ICMP Router Discovery Protocol (IRDP) ■ Interior Gateway Routing Protocol (IGRP) and Enhanced Interior Gateway Routing Protocol (EIGRP) ■ Routing Information Protocol versions 1 and 2 ■ Open Shortest Path First (OSPF) ■ Hot Standby Routing Protocol (HSRP) ■ Dynamic Host Confi guration Protocol (DHCP) ■ ICMP

ASS-Autonomous System Scanner

Cisco Torch Incluido en el BackTrack CD, Cisco Torch es un Perl script que tiene varias funciones que pueden ser útiles para el penetration tester concentrándose en Cisco devices. Es capaz de identificar servicios corriendo en Cisco devices, tales como SSH, Telnet, HTTP, Trivial File Transfer Protocol (TFTP), Network Time Protocol (NTP), y SNMP. Después de identificar los servicios, puede conducir ataques de fuerza bruta a los passwords y puede aún hacer download del archivo de configuración si el leer/escribir community string ha sido encontrado.

Finger Service Si el servicio Finger está abilitado en un router, es posible interrogar al servicio para determinar quién está logiado en el equipo. Una vez que un nombre de usuario válido ha sido descubierto, el penetration tester puede empezar un ataque de fuerza bruta que adivine passwords si un servicio tal como Telnet está corriendo.

Hydra Es un tool para ataque de fuerza bruta que soporta la mayoría de los protocolos de login de la network, incluyendo aquellos que corren en redes como estas: Telnet,HTTP, HTTPS.SNMP,Cisco Enable

Brute Forcing enable

Cisco Global Exploiter El Cisco Global Exploiter (cge.pl) es un Perl script que provee una interface común a 10 diferentes vulnerabilidades de Cisco, incluyendo varios denial of service (DoS) exploits.

Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente HTTP Configuration Arbitrary Administrative Access Vulnerability http://10.0.1.252/level/99/exec/show/config

Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente HTTP Configuration Arbitrary Administrative Access Vulnerability http://10.0.1.252/level/99/exec/show/config

Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente http://www.boson.com Clear Text enable password Vigenere enable password 7 104B0718071B17 MD5 enable secret 5 $1$yOMG$38ZIcsEmMaIjsCyQM6hya0

Verificar configuración Verifica la configuraciónn segura del router antes de que el hacker lo verifique. Herramientas: En backtrack: Cisco global exploiter Cisco torch Cisco auditing tool Cisco scanner Nessus Snmp brute

links www.nsa.gov http://www.atomicgears.com/papers/bastionios.html Auditing tool: www.cisecurity.com ACLs: http://www.cisco.com/en/US/partner/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00800ae127.html#1109098

CISSP, MCSE, CCNA, SCSA, CCSA CONSULTAS Juan Babi CISSP, MCSE, CCNA, SCSA, CCSA juanb@tobesecurity.com www.tobesecurity.com

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.