Montaje de una Red - lsub.orglsub.org/export/tcpip/9.montaje.pdf · LSUB, GYSC, URJC. Esquema I!...
69
Montaje de una Red LSUB, GYSC, URJC
Transcript of Montaje de una Red - lsub.orglsub.org/export/tcpip/9.montaje.pdf · LSUB, GYSC, URJC. Esquema I!...
Montaje de una RedLSUB, GYSC, URJC
Esquema I Access Point
Red Local
Internet
Servicios
• DHCP (cliente y servidor)
• Configuración de la WIFI
• Port Forwarding, Port Triggering
• DMZ
• Y un café…
Esquema 1I Router ADSL
Internet
Servicios
• DHCP
• NAT, port forwarding
• Configuración del ADSL
• Configuración de la WIFI
Access Point
• Linksys Wireless
• Paso I resetarlo para dejarlo en valores de fábrica
Access Point
Paso II
• Me conecto a la ethernet
• Miro la dirección de gateway que me da (o pruebo con la misma acabada en 1)
• Su ip en este caso es 192.168.1.1 (es lo más común)
• Me conecto en el navegador a
• http//192.168.1.1
• usuario vacío, password: admin (buscado en google)
Access Point
• Valores de fábrica, password de fábrica
• Busco en google “linksys wireless router password”
Status - Router
• Estado del access point
• Respecto de la red local
• Es un cliente más (como otro PC)
• Tiene su configuración (gateway, etc)
• O se configura por DHCP
Status-wireless
• MAC del router en el interfaz wireless
• SSID, canal, cifrado
• DHCP activado o no
Status-local network
• Mac del router en la red local creada por el router
• Servidor DHCP del router
Administration -Management
• Control del interfaz de configuración
• Password de control (el que era admin)
• Interfaz de admin remota (mejor deshabilitar), en el interfaz de internet
• Se puede poner http o https (mejor el segundo) para autenticar/cifrar
• UPnP: universal plug and play, protocolo para descubrir dispositivos, juegos multiplayer para detectarse- deshabilitar si no se necesita (riesgo seguridad)
Applications & Gaming - QoS
• Quality of Service: como evitar que alguien descargando vídeo deje al resto sin red
• Por MAC, por puerto físico ethernet, por puerto de aplicación
• WMM, wireless multimedia extensions, QoS wifi (si estoy viendo un video, reserva ancho de banda, etc), nivel de enlace
Applications & Gaming - DMZ
• DMZ - DeMilitarized Zone
• Zona con cosas “atacables” es la DMZ (servidor web, correo electrónico)
• Zona en la que hay cosas sensitivas (acceso interno a bases de datos, etc.)
• Una desconectada de la otra (esta es la teoría)
• Si la habilitas, lo que sucede es que ese host recibe todas las conexiones entrantes
• Tiene que tener una IP estática
Seguridad WIFI
• WEP no, está roto (igual que no poner password)
• WPA más o menos (sólo si lo necesitas)
• WPA2 es seguro (password fuerte, SSID diferente)
• Radius te deja entrar y la autenticación es mediante página web (incómodo, pero necesario en algunos casos)
Applications & Gaming - Port Forwarding
• El puerto de llegada, a qué máquina va
• Se puede elegir TCP/UDP
Applications & Gaming - Port Triggering
• Como port forwarding pero automático
• Paquetes/conexiones de salida hacen que se haga forwarding de paquetes/conexiones de entrada
• Puertos de disparo y puertos de los que se hace forwarding
Access Restrictions
• Lista de différentes capacidades de acceso
• Controlar el acceso a internet
• Lista de PCs, día, hora
• Proxy “transparente”, por palabras, urls
Security
• IPSec: extensiones de seguridad de ip
• PPTP: Point-to-Point tunneling protocol (redes privadas virtuales, VPN)
• L2TP: Layer 2 tunelling protocol, usado con IPSec porque no cifra, para VPN
Security - Firewall• Block Anonymous Internet Requests: Bloquea
ICMP
• Filter Multicast: no deja pasar el tráfico multicast
• Filter internet NAT redirection: impide usar la ip pública para servicios desde las direcciones locales, para llegar a 192.168.1.110 no puedo usar la ip pública 10.0.0.1desde 192.168.1.109.
• Filter IDENT: filtra el servicio IDENT puerto 113 para identificar servicios
Wireless-Basic Wireless Settings
• Wireless Network Mode: Mixed, B, G, diferentes estándares
• SSID: nombre de la red
• SSID Broadcast: radiado del nombre
• Channel: canal inalámbrico
• SES: presionas un botón en cliente y servidor y se configura la contraseña (ya no hay botones, es el del interfaz web)
Setup-Basic Setup• Configuración de la salida a internet
• Nombre del router
• Nombre del host/nombre del dominio (DNS fuera)
• MTU del enlace al exterior
• Zona horaria
• Configuración que va a dar a los clientes por DHCP
• IP de comienzo y cuantas da, cuanto dura el préstamo (lease)
• DNSs
• WINS (implementación del nombrado NetBIOS de Microsoft similar a DNS pero local)
Setup - Advanced Routing
• Configuración de la tabla de rutas
Setup-Mac Address Clone
• Poner la MAC del router
• Útil si ya está dada de alta (hotel, ISP)
Setup-DDNS
Otro access point
• Linksys Wireless
• Paso I resetarlo para dejarlo en valores de fábrica
(reseteo) 30s!
Reset
• Valores de fábrica, password de fábrica
• Busco en google “linksys ea4500 default password”
Muy similar
• Alguna cosa extra
IPv6
DMZ por MAC
Almacenamiento en red
SPI firewall
SPI firewall
• Con estado
• Mantiene tabla con conexiones
• Evita algunos ataques de denegación de servicio y spoofing
DHCPv6
Dos canales diferentes
Acceso invitados (RADIUS)
Filtrado por MAC
Seguridad WIFI peculiar
Router ADSL
• Muy similar al access point (que es tambien un router…)
• http://www.belkin.com/pyramid/AdvancedInfo/F5D8631uk4A/Interfaces/F5D8631uk4A/wan_conn.html
Configuración del ADSL
Tipo de conexión ADSL
• 1483 Bridge: Bridge usando ATM
• PPPoE: PPP over Ethernet
• IPoA: IP over ATM
• PPPoA: PPP over ATM
• Modem only: modem only, conexión a traves de un bridge
Configuración del ADSL
Depuración de la Red
• ¿Tengo dirección?, ifconfig/ipconfig, opciones TCP/IP, propiedades de la red
• Ver la tabla de rutas: route print
• ¿Está bien? comprobar máscaras, gateway…
• Comprobar que el gateway es el que debe ser, hacer ping al gateway
Llego al gateway
• ¿Hay salida? hago ping a una dirección externa
• Compruebo la info que pueda sobre ADSL
• En la página del router
• En las luces del router
No tengo ping hacia afuera
• Compruebo si es que han filtrado el ping
• Uso telnet sobre una página web externa
• Puede haber un proxy y haber filtrado ping…
• Hago telnet al proxy y le hago un GET
• Si el proxy es especial, puedo usar netcat -proxy
• Comprobar el firewall
Tengo ping externa pero no Web
• ¿Funciona el DNS? miro configuración (¿viene de DHCP, lo he puesto yo?)
• Lo pruebo con dig
• Pruebo alguno conocido (8.8.8.8 8.8.4.4) o busco alguno en internet (desde el móvil)
• Miro el fichero hosts y me aseguro que tiene sentido
• Comprobar el firewall
Tengo DNS y ping hacia afuera, no tengo Web
• ¿Hay un proxy? configuración del navegador
• ¿Alguien no me deja salir?
• ¿Vuelvo a mirar el ping, pierde paquetes? el router de salida está mal o la conexión está mal o algo físico está roto
• Hay mucho mucho mucho tráfico (infección, ataque de denegación de servicio)
• Comprobar el firewall
No funciona nada/conexión esporádica
• Miro la tabla de ARP a ver qué pinta tiene
• si hay otra mac con mi IP o alguien con la mac del router…
• Compruebo los cables de red (aprieto los conectores)
• Me acerco al router inalámbrico, cambio los canales en los que emite (pruebo varios fijos si son negociados)
• Hago un ping a mi IP y desenchufo la máquina (si contesta, alguien me ha robado la IP)
• Reseteo las máquinas implicadas (esp. si es Windows), incluyendo switches y routers
• Pongo un Wireshark, miro a ver qué sucede
Búsqueda de culpables
• Sé que hay una máquina robando IPs o MACs o haciendo cosas malas
• Obtengo información sobre ella:
• wireshark, nmap
• arping, p0f
