Universidad Nacional Abierta y a Distancia

Vicerrectoría Académica y de Investigación

Guía única para el desarrollo del componente práctico del curso Seguridad en
Redes, Código: 233010

1. Información general del componente práctico.

Estrategia de aprendizaje: Estrategia de Aprendizaje Basado en Problemas

Tipo de curso: Metodológico
Momento de la evaluación: Intermedio
Puntaje máximo del componente: 150 puntos
Número de actividades del componente registradas en esta guía: 2
Con este componente se espera conseguir los siguientes resultados de
aprendizaje:

Resultado de aprendizaje 1: Evaluar el comportamiento de una red de datos, a partir

de herramientas, mecanismos y protocolos especializados en seguridad en redes.

Resultado de aprendizaje 2: Adaptar estrategias de defensa para diferentes entornos

de red, a través de mecanismos, protocolos y estándares.

2. Descripción general actividad(es) del componente práctico.

Escenarios de componente práctico: Con Apoyo TIC

Tipo de actividad: Independiente
Número de actividad: 1
Puntaje máximo de la actividad: 150 puntos
La actividad inicia el: martes, 28 de La actividad finaliza el: domingo, 28 de
septiembre de 2021 noviembre de 2021
Los recursos con los que debe contar para el desarrollo de la actividad son los
siguientes:

Para la actividad 1:

• Software de virtualización Oracle VirtualBox, en la versión 6.1.x o superior.

• Una máquina atacante: Máquina virtual: OWASP o KALI u OTRA.

1
 • Maquina Servidor: una máquina virtual Windows XP, 7, 8, 8.1 o 10, o una
máquina virtual Linux.

• Servidor Web: apache, IIS, u otro, instalado en la maquina Servidor.

• Servidor de Bases de datos: MySQL, PostgreSQL, MariaDB, entre otros,

instalado en la maquina Servidor.

• NMAP: instalado en la máquina atacante.

• WIRESHARK: instalado en la máquina atacante.

• SNORT: instalado en la máquina atacante.

Para la actividad 2:

• Packet Tracer, en la versión más reciente (7.3.x.x o superior)

Tenga en cuenta que para el correcto funcionamiento de Packet tracer se
recomienda estar registrado en la plataforma de Cisco netacad.

NOTA PARA LOS DOS LABORATORIOS: Recuerde que en cada una de las capturas
de pantalla que adicione a sus informes o en el foro, debe estar presente su ID, el cual
corresponde a los dos últimos números de su cédula. Si su número de cédula termina
en 0X, por favor, solo tome la X. Por ejemplo, el ID lo puede utilizar en las máquinas
virtuales, las cuales pueden llamarse MV_KALI_ID, en el nombre de un usuario
usuario_ID, la dirección IP utilizada puede ser 192.168.1.ID, y así con todos los
parámetros utilizados para demostrar su trabajo.

La actividad 1 consiste en:

Nota: las máquinas virtuales a utilizar en esta práctica deben llamarse:

MV_NOMBRE_APELLIDO_SISTEMA_OPERATIVO_ID, este nombre se debe mostrar en
Todas las capturas de pantalla adicionadas al laboratorio.

Tenga en cuenta para el laboratorio la estructura de conexión propuesta en el siguiente

diagrama de red.

2
Figura 1. Diagrama de red para la práctica 1.

Máquina
WWW Anfitriona

Máquina Virtual
NMAP Servidor Web
eth0 Máquina Virtual eth1
Red Interna
ID

Red Interna
IP: 172.16.ID.2/24
Eth0: Adaptador Puente GATEWAY: 172.16.ID.1
IP: DHCP DNS: 8.8.8.8

Eth1: Red Interna

IP: 172.16.ID.1/24

Fuente. Dulce E. (2021)

En esta práctica se utilizarán las siguientes herramientas, las cuales ya se encuentran

instaladas en la máquina virtual de OWASP o en Kali Linux, de lo contrario, las puede
instalar en una máquina de forma individual:

• Nmap: es una herramienta que permite explorar los nodos de una red,
identificando las características de las máquinas y los servicios disponibles.

• Wireshark: se trata de uno de los analizadores de protocolos más avanzados que

existe. Dispone de una interfaz gráfica desde la cual un usuario puede
inspeccionar todo el tráfico que pasa por las redes locales. Para ello, normalmente
requieren permisos de administrador (root en sistemas basados en UNIX), ya que
es posible que se requiera cambiar las interfaces a «modo promiscuo». Dentro de
las referencias bibliográficas se encuentra una guía para usar wireshark.

• Snort: es el referente actual en sistemas de detección de intrusiones (Intrusion

Detection Systems o IDS). Monitoriza el tráfico de la red (cambiando la interfaz
también a «modo promiscuo») y aplica una serie de reglas para determinar si se
está llevando a cabo algún ataque (como, por ejemplo, un escaneo de puertos
con nmap).

3
Guion de la práctica

A nivel general, en esta práctica se comprobará la forma en que un atacante puede

extraer información valiosa de una red sin más conocimientos previos que la existencia
de un servidor web y bases de datos. Se conoce la IP y el puerto en el que trabaja cada
servidor, los cuales se puede consultar en la siguiente tabla:

Tabla 1. Servidores, IP y puertos.

Servidor IP Puerto
Apache 172.16.ID.2/24 80_ID
IIS 172.16.ID.2/24 88_ID
Base de datos 172.16.ID.2/24 36_ID

Se debe tener claro que se requieren 2 máquinas virtuales para el laboratorio:

• Un servidor web y base de datos preferiblemente con un sistema operativo de

versión antes del 2010, sea Windows, Linux entre otros.

• Una maquina OWASP, Kali Linux u otro, que se encarga de revisar el

comportamiento de la red en los momentos de los ataques.

Se han hecho una serie de suposiciones para simplificar la práctica y hacerla factible
en el tiempo que se dispone:

• Los atacantes tienen una conexión a la red local donde se encuentran las
máquinas atacadas. Normalmente tendrían que pasar antes por varios
dispositivos de red y posiblemente rodear un firewall.

• Las propias máquinas atacadas no disponen de cortafuegos. La mayoría de

cortafuegos ralentizan el escaneo de puertos, ya que no responden a los mensajes
enviados a puertos cerrados, y obligan a NMAP a esperar. De todos modos, esto
es rodeable modificando los tiempos de espera y los métodos de escaneo
utilizados.

• En una de las máquinas se emplea una versión antigua y con conocidas

vulnerabilidades críticas de un servidor web y un sistema de gestión de base de
datos.

4
Los estudiantes deben realizar lo siguiente:

1. Dirigir el ataque activo sobre el servidor web y bases de datos, mediante

la interfaz gráfica zenmap para la herramienta NMAP, con los siguientes
pasos:

• Configurar los servidores web y de bases de datos, con los parámetros de IP y

puerto indicados en la tabla 1 y grafica 1.

• Describir la forma en que NMAP averigua IP, puerto y la versión del servidor web
(por ejemplo, Apache).

• Describir la forma en que NMAP averigua IP, puerto y la versión usada en el

servidor de bases de datos (por ejemplo, MySQL).

• Inspeccionar todo el tráfico que pasa por la red local en que se encuentran sus
interfaces de red, mediante la herramienta wireshark. Describir los hallazgos.

• Se entregará un informe con una descripción general de los resultados obtenidos.

Se valorará el contenido, la ortografía, redacción, el formato y las ilustraciones
(Las cuales deben tener su ID presente)

2. Ejecutar un ataque de spoofing sobre el servidor:

Los pasos generales para realizar el ataque de spoofing son:

1. Realizar una consulta sobre que es spoofing, relacione ejemplos y posibles

problemas de sufrir este tipo de ataques.
2. Seleccionar un ataque de spoofing (el que Usted vea conveniente) y realizar su
descripción.
3. Realizar un diagrama detallado de red, en el cual se pueda evidenciar todos los
actores del ataque seleccionado, describa:
• Máquinas que intervienen
• Direcciones IP y Puertos
• Herramientas utilizadas
• Nombre de las máquinas
• Sistemas operativos

4. Explicar todo el proceso para que el ataque de spoofing se materialice.

5
 5. Realice un estudio sobre posibles mecanismos utilizados para repeler o mitigar
el ataque seleccionado.

3. En el IDS SNORT, se debe realizar lo siguiente:

a. Mostrar el proceso de instalación y configuración de SNORT.

b. Configurar una Regla de Ping:

• Realizar un ping sostenido (-f en Windows) desde la máquina anfitriona

hasta la maquina atacante.
• Configurar una regla para detectar el tráfico ICMP.
• Mostrar los resultados mediante los log de SNORT de lo anterior. En el
fichero log debería mostrarse un mensaje que diga “Ping detectado ID”

c. Configurar una regla para el Puerto 137:

• Crea dos reglas para detectar cuando alguien está intentando acceder
a la máquina atacante al puerto 137, por los protocolos tanto UDP
como TCP. En el fichero de log, deberá aparecer el mensaje «Intento
de acceso al puerto 137 y el protocolo <TCP|UDP>».
• Demuestre que la regla funciona, para esto puede utilizar NMAP.

La actividad 2 consiste en:

Para el desarrollo de la actividad 2, debe autenticarse en packet tracer, para esto, debe
realizar su registro en la plataforma netacad de Cisco. Lo anterior para que su nombre
se muestre al final del laboratorio cuando se hayan culminado todos los objetivos.

Para este laboratorio, es de carácter obligatorio, modificar los nombres de cada uno
de los equipos de red (Routers y Switches) dentro del IOS, adicionando al nombre del
equipo una raya baja y el número ID que corresponde a los dos últimos números de su
cédula.

Por ejemplo: para cambiar el nombre al router R1, el estudiante con el ID 77, debe
realizar los siguientes pasos:

6
Después de esto, se deben desarrollar todos los pasos (steps) descritos abajo.

NOTA: debe agregar al informe una captura de pantalla de cada uno de 14 los
pasos (14 STEPS) con su respectiva descripción.

Objectives

• Connect a new redundant link between SW-1 and SW-2.

• Enable trunking and configure security on the new trunk link between SW-1 and SW-
2.

7
• Create a new management VLAN (VLAN 200) and attach a management PC to that
VLAN.
• Implement an ACL to prevent outside users from accessing the management VLAN.

Background / Scenario
• A company’s network is currently set up using two separate VLANs: VLAN 50 and
VLAN 100. In addition, all trunk ports are configured with native VLAN 150. A network
administrator wants to add a redundant link between switch SW-1 and SW-2. The
link must have trunking enabled and all security requirements should be in place.
• In addition, the network administrator wants to connect a management PC to switch
SW-A. The administrator would like to allow the management PC to be able to
connect to all switches and the router, but does not want any other devices to
connect to the management PC or the switches. The administrator would like to
create a new VLAN 200 for management purposes.
All devices have been preconfigured with:

Enable secret password: segredes2020ena

Console password: segredes2020con
VTY line password: segredes2020vty

Part 1: Verify Connectivity

• Step 1: Verify connectivity between C2 (VLAN 100) and C3 (VLAN 100).
• Step 2: Verify connectivity between C2 (VLAN 100) and D1 (VLAN 50).
• Note: If using the simple PDU GUI packet, be sure to ping twice to allow for ARP.

Part 2: Create a Redundant Link Between SW-1 and SW-2

• Step 3: Connect SW-1 and SW-2.
Using a crossover cable, connect port Fa0/23 on SW-1 to port Fa0/23 on SW-2.

• Step 4: Enable trunking, including all trunk security mechanisms on the link
between SW-1 and SW-2.
Trunking has already been configured on all pre-existing trunk interfaces. The new
link must be configured for trunking, including all trunk security mechanisms. On
both SW-1 and SW-2, set the port to trunk, assign native VLAN 150 to the trunk
port, and disable auto-negotiation.

Part 3: Enable VLAN 200 as a Management VLAN

The network administrator wants to access all switch and routing devices using a
management PC. For security, the administrator wants to ensure that all managed
devices are on a separate VLAN.

8
• Step 5: Enable a management VLAN (VLAN 200) on SW-A.
Enable VLAN 200 on SW-A.
Create an interface VLAN 200 and assign an IP address within the 192.168.ID.0/24
network.

• Step 6: Enable the same management VLAN on all other switches.

Create the management VLAN on all switches: SW-B, SW-1, SW-2, and Central.
Create an interface VLAN 200 on all switches and assign an IP address within the
192.168.ID.0/24 network.

• Step 7: Configure the management PC and connect it to SW-A port Fa0/1.

Ensure that the management PC is assigned an IP address within the
192.168.ID.0/24 network. Connect the management PC to SW-A port Fa0/1.

• Step 8: On SW-A, ensure the management PC is part of VLAN 200.

Interface Fa0/1 must be part of VLAN 200.

• Step 9: Verify connectivity of the management PC to all switches.

The management PC should be able to ping SW-A, SW-B, SW-1, SW-2, and
Central.

Part 4: Enable the Management PC to Access Router R1

• Step 10: Enable a new subinterface on router R1.

Create subinterface Fa0/0.3 and set encapsulation to dot1q ID to account for VLAN
200.
Assign an IP address within the 192.168.ID.0/24 network.

• Step 11: Verify connectivity between the management PC and R1.

Be sure to configure the default gateway on the management PC to allow for
connectivity.

• Step 12: Enable security.

While the management PC must be able to access the router, no other PC should be
able to access the management VLAN.
Create an ACL that denies any network from accessing the 192.168.ID.0/24 network,
but permits all other networks to access one another.
Apply the ACL to the proper interface(s).

9
Note: There are multiple ways in which an ACL can be created to accomplish the
necessary security. For this reason, grading on this portion of the activity is based on
the correct connectivity requirements. The management PC must be able to connect to
all switches and the router. All other PCs should not be able to connect to any devices
within the management VLAN.

Step 13: Verify security.

From the management PC, ping SW-A, SW-B, and R1. Were the pings successful?
Explain.
• _________________________________________________________________

Step 14: Check results.

Your completion percentage should be 100%.
Click Check Results to see feedback and verification of which required components
have been completed.

If all components appear to be correct and the activity still shows incomplete, it could
be due to the connectivity tests that verify the ACL operation.

Para el desarrollo de la actividad tenga en cuenta que:

En el entorno de Información inicial debe:

• Consultar en la agenda del curso la actividad, el tiempo de desarrollo, entrega y

retroalimentación de la misma.
• Consultar el syllabus del curso.

En el entorno de Aprendizaje debe:

• Revisar los referentes bibliográficos propuestos en la Unidad 1 y 2.

En el entorno de Evaluación debe:

• Entregar la actividad propuesta en la guía de actividades de la fase 3.

Evidencias de trabajo independiente:

Las evidencias de trabajo independendiente para entregar son:

Para la actividad 1:

10
 • El documento con el informe de la actividad debe ser creado utilizando la plantilla
que acompaña las guías, y debe ser construido teniendo en cuenta las normas
NTC 1486 y NTC 6166.

El nombre del archivo debe ser:

Fase2A1_233010_Nombres_Apellidos_cédula.docx

Para la actividad 2:

• El documento con las capturas de pantalla y descripciones, debe ser creado

utilizando la plantilla que acompaña las guías, y debe ser construido teniendo en
cuenta las normas NTC 1486 y NTC 6166.

El nombre del archivo debe ser:

Fase2A2_233010_Nombres_Apellidos_cédula.docx

• Archivo de Packet Tracer en el cual se pueda evidenciar toda la simulación.

El nombre del archivo debe ser:

Fase2A2_233010_Simulación_Nombres_Apellidos_cédula.pkt

Nota: se deben empaquetar los tres archivos en un solo archivo llamado:

Fase2_233010_Nombres_Apellidos_cédula.rar

Evidencias de trabajo grupal:

En esta actividad no se requieren evidencias de trabajo grupal son:

4. Lineamientos generales para la elaboración de las evidencias

Para evidencias elaboradas de forma Independiente, tenga en cuenta las

siguientes orientaciones

• Realizar consultas dentro del foro para la realimentación del laboratorio.

• Realizar consultas por skype para la realimentación del laboratorio.

• Antes de entregar el producto solicitado deben revisar que cumpla con todos
los requerimientos que se señalaron en esta guía de actividades.

11
Tenga en cuenta que todos los productos escritos individuales o grupales deben
cumplir con las normas de ortografía y con las condiciones de presentación que se
hayan definido.

En cuanto al uso de referencias considere que el producto de esta actividad debe

cumplir con las normas ICONTEC

En cualquier caso, cumpla con las normas de referenciación y evite el plagio

académico, para ello puede apoyarse revisando sus productos escritos mediante la
herramienta Turnitin que encuentra en el campus virtual.

Considere que en el acuerdo 029 del 13 de diciembre de 2013, artículo 99, se

considera como faltas que atentan contra el orden académico, entre otras, las
siguientes: literal e) “El plagiar, es decir, presentar como de su propia autoría la
totalidad o parte de una obra, trabajo, documento o invención realizado por otra
persona. Implica también el uso de citas o referencias faltas, o proponer citad donde
no haya coincidencia entre ella y la referencia” y liberal f) “El reproducir, o copiar con
fines de lucro, materiales educativos o resultados de productos de investigación, que
cuentan con derechos intelectuales reservados para la Universidad.”

Las sanciones académicas a las que se enfrentará el estudiante son las siguientes:
a) En los casos de fraude académico demostrado en el trabajo académico o
evaluación respectiva, la calificación que se impondrá será de cero puntos sin perjuicio
de la sanción disciplinaria correspondiente.
b) En los casos relacionados con plagio demostrado en el trabajo académico
cualquiera sea su naturaleza, la calificación que se impondrá será de cero puntos, sin
perjuicio de la sanción disciplinaria correspondiente.

12
5. Formato de Rúbrica de evaluación

Tipo de actividad: Independiente

Número de actividad: 2

Momento de la evaluación: Intermedio

La máxima puntuación posible es de 150 puntos
Criterios Desempeños
Actividad 1.

Nivel alto: Desarrolla de forma completa y acorde a lo solicitado

Primer criterio de el punto 1 de la actividad 1 requerido en la guía.
evaluación:
Si su trabajo se encuentra en este nivel puede obtener
Desarrollo del punto entre 10 puntos y 20 puntos
1 requerido en la
actividad 1 de la Nivel medio: Desarrolla medianamente el punto 1 de la
guía. actividad 1 solicitado en la guía.

Este criterio Si su trabajo se encuentra en este nivel puede obtener

representa 20 entre 5 puntos y 9 puntos
puntos del total
de 150 puntos de Nivel bajo: No Desarrolla de forma completa y acorde a lo
la actividad. solicitado en el punto 1 de la actividad 1.

Si su trabajo se encuentra en este nivel puede obtener

entre 0 puntos y 4 puntos

Segundo criterio Nivel alto: Desarrolla de forma completa y acorde a lo solicitado

de evaluación: el punto 2 de la actividad 1 requerido en la guía.

Desarrollo del punto Si su trabajo se encuentra en este nivel puede obtener

2 requerido en la entre 10 puntos y 20 puntos
actividad 1 de la
guía. Nivel medio: Desarrolla medianamente el punto 2 de la
actividad 1 solicitado en la guía.
Este criterio
representa 20 Si su trabajo se encuentra en este nivel puede obtener
puntos del total entre 5 puntos y 9 puntos

13
de 150 puntos de
la actividad. Nivel bajo: No desarrolla de forma completa y acorde a lo
solicitado en el punto 2 de la actividad 1.

Si su trabajo se encuentra en este nivel puede obtener

entre 0 puntos y 4 puntos

Nivel alto: Desarrolla de forma completa y acorde a lo solicitado

el punto 3 de la actividad 1 requerido en la guía.
Tercer criterio de
evaluación: Si su trabajo se encuentra en este nivel puede obtener
entre 10 puntos y 20 puntos
Desarrollo del punto
3 requerido en la Nivel medio: Desarrolla medianamente el punto 3 de la
actividad 1 de la actividad 1 solicitado en la guía.
guía.
Si su trabajo se encuentra en este nivel puede obtener
Este criterio entre 5 puntos y 9 puntos
representa 20
puntos del total Nivel bajo: No desarrolla de forma completa y acorde a lo
de 150 puntos de solicitado en el punto 3 de la actividad 1.
la actividad.
Si su trabajo se encuentra en este nivel puede obtener
entre 0 puntos y 4 puntos

Cuarto criterio de Nivel alto: Construye el documento utilizando la norma NTC

evaluación: 1486 para la presentación de trabajos académicos escritos y la
norma NTC 6166 para la bibliografía y relaciona cada uno de
los puntos de la actividad 1 solicitados.
Estructura del
informe de la Si su trabajo se encuentra en este nivel puede obtener
actividad 1. entre 10 puntos y 20 puntos

Nivel medio: Construye el documento, aunque construye el

Este criterio documento, utiliza medianamente la norma NTC 1486 para la
representa 20 presentación de trabajos académicos escritos y la norma NTC
puntos del total 6166 para la bibliografía y relaciona algunos de los puntos de la
de 150 puntos de actividad 1 solicitados.
la actividad

14
 Si su trabajo se encuentra en este nivel puede obtener
entre 5 puntos y 9 puntos

Nivel bajo: No utiliza en la construcción del documento, la

norma NTC 1486 para la presentación de trabajos académicos
escritos y la norma NTC 6166 para la bibliografía, y no relaciona
los puntos de la actividad 1 solicitados.

Si su trabajo se encuentra en este nivel puede obtener

entre 0 puntos y 4 puntos

Actividad 2.

Nivel alto: Desarrolla de forma completa y acorde a lo requerido

Quinto criterio de cada uno de los 14 pasos de la actividad 2 solicitados en la guía.
evaluación:
Si su trabajo se encuentra en este nivel puede obtener
Desarrollo de los 14 entre 30 puntos y 40 puntos
pasos requeridos en
la actividad 2 de la Nivel medio: Desarrolla medianamente por lo menos 8 de los
guía. pasos de la actividad 2 solicitados en la guía.

Este criterio Si su trabajo se encuentra en este nivel puede obtener

representa 40 entre 15 puntos y 29 puntos
puntos del total
de 150 puntos de Nivel bajo: No desarrolla de forma completa y acorde a lo
la actividad. solicitado los 14 pasos de la actividad 2 solicitados en la guía.

Si su trabajo se encuentra en este nivel puede obtener

entre 0 puntos y 14 puntos

Sexto criterio de
evaluación: Nivel alto: Modifica el nombre de los equipos acorde a lo
solicitado y muestra el nombre del estudiante en las pruebas
Modificación de los satisfactorias al final de la actividad.
nombres de los
equipos y pruebas Si su trabajo se encuentra en este nivel puede obtener
con el nombre del entre 10 puntos y 15 puntos
estudiante
satisfactorias.

15
 Nivel medio: No modifica el nombre de los equipos acorde a lo
solicitado o no muestra el nombre del estudiante en las pruebas
Este criterio satisfactorias al final de la actividad.
representa 15
puntos del total Si su trabajo se encuentra en este nivel puede obtener
de 150 puntos de entre 5 puntos y 9 puntos
la actividad
Nivel bajo: no modifica el nombre de los equipos acorde a lo
solicitado y no muestra el nombre del estudiante en las pruebas
satisfactorias al final de la actividad

Si su trabajo se encuentra en este nivel puede obtener

entre 0 puntos y 4 puntos

Nivel alto: Construye el documento utilizando la norma NTC

1486 para la presentación de trabajos académicos escritos y la
norma NTC 6166 para la bibliografía y relaciona cada uno de los
pasos de la actividad 2 solicitados.

Si su trabajo se encuentra en este nivel puede obtener

Séptimo criterio entre 10 puntos y 15 puntos
de evaluación:
Nivel medio: Construye el documento, aunque construye el
documento, utiliza medianamente la norma NTC 1486 para la
Estructura del
presentación de trabajos académicos escritos y la norma NTC
informe de la
6166 para la bibliografía y relaciona algunos de los pasos de la
actividad 2.
actividad 2 solicitados.

Este criterio Si su trabajo se encuentra en este nivel puede obtener

representa 15 entre 5 puntos y 9 puntos
puntos del total
de 150 puntos de Nivel bajo: No utiliza en la construcción del documento, la
la actividad norma NTC 1486 para la presentación de trabajos académicos
escritos y la norma NTC 6166 para la bibliografía, y no relaciona
los pasos de la actividad 2 solicitados.

Si su trabajo se encuentra en este nivel puede obtener

entre 0 puntos y 4 puntos

16