REDES Y

COMUNICACIÓN
DE DATOS II
UNIDAD III: CONCEPTO DE SEGURIDAD Y MITIGACIÓN DE
ATAQUES
Docente: Mg. Fidel Garcia
Marzo 2022
 Al finalizar la session el
LOGRO estudiante comprende y
aplica conocimientos
DE LA sobre procedimientos de
seguridad en Redes LAN
SESIÓN a traves de AAA, Radius
y Tacasa
• Recordemos, en la sesión
anterior, trato de… ??
 ¿Sabes definir
controles de seguridad
para la administacion
de redes LAN?
Conceptos de Seguridad de la LAN
Tipos de ataques
✓ Ataques Exógenos ✓ Ataques internos
• DDoS (Intencionados ó Inocentes)
• Ransomware • Phishing
• Phishing
• DDoS
• Hacking (Robo de info. Personal)
• BackDoor exploits • Hacking
• DoS a los equipos • Spoofing -> IP, MAC
• DHCP Spoof
• DNS Spoof
• MIM
• Scanners (CAIN)
• BackDoor exploits
Conceptos de Seguridad de la LAN
Control de Acceso a la Red
Qué?
-> Determine quién está en la red
-> Revise si los usuarios finales cumplen con
las definiciones de seguridad
-> Dirija a qué tienen acceso los ususarios
en la red
35
Cómo?
• Autenticación basasda en MAC y 802.1X usando un servidor
RADIUS
• Perfiles basados en Roles (ACLs, QoS) por usuario
• Reglas de clasificación en todos los switches para clasificar
los usuarios basándose en atributos de puerto y dispositivo
(ej.: MAC orígen)
• Portal Cautivo Interno/Externo para autenticación basada
en Web o postura
• Integración con AAA como parte de una solución de acceso
unificado y BYOD
Paso 1: Instalar componentes, asignar nombres (hostname) y enlaces (serial, Fa, Gi)
Paso 2: Apagar todos los puertos e interfaces de Switch (SW1, SW2, SW3)
Switch(config)#hostname SW1
SW1(config)#no ip domain-lookup
SW1(config)#interface range f0/1-24
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
SW1(config)#interface range g0/1-2
SW1(config-if-range)#shutdown
SW1(config-if-range)#exit
SW1(config)#conf t
SW1(config)#enable secret pass01S1
SW1(config)#line console 0
SW1(config-line)#password pass02S1
SW1(config-line)#login
SW1(config-line)#exec-timeout 1
SW1(config-line)#exit
SW1(config)#line vty 0 14
SW1(config-line)#password pass03S1
SW1(config-line)#login
SW1(config-line)#exec-timeout 1
SW1(config-line)#exit
SW1(config)#service password-encryption
SW1(config)#interface range f0/1-24
SW1(config-if-range)#switchport mode access
SW1(config-if-range)#switchport port-security
SW1(config-if-range)#switchport port-security mac sticky
SW1(config-if-range)#switchport port-security violation shutdown
SW1(config-if-range)#switchport port-security maximum 1
SW1(config-if-range)#exit
SW1(config)#interface range gi0/1-2
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#exit
SW1(config)#interface fa0/1
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config)#interface gi0/1
SW1(config-if)#no shutdown
SW1(config-if)#exit
Paso 3: A través de un Terminal se debe establecer contraseñas y realizar
configuración en los Routers.
Router>enable
Router#conf t
Router(config)#
Router(config)#no ip domain-lookup
Router(config)#service password-encryption
Router(config)#hostname R1
R1(config)#enable secret pass01R1
R1(config)#line console 0
R1(config-line)#password pass01R1
R1(config-line)#login
R1(config-line)#exec-timeout 1
R1(config-line)#exit
R1(config)#line vty 0 4
R1(config-line)#password pass02R1
R1(config-line)#login
R1(config-line)#exec-timeout 1
R1(config-line)#exit
R1(config)#line aux 0
R1(config-line)#password pass03R1
R1(config-line)#login
R1(config-line)#exec-timeout 1
R1(config-line)#banner motd #
Enter TEXT message. End with the character '#'.
************************************************
****************ACCESO RESTRINGIDO**************
*********************BY FGR*********************#
Paso 4: Encender las interfaces necesarias del router (R1,R2,R3) y asignar
direcciones IP, después hacer enrutamiento con RIP v2
R2(config)#router rip
R2(config-router)#version 2
R2(config-router)#network 192.168.1.0
R1(config)#interface gi0/0 R2(config-router)#network 192.168.2.0
R1(config-if)#ip address 192.168.15.1 255.255.255.0 R2(config-router)#exit
R1(config-if)#no shutdown R2(config)#interface serial 0/1/0
R1(config-if)#exit R2(config-if)#clock rate 128000

R1(config)#interface s0/1/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
 Paso 4: Enceder solo puertos necesarios y habilitar comandos de seguridad en
Switch (SW1, SW2, SW3) y
SW1(config)#interface fa0/1
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config)#interface gi0/1
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config)#interface range gi0/1-2
SW1(config)#interface range f0/1-24 SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#switchport mode access SW1(config-if-range)#exit
SW1(config-if-range)#switchport port-security
SW1(config-if-range)#switchport port-security mac sticky
SW1(config-if-range)#switchport port-security violation shutdown
SW1(config-if-range)#switchport port-security maximum 1
SW1(config-if-range)#exit
Paso 5: Asignar direcciones de IP y Mask a PCs y Servidpres
Paso 6: Configuración de AAA – Autenticación Local
Paso 6: Configuración de AAA – Autenticación Local
Paso 7: Configuración de TACACS+

192.168.20.1
Paso 7: Configuración de TACACS+

192.168.20.1

192.168.20.3
Paso 7: Configuración de TACACS+

192.168.20.1
Paso 8: Configuracion de RADIUS

192.168.30.1
Paso 8: Configuracion de RADIUS

192.168.30.3
Paso 8: Configuracion de RADIUS
Conclusiones de la Sesión
➢ Generar políticas de gobierno de TI que incluyan planes de prevención y reacción
➢ Aceptar la posibilidad de un ataque.
➢ Realizar un estudio continuo de vulnerabilidades
➢ Considerar los ataques externos, pero también la seguridad interna

➢ Más que una estandarización, los estándares de seguridad aplican a los hábitos de
una organización y no tiene que ver con el equipamiento que se instala…

…siempre y cuando los equipos no presenten algún tipo de riesgo de seguridad,

claro está.