SEGURIDAD DE REDES

ESPECIALIZACIÓN EN SEGURIDAD DE REDES TELEMATICAS

LABORATORIO AWS

Presentado al Ing

Javier Díaz

CHILATRA CARVAJAL, HAROLD FABIAN.

CUBILLOS POVEDA, LEIDY

Junio 2022
 SEGURIDAD DE REDES
Laboratorio 2 AWS - VPC

ALCANCE:
El laboratorio tiene como alcance, la creación de una VPC (Virtual Private Cloud), la cual permite
brindar un control sobre el entorno de redes virtuales (Seguridad, Conectividad y la ubicación de
recursos de red).
A continuación, se agregarán los recursos como instancias para luego revisar esta red virtual que
sería muy similar a la red tradicional que se una en un centro de datos, pero con la ventaja que se
tiene de poder utilizar una infraestructura escalable como la de la nube publica de AWS.
En primer lugar, para poder dar inicio al desarrollo del laboratorio de AWS, y ya contando con una
cuenta creada, ingresamos con usuario IAM y nos dirigimos a la consola como vemos en a la
siguiente imagen:

Ilustración 1 Consola Inicio AWS

Como se indicaba anteriormente y ya contando con el usuario y luego de ingresar los datos de
facturación para que nos permita usar o tener privilegios en la cuenta, procedemos a trabajar los 4
templetes o las cuatro fases que ya están creadas y que nos permitirá realizar toda la infraestructura
que vamos a desplegar para los servicios de web y base de datos, a continuación los 4 recursos que
son los que se desarrollarán en este laboratorio :

 Networking template
 Seguridad Template
 Database Template
 Aplication Template
 1. Networking template
Ingresamos en el buscador de AWS y buscamos el servicio de CLOUD FORMATION y creamos el
STACK, como podemos observar en las siguientes imágenes.

Ilustración 2 Cloud Formation - Stack (Creación de la pila)

Luego de crear el stack procedemos con las especificaciones del stack como son: nombre de la pila
y los parámetros de la pila (EnvironmentName), ya que los demás parámetros se dejan por default
porque corresponden los rangos de IPs que van a utilizar las subredes como direcciones IP públicas.
Luego seguimos hasta encontrar la opción de Check “The template has changed”, por último se
observa que la Pila ha quedado en un estado de “ CREATE_IN_PROGRESS”, por lo que se debe
actualizar la página para validar si la creación del stack o pila se ha realizado de manera
satisfactoria. Y ya con la finalización de este primer paso se ha creado la instancia en la VPC. Ver
ilustración Número 4

Ilustración 3 Especificaciones y parámetros de la Pila

 Ilustración 4 Confirmación de la creación de la pila - Primer instancia

Se puede observar en la ilustración 4 que están desplegados todos los recursos y las subredes que se
desplegaron en esta primer instancia, la cual permite la creación de la conexión interna, donde
también están las puertas de entrada y salida hacía internet de la VPC, como se puede observar en la
siguiente ilustración.

Ilustración 5 Diagrama de grupos de seguridad y NACL en una VPC

Como se puede observar en la ilustración 5, una VPC tiene unos Componentes de red como
son:
 Interfaces de red
 una interfaz de red virtual que puede incluir:
 una dirección IPv4 privada principal
 una o más direcciones IPv4 privadas secundarias
 una dirección IP elástica por dirección IPv4 privada
 una dirección IPv4 pública, que se puede asignar automáticamente a la interfaz de
red para eth0 cuando lanza una instancia
 una o más direcciones IPv6
 uno o más grupos de seguridad
 una dirección MAC
 una bandera de verificación de origen/destino
 una descripción
 Las interfaces de red se pueden conectar y desconectar de las instancias; sin
embargo, no puede desconectar una interfaz de red principal.

2. Seguridad Template
Se crea el stack o pila del primer nivel de seguridad, siguiendo los mismos pasos que el stack de
networking, pero este se diferencia es que vamos a seleccionar el nombre de la pila y en los
parámetros de la pila DeployVPC, seleccionamos la instancia ya creada de Networking , allí se
encuentra el ambiente que creamos. Y en el campo de IpAddress ingresamos nuestra IP, como es
una aplicación vulnerable, es mejor dejarla atada a nuestra IP. Y finalmente se habilita “The
template has changed” y esperamos a la confirmación de la instancia, que corresponde al
aprovisionamiento del SecurityGroup.
En las siguientes imágenes podemos observar el paso a paso de la creación del primer nivel de
Seguridad.
Ilustración 6 Creación de instancia de primera capa de Seguridad
En los secutiry Group se puede observar las instancias creadas como son el del loadbalancer, el de
seguridad y el de aplicación. También se puede comprobar que este correcto en la función EC2

Ilustración 7 Diagrama del SecurityGroup

3. BD Template
Ahora se procede a realizar la tercera fase de este laboratorio y es la configuración del stack o pila
de la base de datos relacional que tendrá integración con la instancia de aplicación. La base de
datos es motor Maria como se observa en la siguiente imagen.

Ilustración 8 Motor de la base de Datos – MARIA

A continuación, el paso a paso de la creación de la instancia de base de datos.

Se nombra el stack, y se elige una contraseña que cumpla con las políticas de seguridad que será la
contraseña de la base de datos, luego seleccionamos el securityGroup de la base de datos y se
slecciona las subnet privadas que no tiene conexión al transitgatweay y están desconectadas de
internet y no estarán expuestos estos recursos y se seleccionan para este despliegue.

Ilustración 9 Seleccion del SecurityGroup - DB

Ilustración 10 Selección de las Subnets Privadas

 Ilustración 11 Confirmación del Despliegue de la BD

En el servicio de RDS se puede confirmar que la base de datos este corriendo y se verifica que este
en el SecurityGroup.

Ilustración 12 SecurityGroup Correcto de la BD

 1. App Template
En la Cuarta fase realizamos los mismos pasos para la creación del Stack o pila de aplicación,
donde los parametros son SEcurityGroup de la aplicación, el password que fue el que
seleccionamos para la BD , DeployVPC donde se despliegan los recursos creados en el primer paso y
para el parámetro ImageId procedemos a ir a la consola de EC2 para cargar la imagen el AMIs para
el despliegue del servicio WEB. Esta imagen debe ser free, y procedemos a crear el Stack o la pila
de app para levantar una instancia.
Ilustración 13 Conjunto de Imágenes del paso a paso para la creación del Stack o pila de
APP.
 Ilustración 14 Como está conformada la instancia de app.

Cuando ya tenemos creada la instancia y esta desplegado el template , procedemos a dirigirnos a las
salidas y se verifica el endpoint de los balancer del servidor WEB, este general un link donde se
ingresa con usuario admin y contraseña admin en primer ingreso, luego se realiza el reinicio de la
base de datos para conectar el servicio con la BD que se creó.

Ilustración 15 enlace para ingreso a la aplicación desde el Servidor WEB.

Ilustración 16 Primer ingreso a la base de datos antes de reiniciarla a la creada.
 Ilustración 17 App con ingreso a cualquier ítem

Finalmente vamos a configurar el acceso por medio de protocolo SSH, para esllo entonces vamos a
seguir los siguientes pasos

EC2  seleccionamos Instancia Nueva  y luego seleccionamos  Lanzar una instancia