Introducción
Hoy en día todas las empresas consideran un factor importante implementar seguridad en sus comunicaciones, mediante este factor se intercambia información valiosa entre usuarios de la misma empresa, clientes y proveedores que mantienen el equilibrio del crecimiento del negocio.
Es por esto que las empresas, instituciones educativas, instituciones gubernamentales y demás entidades; a medida que se van creando y creciendo, parte de su activo principal es disponer de una adecuada infraestructura de red y una correcta distribución de sus intranets para asociar perfiles de usuarios a cada uno de ellas definiendo quienes tienen acceso a un determinado host; todo esto conlleva a que los hackers creen nuevas estrategias de ataque que hacen volver vulnerables nuestras redes, aprovechándose de aquellos negocios que no tienen un correcto diseño de redes, tampoco una implementación adecuada.
El objetivo de esta investigación es diseñar una distribución de una red LAN (Stallings, 2000). Implementando seguridad de modo de acceso y administrativa para los componentes; logrando niveles de seguridad más altos para salvaguardar la integridad de información, creando perímetros de seguridad (Pérez Rivera, Britto Montoya & Isaza Echeverry, 2005), y así detectar y bloquear posibles ataques. Para esto se diseñó una red con capa core, capa de distribución y capa acceso (Molina, 2012). En esta última están creadas las VLANS (Stallings, 2000) (Redes Locales Virtuales) específicas que permitirán reducir el envío de tráfico de difusión y multicast a destinos no implicados. Además, usar mecanismos de seguridad como encriptación de claves de acceso, con el uso de algoritmos criptográficos (Forounzan, 2001), fiables en todos sus componentes entre ellos los switches, routers y otros que intervienen con el paso de los paquetes de datos.
Este documento está dividido en tres partes, la primera indica la introducción donde hacemos una revisión general sobre los parámetros importantes de la seguridad en las redes locales, en la segunda parte indicamos los métodos y materiales que utilizamos para implementar seguridad a la red; los cuales son experimentados en un simulador, en la tercera parte mostramos un análisis de los resultados, conclusiones y trabajos futuros sobra la investigación (IBM Knowledge Center. 2017).
Debido al gran avance diario de la tecnología, y su naturaleza de las comunicaciones, cada vez es más difícil asegurar la información, de tal manera que su integridad esté garantizada; donde la responsabilidad de mantener a buen recaudo dicha data es el área de TI (Belloch, 2002).
Por tanto para armar nuestra red utilizaremos el software Cisco Packet Tracer el cual es un programa de simulación que permite experimentar con diseños de red y comprobar el comportamiento de las mismas (Cisco Systems, 2017). A continuación, indicaremos los componentes y la metodología con su respectiva configuración.
Desarrollo
Los componentes a utilizar en Cisco Packet Tracer en su versión 7.0, se detallan en la tabla 1.
En la figura 1, visualizamos de manera completa la infraestructura de la red LAN.
En la tabla 2, se detallan las IP asignadas a cada componente y a que área pertenece cada una de ellas.
Componente | IP | Área |
---|---|---|
VLAN 10 | 192.168.10.0/24 | Administración ■ |
VLAN 20 | 192.168.20.0/24 | Sistemas ■ |
VLAN 30 | 192.168.30.0/24 | Ventas ■ |
PC0 | 192.168.100.99/24 | Admin - switch |
VLAN 99 | 172.16.10.0/16 | - |
Router | 192.168.50.0/24 | - |
A. Implementación de la configuración
Las configuraciones empleadas las detallaremos a continuación.
Direccionamiento lógico
Procedemos a asignar IP´s y su respectiva mascara de subred (Stallings, 2000) a los terminales dependiendo de la VLAN a la que vayan a ser asignados, donde la dirección IP va a ser la fuente de la información de los registros (Álvarez & Pérez, 2004); así mismo asignamos la dirección IP al router.
Seguridad en switches
Procedemos a incorporar seguridad en los switches por medio del CLI (Command Line Interface) con los siguientes comandos:
Switch(config)#line console 0
Switch(config-line)#password cisco
Switch(config-line)#login
Switch(config)#line vty 0 15
Switch(config-line)#password cisco
Switch(config)#service password-encryption
Switch(config)#enable secret cisco2
Hay que tomar en cuenta que las contraseñas usadas como cisco o cisco2, son de uso didáctico, de tal modo que se debe usar contraseñas más robustas y complejas, todo esto para que en caso de ser objeto de ataques, al atacante le tome mucho tiempo descifrar las contraseñas. Adicionalmente podemos incorporar otras medidas de seguridad como la incorporación de un banner para que pueda ser visualizarlo por todo aquel que desee ingresar a cualquiera de los switches.
Switch(config)#banner motd #ACCESO SOLO A PERSONAL AUTORIZADO# (figura 2)
A. Creación de VLAN´s
Ya es hora de empezar a distribuir nuestra red corporativa en sus diferentes departamentos para eso haremos uso de las VLAN´s las cuales permiten la creación de subredes diferentes dentro de los equipos de comunicaciones como si de distintos elementos físicos se tratara, el tráfico no viaja cifrado, si no que es marcado con un identificador de la VLAN correspondiente, ocupándose el equipo de impedir la comunicación entre distintas redes según su configuración (Álvarez & Pérez, 2004).
Dependiendo de la interfaz que esté conectada cada PC, se asignó a cada interfaz de manera ordenada a cada VLAN y así mismo el modo de acceso de cada puerto.
Empezaremos por crear la VLAN 99 la cual es para que acceda únicamente el administrador de los switches.
Creación de VLAN para cada área de la empresa
Switch(config)#VLAN 10
Switch(config-vlan)#name administracion
Switch(config-vlan)#exit
Switch(config)#interface fastEthernet 0/0.10
Switch(config-if)#encapsulation dat1Q 10
Switch(config-if)#ip address 192.168.10.10 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Y así seguimos asignando las VLAN de los siguientes departamentos en los switches.
Dependiendo de la interfaz asignamos el modo de acceso al puerto del switch.
Switch(config-if)#switchport mode access
Switch(config-if)#switch access vlan 10
Y en caso de que su uso sea de manera troncal asignamos el modo trunk; este enlace troncal es el que lleva la información de VLAN entre dispositivos de capa 2 preparados para la VLAN (IBM Knowledge Center, 2017).
Switch(config-if)#switchport mode trunk
Cerrar interfaces no utilizadas en los switches
Para hacer más difícil el acceso a nuestra red y prevenir ataques procederemos a apagar interfaces que no estén en uso por el momento en la empresa, esta configuración la podemos realizar interfaz por interfaz o por rangos para reducer el tiempo de configuración.
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#shutdown
La siguiente forma es por rangos, para hacerlo de forma rápida, previo a cada cierre de interfaces, se debe consultar las interfaces no utilizadas, de lo contrario perjudicamos el desarrollo de las actividades de la empresa.
Switch(config)#interface range fastEthernet 0/5-16
Switch(config-if-range)#sh
Switch(config-if-range)#shutdown
Configuración de servidores
Se procedió a configurar dos servidores (figura 3 y 4); solo en uno se configuro el servidor de correo, pero en ambos servidores se configuró el DNS (Domain Name System), que es un conjunto de protocolos y servicios que va a permitir a los usuarios utilizar los nombres en vez de tener que recordar las direcciones IP.
Seguridad Triple AAA con Base de Datos Radius
Este tipo de seguridad es quién permite controlar el acceso a una red (autentificación) y qué puede hacer el usuario mientras este allí (autorización), así como auditar que acciones realizan al acceder a la red(registro de auditoría) (Andreu Mediero, 2014). A continuación mostramos de qué manera se configura ese tipo de seguridad.
Router>enable
Router#configure terminal
Router(config)#aaa new-model
Router (config)#username andres secret Jimenez1995
Router(config)#aaa authentication login default local
Router(config)#radius-server host 192.168.50.1
Router(config)#radius-server key Jimenez1995
Router(config)#aaa authentication enable default group radius enable
Router(config)#^Z
Hardening
Las operaciones seguras en la red es un tema sustancial, donde se debe crear avisos y respuestas de seguridad, para ello se han determinado las siguientes vulnerabilidades que pueden constituir una amenaza contra nuestra red, para luego convertirlas en bloqueo de posibles ataques.
Desactivar servicios a las interfaces.
Deshabilitar puertos no utilizados.
Bloqueo de ataques de fuerza bruta: Este ataque se caracteriza en el cual se controla el número de intentos exitosos y fallidos en el router. Cada vez que se incrementa el abecedario y/o la longuitud de la cadena, la cantidad de combinaciones que puede llegar a surgir crece estrepitosamente (López, 2013).
Router#configure terminal
Router(config)#login block-for 60 attempts 3 within 50
Aquí le indicamos que bloquee un número de segundos el acceso por ssh, telnet y http cuando se realizaron n intentos fallidos en un intervalo de segundos determinado.
Registro de los intentos fallidos a partir de un número.
Router(config)#login on-failure log
Registro de accesos exitosos
Router(config)#login on-success log
Asegurar los archivos (IOS y archivo de configuración)
Conclusiones
El diseño de redes locales e implementación, es una tarea bastante amplia; por tanto, hemos logrado configurar una red local aplicando niveles de seguridad aceptados en el entorno local que permitió que nuestra red sea robusta y fiable. Es importante reconocer la asignación de las respectivas terminales a sus respectivas áreas como se puede observar en la Figura 1 no se encuentran físicamente en el mismo switch, de tal manera, hemos conseguido que a pesar de estar distantes pueden seguir laborando en su área específica, todo esto creando VLANs y poniendo en modo de acceso distintos en las respectivas interfaces de switches.
Como punto adicional, es recomendable que el lector considere que la seguridad de todo dispositivo depende de quien lo administre, para esto se recomienda el uso adecuado de contraseñas y la encriptación de las mismas con algoritmos complejos, como en este caso utilizamos el cifrado tipo 7 de cisco y md5.
Este prototipo que hemos desarrollado en este artículo está diseñado de manera escalable, para que así en un trabajo futuro se pueda implementar en una empresa y a esto agregar un gestor unificado de amenazas para un mejor control de acceso y otros componentes que sirvan de complemento para garantizar la integridad de la información.