En base al análisis y detección de varios problemas encontrados dentro de la red inalámbrica del Centro Académico “Las Naves” se diseñaron las siguientes estrategias.
Como primer punto se establece la solución y corrección de puntos críticos encontrados en la red inalámbrica.
3.4.2.1 Diseño de la topología de red
Dentro de la etapa de análisis de puntos críticos de una red inalámbrica se encontró que existía una sola red inalámbrica tanto para docentes, administrativos y estudiantes, lo cual no es muy aceptable ni adecuado.
Por tal motivo se procede a reestructurar la red inalámbrica de la siguiente manera:
• Se implementara o generara dos redes inalámbricas, una dedicada
exclusivamente a los docentes y administrativos y otra dedicada a los estudiantes.
Configuración IP, VLAN y VPN Router 2811 Centro Académico “Las Naves”
Configuración de IP´s y Vlan tanto para estudiantes como para administrativos y docentes.
Como se manifestó anteriormente es un error tener una sola red inalámbrica o Vlan tanto para uso de docentes y administrativos como para los estudiantes, entonces para dar solución a este problema se creara dos VLANs una se llamara ESTUDIANTES y la otra se llamara ADMINISTRACION.
El desarrollo del proceso se muestra a continuación: Press RETURN to get started!
Router>enable
as VLAN database mode is being deprecated. Please consult user documentation for configuring VTP/VLAN in config mode. Router(vlan)#vlan 10 name ADMINIS
VLAN 10 added: Name: ADMINIS
Router(vlan)#vlan 11 name ESTUDIANTES VLAN 11 added: Name: ESTUDIANTES Router(vlan)#EXIT APPLY completed. Exiting.... Router#CONFIGURE TERMInal
Enter configuration commands, one per line. End with CNTL/Z. Router(config)#
Router(config)#interface vlan 10 Router(config-if)#
%LINK-5-CHANGED: Interface Vlan10, changed state to up Router(config-if)#description -VLAN ADMINISTRACION- Router(config-if)#ip address 192.168.10.1 255.255.255.0 Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface vlan 11 Router(config-if)#
%LINK-5-CHANGED: Interface Vlan11, changed state to up Router(config-if)#description -VLAN ESTUDIANTES- Router(config-if)#ip address 192.168.20.1 255.255.255.0 Router(config-if)#exit
Router(config)#interface fastEthernet 0/2/0 Router(config-if)#swit
Router(config-if)#switchport ac
Router(config-if)#switchport access vlan Router(config-if)#switchport access vlan 10 Router(config-if)#no shut
Router(config-if)#no shutdown Router(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/2/0, changed state to up Router(config-if)#swit
Router(config-if)#switchport mo Router(config-if)#switchport mode acc Router(config-if)#switchport mode access Router(config-if)#des
Router(config-if)#description -administrativos- Router(config-if)#exit
Router(config)#interface fastEthernet 0/2/1 Router(config-if)#switchport access vlan 11 Router(config-if)#no shutdown
Router(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/2/1, changed state to up Router(config-if)#description -estudiantes-
Router(config-if)#exit
Router(config)#ip dhcp pool estudiantes
Router(dhcp-config)#network 192.168.20.0 255.255.255.0 Router(dhcp-config)#default-router 192.168.20.1 Router(dhcp-config)#dns-server 200.107.60.58 Router(dhcp-config)#exit Router(config)#ip dhcp excluded-address 192.168.20.1 192.168.20.10 Router(config)# Router(config)#hostname r-centro1 r-centro1(config)#exit r-centro1#wr Building configuration... [OK] r-centro1#
Configuración IP para VPN
r-centro1#configure termi
Enter configuration commands, one per line. End with CNTL/Z. r-centro1(config)#interface fastEthernet 0/0
r-centro1(config-if)#description -VPN-
r-centro1(config-if)#ip address 10.0.0.1 255.0.0.0 r-centro1(config-if)#no shutdown
r-centro1(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
r-centro1(config-if)#exit r-centro1(config)#exit r-centro1#
%SYS-5-CONFIG_I: Configured from console by console r-centro1#wr
Building configuration... [OK]
r-centro1#
Pruebas realizadas a las VLANs
Para comprobar que todo se realizó de manera correcta se realizará pruebas de conexión a las redes Inalámbricas, a la red estudiantes se probara la conexión mediante DHCP y a la red ADMINIS se realizará pruebas de conexión con IP estática.
Figura Nº 12 Prueba de conexión red estudiantes con DHCP
Fuente: El autor
Figura Nº 13 Ping al Router
Fuente: El autor
Figura Nº 14 Prueba de conexión red administrativa con IP ESTATICA
Figura Nº 15 Ping al Router
Fuente: El autor
De esta manera queda comprobado que cada red sale por su VLAN correspondiente.
3.4.2.2 Configuración de Firewall
La Institución Educativa cuenta con un servidor donde se almacena información correspondiente al centro académico mencionado, por lo cual hay que configurar el firewall a nivel de router para impedir que personas maliciosas tanto de internet como dentro de la red Wlan quieran acceder al servidor a dar tal vez un ping o a tratar de acceder a la información contenida en el servidor, es necesario generar políticas y configuraciones en el router para impedir los elementos mencionados. Entre los elementos que se van a configurar en el router es:
• Impedir el acceso de usuarios no deseados al servidor.
• Bloquear puertos abiertos
• Abrir solo puertos necesarios
• Brindar comunicación SSH solo si es necesario.
Lo primero a realizar es bloquear a todos los host que puedan dar un ping al servidor de la institución, esto se lo realiza bloqueando el protocolo ICMP.
Router>enable
Router#configure terminal
Router(config)#
Router(config-if)#access-list 101 deny icmp any any host-unreachable Router(config)#
Router(config)#access-list 101 permit tcp any any eq www Router(config)#inter Router(config)#interface fast Router(config)#interface fastEthernet 0/0 Router(config-if)#ip access-group? access-group Router(config-if)#ip access-group 101 in Router(config-if)#exit Router(config)#exit Router#
%SYS-5-CONFIG_I: Configured from console by console Router#
Para verificar que todo lo mencionado salió correcto se realizará un Ping al servidor para saber si establece conexión o deniega.
Figura Nº 16 Ping al servidor
Fuente: El autor
3.4.2.3Configuración de Firewall a nivel de Servidor
Como mecanismo para mejorar la seguridad del Centro Académico “Las Naves” perteneciente a la Universidad Estatal de Bolívar se implementó la configuración de un Firewall a nivel de Servidor, ya que el servidor con el que cuenta Institución no tiene ningún elemento que proteja la integridad de los datos.
El Centro Académico “Las Naves” cuenta con un servidor con un sistema operativo Centos 6 en donde sí se puede implementar la seguridad Iptables y los pasos para brindar la seguridad mencionada se detallan a continuación:
• Lo primero es abrir la terminal
Figura Nº 17 Acceso a la terminal
Fuente: El autor
Figura Nº 18 Levantamiento de servicio Ip Tables
Fuente: El autor
• Algo muy importante es desactivar los ip6tables para poder utilizar el servicio iptables.
Figura Nº 19 Desactivación IPV6
Fuente: El autor
• Para hacer que Iptables se inicie automáticamente cuando arranca el sistema operativo , se debe ingresar la siguiente línea de comando.
Figura Nº 20 Iniciar IP Tables
Fuente: El autor
• Para bloquear el paso de paquetes entrantes o salientes alguna puerta de enlace de red, se debe ingresar la siguiente línea de comando.
Figura Nº 21 Bloquear paquetes entrantes y salientes
Fuente: El autor
• Como la configuración del Firewall se mantendra solamente cuando el sistema
este encendido hay que ingresar una linea de comandos para que en caso de que el sistema se apague no se pierda la configuración.
Figura Nº 22 configuración de IPTABLES contra fallos
Fuente: El autor
• Para abrir los puertos que el administrador quiera que esta abiertos se lo realiza
con el siguiente comando.
Figura Nº 23 Habilitación de puertos
Fuente: El autor
• Otro elemento importante es permitir solo acceso a sitios web seguros, es decir
Figura Nº 24 Habilitación de puertos de sitios web seguros
Fuente: El autor
• Muchas veces es necesario acceder de manera remota es decir mediante SSH se lo realiza con el siguiente comando.
Figura Nº 25Habilitación de acceso remoto SSH
Fuente: El autor
3.4.2.4Implementación de protocolos de cifrado
Existen un sinnúmero de protocolos de encriptación o cifrado tales como WEP, WPA y WPA2, al analizar cada una de las características de los protocolos antes mencionados se pudo concluir que el protocolo más adecuado es el WPA2 que utiliza el algoritmo de cifrado AES (Advanced Encryption Standard) y brinda seguridad necesaria para el acceso por parte de los usuarios que se benefician.
La implementación de cifrado WPA2 se lo puede realizar tanto a nivel del router como del acces point.
• Configurando un router + WIFI con seguridad wap2
Se puede dejar como dirección IP en DHCP pero lo haremos con IP estática de la red Administrativa como medio de independizar las dos redes y tener una seguridad extra.
Figura Nº 26 Configuración IP Estática
Fuente: El autor
Declaramos la nueva red con mascara 25 y dejando solo acceso para 114 las otras serán reservadas.
Figura Nº 27 Declaración de marcara
Configuración Wireless y seguridad.
Aquí configuraremos el modo de red de ser necesario, pondremos el nombre nuestra red wifi (SSID) dependiendo de nuestras necesidades cambiaremos las demás opciones o simplemente lo dejamos con la configuración por default, para este ejemplo solo colocaremos el nuevo SSID.
Figura Nº 28 Nombre a la red
Fuente: El autor
En este paso configuraremos la seguridad para los usuarios que se conectaran a nuestra red por defecto esta se encuentra deshabilitada.
Figura Nº 29 Tipo de seguridad
Fuente: El autor
Como lo mencionamos anteriormente la seguridad implementada es WAP2 con encriptación AES ya que este tipo de encriptación es la más segura debe tener como mínimo 8 caracteres y máximo 63.
Figura Nº 30 Seguridad WPA2
Fuente: El autor
No olvidar que debemos guardar todos los cambios.
Prueba de la conexión
Figura Nº 31 Prueba de conexión a la red Wifi
Fuente: El autor
Realizamos un ping al equipo wifi a los puertos correspondientes (IP´s asignadas)
Figura Nº 32 Ping a los puertos asignados
Fuente: El autor
Listo tenemos configurado el WIFI administrativo, para los estudiantes los mismos pasos si utilizaríamos el mismo tipo de equipo. Si utilizamos un AP lo único sería realizar unos pasos ya que estas redes DHCP y resulta más fácil configurarlo
Para la red inalámbrica dedicada a los estudiantes se lo realiza directamente en el AP UniFi que es el con el que cuenta la Extensión Las Naves.
A continuación se detallan los pasos correspondientes para la configuración de la seguridad WPA2.
Al haber instalado lo drivers del AP accederemos mediante la siguiente dirección (https://192.168.1.15:8443), esta dirección nos presentara un asistente para la creación de la red inalámbrica dedicada a los estudiantes.
La pantalla que se muestra al acceder a la siguiente dirección es la siguiente.
Figura Nº 33 Acceso al panel de administración
Fuente: El autor
Al haber dado clic en Next nos aparecerá una opción que nos permite configurar el nombre de SSID conjuntamente con la clave de acceso a la red inalámbrica.
Como se mencionó el nombre asignado es Wifi_Estudiantes el cual estará dedicado hacia los estudiantes y la contraseña será “ueb_lasnaves”.
Y como finalización se realizara la asignación del nombre de usuario admin y la contraseña para la configuración y administración del AP.
Figura Nº 34 Logeo
Fuente: El autor
Luego de haber configurado los primeros pasos solo se logeara el usuario y el password de acceso para administrar la red wifi.
Al acceder luego del logeo se presentara una pantalla de administración del AP.
Figura Nº 35 Administración inalámbrica
Fuente: El autor
En la pantalla de administración es verdaderamente donde se configurara el método de acceso y encriptación del A.
Figura Nº 36 características de la red Wifi_estudiantes
Fuente: El autor
Aquí se configurara la contraseña de acceso la encriptación y muchas otras características importantes.
Prueba de conectividad mediante una Laptop.
Figura Nº 37 Prueba de conectividad
Fuente: El autor
Introducimos la clave y conectamos
Figura Nº 38 Conexión a las redes Wifi
Fuente: El autor
Prueba de la conexión
Hacemos un ipconfig para ver si ya nos conectamos a la red WIFI
Figura Nº 39 Ipconfig para ver conexión
Fuente: El autor
Figura Nº 40 Ping al equipo
Fuente: El autor
Prueba exitosa
3.4.2.5 Implementación de una VPN
Uno de los problemas encontrados en el Centro Académico “Las Naves” es que no hay una manera segura de comunicarse desde el Centro Académico “Las Naves” hacia La Matriz ubicada en la ciudad de Guaranda por lo cual es muy inseguro acceder desde el Centro Académico hacia los servidores ubicados en la Matriz y viceversa, estableciendo como solución es crear una VPN que permita una conexión segura.
El Proceso se muestra a continuación:
Configuración IP para VPN para el Centro Académico “Las Naves”
r-centro1#configure termi
Enter configuration commands, one per line. End with CNTL/Z. r-centro1(config)#interface fastEthernet 0/0
r-centro1(config-if)#description -VPN-
r-centro1(config-if)#ip address 10.0.0.1 255.0.0.0 r-centro1(config-if)#no shutdown
r-centro1(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
r-centro1(config-if)#exit r-centro1(config)#exit r-centro1#
%SYS-5-CONFIG_I: Configured from console by console r-centro1#wr Building configuration... [OK] r-centro1# Configurando VPN r-centro1 r-centro1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z. r-centro1(config)#router rip
r-centro1(config-router)#network 192.168.10.0 r-centro1(config-router)#network 10.0.0.0 r-centro1(config-router)#version 2
r-centro1(config-router)#exit
r-centro1(config)#crypto isakmp policy 10
r-centro1(config-isakmp)#authentication pre-share r-centro1(config-isakmp)#hash sha r-centro1(config-isakmp)#encryption aes 256 r-centro1(config-isakmp)#group 2 r-centro1(config-isakmp)#lifetime 43200 r-centro1(config-isakmp)#exit
r-centro1(config)#
r-centro1(config)#crypto isakmp key 2014vpn address 10.0.0.2
r-centro1(config)#crypto ipsec transform-set TSET esp-aes esp-sha-hmac r-centro1(config)#access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
r-centro1(config)#crypto map CMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.
r-centro1(config-crypto-map)#
r-centro1(config-crypto-map)#set peer 10.0.0.2 r-centro1(config-crypto-map)#match a
r-centro1(config-crypto-map)#match address 101 r-centro1(config-crypto-map)#set tra
r-centro1(config-crypto-map)#set transform-set TSET r-centro1(config-crypto-map)#exit
r-centro1(config)#interface fas
r-centro1(config)#interface fastEthernet 0/0 r-centro1(config-if)#cry
r-centro1(config-if)#crypto map
r-centro1(config-if)#crypto map CMAP
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON r-centro1(config-if)#exit
r-centro1#
%SYS-5-CONFIG_I: Configured from console by console r-centro1#wr
Building configuration... [OK]
r-centro1#
Configuración IP y VPN Router 2811 Centro 2 • Configuración IP básica
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface fastEthernet 0/1
Router(config-if)#description -red general-
Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown
Router(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up Router(config-if)#exit
• Configuración IP para VPN Router(config)#interface fastEthernet 0/0 Router(config-if)#ip address 10.0.0.2 255.0.0.0
Router(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up Router(config-if)#
Router(config-if)#exit
Router(config)#hostname r-centro2 r-centro2(config)#exit
r-centro2#
%SYS-5-CONFIG_I: Configured from console by console r-centro2#wr
Building configuration... [OK]
r-centro2#
Como se manifestaba anteriormente la configuración de la VPN es para que se vean la red Administra del Centro Académico “Las Naves” con la red general de la Matriz y la red de los estudiantes queda totalmente aislada de las dos redes.
El siguiente paso es probar la conexión red administra con IP ESTATICA.
Figura Nº 41 Prueba de conexión red Administra con Ip Estátca
Fuente: El autor
Se establece un Ping al router para ver que todo se encuentre de manera correcta.
Figura Nº 42 Ping al Router
Fuente: El autor
• Configurando VPN r-centro2 (Matriz)
r-centro2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z. r-centro2(config)# r-centro2(config)#router rip r-centro2(config-router)# r-centro2(config-router)#network 192.168.1.0 r-centro2(config-router)#net 10.0.0.0 r-centro2(config-router)#version 2 r-centro2(config-router)#exit r-centro2(config)#
r-centro2(config)#crypto isakmp policy 10
r-centro2(config-isakmp)#authentication pre-share r-centro2(config-isakmp)#hash sha
r-centro2(config-isakmp)#group 2 r-centro2(config-isakmp)#lifetime 43200 r-centro2(config-isakmp)#
r-centro2(config-isakmp)#exit
r-centro2(config)#crypto isakmp key 2014vpn address 10.0.0.1
r-centro2(config)#crypto ipsec transform-set TSET esp-aes esp-sha-hmac r-centro2(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
r-centro2(config)#
r-centro2(config)#crypto map CMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.
r-centro2(config-crypto-map)#
r-centro2(config-crypto-map)#set peer 10.0.0.1 r-centro2(config-crypto-map)#match address 101 r-centro2(config-crypto-map)#set transform-set TSET r-centro2(config-crypto-map)#exit
r-centro2(config)#
r-centro2(config)#interface fastEthernet 0/0 r-centro2(config-if)#crypto map CMAP
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON r-centro2(config-if)#exit
r-centro2(config)#exit r-centro2#
%SYS-5-CONFIG_I: Configured from console by console r-centro2#wr
[OK] r-centro2#
Prueba de conexión de la VPN
Un paso muy importante es realizar una prueba de conexión para comprobar que todo se realizó de manera correcta.
Desde el centro 2 hacia el centro 1
Figura Nº 43 Prueba de conexión Centro 2 al Centro 1
Fuente: El autor
Figura Nº 44 Prueba de conexión
Fuente: El autor
Al saber que todo está muy bien hay que hacer una prueba de conexión de manera contraria es decir desde el Centro 1 al Centro 2.
Figura Nº 45 Prueba de conexión Centro 1 al Centro 2
Fuente: El autor
Figura Nº 46 Prueba de conexión Centro 1 al Centro 2
Fuente: El autor