Informe Técnico

“Implementación de red, servicios y

seguridad”

Alumno: Juan Pablo Larenas Aravena

Víctor Hugo Torres Santander
Christian Román Cáceres
Docente: Fabián Santibáñez
Carrera: Adm. En redes computacionales
Fecha: 3 de julio de 2019

1
Contenido
Introducción ............................................................................................................................................. 4
Fase uno ................................................................................................................................................... 5
Requerimientos ........................................................................................................................................ 6
Esquema direccionamiento por medio de VLSM ..................................................................................... 6
Materiales a utilizar.................................................................................................................................. 7
Proveedores de internet .......................................................................................................................... 7
Topología física......................................................................................................................................... 8
Topología Lógica....................................................................................................................................... 9
Implementación de VTP (vlan trunking protocol) .................................................................................... 9
Implementación de Etherchannel .......................................................................................................... 12
Spanning tree protocol .......................................................................................................................... 13
Direccionamiento IP con DHCP .............................................................................................................. 14
NAT-PAT ................................................................................................................................................. 17
Implementación de seguridad en capa 2 ............................................................................................... 18
Implementación de HSRP ....................................................................................................................... 19
Protocolo de enrutamiento ruta estática .............................................................................................. 21
Fase dos.................................................................................................................................................. 22
Requerimientos ...................................................................................................................................... 22
Descripción de servicios ......................................................................................................................... 23
SERVICIO SAMBA (SMB) ......................................................................................................................... 23
SERVICIO FTP (FILE TRANSPORT PROTOCOL) ......................................................................................... 25
VSFTPD (VERY SECURE TRANSFER PROTOCOL DEMON) ........................................................................ 25
SERVICIO DNS (DOMAIN NAME SYSTEM) .............................................................................................. 27
SERVICIO MYSQL .................................................................................................................................... 30
SERVICIO RSYSLOG ................................................................................................................................. 30
SERVICIO HTTP/HTTPS............................................................................................................................ 31
SERVICIO POSTFIX .................................................................................................................................. 32
SERVICIO DOVECOT ................................................................................................................................ 35
SERVICIO ACTIVE DIRECTORY ................................................................................................................. 39
SERVICIO ASTERISK................................................................................................................................. 49
PROTOCOLO SIP ..................................................................................................................................... 50

2
Configuración del archivo extensions.conf (DialPlan)............................................................................ 51
Menú IVR (Interactive Voice Response) ................................................................................................. 53
CONFIGUARCION PSTN Y PSTN-EXTENSION .......................................................................................... 54
Etapa tres ............................................................................................................................................... 58
Inventario de Servicios y Servidores ...................................................................................................... 59
Windows Server 2012 R2 ....................................................................................................................... 59
Alcance de las amenazas ........................................................................................................................ 60
Identificación de vulnerabilidades ......................................................................................................... 61
VULNERABILIDADES ENCONTRADAS...................................................................................................... 64
Descripción (de la vulnerabilidad encontrada) ...................................................................................... 65
Conclusión .............................................................................................................................................. 80
Anexos .................................................................................................................................................... 81

3
Introducción
La empresa TECNIDATA tiene la necesidad de implementar una red, la cual fue enviada y
evaluada por nuestra compañía de redes y telecomunicaciones. En el presente proyecto de
licitación se implementa una red y dará una mejora sustancial a esta misma. Se presenta una
topología la cual dará escalabilidad, tolerancia a fallas y seguridad, siendo metódicos en cada
uno de los aspectos, para lograr superar las expectativas solicitadas. Para ello nuestro equipo
de especialistas crearon un diagrama lógico y físico con los cuales se demuestra todo el
funcionamiento de la red logrando esta ser estable y segura.
Al ya tener la red completa funcionando se pide implementar 3 servidores con ciertos servicios,
además, la implementación de una red de voz para mantener la comunicación en cada una de
las áreas de la empresa como también recibir llamas externas.
Como punto final se necesita dar una solidificación en el aspecto de seguridad en la red
completa, en la cual se solicita un informe detallado el cual muestre por donde pueden ser
atacados y dando una solución a cada vulnerabilidad encontrada.

Para un mejor orden el presente proyecto será estructurado de la siguiente forma:

 Fase uno
 Analizar y mejorar la red solicitada
 Equipos a utilizar
 Proveedores ISP
 Cableado estructurado
 Diseño físico de la red
 Diseño lógico de la red
 Configuración de red
 Fase dos
 Servicios de red
 Implementación de servicios de red
 Implementación de servicios de voz
 Configuración servicios y voz
 Fase tres
 Análisis de vulnerabilidades
 Neutralizar amenazas
 Informe detallado de fallas y soluciones
 Plan de mejora

4
Fase uno
Comenzamos por el primer punto el cual sería analizar la red solicitada para así lograr una
mejora de esta. Nos dimos cuenta que era necesario implementar más switch en la topología
de estrella extendida solicitada (es una forma de conectar los equipos y esta tiene forma de
estrella). Se mostrarán configuraciones en los switch y router para mostrar una buena
implementación de la red.
Solicitado por el cliente.
 Se solicita cableado estructurado para 4 plantas en el edificio.

En respuesta a esta solicitud nuestra red cumplirá con los estándares solicitados por el cliente, por
ende, se cubrirá cada uno de los pisos del edificio utilizando red cableada (UTP), utilizaremos el
estándar 802.3 con norma TIA/EIA-T-568A. Junto a esto también se implementará una red
inalámbrica bajo la norma 802.11b.

Como antecedente no fue entregado el nombre de cada departamento, los cuales debemos
entregarles direccionamiento IP.

 Visitas
 Recepción
 Administración
 Gerencia
 Ingeniería
 Soporte
 Servidores
 Voz

5
Requerimientos
 Diseño jerárquico 3 capas de Cisco con una topología redundante.
 Cableado estructurado según norma TIA/EIA 568A.
 Cableado horizontal utilizando cable UTP cat. 6.
 Cableado horizontal utilizando cable UTP cat. 6.
 Segmentación mediante VLAN.
 Direccionamiento IP saliendo a internet (NAT y PAT)
 Desarrollo de una red inalámbrica para visitas.
 Distribución de rango en direcciones IP mediante VLSM.
 Uso de VTP server para la propagación de VLAN.
 Aplicar seguridad y asignación de VLAN en las interfaces correspondientes.
 Eso de protocolos Etherchannel y DHCP.
 Balanceo de carga y redundancia a nivel de capa 2 mediante Spanning-tree.
 Redundancia a nivel 3 utilizando HSRP.
 Aplicación de EIGRP para distribuir la información de ruteo.

Esquema direccionamiento por medio de VLSM

Según lo solicitado por tenidita los segmentos de ip quedaron de la siguiente manera:

Host Address mascara rango asignable broadcast

90 172,16,8,0/25 255,255,255,128 172,16,8,1-172,16,8,126 172,16,8,127
20 172,16,8,128/27 255,255,255,224 172,16,8,129-172,16,8,158 172,16,8,159
14 172,16,8,160/28 255,255,255,240 172,16,8,161-172,16,8,174 172,16,8,175
10 172,16,8,176/28 255,255,255,240 172,16,8,177-172,16,8,190 172,16,8,191
10 172,16,8,192/28 255,255,255,240 172,16,8,193-172,16,8,206 172,16,8,207
10 172,16,8,208/28 255,255,255,240 172,16,8,209-172,16,8,222 172,16,8,223
10 172,16,8,224/28 255,255,255,240 172,16,8,225-172,16,8,238 172,16,8,239
8 172,16,8,240/28 255,255,255,240 172,16,8,241-172,16,8,254 172,16,8,255

6
Para la configuration de las VLAN la red se presentó de la siguiente forma:

Materiales a utilizar
En los materiales a utilizar destacamos los siguientes por su precio y calidad después de un análisis y
cotización en el mercado.

 RK05-4L - LINKMADE 45CM 5U GABINETE RACK

 C1941 Cisco cisco 1941/K9 1941 256 M Rou
 Switch Catalyst 2960+24 10 100
 Hp Proliant DI360 G7 2 X 2.40ghz E5620 Q
 Cisco Punto De Acceso Aironet 3602i
 Rack 42U 60CM X 107CM (AR3100)
 HP proliat DI360 G7 2 x 2.40ghz

Proveedores de internet
Para mantener una conexión estable tendremos un enlace de fibra óptica dedicada por cuenta de
Rodríguez y herrera Ltda. Y para el enlace de respaldo utilizaremos un enlace de VTR.

 Rodriguez y Herrera Ltda. Ancho de Banda 100/mb.

 VTR ancho de Banda 200/mb.

7
Topología física
En la topología física se destacan como irán ordenada la red junto a los equipos en el edificio de
TECNIDATA.

 Planta uno
Acá estará ubicada la recepción y las visitas. En este piso estará un computador e impresora
para la recepcionista más un punto de acceso WIFI para las visitas.

 Planta dos
Acá estará ubicada la sala de servidores y técnico, en este piso estará el núcleo de la red, en
un rack estarán ubicados los equipos y servidores, acá estarán dos router conectados a dos ISP
para tener redundancia hacia internet junto a dos switch de capa 3. A esta sala solo el personal
autorizado tendrá acceso. La sala de servidores constara con cerradura biométrica para una
mayor seguridad. Se implementaran los puntos de red requeridos para cada dispositivo final
requerido.

 Planta tres

8
Acá estará ubicada la sala de gerencia y voz, para esto estará instalado un switch. Se
implementarán puntos de red para cada dispositivo final que sea requerido.

 Planta cuatro
Acá estará ubicada la sala de ingeniería y operaciones. Se implementarán los puntos de red
requeridos para cada dispositivo final requerido.

Topología Lógica
A continuación, se dará a conocer la topología lógica con las indicaciones y referencias en sus
configuraciones.

Implementación de VTP (vlan trunking protocol)

Es un protocolo de mensajes nivel capa 2 usado para administrar y configurar las VLAN.
Simplifica la administración de un dominio de VLAN, en el cual puede crear, renombrar y borrar
estas. Todo esto para no configurar la misma VLAN en todos los nodos (replica las vlan en los
demás switch). Se crea para poder administrar redes donde la gestión manual se vuelve muy
difícil.

9
10
11
Implementación de Etherchannel
Es un protocolo de cisco, el cual permite la agrupación lógica de varios enlaces físicos como un
solo enlace. Esto es para lograr un balanceo de carga y tener también redundancia, esto debido
a que si un enlace falla la comunicación quedara por los enlaces que queden disponibles en el
equipo.

12
Spanning tree protocol
Este protocolo es para evitar loops entre los switch de la topología cuando se implemente una
redundancia. Cuando hay varios caminos en un dispositivo por el cual viajan datos STP crea
solo un camino, así evitando la creación de loops.

13
Direccionamiento IP con DHCP
DHCP (Dynamic host configuration protocol)
Este protocolo es para que un equipo obtenga una dirección IP dinámicamente, se configurara en los
router un servicio DHCP, en los cuales irán excluidas las 3 primeras direcciones de cada rango en la
dirección, para el DNS se utilizara las IPS 8.8.8.8 8.8.4.4 (IPS de google) y la puerta de enlace
correspondiente y su máscara.

14
15
16
NAT-PAT
La empresa Tecnidata ltda. Nos ha informado que dentro de la empresa habrán servidores
para esto debemos implementar el protocolo NAT, para el óptimo funcionamiento de esto
activos. NAT para traducir la dirección interna del servidor en una dirección pública y es
debido a esta configuración que resulta aún más importante que estos dispositivos tengan
una dirección predecible.
Esta traducción de la que hablamos es el NAT, que se creó principalmente para conservar las
direcciones IPv4 públicas (que son limitadas). Así además de la traducción de una dirección
privada interna a una dirección pública (sólo cuando es necesario), NAT tiene el beneficio
adicional de proporcionar cierto grado de privacidad y seguridad adicional a una red, ya que
oculta las direcciones IPv4 privadas de las redes externas.
La traducción de la dirección del puerto (PAT), también conocida como “NAT con
sobrecarga”, asigna varias direcciones IPv4 privadas a una única dirección IPv4 pública o a
algunas direcciones. Con PAT, se pueden asignar varias direcciones IP, ya que, se sobrecargan
los puertos. Es decir, a que cada dirección privada también se rastrea con un número de
puerto.
Nat estatico

Ip nat inside source static 209.165.201.3-209.165.201.5

Ip nat inside source static 201.221.113.3-201.221.113.5

Nat con sobre carga

Access-list 1 permit 209.165.201.1-209.165.201.2

Access-list 1 denny 201.221.113.1-201.221.113.2

Ip nat pool PAT_PUBLICO 209.165.201.1 209.165.165.2 netmask 255.255.255.248

Ip nat source list 1 pool PAT_PUBLICO overload

17
Implementación de seguridad en capa 2
Seguridad de los puertos.
En los switch que administraran los dispositivos finales se aplicara una configuración de
seguridad que permita que la MAC sea aprendida dinámicamente, esto para que solo permita
al equipo que corresponde conectarse a la red, si el puerto llegara a ser violado este quedara
se apagara automáticamente.

Utilizaremos porfast “spanning-tree porfast” para que los puertos pasen de blocking a forward
de inmediato evitando la negociación entre switch. Pero esto genera un problema de
seguridad el cual solucionamos con el comando “spanning-tree bpduguard enable”, este
comando bloquea los mensajes BPDU como mecanismo de seguridad en el puerto donde se
configuro porfast.jnb
-interface range fastEthernet 0/8-14
-switchport mode access
-switchport access vlan 20
-switchport port-security maximum 2
-switchport port-security mac-address sticky
-switchport port-security violation shutdown
-spanning-tree portfast
-spanning-tree bpduguard enable

18
Implementación de HSRP
El Hot Standby Router Protocol es un protocolo propiedad de CISCO que permite el
despliegue de routers redundantes tolerantes a fallos en una red. Este protocolo evita
la existencia de puntos de fallo únicos en la red, mediante técnicas de redundancia y
comprobación del estado de los routers.
Funcionamiento
Supongamos que disponemos de una red que cuenta con dos routers redundantes,
Router1 y RouterB. Dichos routers pueden estar en dos posibles estados diferentes:
maestro (Router A) y respaldo (Router B). Ambos routers intercambian mensajes,
concretamente del tipo HSRP hello, que le permiten a cada uno conocer el estado del
otro. Estos mensajes utilizan la dirección multicast 224.0.0.2 y el puerto UDP 1985.
Si el router maestro no envía mensajes de tipo hello al router de respaldo dentro de un
determinado período, el router respaldo asume que el maestro está fuera de servicio
(ya sea por razones administrativas o imprevistas, tales como un fallo en dicho router) y
se convierte en el router maestro. La conversión a router activo consiste en que uno de
los router que actuaba como respaldo obtiene la dirección virtual que identifica al
grupo de routers.
Para determinar cuál es el router maestro se establece una prioridad en cada router. La
prioridad por defecto es 100. El router de mayor prioridad es el que se establecerá
como activo. Hay que tener presente que HSRP no se limita a 2 routers, sino que
soporta grupos de routers que trabajen en conjunto de modo que se dispondría de
múltiples routers actuando como respaldo en situación de espera.

19
20
Protocolo de enrutamiento ruta estática

Para que la empresa Tecnidata ltda. Tenga conexión entre redes WAN hemos decidido
implementar ruta estática, ya que consideramos que las red WAN que solicitan tener es muy
pequeña. Esto ayudara a que tener un menor costo administrativo y menor sobrecarga para
los router.

[SWL1(config)#ip route 10.0.1.0 255.255.255.0 10.0.0.2

[SWL2(config)#ip route 10.0.2.0 255.255.255.0 10.0.0.2]

[R1#show ip route

10.0.0.0/24 is subnetted, 2 subnets

C 10.0.0.0 is directly connected, Serial1/1/0
C 10.0.1.0 is directly connected, Serial1/1/1

21
Fase dos
En esta fase se mostrará el proceso en el cual nuestra empresa configuro los servidores solicitados
por TECNIDATA se dividirá en servicios (programas necesarios para la administración de un servidor) y
VOIP (telefonía) la cual es muy importante porque abarata los costos de TECNIDATA al trabajar con
llamadas locales las cuales no tendrán costo alguno y las llamadas al exterior, que la empresa realice
tendrán un solo costo que va incluido en el servicio de Internet contratado (ISP), no hay costo por
línea telefónica. Además, se crea un menú IVR para que los clientes de TECNIDATA sean dirigidos a
esta y desde el menú se dirijan al área que ellos necesiten dentro de las comunicaciones en la
empresa.

Requerimientos
Los Servicios de red requeridos por la empresa son los siguientes:

 SAMBA
 FTP
 DNS
 MYSQL
 SYSLOG
 HTTP /HHTPS
 POSTFIX
 DOVECOT
 SQUIRREMAIL
 ACTIVE DIRECTORY
 ASTERISK

22
Descripción de servicios

SERVICIO SAMBA (SMB)

Este protocolo SMB pertenece a la capa 7 de aplicación en el modelo OSI. Permite la interconexión de
redes Microsoft Windows®, Linux, UNIX y otros sistemas operativos juntos, permitiendo el acceso a
archivos basados en Windows y compartir impresoras. Samba utiliza y configura diferentes
directorios Unix/Linux como recursos que se pueden compartir por medio de la red. Para las personas
que usen Microsoft Windows, estos recursos aparecen como carpetas comunes de red.

Cada directorio puede tener distintos permisos de acceso con protecciones del sistema de
archivos que se esté usando en Linux, así, las carpetas home pueden tener permisos de
lectura y escritura para cada usuario, permitiendo que cada uno entre a sus propios archivos;
sin embargo, debemos cambiar los permisos de los archivos de manera local para dejar al
resto ver nuestros archivos. Para instalar el servicio ejecutamos el comando “yum -y install
samba samba-client samba-common”
Para verificar los servicios instalados tecleamos lo siguiente:

Para configurar el servidor nos dirigimos a la ruta:

Una vez dentro cambiar lo siguiente: en este caso permitimos que todos los hosts usen el
servicio.

23
Se crea un directorio fijo para los usuarios o grupos:

Guardamos y salimos, a continuación, creamos un grupo para ingresar los usuarios que ocuparan el
servicio:

Agregamos el usuario logueados a samba:

24
Reiniciamos el servicio con el comando: “service smb restart”

SERVICIO FTP (FILE TRANSPORT PROTOCOL)

Protocolo de transferencia de archivos, pertenece a la capa 4 modelos OSI.

Utiliza los puertos 20 y 21.

El puerto 20 es utilizado para el flujo de datos entre el cliente y el servidor.

El puerto 21 es utilizado para el envío de órdenes desde cliente hasta el servidor.

VSFTPD (VERY SECURE TRANSFER PROTOCOL DEMON)

Es el programa utilizado para implementar servidor ftp en Linux.

Sus características principales es la seguridad y la sencillez de su uso.

Se cree que VSFTPD es el software FTP más seguro del mundo en la actualidad por lo cual optamos
por instalar este servicio.

Para instalar ejecutamos: “yum -y install vsftpd” una buena práctica es actualizar los packages
mediante “yum -y update”.

Luego nos dirigimos a la ruta “nano /etc/vsftpd/vsftpd.conf” en donde modificaremos los siguientes
parámetros:

LISTADO DE PARAMETROS A MODIFICAR :

listen = YES : Para que se inicie con el Sistema.

anonymous_enable = NO : No permitimos que usuarios anónimos puedan conectarse a nuestro

servido por seguridad.

local_enable = YES : Para poder conectarse con los usuarios locales del servidor donde está instalado.

write_enable = YES : Si quieres que los usuarios puedan escribir y no sólo descargar cosas.

local_umask = 022: Esta mascara hace que cada vez que subas un archivo, sus permisos sean
755. Es lo más típico en servidores FTP.
chroot_local_user = NO : Si lo pones en YES, los usuarios locales al logearse se enjaularán en su
directorio home, después de logearse.

chroot_list_enable = YES : Sirven para que los usuarios locales puedan navegar por todo el
árbol de directorios del servidor. Evidentemente

25
esto sólo queremos permitírselo a ciertos usuarios, para ello tenemos el siguiente parámetro.

chroot_list_file = /etc/vsftpd.chroot_list : Indicamos el fichero donde están listados los usuarios que
pueden navegar hacía arriba por los

directorios del servidor, lo normal es que sea el administrador del servidor.

El siguiente paso es crear un grupo de usuarios y otorgarle permisos especiales, seguido de esto
creamos una Shell fantasma para que no puedan entrar a la consola del servidor para terminar
editamos el listado de Shell del sistema:

Creamos una carpeta del usuario en el servidor en donde tendrá acceso vía ftp dando los permisos
indicados:

Con el comando “mkdir /home/chris” creamos la carpeta

Con el primer comando (765) otorgamos los permisos necesarios al usuario

Con el segundo comando (766) hacemos lo siguiente:

g grupoftp = el usuario pertenece al grupo ftp.
d /home/chris = El directorio principal del usuario es /home/ftp/gerenteftp.
c “Nombre del Usuario” = el nombre completo del usuario.
Gerenteftp = la última palabra será el nombre de usuario

Con el ultimo comando (767) creamos la contraseña para el usuario.

26
Lo siguiente es enjaular el usuario para que solamente se mantenga en su directorio, lo
primero a realizar es buscar el usuario en la ruta:

Seguido de esto copiamos la línea:

Y la pegamos en la última línea del archivo:

Una vez realizados todos los cambios reiniciamos servicio ftp:

SERVICIO DNS (DOMAIN NAME SYSTEM)

Su función es traducir las direcciones ip a un nombre, es decir convierte las direcciones ip en
un nombre de dominio para que así facilite así simplificar la búsqueda la web deseada.
Se instala con el comando “yum -y install bind bind-utils bind-chroot”.

Después entramos a /etc/resolv.conf y agregamos dirección del servidor y modificamos:

27
Luego entramos a /etc/hosts para agregar servidor y dns a configurar.
Seguido de esto vamos a nano /etc/named.conf para permitir consultas desde cualquier ip en
nuestro dominio

Luego nos vamos a /var/named y modificamos las zona directa y zona inversa.

28
Luego ejecutamos “chmod 777* /var/named/” con esto damos a un archivo todos los
permisos para todos los usuarios, luego reiniciamos y revisamos el estado del servicio con los
comandos:

29
SERVICIO MYSQL

MySQL es un sistema de gestión de bases de datos de código abierto, comúnmente instalado como
parte popular del paquete LEMP (Linux, Nginx, MySQL / MariaDB, PHP / Python / Perl). Utiliza una
base de datos relacional y SQL (lenguaje de consulta estructurado) para administrar sus datos.

Para su instalación ejecutamos el comando “yum install mariadb”

Revisamos nuestro servicio instalado:

Arrancamos el servicio:

Iniciamos el servicio con el sistema:

Permitir el paso por firewall

SERVICIO RSYSLOG
RSYSLOG es un eficiente y rápido sistema de procesamiento de registros de sistema.

Ofrece un diseño modular de alto desempeño y niveles de seguridad apropiados.

30
Es lo suficientemente versátil y robusto para ser utilizado en entornos empresariales y tan ligero y
sencillo que permite utilizarlo también en sistemas pequeños.

Permite almacenar las bitácoras en archivos de texto simple o bases de datos MySQL y PostgreSQL,
utilizar otros destinos en caso de falla, transporte de syslog a través de TCP, control detallado de
formatos, etiquetas de tiempo exactas, operaciones en cola de procesamiento y capacidades
de filtrado en cualquier parte de los mensajes.
El paquete Rsyslog es un componente esencial y obligatorio de cualquier distribución de
GNU/Linux moderna, por lo tanto, viene instalado de modo predeterminado y el servicio
estará activo en todos los niveles de ejecución.

SERVICIO HTTP/HTTPS
Protocolo de transferencia de hipertexto (en inglés: Hypertext Transfer Protocol o HTTP) es el
protocolo de comunicación que permite las transferencias de información en la World Wide Web.

http trabaja en el puerto 80 mientras https en el 443, operando en la capa de aplicación del modelo
OSI.

Instalamos servicio con el comando “yum -y install httpd” instalado el servicio Ingresamos a “nano
/etc/httpd/conf/httpd.conf una vez dentro modificamos:

Asignamos el dominio del administrador

31
Ahora modificamos la configuración de virtualhost.

SERVICIO POSTFIX
Es un servidor de correo de software libre.

Instalamos postfix usando el comando “yum install postfix” luego ingresamos a “nano
etc/postfix/main.cf” una vez dentro des comentamos y modificamos según requerimientos:

32
33
34
Concluido esto guardamos los cambios y reiniciamos los servicios postfix con los comandos:
“systemctl enable postfix” luego reiniciamos con “systemctl restart postfix”.

SERVICIO DOVECOT
Instalamos dovecot con el comando “yum install dovecot” editamos el archivo
/etc/dovecot/dovecot.conf y descomentar línea:

Editamos archivo etc/dovecot/conf.d/10-mail.conf y des comentamos:

Guardamos nos dirigimos a etc/dovecot/conf.d/10-auth.conf y des comentamos la siguiente

línea:

En la línea “auth_mechanisms=plain” se des comenta y agregamos “login”:

Guardamos, entramos a “etc/dovecot/conf.d/10-master.conf” nos vamos a las líneas user y group en

des comentándolas y agregando la palabra postfix:

Guardamos los cambios, salimos y reiniciamos los servicios:

35
“systemctl enable dovecot”

“systemctl start dovecot”

“systemctl status dovecot”

Con este último comando debería aparecer algo así:

SERVICIO SQUIRRELMAIL

Para instalar el servicio ejecutamos lo siguiente:

“yum -y install squirrelmail” seguido de esto nos dirigimos a:

“cd /usr/share/squirrelmail/config” y ejecutamos “./conf.pl”:

36
Nos pedirá ingresar una opción ingresamos 1 y nos aparecerá:2

Guardamos tecleando “s” y después volvemos al menú principal con “r”

Ahora elegimos opción 2 si queremos modificar el dominio y 3 para modificar línea y dejar en SMTP:

37
Luego de realizar las configuraciones antes mencionadas estamos en condiciones de revisar
la interfaz gráfica de nuestro correo. (lo que verá el usuario final).
Accedemos a nuestro dominio, en un navegador web:

https://www.tecnidata.cl/redes

38
SERVICIO ACTIVE DIRECTORY
WINDOW SERVER 2012
Windows Server 2012 es la penúltima edición lanzada por Microsoft del sistema operativo
Windows Server. Es la versión para servidores de Windows 8 y es el sucesor de Windows
Server 2008 R2. El software está disponible para los consumidores desde el 4 de septiembre
de 2012.
A diferencia de su predecesor, Windows Server 2012 no tiene soporte para computadoras
con procesadores Intel Itanium y se venden cuatro ediciones. Se han agregado o mejorado
algunas características comparado con Windows Server 2008 R2, como una actualización de
Hyper-V, un rol de administración de direcciones IP, una nueva versión del Administrador de
Tareas de Windows, y se presenta un nuevo sistema de archivos: ReFS.

39
Instalación de Windows Server 2012.

Primero procedemos a instalar Windows server 2012 y elegimos nuestra versión.

40
Escogemos el disco y procedemos a instalar.

Proceso de instalación de archivos, características y actualizaciones del sistema operativo.

41
42
Configuramos nuestro dns con una Ip estática e instalamos el servicio Dns

Luego creamos Nuestro Dominio, nuestras Unidades Organizativas, con los respectivos
usuarios

43
Las Políticas de Grupo son un conjunto de reglas que controlan el entorno de trabajo de
cuentas de usuario y cuentas de equipo.
Directiva de grupo proporciona la gestión centralizada y configuración de sistemas
operativos, aplicaciones y configuración de los usuarios en un entorno de Active Directory.
Acá un ejemplo, donde todos los usuarios que pertenezcan a la Unidad organizativa
Administracion no tendrán acceso al panel de control y, además, no tienen acceso a
almacenamientos externos (Pendrive, Lector de DVD externos, etc.).

44
45
Luego ingresamos al servidor con un Usuario X, para comprobar que este asociado al dominio
y que además las Gpo esta activa y funcionando.

46
Intentamos ingresar al Panel de Control

47
En este mensaje nos indica que, efectivamente no tenemos acceso al Panel de Control

48
SERVICIO ASTERISK
Asterisk es el mayor proyecto de software libre diseñado para la integración y unificación de
los sistemas de comunicaciones conocidos
Originalmente fue concebido como una plataforma para la generación de un sistema PBX,
pero con el tiempo ha ido evolucionando a otro tipo de usos, como Pasarelas VoIP, sistemas
integrales para call-centers, salas de conferencias, buzones de voz, y todo tipo de
aplicaciones que tengan relación con las comunicaciones en tiempo real.
Instalación
Habilitamos el adaptador de red a puente.

Seleccionamos Full instalación

49
En la instalación de la TCP/IP, seleccionamos IPv4 la opción de IP dinámica -IPv6 la opción de
IP automática.

PROTOCOLO SIP
Session Initiation Protocol o Protocolo de Inicio de Sesión. Es un protocolo desarrollador por
el grupo MMUSIC del IETF con el fin de ser el estándar para la iniciación, modificación y
finalización de sesiones interactivas de usuario donde interviene audio, video, mensajería
instantánea, juegos en línea y realidad virtual. SIP es uno de los protocolos de señalización
para voz sobre IP, junto con otros como H.323 e IAX2.
Primero se crea un contexto general, que se aplica a todos los demás contextos.
En la ruta: etc/Asterisk/sip.conf

50
Configuración del archivo extensions.conf (DialPlan)
El Plan de Marcación, llamando Dialplan en Asterisk, podría considerarse la columna
vertebral del sistema.
Funciona parecido a un lenguaje de script, en el que funciones, aplicaciones y recursos se van
intercalando para formar algo parecido a "procedimientos" y "programas" dentro de lo que
pudiera considerarse.

51
52
Menú IVR (Interactive Voice Response)
Un IVR (de Interactive Voice Response), es como su propio nombre indica, un menú de voz
interactivo que permite interactuar de forma automática con el otro extremo de la
comunicación con un fin determinado.
Hoy en día lo normal es encontrarse con un IVR de bienvenida cuando se llama a cualquier
gran empresa. El caso más obvio es el de las grandes operadoras de telefonía que cuentan
con los IVRs cuyo único objetivo es redirigir al usuario al departamento que pueda resolver
su consulta de la forma más precisa posible pero que lo hacen con tanto nivel de detalle
(submenús) que puede resultar muy molesto de cara al usuario final.

53
CONFIGUARCION PSTN Y PSTN-EXTENSION

Las configuraciones anteriormente mencionadas tienen una directa conexión con un par de
softwares que nos permiten crear los usuarios y realizar las llamadas telefónicas.
Configurando Zoiper y Eyebeam
Siga los pasos a continuación para configurar el VoIP Softphone para Yeastar S-Series IPPBX.

54
PASO 1. Inicia el softphone Eyebeam.
PASO 2. Haga clic en "Configuración> Crear una nueva cuenta".
PASO 3. Elija el tipo de cuenta como "SIP", haga clic en "SIGUIENTE"

PASO 4. Ingrese la información de la cuenta SIP.

55
Usuario / usuario @ host: ingrese el número de extensión.
Contraseña: ingrese la contraseña de registro de la extensión.
Proxy de dominio / salida: ingrese la dirección IP de la serie S IPPBX.
PASO 5. Haga clic en "SIGUIENTE", el softphone intentará registrarse en S-Series IPPBX.

PASO 6. Si se registró correctamente, puede ver la figura que se muestra a

continuación. Haga clic en “CERRAR” y use Zoiper para hacer llamadas.

PASO 7. Si desea editar la cuenta, haga clic en "Configuración> Preferencias" para obtener la
página de configuración de la cuenta y edítela.

56
Después de ingresar todos los usuarios, estaríamos en condiciones de realizar llamadas.

57
Etapa tres
Para llevar a cabo la investigación, se hizo uso, de diferentes técnicas de recolección de
información, para poder identificar las amenazas, vulnerabilidades, entre otros.
Este análisis se realizará en seis fases, que se detallarán en la siguiente figura.

58
Inventario de Servicios y Servidores
Los servidores a analizar son 3 Servidor DNS,WEB que contiene la mayoría de servicios,
Servidor Rsyslog únicamente contiene este servicio, por último en ser servidor Windows
2012 que tiene el active Directory.
 Servidor DNS, WEB 192.12.118.105
 Servidor Rsyslog 192.12.118.99
 Servidor Windows 192.168.0.200
 El sistema operativo de los servicios de DNS, WEB y Rsyslog
 tatic hostname: localhost.localdomain
 Transient hostname: dns.tecnidata.cl
 Icon name: computer-vm
 Chassis: vm
 Machine ID: 012f51f333fd40e680993f5c62902506
 Boot ID: 004b1aa32acf4b2d91ead4fcfdc9833b
 Virtualization: kvm
 Operating System: CentOS Linux 7 (Core)
 CPE OS Name: cpe:/o:centos:centos:7
 Kernel: Linux 3.10.0-957.12.1.el7.x86_64
 Architecture: x86-64

Windows Server 2012 R2

 Servidor DNS, WEB

 vsftpd-3.0.2-25.el7.x86_64
 samba-common-4.8.3-4.el7.noarch
 samba-libs-4.8.3-4.el7.x86_64
 samba-client-libs-4.8.3-4.el7.x86_64
 samba-common-tools-4.8.3-4.el7.x86_64
 samba-client-4.8.3-4.el7.x86_64
 samba-common-libs-4.8.3-4.el7.x86_64
59
  samba-4.8.3-4.el7.x86_64
 httpd-2.4.6-89.el7.centos.x86_64
 httpd-tools-2.4.6-89.el7.centos.x86_6
 php-mysqlnd-7.0.33-8.el7.remi.x86_64
 root-sql-mysql-6.16.00-4.el7.x86_64
 postfix-2.10.1-7.el7.x86_64
 bind-9.9.4-73.el7_6.x86_64
 bind-libs-lite-9.9.4-73.el7_6.x86_64
 bind-libs-9.9.4-73.el7_6.x86_64
 bind-license-9.9.4-73.el7_6.noarch
 bind-utils-9.9.4-73.el7_6.x86_64
 bind-chroot-9.9.4-73.el7_6.x86_64
 Servidor Rsyslog
 rsyslog-8.24.0-34.el7.x86_64

Alcance de las amenazas

Dentro de TECNIDATA.LTDA, se encuentran los departamentos de: Administración e
Ingeneria; Técnico; Soporte; Gerencia y finalmente los Operadores de Recepción, quienes
son los encargados de realizar las llamadas a los clientes.
El departamento que se ve más afectado dentro de la empresa, es el departamento de
Operadores, por lo cual, tienen en sus pc carpetas compartidas, con los datos de los clientes,
a los que se les hacen los llamados.

60
Dentro de este departamento, los activos que son afectados están en los servidores, en los
cuales, tienen instalado CentOS Linux 7 (Core) versión 3.10.0-957.12.1.el7.x86_64
Dentro del sistema operativo, se ven afectados los servicios de red que allí se alojan.

Activos afectados Los activos de la red que se encuentran afectados por las amenazas, se
detallan a continuación:

Nombre Descripción Responsable Tipo Ubicación

SERVER1 Servidor SOPORTE Servidor Sala de

DNS,WEB servidores
SERVER1 Servidor Rsyslog SOPORTE Servidor Sala de
servidores

Identificación de Amenazas Las amenazas pueden afectar nuestros archivos que están
alojados en los servidores, también haciendo un mal funcionamiento de los servicios que en
ellos alojamos, perdida de información provocada por algún malware que este dentro de
nuestra red, también hay que tener en cuenta algún averío de nuestros servidores.
Para llevar a cabo la investigación se hizo uso de diferentes técnicas de recolección de
información para poder identificar las vulnerabilidades, amenazas, entre otros.

Identificación de vulnerabilidades

A continuación, se presentan las amenas que nos arrojó la herramienta NESSUS con la cual
realizamos la consultoría a la red.
NESSUS es una potente aplicación de detección de vulnerabilidades muy usada, tanto por los
hackers, como por los expertos en seguridad informática cuando tienen que realizar
auditorías.
Esta herramienta resulta muy útil al momento de montar una red de servidores, en este
informe mostraremos los errores más importantes que nos dio el escaneo a los sistemas con
sus mitigaciones.
Los servidores a detallar son los siguientes:
Server1

61
  (Samba, vsftpd, Samba, HTTP, HTTPS, MYSQL, DNS, SMB)
Server2
 (Rsyslog)
Server3
 (WINDOWS 2012)

Mostraremos los siguientes problemas que nos arrojó la Herramienta de escaneo de

seguridad NESSUS

62
63
VULNERABILIDADES ENCONTRADAS

Descripción (de la vulnerabilidad encontrada)

El servidor web remoto admite los métodos TRACE y / o TRACK. TRACE y TRACK son métodos HTTP
que se utilizan para depurar conexiones de servidor web.

Solución

Deshabilita estos métodos. Consulte la salida del complemento para más información.

64
Descripción (de la vulnerabilidad encontrada)
No se puede confiar en el certificado X.509 del servidor. Esta situación puede ocurrir de tres
formas diferentes, en las que la cadena de confianza puede romperse, como se indica a
continuación:
- En primer lugar, es posible que la parte superior de la cadena de certificados enviada por el
servidor no proceda de una autoridad de certificación pública conocida. Esto puede ocurrir
cuando la parte superior de la cadena es un certificado auto-firmado no reconocido o cuando
faltan certificados intermedios que conectarían la parte superior de la cadena de certificados
con una autoridad de certificación pública conocida.
- En segundo lugar, la cadena de certificados puede contener un certificado que no es válido
en el momento del escaneo. Esto puede ocurrir cuando el escaneo ocurre antes de una de las
fechas 'no antes' del certificado, o después de una de las fechas 'no Después' del certificado.
- En tercer lugar, la cadena de certificados puede contener una firma que no coincide con la
información del certificado o no se pudo verificar. Las malas firmas se pueden arreglar
consiguiendo que el certificado con la firma incorrecta sea reescrito por su emisor. Las firmas
que no se pudieron verificar son el resultado de que el emisor del certificado utiliza un
algoritmo de firma que NESSUS no admite o no reconoce.
Si el host remoto es un host público en producción, cualquier corte en la cadena hace que
sea más difícil para los usuarios verificar la autenticidad e identidad del servidor web. Esto
podría hacer más fácil llevar a cabo ataques de hombre en el medio contra el host remoto.

Solución
Compre o genere un certificado apropiado para este servicio.

(Certificado auto-firmado SSL)

Descripción (de la vulnerabilidad encontrada)
65
La cadena de certificados X.509 para este servicio no está firmada por una autoridad de
certificación reconocida. Si el host remoto es un host público en producción, esto anula el
uso de SSL, ya que cualquiera podría establecer un ataque man-in-the-middle contra el host
remoto.
Tenga en cuenta que este complemento no verifica las cadenas de certificados que terminan
en un certificado que no está auto-firmado, sino que está firmado por una autoridad
certificadora no reconocida.
Solución
Compre o genere un certificado apropiado para este servicio.

VULNERABILIDADES ENCONTRADAS

(Cifrados del modo CBC del servidor SSH habilitados)

Descripción (de la vulnerabilidad encontrada)
El servidor SSH está configurado para admitir el cifrado CIP (Cipher Block Chaining). Esto
puede permitir que un atacante recupere el mensaje de texto claro del texto cifrado.
Tenga en cuenta que este complemento solo busca las opciones del servidor SSH y no verifica
si hay versiones de software vulnerables.
66
Solución
Póngase en contacto con el proveedor o consulte la documentación del producto para
deshabilitar el cifrado de cifrado del modo CBC y habilitar el cifrado del modo de cifrado CTR
o GCM

(Suites de cifrado de intensidad media SSL compatibles)

Descripción (de la vulnerabilidad encontrada)
El host remoto admite el uso de cifrado SSL que ofrece un cifrado de intensidad media.
Nessus considera la resistencia media como cualquier encriptación que utiliza longitudes de
clave de al menos 64 bits y menos de 112 bits, o bien que utiliza el conjunto de cifrado 3DES.
Tenga en cuenta que es considerablemente más fácil eludir el cifrado de intensidad media si el
atacante está en la misma red física.

Solución

67
Vuelva a configurar la aplicación afectada si es posible para evitar el uso de cifras de intensidad
media.

(SSH Algoritmos MAC débiles habilitados)

Descripción (de la vulnerabilidad encontrada)

El servidor remoto SSH está configurado para permitir algoritmos MAC MD5 o 96 bits, ambos
considerados débiles.
Tenga en cuenta que este complemento solo busca las opciones del servidor SSH y no verifica
si hay versiones de software vulnerables.

Solución
Póngase en contacto con el proveedor o consulte la documentación del producto para
deshabilitar los algoritmos MAC MD5 y 96 bits.

68
WINDOWS SERVER 2012
Se realiza un escaneo del WINDOWS SERVER 2012, y nos arroja lo siguiente:

69
Vulnerabilidades Encontradas y Soluciones

1.- SMB Signing not required

El login no es necesario en el servidor SMB remoto, un atacante remoto no autenticado puede
explotar esta vulnerabilidad.
La solución pasa por habilitar la firma obligatoria en la configuración del host.

2.- Security Update for SAM and LSAD Remote Protocols

El host remoto Windows puede ser afectado por una vulnerabilidad de elevación de privilegio en
protocolos Security Account Manager y Local Security Authority Domain Policy. Esto debido a un
indebido nivel de autenticación de negociación en las Llamadas de Procedimiento Remoto (RPC).

Microsoft declara haber liberado parches para tratar esta vulnerabilidad

70
Escuela de telecomunicaciones
Administración en redes computacionales

Corrección del análisis

Después de terminado el análisis hemos corregidos, las vulnerabilidades con más prioridad que
estaba ocurriendo en los activos del DNS, https y nuestro servidor Windows 2012 donde se
encuentra el active directory.

71
Escuela de telecomunicaciones
Administración en redes computacionales

72
Escuela de telecomunicaciones
Administración en redes computacionales
Windows 2012

Evaluar el riesgo

73
 Escuela de telecomunicaciones
Administración en redes computacionales
Con la información que hasta este punto hemos recolectado, seremos capaces de evaluar
el riesgo que tenemos en nuestros servidores. Para ello, aplicaremos las siguientes tablas,
y así, obtener una idea, de que, tan riesgosa es la vulnerabilidad que encontramos en los
servidores.

Tabla para el cálculo de la probabilidad

Cualitativo Cuantitativo Descripción

Baja 1 La amenaza se materializa a lo

sumo una vez cada año.
Media 2 La amenaza se materializa a lo
sumo una vez cada mes.
Alta 3 La amenaza se materializa a lo
sumo una vez cada semana.

Tabla para el cálculo del impacto

Cualitativo Cuantitativo Descripción

Baja 1 El daño derivado de la

materialización de la amenaza no
tiene consecuencias relevantes para
la organización.
Media 2 El daño derivado de la
materialización de la amenaza tiene
consecuencias reseñables para la
organización.
Alta 3 El daño derivado de la
materialización de la amenaza tiene
consecuencias graves reseñables
para la organización.

74
Escuela de telecomunicaciones
Administración en redes computacionales
Tabla de riesgo de nuestros activos

Calculo del riesgo

Tratamiento de los riesgos

Una vez realizado el cálculo del riesgo, debemos mitigar los riesgos que superen el límite
que nosotros hayamos establecido.
Transferir el riesgo a un tercero
Por ejemplo, contratando un seguro que cubra los daños a terceros ocasionados por fugas
de información.

75
Escuela de telecomunicaciones
Administración en redes computacionales
Eliminar el riesgo
Por ejemplo, eliminando un proceso o sistema que está sujeto a un riesgo elevado. En el
caso práctico que hemos expuesto, podríamos eliminar la wifi de cortesía, para dar
servicio a los clientes, si no es estrictamente necesario.
Asumir el riesgo
Por ejemplo, el coste de instalar un grupo electrógeno puede ser demasiado alto y por
tanto, la organización puede optar por asumir.
Implantar medidas para mitigarlo
Ejemplo: Se contrata un acceso a internet de respaldo para poder acceder a los servicios
en la nube en caso de que la línea principal haya caído.
Dependiendo del tipo de vulnerabilidad y su nivel de complejidad se aplicarán los criterios
anteriores.
Las vulnerabilidades de tipo alto serán transferidas a una empresa, la cual, se hará cargo
de las fallas de los diferentes servicios que tengan fallas más críticas.
Las vulnerabilidades de tipo medio serán eliminadas, solucionado el problema o
actualizando el servicio que se ve comprometido, este proceso se llevará a cabo, por el
personal de SOPORTE de TECNIDATA LTDA.
Las vulnerabilidades bajas serán asumidas, ya que, no poseen un gran riesgo para los
servicios, no causarán ningún problema en los hosts finales, ni en los servidores.

76
Escuela de telecomunicaciones
Administración en redes computacionales

Gráfico de Mitigación de Riesgos

Ya que están realizados los análisis correspondientes se hace necesario planificar las formas de
mitigar los riesgos asociados. Normalmente las empresas tienen jerarquizada su estructura de
manera que los cargos más altos tienen labores de mayor importancia y por consiguiente la
información que manejan es más delicada o más importante, esto no necesariamente es así ni
tampoco se menosprecia la información tratada por el resto de la empresa, pero si es una buena
política respaldar los equipos personales de gerencia especialmente debido a lo explicado
anteriormente. También ya que trabajaremos con servidores que idealmente deben tener un
uptime lo mas alto posible, es bueno monitorearlos mediante herramientas como PRTG Network
Monitor, Zabbix o Nagios, estas herramientas nos permitirán saber en todo momento que ocurre
con nuestro servidores ya que podemos chequear cada cierto tiempo CPU, RAM, Espacio en Disco

77
Escuela de telecomunicaciones
Administración en redes computacionales
y cualquier cosa que consideremos critica, incluso si el servidor ha caído esto ya que
podemos configurar que envíe correos(incluso SMS) según las alertas que se le configuran.
Plan de mitigación de riesgos
Para mitigar Ciertos riesgo hemos implementados ciertas políticas de seguridad, tales
como restringir el acceso donde están los servidores, cambiar la contraseña de los
usuarios de soporte y técnicos de redes cada un mes, además hemos dejado los activos
con ciertas reglas de selinux para algunos servicios a nivel de aplicación y dejando las
reglas de iptables en DROP.
Herramienta de seguridad de Centos

78
Escuela de telecomunicaciones
Administración en redes computacionales

79
Escuela de telecomunicaciones
Administración en redes computacionales
Conclusión

Aquí va una conslusion

80
Escuela de telecomunicaciones
Administración en redes computacionales
Anexos

81
Escuela de telecomunicaciones
Administración en redes computacionales

82
Escuela de telecomunicaciones
Administración en redes computacionales

83