sábado, 27 de enero de 2024

12. Configuración y gestión de la autenticación de enrutamiento RIP en el firewall de Palo Alto

 Bien este Blog es parte del tutorial anterior #11

Entonces como se comporta el protocolo RIP cuando lo configuramos con el perfil de Autenticacion? y la seguridad con l que forma la infomracion de un enrrutamiento de a ruta.

Aquí vamos a utilizar la misma topologia que el video anterior. 

entones la razon por la que queremos ter una perfil de autenticas es tener una red segura.

En primer lugar entendamos cual es el inconveniente te de esta topologia










entendamos que hay un hacker que acaba de entrar y añade un dispositivo malicioso en este switch y esta conectado a la red, de esa manera puede ver nuestra infomracion de la red y ademas puede infectar la red y tomar control.


Por eso hay que administrar un perfil de gestión para que nadie pueda configurar mis equipos

Ahora lo que vamos ahcer es agrefar un router que utilizara el hacker para conectar en nuestro Switch 

Para esto vamos a agregar un Router y lo llamaremos HACKER 





Al mismo le daremos una direccion 10.10.10.3/24

Ahora nuestra topologia quedara de la siguiente manera.


Ahora ingresamos al Router Hacker y realizamos las siguiente configuraciones.

#enable
#confugure terminal
#int fa0/0
#ip address 10.10.10.3 255.255.255.0
#no shutdown

Una vez que nuestro atacante sabe la dirección de las rutas puede comenzar a configurar el protocolo RIP para traer el resto de las redes.

#router rip
#version 2
Con el siguiente comando me traigo todas las redes conectadas 
#network 0.0.0.0
#exit
Ahora si escribimos do ip route  veremos que aprendió todas las redes.




Si no tenemos un perfil de gestion cualquier persona que tenga acceso a la red puede tener control, tan solo conectando un router, configurando al interface al Switch.


Asi que la idea de este tutorial es mostrarles  y que lo pongan en práctica como evitar esto.

Para evitar esto se recomienda crear un perfil de autenticación para que los router tengan una contraseña y puedan verse entre ellos gracias a esa contraseña, entonces cualquier atacante ya no podrá tener vision del resto de las rutas.

Ahora en nuestro Palo alto vamos a capturar trafico de la interface 1/1

vamos hacer una comunicación segura entre el router 1 el router 2 y el PA

En primer lugar vamos a configura los router.


Vamos al Router 1

#enable
#configure terminal
- Lo primer que debemos hacer aca es crear una clave de llavero.
#key chain llavero1
- y ahora le damos una contrseña
#key-string Micontraseña
#exit
#int fa0/0
#rip authentication key-llavero1
#exit

Listo ahora tendremos configurado una llave en esta interface 0/0 del router 1


Si vemos ahora vemos la tabla de ruteo rip veremos los sigueinte

#do show ip route rip




Verán que perdimos las rutas del Router 1 que son 10.10.10., 1.1.1.1 y 11.11.11.11, estas ya no estan mas.

eso porque configuramos una key para las interfaces del router 1


Ahora tenemos que hacer lo mismo en el router2

les dejo los comandos para que lo confifuren.

#enable
#configure terminal
#key chain keychain1
#key-string shivadios
#exit
Ahora necesitamos entrar la interface y aplicarle esta  key

#int fa0/0
#ip rip authentication key-chain keychain1
#exit

Bien ahora si intentamos ver las rutas del router 1 ya las podremos visualizar porque ambos comparten la misma llave de autenticación..


Ahora vamos al palo alto y configuraremos el perfil de autenticación.


Vamos a Virtual routers






Aqui seleccionamos rip





y en Auth Profiles 



Vamos agregado el lavero de la interface ethernet 

Vamos a ADD






Le damos OK y ya tendríamos listo el llavero creado para nuestro PA

Ahora vamos a RIP y le asignamos la llave  ala interface Ethernet 1/1







Debe quedar de la siguiente manera.




Guardamos y debe quedar de la siguiente menera.





No se olviden de guardar las configuraciones 

COMMIT!!!

Ahora si luego de unos minutos nuestro atacante intenta ver las rutas no vera mas nada salvo sus propias rutas

ejemplo.

Estando en el Router HACKER lanzamos ele siguiente comando solo podremos ver nuestras rutas.



Ahora bien, si vamos al Router 1 podremos ver todas las rutas

#do show ip route rip









Lo mismo veremos en el PAlo Alto






Visualizaremos que PA también aprendió las rutas.





a la/s No hay comentarios.:

11 Configuración y Gestión del protocolo de Enrutamiento RIP en Palo Alto


Se presenta la siguiente Topología 



Primero vamos a realizar la configuración del Router1

Vamos acceder y realizar la siguiente conf:

#enabled
#configure terminal
#hostname router1
#int fastEthernet 0/0
#ip address 10.10.10.1 255.255.255.0
#no shutdown

Ahora configuramos la inteface loopback

#int loopback 1
#ip address 1.1.1.1 255.255.255.255
# ip address 11.11.11.11 255.255.255.255
#exit

Si deseamos validar la direccion ip de cada interface para revisar como quedo, escribimos el siguiente comando.

#do show ip int b







Genial ahora vamos a configurar el protocolo RIP para estas dos direcciones 11.11.11.11. y 1.1.1.1

#router rip
#nwtwork 1.1.1.1
#network 11.11.11.11
#network 10.10.10.1 ----- Es muy importante anunciar esta red sino no funciona
#version 2
#exit

Con el comando #show running-config veremos la configuracion.








Para ver nuestro Tabla De Ruteo escribimos el siguiente Código

#show ip route







Bien, ahora procederemos a configurar el Router 2

#enable
#configure terminal
#int fa0/0
#ip address 10.10.10.2 255.255.255.0
#no shutdown
#exit

Ahora configuramos las interfaces Bucle o loopback

#int loopback 2
#ip address 2.2.2.2 255.255.255.255
#exit

#int loopback 1
# ip address 22.22.22.22. 255.255.255.255

Ver configuración: #so show ip int b






Ahora procesdemos a configurar el protocolo RIP 

#configure terminal
#router rip
#version 2
Ahora anunciamos las interfaces bucle como rip
# network 2.2.2.2
#network 22.22.22.22
#network 10.10.10.2
#exit
Validamos configuraciones

#do show run






Ahora comprobamos nuestras rutas

#show ip route








Genial ahora vamos a cofigurar las interfaces en el PALO ALTO.

Primero vamos a configurar las Zonas.

Vamos a Network / Zones












Procedemos a configurar el nombre y el tipo de capa que vamos a utilizar













Debe quedar asi





Ahora vamos a proceder a configurar la interfas Ethernet 1/1











Vamos a Network / interfaces

seleccionamos la interface ethernet1/1



Tiene que se Ethernet!




La configuración de esta interface debe ir de la siguiente manera.
















En la sección de IPV4 debemos agregar la red de la interface















Ahora en Advanced seleccionamos el ping en el perfil de Management













debe quedar asi






Ahora vamos a crear la interface LoopBack

Vamos a interfaces y seleccionamos la pestaña Loopback















Aqui solo configuramos Security Zone como Inside

















En IPV4 agregamos la dirección.
















Y en Advanced Configuramos en Ping









Ahora tenemos que crear otro bucle invertido




En IPV4 configuración la dirección 6.6.6.6/32
















Ahora en Advanced seleccionamos el PING 












Las dos interfaces loopback deben quedar de la siguiente manera.







Bien ahora vamos a crear un nuevo Virtual Router

Vamos a Network / Virtual Routers

Agremos la interface Ethernet 1/1 y nuestras interfaces LoopBack




Ahora debemos ir al menu RIP y habilitar 



Ahora vamos a ADD para agregar las configuraciones

Seleccionamos nuestra interface Ethernet 1/1

Habilitamos la misma, en Auto Profile Seleccionamos none.

En modo agregamos modo Normal.



Ahora configuramos la loopback, algo importante si son interfaces Loopback solo podremos agregarlas como Modo Pasivo.














Agregamos la LoopBack 6














Nos Debe quedar de la siguiente Manera











Le Damos OK y hacemos un Commit.

Para este Ejercicios no debemos crear ninguna política de seguridad ya que solo tenemos una Zona Inside

Bien ahora vamos ah realizar las pruebas.


Bien ahora vamos al Router 1 y veremos con un comando como el Router aprendió las redes del Router 2 y del palo alto automáticamente.

Tiramos el siguiente comando...

#show ip route











Con esta evidencia confirmamos que RIP esta funcionando. 


Si vamos al router 2 también podremos ver que el también puede ver las redes de router 1









si estamos parados en el Router 2 y hacemos un ping a la loopback del router podremos ver que está funcionando.







Genial ahora vamos a ver esto en Palo Alto.

En el la CLI de Palo Alto tiramos el siguiente comando

#show rounting route 









Como podrán ver tenemos las etas R y A esto significa que la interface la aprendió del protocolo RIP Automatico.









Ahora probemos un ping desde PA a la interface loopback del Router 1


Como ven tenemos Ping, lo mismo debe aparecerles a ustedes.

Y hacemos los mismo a la interface loopback del Router2





a la/s No hay comentarios.:
Suscribirse a: Entradas (Atom)

39. Agrupación de perfiles de seguridad en Palo Alto Firewall

           Las políticas de seguridad se pueden asociar a grupos que conta de perfiles Nosotros podemos crear un grupo y se pueden agregar t...