Upload
jdios-vicencio-araico
View
23
Download
1
Embed Size (px)
DESCRIPTION
Seg de Computo
Citation preview
Configuración RADIUS en Packet Tracer
Background
El protocolo de autenticación RADIUS nos permite manejar la autenticación de los usuarios mediante un servidor RADIUS.
El método es sencillo:
EL usuario solicita acceso
El Cliente Radius le pide su username y password si es usado PAP o manda desafío si se utiliza CHAP
El usuario responde con los datos requeridos
El Cliente Radius se conecta con el servidor Radius para autenticar los datos
El server Radius otorga o denega el permiso según su autenticación de datos
Para el escenario de demostración de Radius se utilzó:
1 Laptop que actúa como usuario a logearse
1 Router que actúa como el Cliente Radius
1 Server Radius que autentifica al usuario
Método de elaboración:
Se configuran las interfaces Fast Ethernet del router
Se configura la computadora del usuario
Se configura el Servidor Radius: Para esto se dirige a la pestaña AAA y se agrega el nombre del Cliente Radius, en éste caso R1, junto con la IP de su interfaz conectada al server y el password. Despues se configura la base de datos de los usuarios que autentificará el RADIUS
Por último se configura el Cliente Radius (El router) agregando la dirección IP del server Radius y el password(que debe ser el mismo que el configurado en el paso anterior)
Comandos Usados
aaa new-model: sirve para especificarle al router que se estará usando radius o tacacs como modelo de autorizacion.
Radius-server host 192.168.1.2 key password especifica la IP del servidor RADIUS y el pw
Tacacs-server host 192.168.3.2 key password especifica la IP del servidor TACACS y el pw
aaa authentication login default group radius local
aaa authentication ppp default group radius group tacacs local
aaa authentication login default group radius group tacacs local
aaa authorization exec default group radius group tacacs local
aaa authorization network default group radius group tacacs lo-cal
aaa accounting network default start-stop group radius group tacacs local
MACOF y DSNIFF
MACOF es una herramienta de la paquetería DSNIFF que floodea o inunda la tabla de direcciones MAC del Router, causando DoS de las MAC legitimas en algunos casos o que el switch actúe como Hub, escupiendo paquetes a todas las direcciones de la red, haciendolo fácil presa de Sniffing.
Comandos a utilizar:
macof -i wlan0
DSNIFF
se utilizaron varias herramientas del DSNIFF para ejecutar un MITM attack interceptando toda la información mandada desde la máquina invadida.
comandos utilizados
echo 1 > /proc/sys/net/ipv4/ip_forward <- para habilitar ip fowarding
fragrouter -i wlan0 -B1 <- para hacer forward a todos los paquetes
arpspoof -i wlan0 -t ip a atacar ip del gateway <- suplantar id de gateway
webmitm <- crea certificados digitales
*utilizamos sslstrip una vez efectuado el ataque de MITM para capturar contraseñas encriptadas en https y ssl
Yersinia
Background
Yersinia es una herramienta utilizada para explotar vulnerabilidades de diferentes protocolos de red.
Ésta herramienta ataca principalmente la capa 2 del modelo OSI
De entre los protocolos que ataca se encuentran:
1. Spanning Tree Protocol (STP)
2. Cisco Discovery Protocol (CDP)
3. Dynamic Trunking Protocol (DTP)
4. Dynamic Host Configuration Protocol (DHCP)
5. HSRP (Hot Standby Router Protocol)
6. IEEE 802.1Q
7. IEEE 802.1X
8. Inter-Switch Link Protocol (ISL)
9. VLAN Trunking Protocol (VTP)
Es de fácil uso, está escrita en C y es multihilo, por lo que más de un ataque puede ser ejecutado a la vez.
Uso
se instala Yersinia (sudo apt-get install yersinia)
se ingresa al menu gráfico (yersinia -G)
Se elige el tipo de ataque a realizar
Attacks Implemented in STP:
0: NONDOS attack sending conf BPDU
1: NONDOS attack sending tcn BPDU
2: DOS attack sending conf BPDUs
3: DOS attack sending tcn BPDUs
4: NONDOS attack Claiming Root Role
5: NONDOS attack Claiming Other Role
6: DOS attack Claiming Root Role with MiTM
Modo gráfico de Yersinia
Comando de ataque a protocol tcp
Certificados Digitales