Administración de Redes Empresariales con GNS3
En un entorno empresarial, la eficiencia y la seguridad de la red son aspectos fundamentales para garantizar la continuidad operativa. La administración de redes abarca la configuración, monitoreo, y mantenimiento de dispositivos como routers y switches para optimizar el flujo de datos y garantizar la seguridad interna y externa de los sistemas. En este contexto, el uso de GNS3 (Graphical Network Simulator 3) se ha consolidado como una herramienta clave para la simulación y validación de arquitecturas de red, permitiendo a los administradores experimentar sin comprometer el entorno de producción. Esta plataforma de emulación y simulación de redes permite la integración de Routers MikroTik y Switches Cisco capa 2, ambos ampliamente utilizados en entornos empresariales por su flexibilidad, rendimiento y capacidad de personalización. MikroTik, con su sistema operativo RouterOS, destaca por ofrecer una solución económica pero poderosa para tareas de enrutamiento, gestión de ancho de banda y seguridad. Por otro lado, los switches Cisco de capa 2 proporcionan funcionalidad robusta para la segmentación de redes mediante VLANs y gestión eficiente del tráfico local. Por qué Usar GNS3 para Redes Empresariales GNS3 permite a los administradores de red diseñar, probar, y depurar configuraciones complejas sin necesidad de hardware físico adicional. Con su capacidad para integrar dispositivos reales con elementos virtuales, es ideal para desarrollar escenarios con múltiples routers y switches. Los siguientes son algunos beneficios clave de esta plataforma: Componentes y Arquitectura de Red Simulada En la simulación propuesta, MikroTik se utiliza como Router principal para gestionar el tráfico entre diferentes segmentos de red, mientras que los Switches Cisco capa 2 manejan la segmentación de VLANs y la gestión de enlaces troncales. Esta combinación es habitual en redes empresariales, ya que: La topología típica en este entorno incluiría uno o más routers MikroTik conectados a varios switches Cisco, cada uno configurado para manejar diferentes VLANs según los departamentos de la empresa. Requisitos del asistente: Conocimientos: Sistemas Operativos (Windows, Linux y Mac OS), Consola (CMD, Windows Power Shell, Putty o Terminal), FTP, SFTP, Visual Studio Code, Herramientas de Virtualización (VirtualBox, VMware). Laboratorio: Laboratorio de Cómputo. Sistema Operativo: Windows 10 o superior. Procesador: i7. Memoria RAM: 16 GB. Software Requerido: https://dsantana.uas.edu.mx/Talleres/GNS3/GNS3-2.2.49-all-in-one-regular.exe https://dsantana.uas.edu.mx/Talleres/GNS3/GNS3.VM.VirtualBox.2.2.49.zip https://download.virtualbox.org/virtualbox/6.1.50/VirtualBox-6.1.50-161033-Win.exe Extension pack: Duración: 2 sesiones de 2 horas Programa del taller: Videos: Referencias: Jason, H. (2024). Using the GNS3 Network Simulator. Pluralsight. Recuperado de https://www.pluralsight.com The Knowledge Academy. (2024). GNS3 Network Simulation Guide: Everything You Need to Know. The Knowledge Academy. Recuperado de https://www.theknowledgeacademy.com GNS3 Technologies Inc. (2024). GNS3 Documentation & User Guide. GNS3. Recuperado de https://docs.gns3.com MikroTik. (2024). RouterOS Configuration Basics. Recuperado de https://mikrotik.com Cisco Systems. (2024). Cisco Networking Basics. Recuperado de https://www.cisco.com
V-SOL – Configuración básica de OLT GPON + ONU
Paso 1.- Iniciar sesión en la OLT Primer acceso a OLT: IP default: 192.168.8.200 Usuario: admin Password: Xpon@Olt9417# (Se recomienda cambiar la contraseña por defecto) Paso 2.- Creación de VLANs. En el apartado de: OLT Configuration/VLAN, vamos a dar de alta la VLAN que vamos a utilizar. Imagen 01 – Paso 3.- Taggear la VLAN Posteriormente vamos a proceder a Taggear las VLANs en nuestro puerto Troncal(Trunk), para esto nos vamos al menú OLT Configuration/VLAN port, seleccionaremos la VLAN que vamos a utilizar y seleccionamos la opción TAG de acorde al puerto donde esté conectado al Switch de borde, y damos clic en submit. Imagen 02 – Paso 4.- Creación de perfiles de las ONUs. Nos vamos a menú Profile Configuration, después damos clic en ONU Profile, y nos vamos al apartado Add Profile y daremos clic en Commit. En este aparado podemos indicar el número máximo de Tcont, GEMport, y puertos Ethernet, VOIP, etc. La configuración típica es dejarlo como está por defecto. Imagen 03 – Paso 5.- Creación de DBA Profile. En la creación del DBA Profile nos funciona para decir la velocidad que soportará el puerto PON (No es para establecer planes de internet a las ONUs). Nos dirigimos al apartado Profile Configuration/DBA Profile/Add Profile. Seleccionaremos Type_4 en la línea Profile Type, y en Maximun(Kbps) vamos a poner la velocidad máxima del puerto PON, la cual es 1244160 Kbps, y daremos clic en Commit. Imagen 04 – Paso 6.- Creación de Line Profile. En este apartado haremos un vínculo entre el Tcont, GEMport y VLAN a utilizar para poder brindar el servicio deseado. Nos dirigimos a ir menú Profile Configuration/Line Profile/Add Profile, y pondremos un nombre para identificarlo, y posteriormente daremos clic en Add. Imagen 05 – Después vamos a editar el Line Profile para poder configurarlo, nos regresaremos a Line Profile, y daremos clic en nuestro Line Profile pero en el apartado de Details & modify. Imagen 06 – Crearemos un Tcont en donde únicamente tenemos que poner el ID(Número) y daremos en Add. Como su nombre lo dice el Tcont es un contenedor en donde podemos tener varias VLANs vinculadas a su correspondiente GEMport. Imagen 07 – Ahora crearemos el GEMport, en donde vamos a vincularlo con el Tcont que creamos anteriormente y daremos en Add. Imagen 08 – Ahora es momento de crear el Service, en donde vamos a vincular la VLAN (No olvidemos ponerlo en TAG) por primera vez, pero también hacemos el vínculo con el GEMport, y daremos en Add. Imagen 09 – Después crearemos nuestro Service Port, en donde nuevamente vamos a vincular el GEMport y la VLAN. En VLAN y SVLAN vamos a poner la misma. Imagen 10 – Paso 7.- Autenticación y configuración de las ONUs. Por defecto la OLT tiene la autenticación de las ONUs en automático, por lo tanto, nos tenemos que ir a configurar la ONU, y para esto nos vamos al menú de ONU configuration/ONU AuthList/ONU List Y daremos clic en la línea de ONU a configurar, pero en la opción Config. Imagen 11 – Ahora vamos a asignarle a la ONU el Tcont, GEMport, Service y Serivce Port, de acorde a los que creamos anteriormente. Imagen 12 – Imagen 13 – Imagen 14 – Como último paso necesitamos configurar la WAN de la ONU, vamos a crear una WAN index New, lo pondremos en modo Router, después la conexión si tenemos DHCP lo ponemos como DHCP, en caso de no manejar DHCP lo vamos a poner como Static y necesitaremos poner la IP que vamos manejar. El NAT lo vamos a dejar en Enable, cambiaremos a TAG la VLAN y pondremos el número de la VLAN que vamos a manejar, el tipo de servicio es Internet, y damos en Submit. Imagen 15 – Y para saber que la conexión se realizó correctamente debe de aparecer de la siguiente manera: Imagen 16 – Y por último validamos que tengamos internet al conectarnos a la ONU ya sea por método cableado o inalámbrica. Video:
Diseño e Instalación de Redes
Diseño e Instalación de Redes M.C. José David Santana Alaniz dsantana@uas.edu.mx https://dsantana.uas.edu.mx Bienvenido al curso. Este es el segundo curso de la serie curricular la Licenciatura en Ingenieria en Sistemas de Información. Este curso se centra en las tecnologías de switching y las operaciones de router que admiten redes empresariales de pequeñas a medianas, incluidas las redes de área local inalámbricas (WLAN) y conceptos de seguridad. Además de aprender los conceptos de key switching y enrutamiento, los estudiantes podrán realizar configuraciones básicas de la red y la solución de problemas, identificar y mitigar las amenazas de seguridad de la LAN, y configurar y proteger una WLAN básica. Este material del curso lo ayudará a desarrollar las aptitudes necesarias para realizar lo siguiente: Bibliografia: ¿Qué aprenderé en este módulo? Módulo 1: Configuración básica de dispositivos Objetivos del módulo: Configuración de los dispositivos mediante los procedimientos recomendados de seguridad. Título del tema Objetivo del tema Configuración de Parámetros Iniciales de un Switch Configurar los parámetros iniciales en un switch. Configuración de Puertos de un Switch. Configurar los puertos de un switch para cumplir con los requisitos de red. Acceso remoto seguro Configurar el acceso de administración seguro en un switch. Configuración básica de un router Configurar los ajustes básicos en un router para enrutar entre dos redes conectadas directamente, utilizando CLI. Verificar redes conectadas directamente Verificar la conectividad entre dos redes que están conectadas directamente a un router. Módulo 2: Conceptos de switching Objetivos del módulo: Explique cómo los switches de capa 2 reenvían datos. Título del tema Objetivo del tema Reenvío de tramas Explique la forma en la que las tramas se reenvían en una red conmutada. Dominios de switching Compare un dominio de colisión con un dominio de difusión. Módulo 3: VLANs Objetivos del módulo: Implemente VLAN y enlaces troncales en una red conmutada. Título del tema Objetivo del tema Descripción general de las VLAN Explique la finalidad de las VLAN en una red conmutada. Redes VLAN en un entorno conmutado múltiple Explique cómo un switch reenvía tramas según la configuración de VLAN en un entorno conmutado múltiple. Configuración de VLAN Configure un puerto para switch que se asignará a una VLAN según los requisitos. Enlaces troncales de la VLAN Configure un puerto de enlace troncal en un switch LAN. Protocolo de enlace troncal dinámico Configure el protocolo de enlace troncal dinámico (DTP). Módulo 4: Inter-VLAN Routing Objetivo del módulo: Solución de problemas de inter-VLAN routing en dispositivos de capa 3 Título del tema Objetivo del tema Funcionamiento del inter-VLAN routing Describa las opciones para configurar inter-VLAN routing Router-on-a-Stick Inter-VLAN Routing Configure router-on-a-Stick inter-VLAN Routing Inter-VLAN Routing usando switches de capa 3 Configure inter-VLAN routing mediante un switch de capa 3. Solución de problemas de Inter-VLAN Routing Solución de problemas comunes de configuración de inter-VLAN ¿Qué aprenderé en este módulo? Módulo 5: STP Conceptos Objetivo del módulo: Explique cómo STP permite la redundancia en una red de capa 2. Título del tema Objetivo del tema Propósito del STP Explique los problemas comunes en una red conmutada redundante L2. Funcionamientos del STP Explicar cómo opera STP en una red conmutada simple. Evolución del STP Explique la forma en que funciona PVST+ rápido. Módulo 6: EtherChannel Objetivos del módulo: Resuelva problemas de EtherChannel en enlaces conmutados. Título del tema Objetivo del tema Funcionamiento de EtherChannel Describa la tecnología EtherChannel. Configuración de EtherChannel Configure EtherChannel. Verificación y solución de problemas de EtherChannel Solucione problemas de EtherChannel. ¿Qué aprenderé en este módulo? Módulo 7: DHCPv4 Objetivos del módulo: Implemente DHCPv4 para operar en varias LAN. Título del tema Objetivo del tema Conceptos DHCPv4 Explicar la forma en la que funciona DHCPv4 en la red de una pequeña o mediana empresa . Configurar un servidor DHCPv4 del IOS de Cisco Configure un router como servidor DHCPv4. Configurar un cliente DHCPv4 Configure un router como cliente DHCPv4. Módulo 8: SLAAC y DHCPv6 Objetivo del tema: Configure la asignación dinámica de direcciones en redes IPv6. Título del tema Objetivo del tema Asignación de direcciones de unidifusión global IPv6 Explique cómo un host IPv6 puede adquirir su configuración IPv6. SLAAC Explicar el funcionamiento de SLAAC. DHCPv6 Explique el funcionamiento de DHCPv6. Configurar un servidor DHCPv6 Configurar servidor DHCPv6 stateful y stateless. Módulo 9: Conceptos de FHRP Objetivos del módulo: Explique cómo los FHRP proporcionan servicios de gateway predeterminados en una red redundante. Título del tema Objetivo del Tema Protocolos de Redundancia de Primer Salto Describa el propósito y el funcionamiento de los protocolos de redundancia de primer salto. HSRP Explique cómo funciona el HSRP. ¿Qué aprenderé en este módulo? Módulo 10: Conceptos de Seguridad de LAN Objetivo del Módulo: Explique cómo las vulnerabilidades ponen en riesgo la seguridad de LAN. Título del tema Objetivo del tema Seguridad de punto terminal Explique cómo usar la seguridad de punto terminal para mitigar los ataques. Control de acceso Explique cómo se utilizan AAA y 802.1x para autenticar los terminales y los punto terminal LAN y dispositivos. Amenazas a la seguridad de Capa 2 Identifique vulnerabilidades de la Capa 2. Ataque de tablas de direcciones MAC Explique cómo un ataque de tablas de direcciones MAC compromete la seguridad de LAN. Ataques a la LAN Explique cómo los ataques a la LAN comprometen la seguridad de LAN. Módulo 11: Configuración de Seguridad de Switch Objetivo del Módulo Configure la seguridad del switch para mitigar los ataques de LAN. Título del tema Objetivo del tema Implementación de Seguridad de Puertos Implemente la seguridad de puertos para mitigar los ataques de tablas de direcciones MAC. Mitigación de ataques de VLAN Explique cómo configurar DTP y la VLAN nativa para mitigar los ataques de VLAN. Mitigación de ataques de DHCP Explique cómo configurar el snooping de DHCP para mitigar los ataques de DHCP. Mitigación de ataques de ARP Explique cómo configurar ARP para mitigar los ataques de ARP. Mitigación de ataques de STP Explique como configurar Portfast y BPDU Guard para mitigar los ataques de STP. Módulo 12: Conceptos WLAN Objetivo del módulo: Explique cómo las WLAN habilitan la conectividad de red. Título del tema
Configurar tu repositorio de GNU/Linux Debian
Configurar tu repositorio de GNU/Linux Debian de forma manual es sumamente sencillo. En algunas ocasiones, nuestra distribución Debian se instalará con los paquetes base y no tendremos configurados los repositorios oficiales, por lo que no podremos instalar paquetes ni programas nuevos con apt-get o aptitude o con nuestro gestor gráfico de paquetes. Les enseñaré a configurar los repositorios oficiales de forma manual para poder instalar los paquetes que necesitemos de forma fácil y rápida. ¿QUÉ ES UN UNA RÉPLICA? Debian se distribuye mediante réplicas=copias a través de cientos de servidores en Internet. Usar un servidor cercano a nuestro lugar de trabajo ayuda a acelerar la descarga a la vez que se reduce la carga en los servidores centrales así como en la propia Internet en general. Las réplicas/copias de Debian pueden ser de tipo primarias o secundarias, según las siguientes definiciones: Para una descarga lo más rápida posible, debemos usar el servidor de réplicas más cercano a nosotros, ya sea una réplica primaria o secundaria. 1.- REQUERIMIENTOS Los únicos requerimientos para seguir este tutorial son los siguientes: 2.- SINTAXIS DEL FICHERO SOURCES LIST Una duda que a veces surge a la hora de configurar los repositorios es saber que significan las palabras main, contrib y non-free. Debian clasifica sus paquetes dependiendo del grado de libertad y que tan compatible son con la licencia GPL y sus directiva Debian. Cada paquete, por tanto, irá entro de una rama u otra. En el nombre de la distribución, podemos usar tanto el «nombre/alias» como la «clase». Así por ejemplo, se corresponden actualmente el nombre (wheezy, jessie, stretch, sid) con la clase (oldstable, stable, testing, unstable) respectivamente. SID es siempre SID (Still in Development). Aunque podemos usar cualquiera de sus dos formas, hay una pequeña diferencia entre ellas. Por ejemplo, si estamos usando un sistema con Debian 8.6 de nombre «jessie» y no queremos que se nos actualice cuando Debian publique nuevas versiones, debemos usar «jessie» en lugar de «stable». Si usamos «stable», el día que jessie pase a «oldstable» nuestro sistema se actualizará a «strech» que pasará de testing a stable. Una vez entendido la anterior explicación, será necesario editar el fichero de repositorios /etc/apt/sources.list y añadirle/modificar las líneas correspondientes para nuestra distribución siguiendo la siguiente sintaxis: Por ejemplo, para configurar nuestro equipo con «Debian Jessie» y el Mirror de FTP España de Debian, la sintaxis es la siguiente: 3.- LISTADO DE REPOSITORIOS El listado de los repositorios que podemos usar están publicados en la Web Oficial de Debian aquí https://www.debian.org/mirror/list 4.- ACTUALIZANDO LA INFORMACIÓN DISPONIBLE EN EL/LOS REPOSITORIOS El siguiente paso será actualizar los paquetes disponibles con el comando «apt update». Si todo ha ido bien, veremos la salida del comando muy similar a la siguiente: Tras comprobar que accedemos correctamente a los repositorios configurados manualmente, podemos ya instalar paquetes de forma individual, actualizar el sistema o subir de versión. EN el siguiente ejemplo se ve un upgrade de los paquetes de Debian Jessie: Funcional el chido
Configurar servidores DNS
Configurar servidores DNS en Linux/Ubuntu usando la consola (Puerto 53) En la terminal de Linux/Debian editar el archivo de configuración de los servidores DNS con el siguiente comando: En ese archivo tendrás que añadir las direcciones IP de los servidores DNS que desees. Puedes añadir tantos servidores DNS como quieras utilizando repetidamente el comando nameserver direccion_ip. En el caso de que no te lo sepas, puedes utilizar la dirección IP 8.8.8.8 que es la dirección IP de un servidor DNS de Google. Reinicia las interfaces de red para aplicar los cambios. Esto puedes hacerlo de la siguiente manera: Si tuvieras algún problema con el comando anterior, puedes probar a deshabilitar y habilitar de nuevo la interfaz de red que acabamos de configurar de la siguiente manera: Comprueba que tienes conectividad con otros equipos de la red y que tienes conexión a Internet.
Configuración de IP estática
Configurar dirección IP estática en Linux/Debian usando la consola (TCP/UDP) En la terminal de Linux/Bebian Comprueba las interfaces de red que tienes en el equipo. Podrás observar que las inferfaces de red ethernet empiezan con la abreviatura enp0s, que las interfaces de red inalámbrica empiezan con la abreviatura wlan y que además tienes una interfaz de red de loopback con la abreviatura lo que sirve para comprobar si tienes conectividad con tu propia máquina en la dirección IP 127.0.0.1. En mi caso solamente tengo una interfaz de red ethernet llamada enp0s3 y la interfaz de red de loopback llamada lo como puedes observar en la siguiente imagen: Edita el archivo de configuración de las interfaces de red con el siguiente comando: En ese archivo tendrás que asignar una dirección IP fija las interfaces de red que desees. En mi caso el interfaz de red que quiero configurar hemos visto que se llama enp0s3 pero en tu caso puede ser que se llame eth1, eth2, eth3, etc por lo que tendrías que sustituir enp0s3 por el nombre de tu interfaz de red. El aspecto de mi archivo de configuración de las interfaces de red es el siguiente: Donde: Reinicia las interfaces de red de tu servidor para aplicar los cambios. Esto puedes hacerlo de la siguiente manera: Si tuvieras algún problema con el comando anterior, puedes probar a deshabilitar y habilitar de nuevo la interfaz de red que acabamos de configurar de la siguiente manera: Comprueba que tienes conectividad con otros equipos de la red y que tienes conexión a Internet. En caso de que tengas conectividad con otros equipos de tu red pero no tengas conexión a Internet, quizás te falte configurar los servidores DNS.
CertBot
Paso 1: Instalación de Certbot El primer paso para usar Let’s Encrypt para obtener un certificado SSL es instalar el software Certbot en su servidor. Nota : actualmente, Certbot no está disponible en los repositorios de software de Debian de forma predeterminada, pero es posible configurar el buster-backportsrepositorio en su /etc/apt/sources.listarchivo para permitirle instalar una versión posterior del software Certbot con APT . Los backports , sin embargo, son paquetes recompilados de los repositorios inestables y de prueba de Debian que han sido recompilados para ejecutarse en una distribución estable de Debian. Estos paquetes no se prueban regularmente y es posible que no siempre estén actualizados. En consecuencia, el backport de Certbot instalará la versión0.31mientras que la versión actual a partir de este escrito es1.09. Una diferencia notable entre estas versiones de Certbot es que la configuración predeterminada para la versión0.31habilitará TLS v1.0 y TLS v1.1, dos protocolos de seguridad que han quedado obsoletos en la mayoría de los principales navegadores web, y habilitar estos protocolos puede presentar una vulnerabilidad de seguridad. Si bien es posible cambiar este valor predeterminado, hacerlo puede interrumpir las actualizaciones automáticas que hacen que Certbot sea tan útil. Hasta que una versión más reciente de Certbot esté disponible en los repositorios de Debian APT, este tutorial seguirá la recomendación de instalación de la versión de la documentación de Certbot.1.09con snappy , un administrador de paquetes desarrollado para sistemas Linux que instala paquetes en un formato denominado snaps . Para instalar Certbot como un complemento en Debian, primero debe haberlo snapdinstalado en su servidor. snapdes un demonio necesario para instalar, usar y administrar instantáneas. La instalación del snapdpaquete también instalará el snapcomando en su servidor. Para instalar snapd, actualice su índice de paquetes local si no lo ha hecho recientemente: Luego instale el snapd: Después de ejecutar este comando, se le pedirá que confirme que desea instalar snapdy sus dependencias. Hágalo presionando Yy luego ENTER. Luego, use el snapcomando para instalar el corecomplemento. Esto instalará algunas dependencias en su servidor que son necesarias para cualquier complemento que instale, incluido el complemento Certbot: Luego actualice el corecomplemento. Si lo hace, se asegurará de tener snapdinstaladas las últimas versiones y sus dependencias: Después de eso, puede instalar el certbotcomplemento con el siguiente comando. Tenga en cuenta que las instantáneas se pueden instalar en uno de los tres niveles de confinamiento que brindan diversos grados de aislamiento de su sistema. Por ejemplo, la mayoría de las instantáneas se instalan en el –strictnivel de confinamiento de manera predeterminada, lo que evita que estos programas accedan a los archivos o la red de su sistema. Debido a que se debe permitir que Certbot edite ciertos archivos de configuración para configurar correctamente los certificados, este comando incluye la –classicopción. Este nivel de confinamiento permite que cualquier instantánea instalada debajo de él tenga el mismo acceso a los recursos del sistema que los paquetes tradicionales: Instalación de python3 Instalación de classic certbot Este proceso de instalación instalará el certbotejecutable en el /snap/bin/directorio. Cree un enlace simbólico a este archivo en el /usr/bin/directorio para asegurarse de que puede ejecutar el certbotcomando en cualquier parte de su sistema: Certbot ahora está listo para usar, pero para que configure SSL para Apache, debemos verificar que Apache se haya configurado correctamente. Paso 2: Configuración del certificado SSL Certbot necesita poder encontrar el host virtual correcto en su configuración de Apache para configurar automáticamente SSL. Específicamente, lo hace buscando una ServerNamedirectiva que coincida con el dominio para el que solicita un certificado. Si siguió el paso de configuración del host virtual en el tutorial de instalación de Apache , debería tener un VirtualHostbloque para su dominio con la directiva ya configurada correctamente./etc/apache2/sites-available/your_domain.confServerName Para verificar, abra el archivo de host virtual para su dominio usando nanosu editor de texto favorito: Encuentra la ServerNamelínea existente. Debería verse así, con su propio nombre de dominio en lugar de your_domain:/etc/apache2/sitios-disponibles/su_dominio.conf Si aún no lo hace, actualice la ServerNamedirectiva para que apunte a su nombre de dominio. Luego guarde el archivo y salga de su editor. Si usó nano, hágalo presionando CTRL + X, Yy luego ENTER. A continuación, verifique la sintaxis de sus cambios de configuración: Si no hay ningún error de sintaxis, verá esto en su salida: Si obtiene un error, vuelva a abrir el archivo de host virtual y verifique que no haya errores tipográficos o que falten caracteres. Una vez que la sintaxis de su archivo de configuración sea correcta, vuelva a cargar Apache para cargar la nueva configuración: Certbot ahora puede encontrar el VirtualHostbloque correcto y actualizarlo. A continuación, actualicemos el firewall para permitir el tráfico HTTPS. Paso 3: Permitir HTTPS a través del cortafuegos Si tiene ufwhabilitado el firewall, como se recomienda en las guías de requisitos previos, deberá ajustar la configuración para permitir el tráfico HTTPS. Afortunadamente, cuando se instala en Debian, ufwviene con algunos perfiles que ayudan a simplificar el proceso de cambiar las reglas del firewall para el tráfico HTTP y HTTPS. Puede ver la configuración actual escribiendo: Si siguió el Paso 2 de nuestra guía sobre Cómo instalar Apache en Debian 10 , el resultado de este comando se verá así, mostrando que solo se permite el tráfico HTTP al servidor web: Para permitir adicionalmente el tráfico HTTPS, permita el perfil «WWW completo» y elimine la asignación de perfil «WWW» redundante: Su estado ahora debería verse así: A continuación, ejecutemos Certbot y obtengamos nuestros certificados. Paso 4: Obtener un certificado SSL Certbot proporciona una variedad de formas de obtener certificados SSL a través de complementos. El complemento de Apache se encargará de reconfigurar Apache y recargar la configuración cuando sea necesario. Para usar este complemento, escriba lo siguiente: Esto se ejecuta certbotcon el –apachecomplemento y se usa -dpara especificar los nombres para los que desea que el certificado sea válido. Si es la primera vez que corre certbot, se le pedirá que ingrese una dirección de correo electrónico y acepte los términos del servicio. Además, le preguntará si está dispuesto a compartir su dirección de correo electrónico con Electronic Frontier Foundation , una organización sin fines de lucro que defiende los derechos digitales y también es el fabricante de Certbot. Siéntase libre de ingresar Ypara compartir su dirección de correo electrónico o Npara rechazar. Después de hacerlo, certbotse comunicará con el servidor Let’s Encrypt, luego ejecutará un desafío para verificar que controla el dominio para el que está solicitando un certificado. Si eso tiene éxito, la configuración se actualizará automáticamente y Apache se volverá a cargar
Instalación de Debian
Empezando la instalación Lo primero que tendremos que hacer será seleccionar el idioma de nuestra distro, el cual se aplicará también al asistente de instalación. El siguiente paso será elegir nuestra ubicación. Gracias a ella Debian podrá configurar automáticamente la zona horaria y nuestra localización. Y también elegiremos el idioma de nuestro teclado. Ahora que el idioma y el teclado de nuestra distro están configurados, podemos continuar. Detectar y configurar el hardware Después de las primeras configuraciones, Debian dedicará un tiempo a volcar los datos de nuestro medio de instalación (del USB, del CD o de la ISO) al ordenador para poder acceder a ellos más rápidamente. También aprovechará para detectar todo el hardware de nuestro ordenador, configurarlo para que funciones y, por supuesto, conectarnos a Internet. Este proceso puede tardar hasta unos minutos, dependiendo de la potencia del PC. Debemos esperar con calma a que termine. También podremos darle un nombre a nuestro PC (para identificarlo mejor en red) y, además, unirle a un dominio, si trabajamos con esta característica (esto es más para empresas). Si no lo usamos, podemos dejarlo en blanco. Ya tenemos Debian en español, configurada la región del sistema, y conectado a la red. Hora de seguir. Crear y proteger usuarios al instalar Debian Llegados a este punto, lo que tenemos que hacer es crear los usuarios y proteger adecuadamente las cuentas. Lo primero que nos pedirá Debian es introducir la contraseña que queremos darle a la cuenta de superusuario, o root. Esta contraseña debe ser larga y robusta, ya que cualquiera que tenga acceso a ella tendrá control total sobre el equipo. Después de haber creado la cuenta de superusuario es hora de crear el primer usuario. Debian nos pedirá que introduzcamos en primer lugar el nombre completo del mismo. Y el nombre de usuario que le queremos dar. Y en tercer lugar, la contraseña de dicho usuario. Esta contraseña también debe ser segura si queremos evitar que personas no autorizadas se conecten al PC sin permiso. Ya tenemos los usuarios creados. Sigamos completando la instalación de Debian. Otras configuraciones del sistema A continuación, lo que haremos será elegir la ubicación de nuestra zona horaria, ya que así se podrá ajustar el reloj automáticamente en función de ella. Ahora le ha llegado el turno al disco duro. Debian, como cualquier otro Linux, utiliza una serie de particiones y puntos de montaje necesarios para poder guardar todos los datos. Si vamos a dedicar todo el disco podemos usar el método guiado para que el proceso de creación de las particiones sea lo más sencillo posible. Si somos usuarios avanzados, y queremos tener más control sobre las particiones, entonces podemos usar el método manual. También podemos elegir alguna de las otras dos opciones si lo que buscamos es aplicar un cifrado al disco para protegerlo. Nosotros vamos a usar el método guiado para usar todo el disco. Lo primero será seleccionar el disco duro o SSD donde vamos a instalar nuestra distribución. En el siguiente paso elegiremos la estructura de particiones que vamos a usar. Podemos instalar todo el sistema en una partición, separar la /home en una partición diferente, o crear particiones independientes para /var y /tmp. El asistente de instalación de Debian hará los cálculos correspondientes, y podremos ver un resumen con todos los cambios que se van a realizar. Si está todo correcto, aceptamos los cambios y, una vez particionado el disco, comenzará la instalación como tal. Ya está todo listo. Ahora comienza la instalación. Comenzando la copia de archivos para instalar Debian Debemos esperar a que el sistema termine de instalarse en el PC. Durante el proceso se descargarán los paquetes que faltan al usar la imagen netint, y se configurará la distro para poder funcionar. Al acabar la copia de archivos, el asistente nos preguntará si tenemos otro CD o DVD de software que queramos instalar al mismo tiempo. Esto era bastante frecuente en el pasado, pero ahora ya está en desuso. Por tanto, como no tendremos otro medio de instalación, elegiremos la opción «No». Ahora Debian nos pedirá que elijamos la ubicación del servidor de los repositorios desde donde se descargarán los paquetes y las actualizaciones. Es recomendable que este servidor esté lo más cerca posible de nuestro país para que la velocidad sea lo mayor posible. Y también tendremos que elegir el servidor desde donde bajar todo. Generalmente, el que viene por defecto (deb.debian.org) suele ser una buena elección. Por último, si usamos un proxy o alguna configuración de red extraña, tendremos que introducirla. Con todo esto, el asistente de instalación de Debian se conectará a los repositorios y actualizará la base de datos de software, descargando otras dependencias o listas que no se encuentren en el sistema. Y, no menos importante, podemos configurar si queremos compartir datos anónimos de uso. Por defecto, no. Ya tenemos nuestra distribución instalada y configurada. Pero antes de terminar, podremos elegir el software que queremos instalar. Instalando software adicional Ahora que ya tenemos la distro instalada en el PC, antes de empezar a trabajar con ella podemos elegir qué programas que queremos instalar. Debian nos va a permitir elegir el entorno de escritorio que queremos instalar, si queremos instalar algún servidor concreto o las utilidades estándar del sistema. Hacemos clic sobre continuar, y comenzará la descarga e instalación de los paquetes que hayamos seleccionado. Este proceso puede tardar también bastante tiempo, por lo que debemos esperar a que acabe. Cuando acabe el proceso, ya estaremos en el paso final. Lo único que nos quedará por hacer es elegir si queremos instalar el gestor de arranque GRUB, e indicar en qué unidad queremos instalarlo. Ya hemos terminado de instalar Debian. Ya solo nos queda dejar que finalice el asistente, reiniciar el ordenador y podremos empezar a disfrutar de nuestra nueva distro Linux. Videos
Samba 4 como Controlador de Dominios AD DC en Debian 12
Samba es un software libre que permite la interoperabilidad entre sistemas operativos Unix/Linux y Windows. Proporciona servicios de archivos e impresión para clientes SMB/CIFS (Server Message Block/Common Internet File System), que son los protocolos utilizados por Windows para compartir archivos e impresoras en una red. Con Samba, puedes: Samba es una herramienta esencial para entornos mixtos donde se utilizan tanto sistemas Windows como Linux, ya que facilita la colaboración y el intercambio de recursos entre estos sistemas. La última versión estable de Samba es la 4.21.3, lanzada el 6 de enero de 2025. Esta versión incluye varias mejoras y correcciones de errores en comparación con las versiones anteriores. esta versión el nivel más alto de Controlador de Dominio y bosque de AD DC que puede emular es: Windows 2008 R2. NOTA IMPORTANTE sobre Kerberos En un AD, Kerberos se utiliza para autenticar usuarios, máquinas y servicios. A partir de Samba 4.7, se proporciona soporte experimental para el KDC (Key Distribution Center) de Kerberos de MIT. En otros casos, Samba utiliza el KDC de Heimdal incluido en Samba. En este manual se detallan los pasos necesarios para instalar y configurar Samba 4 como Controlador de Dominio (AD DC) en Debian GNU/Linux 12 y sus derivados. Actualizar el servidor Antes de comenzar con la instalación de Samba 4.7 como Controlador de Dominio (AD DC), es fundamental actualizar nuestro servidor Debian GNU/Linux con las últimas versiones de seguridad y del kernel. Para ello, ejecuta los siguientes comandos: hostname, nombre del servidor Debemos configurar el nombre del servidor con un nombre descriptivo, Por ejemplo Servidor CONTROLCC editando el archivo /etc/hostname IP fija en el servidor Una vez instalado Debian GNU/Linux, el sistema está configurado para obtener automáticamente la configuración de red (IP, máscara de red, servidores DNS, puerta de enlace) a través del servicio DHCP. Sin embargo, dado que hemos instalado un servidor, es necesario asignarle una dirección IP estática. Vamos a configurar la interfaz de red enp0s3 (denominación de la primera tarjeta de red en sistemas Linux) con la dirección IP estática 192.168.1.200. También es necesario especificar la dirección del dispositivo de acceso a Internet, la puerta de enlace o gateway (192.168.1.1). Nota importante: El nombre de las interfaces de red varía según el tipo de adaptador instalado. En este manual nos referimos a la primera interfaz de red como enp0s3, pero el nombre debe reemplazarse por la designación real de su interfaz de red. La configuración de las interfaces de red está almacenada en el archivo de texto /etc/network/interfaces. Realizamos la siguiente modificación usando el editor nano: ======================================# The loopback network interfaceauto loiface lo inet loopback # The primary network interface# allow-hotplug enp0s3# iface enp0s3 inet dhcp Una vez que el servidor está configurado con una dirección IP fija, activamos la interfaz de red con el siguiente comando: Hosts: Resolución de DNS en el servidor La herramienta resolvconf actualiza automáticamente el archivo de configuración de resolución de nombres (DNS), llamado /etc/resolv.conf. Tanto el servidor como los clientes del dominio deben usar un servidor DNS capaz de resolver las zonas DNS de AD. Esta herramienta, por defecto, reescribe el archivo /etc/resolv.conf en cada arranque. Por lo tanto, vamos a usar la resolución de DNS en el archivo /etc/hosts. Vamos a añadir las DNS en el archivo /etc/hosts para permitir las búsquedas por nombres DNS. NTP: Sincronizar la hora Kerberos requiere una hora sincronizada en todos los miembros del dominio. Para ello, procedemos a instalar el servidor de hora NTP. Usamos el siguiente comando: Instalar los paquetes necesarios para Samba4 AD DC Para instalar el controlador de dominio de Active Directory, instalamos Samba y todos los paquetes necesarios. Usamos el siguiente comando: Durante la instalación, el instalador nos hará una serie de preguntas para configurar el controlador de dominio. En la primera pantalla, debemos escribir un nombre para el valor predeterminado de Kerberos en mayúsculas. Escribimos el nombre que usaremos en el dominio, en mayúsculas y pulsamos Enter para continuar. Ahora escribimos el nombre de host del servidor Kerberos para nuestro dominio. Usamos el mismo nombre que para el dominio, pero esta vez en minúsculas y pulsamos Enter para continuar. Finalmente, escribimos el nombre de host para el servidor administrativo del reino Kerberos. Usamos el mismo nombre del dominio y pulsamos Enter para finalizar la instalación. Instalar los paquetes necesarios para Samba4 AD DC Para instalar el controlador de dominio de Active Directory, debemos instalar Samba y todos los paquetes necesarios. Usando los siguientes comandos: Este es el resultado de parar/des-habilitar los servicios: Muy Importante: Antes de empezar con el aprovisionamiento, debemos cambiar el nombre de smb.conf o eliminar la configuración original de Samba (smb.conf). Este paso es obligatorio antes de aprovisionar Samba AD, ya que durante la provisión, Samba crea un nuevo archivo de configuración desde cero y generará errores si encuentra el antiguo archivo smb.conf. En este manual, he preferido cambiar el nombre de smb.conf a smb.conf.original. Ahora iniciamos el aprovisionamiento de dominios de forma interactiva, aceptando las opciones predeterminadas que nos ofrece. Además, nos aseguramos de introducir la dirección IP de nuestro servidor DNS o de un servidor externo (en este caso hemos usado el servidor de fimaz.local 192.168.100.253). También debemos escribir una contraseña segura para la cuenta de Administrador. NOTA IMPORTANTE: Si elige una contraseña débil para la cuenta de administrador, la provisión del dominio fallará. A continuación, se presentan las preguntas que nos hace el asistente. En azul están las opciones que debemos introducir y en fucsia se encuentran las opciones por defecto, que en la mayoría de los casos son válidas y solo es necesario pulsar la tecla Enter: Ahora iniciamos y habilitamos los demonios de Samba Active Directory Domain Controller . Capturas de pantalla del comando: systemctl unmask samba-ad-dc Capturas de pantalla del comando: systemctl start samba-ad-dc Capturas de pantalla del comando: systemctl enable samba-ad-dc Samba 4 AD DC ya esta funcionando A partir de momento Samba 4 AC DC esta completamente operativo. El nivel más alto de dominio que Samba está emulando debería ser Windows AD DC 2008 R2 . Lo vamos a verificar con la ayuda de la herramienta samba-tool . Verificando el servidor de archivos Nota importante: Las capetas compartidas de netlogon y las sysvol se crean automáticamente durante el aprovisionamiento ya que son obligatorias en el Controlador Dominios. Verificación de DNS Para verificar que la configuración
Comandos Principales de Nmap para escanear hosts remotos
Nmap es uno de los mapeadores de redes más populares del mundo de la seguridad de la información. Tanto los profesionales de la ciberseguridad como los novatos lo utilizan para auditar y descubrir puertos abiertos locales y remotos, así como hosts e información de red. Algunas de las mejores características de esta herramienta son que es de código abierto, gratuito, multiplataforma y recibe actualizaciones constantes cada año. También tiene una gran ventaja: es uno de los escáneres de red y de host más completos disponibles. Incluye un amplio conjunto de opciones para mejorar sus tareas de escaneo y mapeo, y trae consigo una comunidad increíble y documentación completa para ayudarlo a comprender esta herramienta desde el principio. Nmap se puede utilizar para: Cree un mapa completo de la red informática. Encuentre direcciones IP remotas de cualquier host. Obtenga el sistema operativo y los detalles del software. Detecta puertos abiertos en sistemas locales y remotos. Auditar los estándares de seguridad del servidor. Encuentre vulnerabilidades en hosts remotos y locales. 15 ejemplos de comandos de Nmap Conozcamos algunos análisis útiles basados en la línea de comandos que se pueden realizar con Nmap. 1. Escaneo básico de Nmap contra IP o host Ahora, si desea escanear un nombre de host, simplemente reemplace la IP del host, como puede ver a continuación: Este tipo de escaneos básicos son perfectos para sus primeros pasos al comenzar con Nmap. 2. Escanee puertos específicos o escanee rangos de puertos completos en un servidor local o remoto En este ejemplo, escaneamos todos los puertos 65535 para nuestra computadora localhost. Nmap puede escanear todos los puertos posibles, pero también puede escanear puertos específicos, que reportarán resultados más rápidos. Vea abajo: 3. Escanee varias direcciones IP Intentemos escanear varias direcciones IP. Para ello, necesita utilizar esta sintaxis: También puede escanear direcciones IP consecutivas: Esto va a escanear 1.1.1.1, 1.1.1.2, 1.1.1.3 y 1.1.1.4. 4. Escanear rangos de IP También puede usar Nmap para escanear rangos de IP CIDR completos, por ejemplo: Esto escaneará 14 rangos de IP consecutivos, desde 8.8.8.1 hasta 8.8.8.14. Una alternativa es simplemente usar este tipo de rango: Incluso puede usar comodines para escanear todo el rango de IP de clase C, por ejemplo: Esto escaneará 256 direcciones IP desde 8.8.8.1 hasta 8.8.8.256. Si alguna vez necesita excluir ciertas IP del escaneo de rango de IP, puede usar la opción «–exclude», como puede ver a continuación: 5. Escanee los puertos más populares El uso del parámetro «–top-ports» junto con un número específico le permite escanear los X puertos más comunes para ese host, como podemos ver: Reemplace «20» con el número deseado. Ejemplo de salida: 6. Escanee los hosts y las direcciones IP que se leen desde un archivo de texto En este caso, Nmap también es útil para leer archivos que contienen hosts e IP en su interior. Supongamos que crea un archivo lista.txt que contiene estas líneas dentro: El parámetro «-iL» le permite leer de ese archivo y escanear todos esos hosts por usted: 7. Guarde los resultados del escaneo de Nmap en un archivo Por otro lado, en el siguiente ejemplo no estaremos leyendo de un archivo, sino exportando / guardando nuestros resultados en un archivo de texto: Nmap también tiene la capacidad de exportar archivos en formato XML, vea el siguiente ejemplo: 8. Desactivación de la resolución de nombres DNS Si necesita acelerar un poco sus escaneos, siempre puede optar por desactivar la resolución DNS inversa para todos sus escaneos. Simplemente agregue el parámetro «-n». Vea la diferencia con un escaneo normal habilitado con resolución DNS: 9. Scan + OS y detección de servicios con ejecución rápida El uso del parámetro «-A» le permite realizar la detección del sistema operativo y del servicio, y al mismo tiempo lo combinamos con «-T4» para una ejecución más rápida. Vea el ejemplo a continuación: Este es el resultado que obtuvimos para esta prueba: 10. Detectar versiones de servicio / demonio Esto se puede hacer usando los parámetros -sV Como puede ver aquí: 11. Escanee usando protocolos TCP o UDP Una de las cosas que más nos gustan de Nmap es el hecho de que funciona con los protocolos TCP y UDP. Y aunque la mayoría de los servicios se ejecutan en TCP, también puede obtener una gran ventaja al escanear servicios basados en UDP. Veamos algunos ejemplos. Salida de escaneo TCP estándar: Resultados de la exploración UDP mediante el parámetro «-sU»: 12. Detección de CVE usando Nmap Una de las características más importantes de Nmap que no todos los administradores de redes y sistemas conocen es algo llamado “Nmap Scripting Engine” (conocido como NSE ). Este motor de secuencias de comandos permite a los usuarios utilizar un conjunto predefinido de secuencias de comandos o escribir las suyas propias utilizando el lenguaje de programación Lua. El uso de NSE es fundamental para automatizar los análisis de vulnerabilidades y del sistema. Por ejemplo, si desea ejecutar una prueba de vulnerabilidad completa contra su objetivo, puede usar estos parámetros: Ejemplo de salida: Como puede ver, en esta prueba de vulnerabilidad pudimos detectar un CVE (ataque DOS Slowloris). 13. Lanzamiento de DOS con Nmap Las características de Nmap nunca parecen terminar, y gracias al NSE, eso incluso nos permite lanzar ataques DOS contra nuestras pruebas de red. En nuestro ejemplo anterior (# 12) encontramos que el host era vulnerable al ataque de Slowloris, y ahora intentaremos explotar esa vulnerabilidad lanzando un ataque de DOS en un ciclo indefinido: 14. Lanzar ataques de fuerza bruta NSE es realmente fascinante: contiene secuencias de comandos para todo lo que puedas imaginar. Vea los siguientes tres ejemplos de BFA contra WordPress, MSSQL y servidor FTP: Ataque de fuerza bruta de WordPress: Ataque de fuerza bruta contra MS-SQL: Ataque de fuerza bruta FTP: 15. Detectar infecciones de malware en hosts remotos Nmap puede detectar malware y puertas traseras mediante la ejecución de pruebas exhaustivas en algunos servicios de sistemas operativos populares, como Identd, Proftpd, Vsftpd, IRC, SMB y SMTP. También tiene un módulo para buscar señales de malware populares dentro de servidores remotos y también integra las bases de datos de Navegación Segura y VirusTotal de Google. Se puede realizar un escaneo de