Solemne #3 PAC 5501 La topologa mostrada corresponde a la red de datos de la empresa FortiSecure lo ha sido contactado a usted como Profesional

de Seguridad Informtica, con la finalidad de robustecer la seguridad e integridad de la red LAN mostrada.

La misma est conformada por una Oficina Principal y una sucursal llamada Expansin, la oficina principal est conformada por un Router de Borde y par de switches de acceso, la sucursal Expansin est conformada por un router y tambin un switch de acceso donde est conectado el servidor de Syslog, que a su vez cumple los roles de DNS y DHCP para los segmentos de RRHH, Finanzas e Inventario. En la red LAN de Principal est operativo un Servidor FTP para el respaldo de la Nmina de la empresa. Comunicaciones: La comunicacin entre Oficina Principal y la sucursal Expansin se realiza a travs de Internet mediante un tnel IPSec. Este tnel permitir a los computadores conectados a los switches de acceso de la Oficina Principal obtener direccionamiento IP de forma automtica desde el Servidor DHCP/DNS operativo en la sucursal Expansin. El Router de Borde de la Oficina Principal permite la conexin a Internet mediante un NAT para proteger la red LAN de todos los usuarios corporativos, los cuales estn divididos de la siguiente forma: Principal IT RRHH Finanzas Expansin IT_2 Inventario VLAN ID 100 200 300 VLAN ID 100 200 Segmento Mascara 172.XX.1.0 255.255.255.0 172.XX.2.0 255.255.255.0 172.XX.3.0 255.255.255.0 Segmento Mascara

172.XX.4.0 255.255.255.0 172.XX.5.0 255.255.255.0

Verifique que desde el Router de Borde se alcance el DHCP/DNS Server a travs de dicho tnel, para la comunicacin IP entre los distintos dispositivos. La IP del servidor DHCP/DNS/Syslog es la ltima utilizable del segmento IT_2 en la localidad Expansin. As como tambin para el servidor y el trafico FTP.

Cree los Pools que sean necesarios en el servidor, as como tambin habilite los servicios de DNS a la pgina web www.google.com con la IP 8.8.8.8 y el servicio de Syslog donde todos los dispositivos de comunicaciones corporativos deben registrar los mensajes de Syslog. Proteccin de Tabla CAM: Asegrese de configurar todas las interfaces en su verdadero rol operativo, es decir las interfaces entre switch como trunk, declarando como VLAN nativa la 10, las interfaces que tengan una PC conectada deben pertenecer a la VLAN que indica el Hostname de la PC. Las interfaces en des uso deben estar configuradas perteneciendo a la VLAN 1000 (Dummy) y deshabilitadas. (Esta premisa se cumple en ambas localidades). Asegrese de proteger los dispositivos de un posible ataque de Inundacin de direcciones MAC, para ello se deben permitir mximo 1 direccin MAC por interface, en dado caso de reinicio del equipo la MAC Address aprendida debe salvarse en la configuracin inicial. El modo de proteccin deseado debe ser aquel que engae al atacante hacindole creer que la interface sigue activa, pero que a su vez registre en log la violacin. Spanning-Tree: Los equipos deben operar en el modo STP que permita una rpida convergencia. El root STP debe ser el Router de Borde en la Sede Principal y como respaldo el SW_ACC_1, asegrese que todas las interfaces configuradas en modo acceso transiten de forma rpida al estado de Forwarding y que por las mismas no se reciba ni se enven BPDUs. El equipo SW_ACC_1 puede verse vulnerado asegrese que el root STP no se modifique por ninguna instancia. NAT: Todos los dispositivos finales deben poder alcanzar al servidor Google.com, verifique que el NAT se est realizando de forma correcta, inclusive el servidor DHCP/DNS debe alcanzar dicho servidor. El segmento de red para la conexin a Internet asignado es 200.200.200.0/29 SSH: Solo desde el servidor DHCP/DNS se puede establecer sesin remota SSH a los equipos: Oficina Principal Router Expansin SW_ACC_01 SW_Expansion_01 SW_ACC_02 Dominio: FortiSecure.cl Usuario: FortiSecure Usuario: Monitor Pass: enable_15 Pass: enable_10 Privilegio: 15 Privilegio: 10