TALLER DE APLICACIÓN GUIA 2

HECTOR ALEJANDRO CÁRDENAS

CC. 86060643
JOHN JAIRO MONCADA VELÁSQUEZ
cc.94475885

UNIVERSIDAD AUTÓNOMA DE OCCIDENTE

FACULTAD DE INGENIERÍA, ESPECIALIZACIÓN EN CIBERSEGURIDAD
SEGURIDAD EN REDES
CALI VALLE
2022
 PARTE 1 - ACTIVIDAD DNS VS DNS SEC DOH

1. Abrimos nuestra VM Mikrotik en VMware.

2. Validamos con el comando Interface Print que interfaces tenemos activas en Mikrotik.
3. Realizamos la configuración de las tarjetas de reden en VMware en modo puente, para
ello vamos a la opción Edit y luego a Virtual Network Editor.

4. En esta opción damos clic en Change Settings.

5. Identificamos y marcamos la conexión VMnet1 que es nuestra tarjeta de red wifi que nos
va a dar internet a la VM Mikrotik para ellos marcamos en la opción Bridged to:
escogemos la tarjeta de red wifi nuevamente para nuestro caso es la Remote NDSI
Based.

6. Agregamos una segunda tarjeta de red en el menú de virtual network editor y asignamos
el nombre Vmnet2.
7. Marcamos Bridged to: y escogemos la tarjeta 300Mbps Wireless High Power usb
ahora aplicamos cambios y clic en Ok.

8. Ahora vamos a configuración luego a la opción de network adapter luego nos ubicamos
en la opción Custom y escogemos nuestro adaptador de red virtual VMnet1 con el cual
tendremos conexión a internet con el firewalls Mikrotik.
9. Ahora vamos a validar que interface tenemos en nuestra Vm Mikrotik ejecutando el
comando interface print.

10. Vamos a ver qué dirección ip le asigno el dhcp en modo puente del firewall/RouterOS y
vemos que tomo la 192.168.242.7
11. Ahora hacemos un ping a la 8.8.8.8 y al dominio www.google.com vemos que el firewall/
RouterOS en modo puente tiene acceso a internet ya que nos respondió el ping.

12. Ahora vamos a nuestro equipo host y validamos que dirección IP tiene asignada
actualmente y vemos que es la 192.168.242.213.
13. Procedemos a hacer un ping desde nuestro firewall hacia la ip 192.168.242.213 de nuestro
equipo host para validar la conectividad entre los 2 equipos.

14. Ahora hacemos un ping desde nuestro equipo host a la ip del firewall/RouterOS
192.168.242.7 y vemos que respondió satisfactoriamente.

PARTE 2 - ACTIVIDAD FILTROS EN FIREWALL

15. Ejecutamos la interfaz grafica de MikroTik RouterOS e ingresamos la ip 192.168.242.7
del firewall y damos enter.

16. Visualizamos la pantalla principal del firewall de Mikrotik.

17. Realizamos validaciones de conexión haciendo ping a internet y al host desde winbox.

18. Realizamos la activación para que nuestro Firewall Mikrotik sea un servidor DNS
marcando la opción Allom Remote Requests.
19. Validamos la activación del servidor DNS en la opción IP y luego escogemos Address.

20. Verificamos que tenemos conexión a internet haciendo ping a Google.com

21. Realizamos la verificación del DNS en el equipo host ejecutando el comando nslookup
Google.com

22. Ahora procederemos a implementar el DNS seguro DoH procediendo a borrar cache.
 23. Validamos que el servicio DND DoH no este activo en el navegador o computador.

24. Descargamos los certificados ejecutando el comando:

/tool fetch url=https://curl.se/ca/cacert.pem

25. Procedemos a descomprimir los certificados con el comando
/certificate import file-name=cacert.pem passphrase=””

26. Realizamos el proceso de creación de resolutores de nombres y consulta previa

a la instalación.
27. Ahora ejecutamos los comandos y validamos:
ip dns static add name=cloudflare-dns.com type=A address=104.16.248.249
ip dns static add name=cloudflare-dns.com type=A address=104.16.249.249

28. Ahora procedemos a realizar el apuntamiento con el comando:

/ip dns set use-doh-server=https://cloudflare-dns.com/dns-query verify-doh-
cert=yes
29. Realizamos la validación de resolución de DNS en el sistema operativo Windows 10.
 PARTE 2. ACTIVIDAD FILTROS EN FIREWALL

En esta parte usaremos la VM VirtualBox para el desarrollo de la actividad.

1. Procedemos a configurar la tarjeta de red del firewall donde el adaptador 1 será quien
reciba internet.

2. El adaptador 2 se deja en la opción NAT y cuando se requiera se puede cambiar.

3. Validamos en firewall Mikrotik que reciba IP obteniendo la 192.168.1.9

4. Abrimos Winbox ingresando la IP 192.168.1.9

5. Ingresamos a firewall Mikrotik en modo grafico además probamos la salida a internet
haciendo ping Google.com

6. Arrancamos la VM de Windows 10 e iniciamos sesión.

7. En el firewall Mikrotik configuramos el nuevo direccionamiento.
8. Ingresamos a la opción de Interface List y renombramos las tarjetas para tenerlas mejor
definidas.

9. En la VM configuramos el adaptador 2 al segmento previamente creado llamado ejercicio.

10. Regresamos a Vm de Windows 10 y configuro la tarjeta de red en el mismo
segmento del firewall.

11. Se ingresa a cmd y realizamos un ping 10.0.0.1 para verificar la conexión.

12. Realizamos ping a 8.8.8.8 para verificar que no haya salida a internet.

13. Procedemos a dar solución a esta novedad aplicando la configuración en el firewall

ingresando a la opción IP luego firewall por último NAT.
14. Acá configuramos cual será el segmento de red en que se podrá navegar damos clic en
Apply y Ok.

15. Validamos en la VM de Windows la respuesta al ping 8.8.8.8

16. Se da ping Google.com y evidenciamos que no responde.

17. Vamos al firewall ingresamos a la opción Ip, DNS y marcar la opción Allow remote
request.
18. Se puede realizar una configuración en temas de seguridad para validar si es posible
navegar en internet por intermedio de otro servidor DNS; para ello damos clic en la opción
ip luego DHCP cliente y desmarcar la opción peer DNS.

19. Desde nuestro Firewall hacemos ping a Google.com o uao.edu.co donde se evidencia que
no hay respuesta.
20. A manera de caso de prueba utilizamos la plataforma SHODAN para probar si uno de los
DNS allí expuestos dan salida a internet.

21. Luego de probar varias ip se valida con la descrita en la imagen 181.48.58.190

que pertenece a Telmex Colombia S.A.
22. Se evidencia que con dicha ip 181.48.58.190 si hay respuesta de DNS en el firewall
Mikrotik.

23. Luego se debe configurar el DHCP server para entregar las ip´s dinámicas con el fin de
no estar configurando máquina por máquina, en este paso seleccionamos la interface
ether2-RedLan.
24. Ahora seleccionamos el DHCP Address Space 10.0.0.0/24.

25. En este paso se reparte el rango de direcciones del DHCP para 100 máquinas.
26. En la configuración del servidor DNS se dejará la ip del DNS atacado
181.48.58.190, para hacer la prueba.

27. Configuramos ahora el lapso de tiempo

28. Hemos terminado la configuración del DHCP.

29. En la opción DHCP Server vamos a la pestaña leases para que luego de que se active
la tarjeta de red con ip dinámica se pueda evidenciar la máquina conectada recibiendo
información.
30. Validación de ingreso a una página web con el servidor DNS que se encontró.

31. Creación de regla que me proteja las consultas de DNS externas de esta manera se
configura la protección de DNS externo
32. Ingresamos a la opción IP, Firewall, filter rules y agregamos la protección para upt y udp
según las imágenes relacionadas.

33. Realizamos la Configuración mínima de firewall en el cual también se debe incluir el puerto
8080 para tcp y udp.
34. Aplicamos la regla de IP SPOOFING para ello se ingresa a la opción ip, firewall, Address
lists y se configuran los segmentos permitidos, para este caso se dejarán las 3 utilizadas
internacionalmente.
35. Procedemos a la creación de una regla de filtrado también para el forward.

Paso 1.

Paso 2.

SERVICIO DNS DOH DNS OVER HTTPS

36. De esta manera se crea la nueva regla en el chain forward.

37. Se puede también ofrecer seguridad de una manera más estricta de la siguiente manera.
38. Seguridad para bloquear la red en caso de que se encuentre segmentada y sea de fácil
detección.

39. Configuramos las velocidades de nuestra red en la opción de panel izquierdo Queues,
crear la configuración respectiva, en este caso se asignan 5 MB de subida y bajada para
la red de wifi visitantes.
40. Como podemos ver nuestro firewall ya tiene varias configuraciones de seguridad.

41. Realizamos las validaciones de configuración en la cantidad de MB a consumir

generando un test en la pagina www.speedtest.net dentro de la VM de Windows
10.
42. Visualizamos los resultados en Winbox.

43. Se puede configurar otra regla para otra sala en la oficina y que tenga acceso
dicha ip a 5mb.
44. Ahora damos prioridad a la conexión del paquete y que dicha ip tenga prioridad sobre las
demás, su tráfico a nivel local sería el primero.

45. Procedemos con el redireccionamiento de puertos para iniciar se configurar otra

dirección de DNS server, en este caso sería la de Google 8.8.8.8
46. Luego en la opción de firewall, dns-server opción network, se configura la ip del DNS que
para este caso será la misma ip del firewall.

47. Generamos una copia de la configuración del firewall.

Paso 1.
 Paso 2.

48. En la consola podemos observar los archivos existentes.

49. Se genera el script por consola y se puede evidenciar gráficamente en la ventana files.

50. Se descarga el archivo y se valida el contenido.

51. Ejecutamos la VM de Kali-Linux para validar las vulnerabilidades para esto se utiliza el
comando nmap y la ip del firewall con el fin de conocer que puertos están abiertos.
52. Se valida con el comando [email protected] y efectivamente se puede ingresar
directamente al Mikrotik.

53. De igual manera se puede ingresar a través del navegador web

54. Para defender el escaneo se ingresa al firewall por la opción filter rules y al configurar
aceptar el puerto(s) configurado(s) se realiza tanto para el puerto 22 como para el puerto
8291.

Paso 1.

Paso 2.

55. Posteriormente creamos otra regla para denegar todos los inputs
56. la acción que utilizaremos será tarpit.

57. Aquí ya tenemos la configuración completa.

58. Luego en Kali_linux se vuelve a ejecutar el comando nmap y se evidencia que devuelve
más de 60.000 registros que harán más difícil dicho escaneo.
 PARTE 3. ACTIVIDAD FIREWALL ATAQUE DHCP

En esta parte se realizarán configuraciones de RDP para validar conexiones.

1. Con esta prueba desde la VM Windows 10 se puede evidenciar que no es posible acceder
a través de RDP al equipo Windows configurado.
2. Vamos a realizar la configuración de regla en el firewall para que permita acceder los
inputs.

Paso 1.

Paso 2.
3. Se realiza la configuración de NAT para redirigir la consulta del puerto desde una ip
previamente establecida y esta a su vez se redirija al destino correcto.

Paso 1.

Paso 2.
4. Se intenta realizar nuevamente la conexión, pero por temas de licencia de Windows no
permite activar la conexión hacia la máquina virtual, pero si se puede notar que existe
tráfico cuando intenta conectarse.

5. Ataque agotamiento de recursos suplantando mac address, agotamiento de direcciones

ip, Se valida en el firewall Mikrotik que Kali esté dentro del segmento
6. Ejecutamos el comando yersenia y realizamos el ataque para el DHCP, para la versión
de Kali_Linux en el cual se ejecutó solamente lo permitió a través de modo gráfico.

7. Evidencia del firewall Mikrotik en donde se muestra que todo el rango de ip’s se llenó.
8. Podemos validar en la VM de Windows que al solicitar la conexión de manera automática,
el firewall no tiene como entregarle ip alguna.

9. Procedemos a tomar las contramedidas para el ataque que es amarrar el equipo

Windows y también incluido el atacante.
10. El motivo para esta configuración que se pueda Llenar la tabla, pero no de manera
automática

11. No llenarse de manera automática, ARP proxy-arp

12. En la configuración IP, ARP se empiezan a crear las ip que serán las que se podrán
utilizar, con esta configuración es el DHCP quien entrega las ip.
 DOH (DNS OVER HTTPS)

Conoceos que DNS es la agenda de direcciones del protocolo TCP/IP y en especial podríamos
decir que es la libreta de direcciones de internet. Esto nos facilita la vida permitiendo recordar
nombres y no números para realizar una búsqueda en internet, sin embargo, las búsquedas y
respuestas del protocolo DNS son enviadas en texto plano mediante UDP, esto significa que
pueden ser visualizadas dentro de la red que estemos utilizando, y si hablamos de internet,
entonces es acertado decir que estas pueden ser leídas por cualquier persona o dispositivo capaz
de monitorear la red. Sin embargo, si un sitio web utiliza HTTPS, en la búsqueda DNS requiere
navegar hasta dicho sitio web.
Esta brecha de privacidad tiene un alto impacto en la seguridad y, en algunos casos, derechos
humanos; si las búsquedas DNS no son privadas, entonces estas se convierten en blanco fácil
del gobierno para censar dichas búsquedas o de atacantes que acanchan a los usuarios.

Para evitar que estas búsquedas puedan ser visualizadas por cualquiera, se desarrollaron 2
estándar DNS sobre TLS (DNS over TLS - DoT) y DNS sobre HTTPS (DNS over HTTPS - DoH),
con esto lo que se pretende es que la consulta llegue cifrada al servidor de DNS y así evitar que
cualquier persona o máquina que este monitoreando la red pueda revisar la consulta que se esté
realizando.
Entonces ¿Qué hace DNS over HTTPS?
DNS over HTTPS (DoH) encripta tanto las consultas, como las respuestas DNS, esto lo hace
empleando el protocolo HTTP o HTTP/2 en lugar de enviarlas directamente por UDP. Con esto
nos aseguramos que un atacante no puede alterar el tráfico DNS ya que este se vería como
cualquier otro tráfico de HTTPS.

Conclusión
En los tiempos actuales, la seguridad de la información está presente en cada aspecto de la
informática. DoH es una herramienta más que nos permitirá mantener una red segura, por lo que
es importante realizar (en lo posible) una implementación de DoH y así evitar ser víctima de un
ataque relacionado con DNS.