Última actualización: octubre 20, 2022
4.2.3.3 Packet Tracer: protección de servicios en la nube en IoT (Versión para instructor)
Nota para el instructor: El color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.
Topología
Objetivos
Implemente medidas de seguridad básicas para los sistemas de IoT con los servicios en la nube.
Aspectos básicos/situación
La empresa ABC desarrolla sistemas de IoT en su depósito principal. El objetivo es implementar algunos dispositivos de seguridad física en el depósito para que, cuando se cierre, estos dispositivos monitoreen las puertas y ventanas. Cuando se detecta un intruso, las luces se encienden y las cámaras web comienzan a grabar.
La seguridad es un aspecto importante además de la función de los sistemas de IoT con servicios en la nube.
En esta actividad de Packet Tracer completará las tareas de configuración:
- Registre cuatro dispositivos de IoT en el depósito de la empresa ABC, un detector de movimiento, una luz dirigida, una cámara web y un sensor de recorrido. Añada condiciones en el servidor de registro para que, cuando el detector de movimiento o el sensor de recorrido se activen, la luz dirigida y la cámara web se enciendan.
- Configure el router del depósito para que requiera una autenticación segura para la consola y el acceso remoto.
- Configure las ACL para que restrinjan el tráfico de la red entre el servidor de registro y el depósito de la empresa ABC.
- Configure el servidor web en la red del proveedor de servicios en la nube para garantizar que la comunicación de datos sea segura.
Recursos necesarios
- Packet Tracer 7,0
Paso 1: registre los dispositivos de IoT en el servidor de registro
Agregue un usuario al servidor de registro registrar1.pka con una contraseña segura:
- Use una PC en la oficina del depósito. En la ficha Escritorio, abra Explorador web, escriba www.registrar1.pka y seleccione Ir. Aparece la ventana Inicio de sesión del servidor de registro.
- Haga clic en Registrarse ahora y cree su propia cuenta con una contraseña segura (asegúrese de que la contraseña tenga como mínimo 8 caracteres de longitud con una combinación de caracteres en mayúscula, caracteres en minúscula y números).
- ¿Cuál es su nombre de usuario y contraseña?
Registre los dispositivos de IoT en el servidor de registro:
- Haga clic en Detector de movimiento y en la ficha Configuración, seleccione Servidor remoto e ingrese www.registrar1.pka como dirección del servidor con el nombre de usuario y la contraseña creados.
- Haga clic en el botón Conectar y espere a que se complete la conexión.
- ¿El detector de movimiento aparece en el servidor de registro? Sí.
- Repita los pasos 1 y 2 para registrar la luz, la cámara web y el sensor de recorrido.
Paso 2: añada condiciones en el servidor de registro
Añadirá condiciones en el servidor de registro para que, cuando el detector de movimiento o el sensor de recorrido se activen, la luz dirigida y la cámara web se enciendan.
Inicie sesión en el servidor de registro con el nombre de usuario y la contraseña creados.¿Ve cuatro dispositivos de IoT enumerados?
Sí.
Haga clic en Condiciones y añada las siguientes tres condiciones:
1. Denomínela LightsOn1 si el estado de encendido de MD es verdadero; establezca el estado de la luz dirigida en Encendido Y el estado de la cámara en Encendido para Verdadero.
2. Denomínela LightsOn2 si el estado de encendido de TS es verdadero; establezca el estado de la luz dirigida en Encendido Y el estado de la cámara en Encendido para Verdadero.
3. Denomínela LightsOff si tanto el estado de encendido de MD como el estado de encendido de TS son falsos; establezca el estado de la luz dirigida en Apagado Y el estado de la cámara en Encendido para Falso.
4. Pruebe las condiciones
Presione la tecla ALT y mueva el ratón por el detector de movimiento. ¿Se encendieron la luz dirigida y la cámara web?
Sí.
Aleje el ratón y espere unos segundos. ¿Se apagaron la luz dirigida y la cámara web?
Sí.
Paso 3: configure la autenticación segura de los dispositivos de red
• Configurará una autenticación segura para una conexión inalámbrica en el dispositivo del gateway del depósito:
1. Haga clic en Gateway del depósito. En la ficha Configuración, en la opción Inalámbrico, establezca el SSID en WhGateway1 y la Autenticación en WPA2-PSK con la contraseña IoTWh001. Deje el Tipo de cifrado como AES.
2. Haga clic en PC portátil. En la ficha Configuración, en la opción Inalámbrico 0, establezca el SSID en WhGateway1 y la Autenticación en WPA2-PSK con la contraseña IoTWh001. Deje el Tipo de cifrado como AES.
¿Se conecta la PC portátil al gateway del depósito correctamente?
Sí.
En el router del depósito, configure un anuncio para mostrar un mensaje de advertencia de acceso ilegal. Si bien un mensaje de anuncio no es una medida de seguridad en sí misma, puede funcionar como disuasión para los intrusos. Establezca una contraseña cifrada para ingresar en el modo Ejecutable. Configure una cuenta de usuario local para la línea de la consola y el acceso remoto.
1. Haga clic en el router del depósito y luego en la ficha CLI e ingrese los siguientes comandos:
Warehouse> enable Warehouse# config terminal Warehouse(config)# banner login %Login with valid password% Warehouse(config)# banner motd %Authorized Access Only! Unauthorized access is subject to Federal Prosecution.% Warehouse(config)# exit Warehouse#
2. Establezca una contraseña para el modo Ejecutable segura:
Warehouse(config)# enable secret AbcWh001 Warehouse(config)# exit
3. Configure un nombre de usuario local para la línea de la consola y el acceso a las líneas VTY:
Warehouse# configure terminal Warehouse(config)# username WhAdmin secret AbcLine001 Warehouse(config)# line console 0 Warehouse(config-line)# login local Warehouse(config-line)# exit Warehouse(config)# line vty 0 4 Warehouse(config-line)# login local Warehouse(config-line)# end Warehouse#
Paso 4: configure las listas de acceso al tráfico restringido entre los dispositivos de IoT de la empresa ABC y la red de proveedor de servicios en la nube
En el router del depósito, configure y aplique la lista de acceso 10 para permitir que solo el tráfico del servidor DNS y el servidor de registro ingrese en la red de dispositivos de IoT del depósito de la empresa ABC:
Warehouse# configure terminal Warehouse(config)# access-list 10 permit host 172.18.1.5 Warehouse(config)# access-list 10 permit host 209.165.201.5 Warehouse(config)# interface g0/2 Warehouse(config-if)# ip access-group 10 out Warehouse(config-if)# end Warehouse#
En el router del proveedor de servicios en la nube, configure y aplique la lista de acceso 110 para permitir que solo el tráfico de la red de dispositivos de IoT del depósito de la empresa ABC acceda al servidor de registro:
CSP# configure terminal CSP(config)# access-list 110 permit ip host 209.165.200.226 host 209.165.201.5 CSP(config)# access-list 110 deny ip any host 209.165.201.5 CSP(config)# access-list 110 permit ip any any CSP(config)# interface g0/0 CSP(config-if)# ip access-group 110 out CSP(config-if)# end CSP#
¿Por qué se selecciona la dirección IP de la interfaz del router del depósito como origen en ACL 110?
Porque esta dirección IP se usa en NAT como la dirección IP global interna
Paso 5: configure una comunicación web segura en el servidor web en la red del proveedor de servicios en la nube
La empresa ABC usa el servidor web del proveedor de servicios en la nube como parte de su operación. Configure el servidor web en la red del proveedor de servicios en la nube para que solo se pueda acceder mediante HTTPS.
1. Haga clic en Servidor CSP y luego en la ficha Servicios.
2. Haga clic en HTTP en el panel izquierdo. Asegúrese de que HTTP esté deshabilitado y HTTPS esté habilitado.
Paso 6: prueba
Desde la Pc portátil en la red del depósito, acceda al servidor de registro. Active el detector de movimiento o el sensor de recorrido y observe la acción de la luz dirigida y la cámara web.
Desde la PC1 o PC2, abra el explorador web. ¿Puede acceder al servidor de registro? No.
Desde la PC1 o PC2, abra el explorador web. ¿Puede acceder al servidor web 209.165.201.3 mediante HTTP? No.
Desde la PC1 o PC2, abra el explorador web. ¿Puede acceder al servidor web 209.165.201.3 mediante HTTPS?
Sí.
Reflexión
¿Qué medidas de seguridad se implementaron?
Fortalecimiento de dispositivos de red, acceso inalámbrico seguro y ACL
¿Qué otras medidas de seguridad deben tenerse en cuenta cuando se implementan las soluciones de IoT con la computación en la nube?
Las respuestas pueden variar.