Capítulo 1 - Diseño de Red

1 Diseño de la red
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 1
Diseño de la red
Dispositivos de una red pequeña
§ Topologías de redes pequeñas
• Comprende un router, un par de switches y las PC de los usuarios.
• Acceso a Internet con un único enlace WAN, cable o DSL.
• Administración generalmente a cargo de una empresa de
terceros.
§ Selección de dispositivos para redes pequeñas.
• Seguridad, QoS, VoIP, switching L3, NAT y DHCP.
§ Asignación de direcciones IP para redes pequeñas.
• El espacio de direcciones es un componente de gran importancia
en el diseño de una red.
• Todos los dispositivos conectados a la red deben tener una
dirección.
• Se debe planificar, registrar y mantener el esquema de
direcciones.
• La documentación del espacio de direcciones puede ser muy útil
para:
• La solución de problemas y el control.
• El registro de direcciones también es muy importante para
controlar el acceso a los recursos.
Diseño de la red
Dispositivos de una red pequeña (continuación)
§ Redundancia en redes pequeñas
• Una red debe tener un diseño confiable.
• Las fallas en las redes suelen ser muy costosas.
• La redundancia aumenta la confiabilidad, ya que
elimina puntos de error únicos.
• La redundancia de la red se puede lograr al
duplicar los equipos y los enlaces de red.
• Un buen ejemplo es el enlace de una red a
Internet o a una granja de servidores.
§ Administración de tráfico
• Al diseñar una red, también se deben tener en
cuenta el tipo y los patrones de tráfico.
• Un buen diseño de red categoriza el
tráfico según la prioridad.
Diseño de la red
Aplicaciones y protocolos de redes pequeñas
§ Aplicaciones comunes
• Aplicaciones de red
o Se usan para comunicarse en la red.
o Los clientes de correo electrónico y los navegadores web son ejemplos de este tipo de aplicaciones.
• Servicios de la capa de aplicación
o Programas que interactúan con la red y preparan los datos para la transferencia.
o Cada servicio usa protocolos que definen los estándares y los formatos de datos que deben
utilizarse.
§ Protocolos comunes
• Los procesos en cualquier extremo de una sesión de comunicación
• Cómo se envían los mensajes y la respuesta esperada
• Tipos y sintaxis de mensajes
• El significado de los campos informativos
• La interacción con la capa inferior siguiente
§ Aplicaciones de voz y vídeo

• Infraestructura
• VoIP
• Telefonía IP
• Aplicaciones en tiempo real
Diseño de la red
Crecimiento hacia redes más grandes
§ Crecimiento de redes pequeñas
• Para extender una red, se requieren varios elementos:
o Registro de red
o Inventario de dispositivos
o Presupuesto
o Análisis de tráfico
§ Análisis de protocolos
• Comprender los protocolos que se usan en la red.
• Los analizadores de protocolos son herramientas diseñadas para
facilitar esta tarea.
• Capturar tráfico en momentos puntuales de gran utilización y en
diferentes ubicaciones de la red.
• Los resultados del análisis permiten implementar una forma más
eficiente de administrar el tráfico.
§ Uso de la red por parte de los empleados
• Esté atento a cómo cambia el uso de la red.
• Un administrador de redes puede generar “instantáneas” de TI en
persona del uso de aplicaciones por parte de los empleados.
1.2 Seguridad de la red
Seguridad de la red
Amenazas y vulnerabilidades de seguridad
§ Tipos de amenazas
• Las intrusiones digitales pueden ser costosas.
• Los intrusos pueden acceder mediante vulnerabilidades en el
software, ataques al hardware o robo de credenciales.
• Los tipos comunes de amenazas digitales incluyen las
que se indican en este gráfico.
§ Seguridad física
• Avanzado
• Consideraciones ambientales
• Eléctrico
• Mantenimiento
§ Tipos de vulnerabilidades
• Tres vulnerabilidades principales: tecnológicas, de
configuración y política de seguridad.
• Los terminales pueden estar siendo víctimas de ataques,
como servidores y computadoras de escritorio.
• En un ataque, se puede usar cualquiera de estas tres
vulnerabilidades.
Seguridad de la red
Ataques de red
§ Tipos de malware
• Virus
• Gusanos
• Caballos de Troya
§ Ataques de reconocimiento
• Detección y asignación de sistemas y servicios.
• Reúna suficiente información sobre el sistema o la red objetivo como
para facilitar la búsqueda de vulnerabilidades.
• Las herramientas comunes dependen mayormente de servicios
gratuitos y públicos de Internet, como DNS y Whois.
• También es frecuente el uso de programas detectores de paquetes y
escáneres de puertos en los ataques de reconocimiento.
Seguridad de la red
Ataques de red (continuación)
§ Ataques de acceso
• Ataques de contraseña
• Explotación de confianza
• Redireccionamiento de puertos
• Ataque man-in-the-middle
§ Ataques por denegación de servicio
• A pesar de ser simples, los ataques DoS son peligrosos.
• Evitan que las personas autorizadas utilicen un servicio mediante el
consumo de recursos del sistema.
• Evite ataques de DoS aplicando las últimas actualizaciones de seguridad.
• Ataques de DoS frecuentes:
o Ping de la muerte
o Saturación SYN
o DDoS
o Ataque Smurf
Seguridad de la red
Mitigación de ataques de red
§ Copias de respaldo, actualizaciones y parches
• Mantenerse actualizado con los últimos avances.
• Las grandes empresas deben mantenerse al día con las versiones más
recientes del software antivirus.
• Se deben aplicar parches para todas las vulnerabilidades conocidas.
• Un servidor central de parches para administrar una gran cantidad de
servidores y sistemas.
• Los parches se deben instalar sin intervención del usuario.
§ Autenticación, autorización y contabilidad
• Los servicios AAA proporcionan control de acceso a los dispositivos de red.
o Autenticación: acceder a un recurso
o Autorización: lo que pueden hacer
o Administración: acciones realizadas mientras se accede al recurso
• El marco AAA puede ser muy útil para mitigar ataques de red.
Seguridad de la red
Mitigación de ataques de red (continuación)
§ Firewalls
• Un firewall controla el tráfico y contribuye a evitar el acceso no autorizado.
• Las técnicas para determinar qué acceso permitir y qué acceso denegar en una
red incluyen lo siguiente:
o Filtrado de paquetes
o Filtrado de aplicaciones
o Filtrado de URL
o Inspección activa de estado de paquetes (SPI)
§ Seguridad de terminales
• Las terminales comunes son PC portátiles, computadoras de escritorio,
servidores, teléfono inteligentes y tabletas.
• Proteger las terminales es una tarea desafiante.
• Se debe capacitar a los empleados sobre el uso correcto de la red.
• En general, estas políticas incluyen el uso de software antivirus y la prevención de
intrusión de hosts.
• Las soluciones más integrales de seguridad de terminales dependen del control
de acceso a la red.
Seguridad de red
Seguridad de dispositivos
§ Descripción general de la seguridad de dispositivos
• La configuración predeterminada no es segura porque es ampliamente conocida.
• Los routers Cisco tienen la característica Cisco AutoSecure.
• Además, a la mayoría de los sistemas, se les aplican las siguientes medidas de seguridad:
o Cambiar de inmediato los nombres de usuario y las contraseñas predeterminadas.
o Restringir el acceso a los recursos del sistema únicamente a personas autorizadas.
o Desactivar los servicios innecesarios.
o Actualizar cualquier software e instalar todos los parches de seguridad antes de la operación de
producción.
§ Contraseñas
• Utilice contraseñas seguras. Para que una contraseña sea segura debe cumplir con los siguientes requisitos:
o Debe tener un mínimo de ocho caracteres, preferentemente 10 o más.
o Debe incluir una combinación de letras mayúsculas, minúsculas, números, símbolos y espacios.
o No utilice repeticiones, palabras comunes, secuencias de letras o números, nombres de usuarios, de
parientes, de mascotas ni ninguna otra información que pueda identificarse con facilidad.
o Puede ser una palabra mal escrita.
o Debe cambiar la contraseña con frecuencia.
• Los routers Cisco admiten el uso de una frase compuesta de muchas palabras, lo que se denomina “frase de
contraseña”.
Seguridad de red
Seguridad de dispositivos (continuación)
§ Prácticas de seguridad básicas
• Las contraseñas seguras resultan útiles en la medida en que sean secretas.
• El comando service password-encryption cifra las contraseñas en la configuración.
• El comando security passwords min-length asegura que todas las contraseñas configuradas
tengan una longitud mínima específica.
• El bloqueo después de varios intentos consecutivos de inicio de sesión contribuye a minimizar los
ataques de contraseña de fuerza bruta.
• Con el comando login block-for 120 attempts 3 within 60 se bloquea durante 120 segundos el
inicio de sesión si se realizan tres intentos fallidos de inicio de sesión en un período de 60 segundos.
• exec timeout desconecta automáticamente a los usuarios inactivos en una línea.
§ Habilitación de SSH
• Telnet no es seguro.
• Se recomienda especialmente usar SSH para el protocolo de shell remoto.
• La configuración de un dispositivo Cisco para que admita SSH consta de cuatro pasos:
Paso 1. Asegúrese de que el router tenga un solo nombre de host y un nombre de dominio IP.
Paso 2. Genere las claves SSH.
Paso 3. Cree un nombre de usuario local.
Paso 4. Habilite las sesiones SSH de entrada vty.
• Ahora se puede acceder remotamente al router solo con SSH.
1.3 Rendimiento básico de
la red
Rendimiento básico de la red
El comando ping
§ Interpretación de los resultados del comando ping
• Una forma eficaz de probar la conectividad es utilizar el comando ping.
• Utilice el protocolo de mensajes de control de Internet (ICMP) para verificar la
conectividad de capa 3.
• Ayude a identificar el origen del problema.
• ¿Qué le dicen estos indicadores de ping comunes?
!.U
• Ping extendido
o Permite más opciones
§ Línea de base de red

• Elaborada durante un período de tiempo.
• Resultados guardados de comandos, como
ping o trace, junto con mensajes de error
y tiempos de respuesta.
• Con marca horaria para su posterior comparación.
• Un mayor tiempo de respuesta podría indicar un
problema de latencia.
Los comandos traceroute y tracert
§ Interpretación de mensajes de tracert
• Arrojan una lista de saltos cuando un paquete se enruta a través de una
red.
• Utilice tracert para sistemas Windows.
• Utilice traceroute para Cisco IOS y sistemas UNIX.
§ Traceroute extendido
• Permite el ajuste de parámetros.
• El comando finaliza cuando:
o El destino responde con una
respuesta de eco de ICMP.
o El usuario interrumpe el comando
trace con la secuencia de escape.
Los comando show
§ Los comandos show de la CLI de Cisco IOS son herramientas potentes
para la solución de problemas.
§ Los comandos show muestran los archivos de configuración, controlan el
estado de las interfaces y los procesos de los dispositivos, y verifican el
estado operativo de los dispositivos.
§ Se puede mostrar el estado de casi todos los procesos o funciones del
router mediante un comando show.
§ Algunos de los comandos show más conocidos son:
• show running-config
• show interfaces
• show arp
• show ip route
• show protocols
• show version
Comandos de host y de IOS
§ El comando ipconfig
• Muestra información de IP y del gateway
predeterminado en una computadora con
Windows.
• ¿Qué indican estos comandos?
o ipconfig /all
o ipconfig /displaydns
§ El comando arp
• El comando arp –a genera una lista de
todos los dispositivos que se encuentran
actualmente en la caché ARP del host.
• Se puede borrar la memoria caché con el
comando arp –d.
Comandos de host y de IOS (continuación)
§ El comando show cdp neighbors
• CDP es un protocolo exclusivo de Cisco que se ejecuta en la capa de enlace de datos.
• Dos o más dispositivos de red Cisco pueden obtener información de cada uno incluso sin
conectividad de capa 3.
• CDP puede suponer un riesgo para la seguridad.
• Para deshabilitar CDP globalmente, utilice el comando de configuración global
no cdp run.
• Para deshabilitar CDP en una interfaz, utilice el comando de interfaz no cdp enable.
• ¿Qué información proporciona el comando cdp neighbors details?
§ El comando show ip interface brief

• Muestra un resumen de la información clave para todas las interfaces de red de un
router.
• Verifique el estado de las interfaces de un switch.
Depuración
§ Comando debug
• Permite que el administrador
muestre mensajes generados por
los siguientes procesos en tiempo
real para su análisis:
o Procesos de IOS
o Protocolos
o Mecanismos
o Eventos
• undebug all desactiva todos los comandos debug.
• ¿Cuáles son los comandos debug disponibles?
• ¿Qué puede hacer para limitar la cantidad de mensajes que se muestra?
§ Comando terminal monitor
• Muestra los mensajes de registro mientras está conectado en forma
remota, como SSH.
• Para dejar de mostrar el mensaje de registro: terminal no monitor.
1.4 Solución de problemas
de red
Solución de problemas de red
Metodologías de solución de problemas
§ Enfoques básicos para la solución de problemas
• Identificar del problema
• Establecer una teoría de causas probables
• Poner a prueba la teoría para determinar la causa
• Establecer un plan de acción para resolver el problema e implementar
la solución
• Verificar la funcionalidad total del sistema e implementar medidas
preventivas
• Registrar hallazgos, acciones y resultados
§ ¿Solucionar o escalar?
§ Verificación y supervisión de la solución
• ¿Qué comandos IOS puede utilizar para verificar y supervisar la
solución?
Solución de problemas en cables e interfaces
§ Operación en dúplex
• Dirección de la transmisión de datos entre dos dispositivos
• Dos interfaces de red Ethernet conectadas deberían funcionar en el
mismo modo dúplex para optimizar el rendimiento
§ Diferencia entre dúplex
• Los mensajes de registro pueden indicar diferencias entre dúplex.
• ¿Qué comandos IOS puede utilizar para determinar una diferencia
entre dúplex?
Situaciones posibles para la solución de problemas
§ Problemas de asignación de direcciones
IP en dispositivos IOS
• Errores de asignaciones manuales
• Problemas relacionados con DHCP
• ¿Qué comandos show se deben usar?
§ Problemas de asignación de direcciones

IP en terminales
• 169.254.0.0/16 en un sistema Windows
• ipconfig para verificar las direcciones IP asignadas a un sistema Windows
§ Problemas con el gateway predeterminado

• No se puede establecer ninguna comunicación fuera de la red
• ipconfig para verificar el gateway predeterminado asignado a un sistema Windows
§ Solución de problemas de DNS

• ipconfig /all para determinar el servidor DNS utilizado
• nslookup para hacer consultas DNS manualmente y analizar la respuesta del DNS
1.5 Resumen del capítulo
Resumen del capítulo
Resumen
§ Explicar la forma en que una red pequeña se puede extender a una red más grande.
§ Configurar switches y routers con características de protección de dispositivos para
mejorar la seguridad.
§ Usar utilidades y comandos show comunes para establecer una línea de base de
rendimiento relativo para la red.
§ Aplicar metodologías de solución de problemas y comandos de host y de IOS
resolver problemas.
§ Explicar la forma en que se crea, se configura y se verifica una red pequeña de
segmentos conectados directamente.
Sección 11.2
Nuevos términos y comandos
§ Filtrado de aplicaciones § Filtrado de paquetes
§ Autenticación, autorización y § Frase de contraseña
administración (AAA)
§ Firewalls personales
§ auto secure (comando)
§ security passwords min-length
§ exec timeout (comando) (comando)
§ crypto key generate rsa general-keys § Inspección activa de estado de
modulus tamaño-del-módulo (comando) paquetes (SPI)
§ Seguridad de terminales § service password-encryption
(comando)
§ ip domain-name nombre-de-
dominio (comando) § transport input ssh
§ login block-for 120 attempts 3 within 60 § Filtrado de URL
(comando)
Sección 11.3
Nuevos términos y comandos
§ !.U § security passwords min-length
(comando)
§ Protocolo de resolución de direcciones (ARP)
§ service password-encryption (comando)
§ exec timeout (comando)
§ show cdp neighbors (comando de IOS)
§ crypto key generate rsa general-keys
modulus tamaño-del-módulo (comando) § show ip interface brief (comando de IOS)
§ ip domain-name nombre-de- § tracert (comando de host)
dominio (comando)
§ traceroute (comando de IOS)
§ ipconfig (comando de host)
§ transport input ssh
§ login block-for 120 attempts 3 within 60
(comando)
§ Dirección de loopback 127.0.0.1
§ ping (comando)

Capítulo 1 - Diseño de Red

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Capítulo 1 - Diseño de Red

Uploaded by

Copyright:

Available Formats

1 Diseño de la red

§ Aplicaciones de voz y vídeo

§ Línea de base de red

§ El comando show ip interface brief

§ Problemas de asignación de direcciones

§ Problemas con el gateway predeterminado

§ Solución de problemas de DNS

You might also like