TRABAJO FINAL REDES

POR:

CARLOS MOSQUERA

DIEGO LUNA

NORMAN F. MEJIA Z.

PROFESOR: ALEJANDRO GALVIS

MATERIA: MANTENIMIENTO

MEDELLIN

FUNDACION CENCALA

2018
 1. VLANS

Definiciones y Características

Visión general de VLAN

La solución para la comunidad del colegio es utilizar una tecnología de red

denominada LAN (VLAN) virtual. Una VLAN permite que un administrador de red
cree grupos de dispositivos conectados a la red de manera lógica que actúan como
si estuvieran en su propia red independiente, incluso si comparten una
infraestructura común con otras VLAN. Cuando configura una VLAN, puede ponerle
un nombre para describir la función principal de los usuarios de esa VLAN. Como
otro ejemplo, todas las computadoras de los estudiantes se pueden configurar en la
VLAN "Estudiante". Mediante las VLAN, puede segmentar de manera lógica las redes
conmutadas basadas en equipos de proyectos, funciones o departamentos. También
puede utilizar una VLAN para estructurar geográficamente su red para respaldar la
confianza en aumento de las empresas sobre trabajadores domésticos. En la figura,
se crea una VLAN para los estudiantes y otra para el cuerpo docente. Estas VLAN
permiten que el administrador de la red implemente las políticas de acceso y
seguridad para grupos particulares de usuarios. Por ejemplo: se puede permitir que
el cuerpo docente, pero no los estudiantes, obtenga acceso a los servidores de
administración de e-learning para desarrollar materiales de cursos en línea.

Detalles de la VLAN

Una VLAN es una subred IP separada de manera lógica. Las VLAN permiten que
redes de IP y subredes múltiples existan en la misma red conmutada. La figura
muestra una red con tres computadoras. Para que las computadoras se comuniquen
en la misma VLAN, cada una debe tener una dirección IP y una máscara de subred
consistente con esa VLAN. En el switch deben darse de alta las VLANs y cada puerto
asignarse a la VLAN correspondiente. Un puerto de switch con una VLAN singular
configurada en el mismo se denomina puerto de acceso. Recuerde que si dos
computadoras están conectadas físicamente en el mismo switch no significa que se
puedan comunicar. Los dispositivos en dos redes y subredes separadas se deben
comunicar a través de un router (Capa 3), se utilicen o no las VLAN. No necesita las
VLAN para tener redes y subredes múltiples en una red conmutada, pero existen
ventajas reales para utilizar las VLAN.

Ventajas de las VLAN

La productividad del usuario y la adaptabilidad de la red son impulsores clave para

el crecimiento y el éxito del negocio. La implementación de la tecnología de VLAN
permite que una red admita de manera más flexible las metas comerciales. Los
principales beneficios de utilizar las VLAN son los siguientes:

Seguridad: los grupos que tienen datos sensibles se separan del resto de la red,
disminuyendo las posibilidades de que ocurran violaciones de información
confidencial. Las computadoras del cuerpo docente se encuentran en la VLAN 10 y
están completamente separadas del tráfico de datos del Invitado y de los
estudiantes.
Reducción de costo: el ahorro en el costo resulta de la poca necesidad de
actualizaciones de red caras y más usos eficientes de enlaces y ancho de banda
existente.

Mejor rendimiento: la división de las redes planas de Capa 2 en múltiples grupos

lógicos de trabajo (dominios de broadcast) reduce el tráfico innecesario en la red y
potencia el rendimiento.

Mitigación de la tormenta de broadcast: la división de una red en las VLAN reduce

la cantidad de dispositivos que pueden participar en una tormenta de broadcast, la
segmentación de LAN impide que una tormenta de broadcast se propague a toda la
red. En la figura puede observar que, a pesar de que hay seis computadoras en esta
red, hay sólo tres dominios de broadcast: Cuerpo docente, Estudiante y Invitado.

Mayor eficiencia del personal de TI: las VLAN facilitan el manejo de la red debido
a que los usuarios con requerimientos similares de red comparten la misma VLAN.
Cuando proporciona un switch nuevo, todas las políticas y procedimientos que ya se
configuraron para la VLAN particular se implementan cuando se asignan los puertos.
También es fácil para el personal de TI identificar la función de una VLAN
proporcionándole un nombre. En la figura, para una identificación más fácil se
nombró "Estudiante" a la VLAN 20, la VLAN 10 se podría nombrar "Cuerpo docente"
y la VLAN 30 "Invitado ".

Administración de aplicación o de proyectos más simples: las VLAN agregan

dispositivos de red y usuarios para admitir los requerimientos geográficos o
comerciales. Tener funciones separadas hace que gestionar un proyecto o trabajar
con una aplicación especializada sea más fácil, por ejemplo una plataforma de
desarrollo de e-learning para el cuerpo docente. También es fácil determinar el
alcance de los efectos de la actualización de los servicios de red.

CONFIGURACION DE LA VLANS DEL COLEGIO

Configuración Router

Router>enable
Router>configure terminal
Router>hostname Colegio
Colegio(config)>interface fastethernet 0/0 (sw1)
Colegio(config)> ip address 192.168.10.1 255.255.255.0
Colegio(config)>no shutdown
Colegio(config)>exit

Colegio(config)>interface fastethernet 0/0 (sw2)

Colegio(config)> ip address 192.168.60.1 255.255.255.0
Colegio(config)>no shutdown
Colegio(config)>exit

Configuracion switch 1
Switch>enable
>vlan database
>vlan 20 name ingeniería
>vlan 30 name Contabilidad
>vlan 40 name Gestión academica
>vlan 50 name Dirección y secretaria
>vlan 90 name preder
>exit
/Vlan 20/
Switch>configure terminal
>interface range fastethernet 0/2-5
>switchport mode Access
>switchport Access vlan 20
>no shutdown
>exit

/Vlan 30/
Switch>configure terminal
>interface range fastethernet 0/6-8
>switchport mode Access
>switchport Access vlan 30
>no shutdown
>exit

/Vlan 40/
Switch>configure terminal
>interface range fastethernet 0/9-12
>switchport mode Access
>switchport Access vlan 40
>no shutdown
 >exit

/Vlan 50/
Switch>configure terminal
>interface range fastethernet 0/13-14
>switchport mode Access
>switchport Access vlan 50
>no shutdown
>exit
>end

Switch>configure terminal
Switch>interface vlan 20
Switch>ip address 192.168.20.1 255.255.255.0
Switch>no shutdown
>exit
Switch>configure terminal
Switch>interface vlan 30
Switch>ip address 192.168.30.1 255.255.255.0
Switch>no shutdown
>exit
Switch>configure terminal
Switch>interface vlan 40
Switch>ip address 192.168.40.1 255.255.255.0
Switch>no shutdown
>exit
Switch>configure terminal
Switch>interface vlan 50
Switch>ip address 192.168.50.1 255.255.255.0
Switch>no shutdown
>exit
>ip default-gateway 192.168.10.1
>do write
>exit

Configuracion Switch 2
Switch>enable
>vlan database
 >vlan 70 name Sala informatica
>vlan 80 name Coordinacion y profesores
>vlan 90 name preder
>exit
/Vlan 70/
Switch>configure terminal
>interface range fastethernet 0/2-15
>switchport mode Access
>switchport Access vlan 70
>no shutdown
>exit

/Vlan 80/
Switch>configure terminal
>interface range fastethernet 0/16-20
>switchport mode Access
>switchport Access vlan 80
>no shutdown
>exit
>end

Switch>configure terminal
Switch>interface vlan 70
Switch>ip address 192.168.70.1 255.255.255.0
Switch>no shutdown
>exit
Switch>configure terminal
Switch>interface vlan 80
Switch>ip address 192.168.80.1 255.255.255.0
Switch>no shutdown
>exit
>ip default-gateway 192.168.60.1
>do write
>exit
 2. ¿Qué es un Servidor?

Un servidor o server, en el lenguaje informático, es un ordenador y sus programas,

que están al servicio de otros ordenadores.

El servidor atiende y responde a las peticiones que le hacen los otros ordenadores.
Los otros ordenadores, que le hacen peticiones, serán los "clientes" del servidor.

Precisamente se llaman servidores porque sirven cosas y están al servicio de otros

ordenadores. Por ejemplo, si tienes un correo electrónico, lo recibes de un servidor
de correo electrónico, si deseas ver una página web, la recibes de un servidor web,
si trabajas en una red de ordenadores todos los servicios compartidos de la red
estarán en un servidor de red y así otros muchos servicios y tipos de servidores que
veremos.

El modelo o arquitectura que siguen los servidores es el de cliente-servidor, es

decir el cliente/s pide y el servidor proporciona los recursos o servicios.

Los servidores se utilizan para gestionar los recursos de una red.

Un servidor deberá estar siempre encendido, ya que si se apaga dejará de dar

servicio a los demás. Cuando un servidor falla (se apaga o tiene errores) hace que los
demás usuarios de la red tengan problemas, porque no disponen de los servicios
que proporciona ese servidor.

Por ejemplo, un usuario puede configurar un servidor para controlar el acceso a una
red, enviar/recibir correo electrónico, gestionar los trabajos de impresión, o alojar un
sitio web.

La red más conocida y más grande es Internet, y está llena de servidores. Pero ojo
hay servidores dentro de redes pequeñas y particulares, incluso tu puedes hacer que
tu propio ordenador sea un servidor.

Dependiendo del servicio que, del servidor, tiene que disponer

de software (programas)específicos capaces de ofrecer esos servicios. El hardware es
simplemente un ordenador, aunque es recomendable que sea de gama alta, para
dar respuesta a las peticiones lo más rápido posible.

En la siguiente imagen vemos el apilamiento de los servidores de una empresa que

se dedica a proporcionar almacenamiento de información, también llamado Cloud
Computing.

Normalmente, la mayoría de los servidores están diseñadas para operar sin ninguna
intervención manual durante su funcionamiento. Eso sí, antes se deberán configurar
correctamente.

Tipos de Servidores

Vamos a ver los principales tipos de servidores y explicar para qué sirve cada uno:

- Servidor de Correo Electrónico o Mail Server: Es un ordenador dentro de una

red que funciona como una oficina de correo virtual. Transfiere y almacena los
mensajes de correo electrónico a través de una red.
 Estos servidores tienen programas capaces de almacenar correos para los usuarios
locales y con un conjunto de reglas definidas por el usuario que determinan cómo
el servidor de correo debe reaccionar ante el destino de un mensaje específico.

Normalmente estos servidores se dividen en otros 2 diferentes, una para el correo

entrante(llamados POP3) y otro para el correo saliente (llamados SMTP):

Los servidores POP3 retienen los mensajes de correo electrónico entrantes hasta
que el usuario compruebe su correo y entonces los transfieren al equipo cuando el
usuario lo pide.

Los servidores SMTP administran el envío de los mensajes de correo electrónico a

Internet. El servidor SMTP administra el correo electrónico saliente y se utiliza en
combinación con un servidor POP3 o IMAP de correo electrónico entrante. Cuando
el usuario da la orden de enviar, el servidor lo envía.

Otro tipo de servidores de correo son los IMAP que permiten trabajar con los
mensajes de correo electrónico sin necesidad de descargarlos antes al equipo.
Puedes obtener una vista previa, eliminar y organizar los mensajes directamente en
el servidor de correo sin descargarlos en tu equipo. Ejemplos son los correos de
yahoo, Hotmail, etc.

También están los servidores Fax que hacen lo mismo que los de correo, pero para
la recepción y transmisión de faxes.

- Servidor FTP: Se trata de uno de los más antiguos en Internet, "file transfer
protocol" o en Español Protocolo Para la Transferencia de Archivos. Se utilizan para
realizar una transferencia segura de archivos entre ordenadores (envío de archivos
de un sitio a otro). Los FTP garantiza la seguridad de los archivos y control de su
transferencia.
 En este caso el cliente 1 envía una petición al servidor FTP para que le envíe un
archivo al cliente 2. El servidor se lo envía y el cliente 2 lo recibe. Todo este proceso
se realiza mediante un programa llamado FTP instalado en el cliente 1 y en el 2. El
servidor dispondrá de otro programa (software) que se encargará de la recepción y
el envío.

Este tipo de servidores se utilizan para subir archivos de páginas web a los servidores
web, archivos de imágenes, videos, para hacer backup (copias de seguridad), etc.

- Web Server o Servidor Web: Todas las páginas web que puedes ver por internet
están almacenadas en servidores, llamados servidores web.

Un servidor web almacena los archivos de una web y los proporciona a los
clientes que los solicitan haciendo la transferencia de los archivos a través de la
red mediante los navegadores. El cliente lo pide a través de su navegador y el
servidor web lo envía al mismo navegador del cliente pare que este lo pueda
visualizar.

Los archivos web incluyen texto, imágenes, videos, etc.. y que solo los navegadores
pueden visualizar.

El servidor "sirve" (envía) el archivo web (por ejemplo una web en formato html) al
navegador del cliente para que lo pueda visualizar. El servidor, el navegador y la
comunicación a través de la red seguirán unas normas llamadas "protocolo HTTP".

El espacio que te dejan estos servidores para alojar tu web se llama Hosting. Hay
dos tipos principales de hosting:

Hosting Compartido: en el servidor web hay varias páginas alojadas de distintos

clientes.
 Hosting Dedicado: tienes un servidor para ti solito donde puedes alojar tus webs.
Lógicamente son más caros.

Muchas veces se dice servidor web compartido o dedicado para hacer referencia a
este tipo de hosting.

Los servidores web utilizan programas específicos para administrar sus servicios. En
función del programa que utiliza el servidor web para administrar y servir las páginas
web pueden ser de varios tipos. Todos los tipos que vamos a ver a continuación son
realmente programas de gestión del servidor web (software).

3. ¿Qué es la DMZ?

No es extraño encontrarme con casos donde en alguna organización se utilizan

cortafuegos de red y se menciona el término DMZ, pero o nadie sabe para qué es o
nadie la configura como corresponde. La zona desmilitarizada (De-Militarized
Zone) o DMZ es una parte importante de la red y como tal se debe conocer, al
menos, el concepto correcto. Llama la atención el nombre, pero tiene sentido si
pensamos en que una DMZ en la vida real es una zona donde no hay presencia
militar o policial en un determinado espacio geográfico. En las redes pasa lo mismo
(de algún modo) y en este post explicaré qué es y cuales son los detalles importantes
a considerar para implementar una DMZ con un cortafuegos.

En primer lugar hay que tener claro que la única idea de una DMZ es tener servidores
que sean accesibles desde Internet y que físicamente estén instalados en nuestra
red. El problema se genera cuando la compañía tiene servidores locales que deben
ser accesibles desde Internet y el administrador de redes o encargado de la
infraestructura se comienza a preguntar cómo y donde los instalará. Veamos un
ejemplo práctico de los casos típicos.

Caso 1 – Servidores instalados fuera de la red

Este es probablemente uno de los casos más típicos ya que no requiere muchos
conocimientos ni tampoco se requiere invertir en dispositivos de seguridad. Muchas
compañías optan por instalar sus servidores con una dirección IP pública directa en
cada una de las máquinas para que sean visibles desde Internet. Así, del rango
disponible, una IP se configura en el router que hará NAT en toda la red LAN y el
resto de las IP disponibles se van asignando a los servidores.
Figura 1 – Servidores instalados fuera de la red

Este modelo funciona bien sino fuese por un pequeño detalle: la seguridad.
Naturalmente que queremos proteger los servidores de ataques, limitar los puertos
o prevenir intentos de hacking. Para eso necesitamos un firewall, pero ¿donde lo
instalamos acá? No tiene mucho sentido instalar un firewall de hardware en este
modelo, ya que se complicaría todo. Por lo mismo, muchos optan por instalar
firewalls locales de software en cada uno de los servidores (iptables en Linux, por
ejemplo). Cuando hay dos o tres servidores no es problema, pero ¿qué pasa si
tenemos 20, 30, 40, 50 o 200 servidores y hay que modificar un puerto para una
aplicación, en todos ellos? Creo que pasarás unas divertidas 10 horas copiando y
pegando comandos en todos los servidores. La administración de la seguridad se
hace muy difícil al tener firewalls de software en cada servidor.

Ventajas: Fácil configuración. No requiere implementar cortafuegos físico. Si un

servidor sufre un ataque la red LAN no estará comprometida.

Desventajas: Se requiere un firewall de software para cada servidor. Modelo no

escalable. Muy difícil de administrar. Los firewalls de software consumen recursos
importantes en los servidores.

La solución a este dilema es mantener la seguridad centralizada en un firewall físico,

pero para eso debemos mover los servidores dentro de nuestra infraestructura.

Caso 2 – Servidores instalados en la LAN

También es común ver este caso. La idea de proteger los servidores con un
dispositivo centralizado se puede hacer con el mismo router corporativo al hacerlo
funcionar además como un firewall básico (por ejemplo cuando se agregan ACLs) o
bien con un firewall profesional que también incluye la función de NAT.

Figura 2 – Servidores instalados dentro de la LAN

En este caso tenemos un poco más de protección ya que nuestro router se encargará
del trabajo de direccionamiento y seguridad. Cada servidor tendrá una IP local
(172.23.201.x/24) y los usuarios de la red interna podrán acceder a sus servicios
directamente en esas direcciones IP. Para que los servidores sean vistos desde
Internet, el router deberá crear una política de NAT estático para cada servidor
mapeando una IP pública del rango 201.223.0.0/28.

Con este modelo solucionamos el problema de la complejidad de la administración

de seguridad ya que esta se realizaría solamente en un dispositivo centralizado, pero
ponemos en riesgo toda la red local que debe ser privada y protegida de accesos
internos ya que si un hacker logra vulnerar uno de los servidores, tendrá acceso
directo a la LAN.

Ventajas: Facilidad de administración de seguridad. Movilidad de las direcciones IP

públicas. Los usuarios acceden a los servicios directamente.
Desventajas: Un ataque a los servidores dejaría completamente vulnerable la red
LAN interna. Se debe implementar un servidor DNS de doble vista para resolver las
IP internas.

Caso 3 – Servidores en la DMZ

La solución a los casos anteriores es la DMZ. Con ella creamos una interfaz nueva y
una subred independiente, pero siempre interna, para poder controlar mejor el
acceso a los servidores.

Figura 3 – Servidores en una DMZ

Aquí conviene instalar un firewall corporativo de hardware en vez de agregarle

funciones de seguridad a un router estándar, ya que el primero es un dispositivo
completamente diseñado y preparado para este tipo de tareas.

La DMZ es una subred independiente, separada de la LAN y de Internet (que en el

mundo de firewalls se conoce como “outside”). Al crear una DMZ se puede
configurar el firewall para crear reglas específicas de seguridad y NAT que permitan
el tráfico proveniente de Internet solamente hacia esa zona. El NAT estático estaría
asociado entre las IP públicas y las IP asignadas a cada servidor en la DMZ. Así, si un
hacker vulnera la seguridad de uno de los servidores, este no tendría acceso a la red
LAN corporativa. Para eso es clave entender como se deben crear las reglas de tráfico
y como se deben definir los perfiles de seguridad entre las zonas outside, LAN (o
inside) y DMZ.
Figura 4 – Flujo de tráfico usando DMZ

La figura 4 es aclaratoria ya que podemos ver claramente cual es la idea detrás de

una DMZ finalmente. El firewall se configura con las siguientes políticas básicas:

Origen Destino Política

Outside DMZ Permitido

Outside Inside Denegado

DMZ Outside Permitido

DMZ Inside Denegado

Inside Outside Permitido

Inside DMZ Permitido

Así se tendrá una red mucho más segura y fácil de administrar, sin exponer la LAN a
un ataque directo y centralizando las políticas en el cortafuegos. El concepto de DMZ
es transversal en la industria y todos los fabricantes lo utilizan de manera similar, por
lo que esta descripción se ajusta a todos ellos. Para ver la configuración en detalle
de un firewall Cisco ASA (Adaptive Security Appliance) consulta nuestro artículo al
respecto.

CONFIGURACION DMZ

Configuración Router

Router(config)>interface fastethernet 0/0

>ip not inside
>exit
>interface fastethernet 0/1
>ip not outside
>exit
>do write
Nota: la dirección pública clase c 200.44.0.254 se le asigna al servidor web
192.168.100.2 y a la dirección publica clase c 200.44.0.253 se le asigna la dirección
de correo electrónico 192.168.100.3 por medio de NAT.

Se realiza la política nat asi:

Router>configure terminal
>ip not inside source static 192.168.100.2 200.44.0.254
>ip not inside source static 192.168.100.3 200.44.0.253

Con un servidor DNS en la red pública podemos asignar dominios a la IP.

DNS= services
DNS on
Nombre dominio servidor web FPT Colegio.org
Nombre dominio email email.colegio.org

VPN

Empecemos por lo básico. VPN son las siglas de Virtual Private Network, o red
privada virtual

Una conexión VPN lo que te permite es crear una red local sin necesidad que sus
integrantes estén físicamente conectados entre sí, sino a través de Internet. Es el
componente "virtual" del que hablábamos antes. Obtienes las ventajas de la red local
(y alguna extra), con una mayor flexibilidad, pues la conexión es a través de Internet
y puede por ejemplo ser de una punta del mundo a la otra.

Mediante VPN, el portátil se puede unir a la Red corporativa como si estuviera allí

Sin embargo, es otra peculiaridad de las conexiones VPN la que las está volviendo
tan de moda hoy en día: los túneles de datos. Normalmente, mientras usas Internet
tu dispositivo se pone en contacto con tu proveedor de Internet, que es el que
conecta con los distintos servicios web para ofrecerte, por ejemplo, los vídeos de
YouTube.

Cuando te conectas a una conexión VPN, esto cambia. Todo tu tráfico de red sigue
yendo desde tu dispositivo a tu proveedor de Internet, pero de ahí se dirige directo
al servidor VPN, desde donde partirá al destino. Idealmente la conexión está cifrada,
de modo que tu proveedor de Internet realmente no sabe a qué estás accediendo.
A efectos prácticos, tu dirección IP es la del servidor VPN: en muchos aspectos es
como si estuvieras físicamente ahí, conectándote a Internet.
En vez de conectarte a Internet directamente, lo haces a través de un servidor VPN

Para qué sirven las conexiones VPN

Seguro que con las explicaciones anteriores ya te has imaginado unas cuantas
situaciones en las que las conexiones VPN podrían ser útiles. Es un secreto a voces
que son especialmente importantes en el entorno corporativo, pero sus usos no
acaban ni mucho menos ahí. Estos son los principales usos de las conexiones VPN.

Ventajas de las conexiones VPN

Ahora que ya sabemos qué es una conexión VPN y para qué sirve, es hora de resumir
una lista de las ventajas e inconvenientes que te supone el uso de esta tecnología.
Primero, la parte positiva:

Funciona en todas las aplicaciones, pues enruta todo el tráfico de Internet, a

diferencia de los servidores proxy, que solo puedes usar en el navegador web y un
puñado de aplicaciones más que te dejan configurar las opciones de conexión
avanzadas.

Se conecta y desconecta fácilmente. Una vez configurado, puedes activar y desactivar

la conexión a tu antojo.

Seguridad adicional en puntos de acceso WiFi, siempre y cuando la conexión esté

cifrada, claro

Falseo de tu ubicación, como ya hemos visto en el apartado anterior, una conexión

VPN es un modo eficaz de evitar la censura o acceder a contenido limitado a cierta
región.
Tu proveedor de Internet no puede saber a qué te dedicas en Internet. ¿No te
apetece que tu proveedor de Internet sepa que te pasas horas viendo vídeos de
gatitos en YouTube? Con una VPN no sabrán a que te dedicas, pero ojo, que sí lo
sabrá la compañía que gestiona el VPN.

Cosas que debes tener en cuenta

Hasta ahora todo muy bonito, usar conexiones VPN parece estar lleno de ventajas:
más seguridad, privacidad mejorada, salto de los bloqueos geográficos... Antes de
que te lances a comprar un servicio de VPN o registrarte en uno gratuito, hay unos
cuantos apartados que debes tener en cuenta:

El precio. Aunque hay servicios VPN gratuitos, obviamente no puedes esperar mucho
de ellos, pues con frecuencia estarán muy limitados, serán muy lentos o no sean muy
de fiar. Hay algunas excepciones, no obstante.

La velocidad se resiente. La diferencia entre conectarte a Internet directamente o que

tus datos tracen una ruta que atraviesa medio mundo puede ser abrumadora. Si tu
servidor VPN está muy lejos, experimentarás mucha latencia a la hora de navegar
por la red. Además de latencia, es normal que la velocidad de descarga y subida
máxima estén limitadas.

Su seguridad no es infalible. Esto ya lo hemos dicho varias veces, pero nunca está de
más repetirlo. Solo porque el icono de la conexión tenga un candado no quiere decir
que la conexión sea segura, especiamente si estamos hablando de conexiones VPN
basadas en el protocolo PPTP.

No siempre pueden falsear tu ubicación. Especialmente en el móvil, cada vez hay

más tecnologías por las cuales se puede triangular y aproximar tu ubicación más allá
de tu dirección IP.

No te proporcionan anonimato. Usar una VPN no supone que la navegación sea

anónima. La combinación ganadora para un mayor anonimato, si hacemos caso a
Edward Snowden, es usar a la vez una conexión VPN y Tor.
 Configuración de una VPN

Los comandos utilizados para configurar los routers son:

(Router 1)
crypto isakmp policy 10
authentication pre-share
hash sha
encryption aes 256
group 2
lifetime 86400
exit
crypto isakmp key toor address 10.0.0.2 (router 2)
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20sho.0 0.0.0.255 (Direccion
red 1 y red 2)
crypto map CMAP 10 ipsec-isakmp
set peer 10.0.0.2 (Router 2)
match address 101
set transform-set TSET
exit
interface fa0/1 (Interface a Router 2)
crypto map CMAP
do wr

(Router 2)
crypto isakmp policy 10
authentication pre-share
hash sha
encryption aes 256
group 2
lifetime 86400
exit
crypto isakmp key toor address 10.0.0.1 (router 1)
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 (Direccion red
2 y red 1)
crypto map CMAP 10 ipsec-isakmp
set peer 10.0.0.1 (Router 1)
match address 101
set transform-set TSET
exit
interface fa0/1 (Interface a Router 1)
crypto map CMAP
do wr

Los comandos para ver los paquetes enviados y recibidos y comprobar que fueron
encriptados/desencriptados son:

show crypto isakmp sa

show crypto ipsec sa

ACL

Colocación de las ACLs estandar y extendidas

Las listas de control de acceso correctamente diseñadas tienen un impacto positivo

en el rendimiento y la disponibilidad de la red. Planifique la creación y la colocación
de listas de control de acceso para maximizar este efecto.

La planificación comprende los siguientes pasos:

Determinar los requisitos de filtrado del tráfico

Decidir qué tipo de ACL se adapta mejor a los requisitos

Determinar el router y la interfaz en la cual se aplicará la ACL

Determinar la dirección para filtrar el tráfico

Paso 1: Determine los requisitos para el filtrado de tráfico

Recopile los requisitos para el filtrado de tráfico de la parte interesada dentro de

cada departamento de una empresa. Estos requisitos difieren de empresa a empresa
y están basados en las necesidades de los clientes, los tipos de tráfico, las cargas de
tráfico y las cuestiones de seguridad.

Paso 2: Decida el tipo de ACL que se adapta a los requisitos

La decisión de utilizar una ACL estándar o una ACL extendida depende de los
requisitos de filtrado de la situación. La elección del tipo de ACL puede afectar la
flexibilidad de la ACL, así como el rendimiento del router y el ancho de banda del
enlace de red.

Las ACL estándar son fáciles de crear e implementar. Sin embargo, las ACL estándar
sólo filtran según la dirección de origen y filtrarán todo el tráfico
independientemente del tipo o destino del mismo. Con rutas hacia varias redes, es
posible que una ACL estándar colocada demasiado cerca del origen bloquee
involuntariamente el tráfico que se debe permitir. Por lo tanto, es importante colocar
las ACL estándar tan cerca del destino como sea posible.

Cuando los requisitos de filtrado sean más complejos, use una ACL extendida. Las
ACL extendidas proporcionan un control mayor que las ACL estándar. Filtran en las
direcciones origen y destino. También filtran observando el protocolo de capa de
red, el protocolo de capa de transporte y los números de puertos si fuera necesario.
Este detalle de filtrado incrementado permite que los administradores de red creen
ACL que satisfagan las necesidades específicas de un plan de seguridad.

Coloque una ACL extendida cerca de la dirección origen. Al observar la dirección

origen y destino, la ACL bloquea los paquetes destinados para una red de destino
específica antes de que abandonen el router de origen. Los paquetes se filtran antes
de cruzar la red, lo que ayuda a conservar el ancho de banda

Paso 3: Determine el router y la interfaz de la ACL

Coloque las ACL en los routers en la capa de acceso o de distribución. Los

administradores de red deben tener control sobre estos routers y deben poder
implementar una política de seguridad. Los administradores de red que no tienen
acceso a un router no pueden configurar una ACL sobre él. La selección de la interfaz
adecuada depende de los requisitos de filtrado, del tipo de ACL y de la ubicación del
router designado. Es conveniente filtrar el tráfico antes de que avance hacia un
enlace serial de menor ancho de banda. La selección de la interfaz suele ser obvia
una vez elegido el router.

Paso 4: Determine la dirección para filtrar el tráfico

Cuando determine la dirección en la cual se debe aplicar una ACL, visualice el flujo
de tráfico desde la perspectiva del router. El tráfico entrante es tráfico que ingresa a
una interfaz del router desde afuera. El router compara el paquete entrante con la
ACL antes de buscar la red destino en la tabla de enrutamiento. Los paquetes que se
descartan en este momento guardan la carga de búsquedas de enrutamiento. Esto
hace que la lista de control de acceso entrante sea más eficiente para el router que
una lista de acceso saliente.

El tráfico saliente está dentro del router y lo abandona a través de una interfaz. En
caso de un paquete saliente, el router ya ha realizado una búsqueda en la tabla de
enrutamiento y ha cambiado el paquete a la interfaz correcta. Este paquete se
compara con la ACL inmediatamente antes de abandonar el router.

Configuración ACL

Situación 1: ACL estándar

Router(config)>Access-list 1 permit deny host 192.168.20.3

>Access-list 1 permit any
>end
Asignar a interface

Router>config T
>interface f0/0
>ip Access-group 1 in

Situación 2: ACL extendida

Router(config)>Access-list 101 permit deny ip 192.168.30.0 0.0.0.255 192.168.20.3

0.0.0.0
>Access-list 101 permit ip any any
>end
Asignar a interface
Router>config T
>interface f0/0
>ip Access-group 101 out