POR:
CARLOS MOSQUERA
DIEGO LUNA
NORMAN F. MEJIA Z.
MATERIA: MANTENIMIENTO
MEDELLIN
FUNDACION CENCALA
2018
1. VLANS
Definiciones y Características
Detalles de la VLAN
Una VLAN es una subred IP separada de manera lógica. Las VLAN permiten que
redes de IP y subredes múltiples existan en la misma red conmutada. La figura
muestra una red con tres computadoras. Para que las computadoras se comuniquen
en la misma VLAN, cada una debe tener una dirección IP y una máscara de subred
consistente con esa VLAN. En el switch deben darse de alta las VLANs y cada puerto
asignarse a la VLAN correspondiente. Un puerto de switch con una VLAN singular
configurada en el mismo se denomina puerto de acceso. Recuerde que si dos
computadoras están conectadas físicamente en el mismo switch no significa que se
puedan comunicar. Los dispositivos en dos redes y subredes separadas se deben
comunicar a través de un router (Capa 3), se utilicen o no las VLAN. No necesita las
VLAN para tener redes y subredes múltiples en una red conmutada, pero existen
ventajas reales para utilizar las VLAN.
Seguridad: los grupos que tienen datos sensibles se separan del resto de la red,
disminuyendo las posibilidades de que ocurran violaciones de información
confidencial. Las computadoras del cuerpo docente se encuentran en la VLAN 10 y
están completamente separadas del tráfico de datos del Invitado y de los
estudiantes.
Reducción de costo: el ahorro en el costo resulta de la poca necesidad de
actualizaciones de red caras y más usos eficientes de enlaces y ancho de banda
existente.
Mayor eficiencia del personal de TI: las VLAN facilitan el manejo de la red debido
a que los usuarios con requerimientos similares de red comparten la misma VLAN.
Cuando proporciona un switch nuevo, todas las políticas y procedimientos que ya se
configuraron para la VLAN particular se implementan cuando se asignan los puertos.
También es fácil para el personal de TI identificar la función de una VLAN
proporcionándole un nombre. En la figura, para una identificación más fácil se
nombró "Estudiante" a la VLAN 20, la VLAN 10 se podría nombrar "Cuerpo docente"
y la VLAN 30 "Invitado ".
Configuración Router
Router>enable
Router>configure terminal
Router>hostname Colegio
Colegio(config)>interface fastethernet 0/0 (sw1)
Colegio(config)> ip address 192.168.10.1 255.255.255.0
Colegio(config)>no shutdown
Colegio(config)>exit
Configuracion switch 1
Switch>enable
>vlan database
>vlan 20 name ingeniería
>vlan 30 name Contabilidad
>vlan 40 name Gestión academica
>vlan 50 name Dirección y secretaria
>vlan 90 name preder
>exit
/Vlan 20/
Switch>configure terminal
>interface range fastethernet 0/2-5
>switchport mode Access
>switchport Access vlan 20
>no shutdown
>exit
/Vlan 30/
Switch>configure terminal
>interface range fastethernet 0/6-8
>switchport mode Access
>switchport Access vlan 30
>no shutdown
>exit
/Vlan 40/
Switch>configure terminal
>interface range fastethernet 0/9-12
>switchport mode Access
>switchport Access vlan 40
>no shutdown
>exit
/Vlan 50/
Switch>configure terminal
>interface range fastethernet 0/13-14
>switchport mode Access
>switchport Access vlan 50
>no shutdown
>exit
>end
Switch>configure terminal
Switch>interface vlan 20
Switch>ip address 192.168.20.1 255.255.255.0
Switch>no shutdown
>exit
Switch>configure terminal
Switch>interface vlan 30
Switch>ip address 192.168.30.1 255.255.255.0
Switch>no shutdown
>exit
Switch>configure terminal
Switch>interface vlan 40
Switch>ip address 192.168.40.1 255.255.255.0
Switch>no shutdown
>exit
Switch>configure terminal
Switch>interface vlan 50
Switch>ip address 192.168.50.1 255.255.255.0
Switch>no shutdown
>exit
>ip default-gateway 192.168.10.1
>do write
>exit
Configuracion Switch 2
Switch>enable
>vlan database
>vlan 70 name Sala informatica
>vlan 80 name Coordinacion y profesores
>vlan 90 name preder
>exit
/Vlan 70/
Switch>configure terminal
>interface range fastethernet 0/2-15
>switchport mode Access
>switchport Access vlan 70
>no shutdown
>exit
/Vlan 80/
Switch>configure terminal
>interface range fastethernet 0/16-20
>switchport mode Access
>switchport Access vlan 80
>no shutdown
>exit
>end
Switch>configure terminal
Switch>interface vlan 70
Switch>ip address 192.168.70.1 255.255.255.0
Switch>no shutdown
>exit
Switch>configure terminal
Switch>interface vlan 80
Switch>ip address 192.168.80.1 255.255.255.0
Switch>no shutdown
>exit
>ip default-gateway 192.168.60.1
>do write
>exit
2. ¿Qué es un Servidor?
El servidor atiende y responde a las peticiones que le hacen los otros ordenadores.
Los otros ordenadores, que le hacen peticiones, serán los "clientes" del servidor.
Por ejemplo, un usuario puede configurar un servidor para controlar el acceso a una
red, enviar/recibir correo electrónico, gestionar los trabajos de impresión, o alojar un
sitio web.
La red más conocida y más grande es Internet, y está llena de servidores. Pero ojo
hay servidores dentro de redes pequeñas y particulares, incluso tu puedes hacer que
tu propio ordenador sea un servidor.
Normalmente, la mayoría de los servidores están diseñadas para operar sin ninguna
intervención manual durante su funcionamiento. Eso sí, antes se deberán configurar
correctamente.
Tipos de Servidores
Vamos a ver los principales tipos de servidores y explicar para qué sirve cada uno:
Los servidores POP3 retienen los mensajes de correo electrónico entrantes hasta
que el usuario compruebe su correo y entonces los transfieren al equipo cuando el
usuario lo pide.
Otro tipo de servidores de correo son los IMAP que permiten trabajar con los
mensajes de correo electrónico sin necesidad de descargarlos antes al equipo.
Puedes obtener una vista previa, eliminar y organizar los mensajes directamente en
el servidor de correo sin descargarlos en tu equipo. Ejemplos son los correos de
yahoo, Hotmail, etc.
También están los servidores Fax que hacen lo mismo que los de correo, pero para
la recepción y transmisión de faxes.
- Servidor FTP: Se trata de uno de los más antiguos en Internet, "file transfer
protocol" o en Español Protocolo Para la Transferencia de Archivos. Se utilizan para
realizar una transferencia segura de archivos entre ordenadores (envío de archivos
de un sitio a otro). Los FTP garantiza la seguridad de los archivos y control de su
transferencia.
En este caso el cliente 1 envía una petición al servidor FTP para que le envíe un
archivo al cliente 2. El servidor se lo envía y el cliente 2 lo recibe. Todo este proceso
se realiza mediante un programa llamado FTP instalado en el cliente 1 y en el 2. El
servidor dispondrá de otro programa (software) que se encargará de la recepción y
el envío.
Este tipo de servidores se utilizan para subir archivos de páginas web a los servidores
web, archivos de imágenes, videos, para hacer backup (copias de seguridad), etc.
- Web Server o Servidor Web: Todas las páginas web que puedes ver por internet
están almacenadas en servidores, llamados servidores web.
Un servidor web almacena los archivos de una web y los proporciona a los
clientes que los solicitan haciendo la transferencia de los archivos a través de la
red mediante los navegadores. El cliente lo pide a través de su navegador y el
servidor web lo envía al mismo navegador del cliente pare que este lo pueda
visualizar.
Los archivos web incluyen texto, imágenes, videos, etc.. y que solo los navegadores
pueden visualizar.
El servidor "sirve" (envía) el archivo web (por ejemplo una web en formato html) al
navegador del cliente para que lo pueda visualizar. El servidor, el navegador y la
comunicación a través de la red seguirán unas normas llamadas "protocolo HTTP".
El espacio que te dejan estos servidores para alojar tu web se llama Hosting. Hay
dos tipos principales de hosting:
Muchas veces se dice servidor web compartido o dedicado para hacer referencia a
este tipo de hosting.
Los servidores web utilizan programas específicos para administrar sus servicios. En
función del programa que utiliza el servidor web para administrar y servir las páginas
web pueden ser de varios tipos. Todos los tipos que vamos a ver a continuación son
realmente programas de gestión del servidor web (software).
3. ¿Qué es la DMZ?
En primer lugar hay que tener claro que la única idea de una DMZ es tener servidores
que sean accesibles desde Internet y que físicamente estén instalados en nuestra
red. El problema se genera cuando la compañía tiene servidores locales que deben
ser accesibles desde Internet y el administrador de redes o encargado de la
infraestructura se comienza a preguntar cómo y donde los instalará. Veamos un
ejemplo práctico de los casos típicos.
Este es probablemente uno de los casos más típicos ya que no requiere muchos
conocimientos ni tampoco se requiere invertir en dispositivos de seguridad. Muchas
compañías optan por instalar sus servidores con una dirección IP pública directa en
cada una de las máquinas para que sean visibles desde Internet. Así, del rango
disponible, una IP se configura en el router que hará NAT en toda la red LAN y el
resto de las IP disponibles se van asignando a los servidores.
Figura 1 – Servidores instalados fuera de la red
Este modelo funciona bien sino fuese por un pequeño detalle: la seguridad.
Naturalmente que queremos proteger los servidores de ataques, limitar los puertos
o prevenir intentos de hacking. Para eso necesitamos un firewall, pero ¿donde lo
instalamos acá? No tiene mucho sentido instalar un firewall de hardware en este
modelo, ya que se complicaría todo. Por lo mismo, muchos optan por instalar
firewalls locales de software en cada uno de los servidores (iptables en Linux, por
ejemplo). Cuando hay dos o tres servidores no es problema, pero ¿qué pasa si
tenemos 20, 30, 40, 50 o 200 servidores y hay que modificar un puerto para una
aplicación, en todos ellos? Creo que pasarás unas divertidas 10 horas copiando y
pegando comandos en todos los servidores. La administración de la seguridad se
hace muy difícil al tener firewalls de software en cada servidor.
En este caso tenemos un poco más de protección ya que nuestro router se encargará
del trabajo de direccionamiento y seguridad. Cada servidor tendrá una IP local
(172.23.201.x/24) y los usuarios de la red interna podrán acceder a sus servicios
directamente en esas direcciones IP. Para que los servidores sean vistos desde
Internet, el router deberá crear una política de NAT estático para cada servidor
mapeando una IP pública del rango 201.223.0.0/28.
La solución a los casos anteriores es la DMZ. Con ella creamos una interfaz nueva y
una subred independiente, pero siempre interna, para poder controlar mejor el
acceso a los servidores.
Así se tendrá una red mucho más segura y fácil de administrar, sin exponer la LAN a
un ataque directo y centralizando las políticas en el cortafuegos. El concepto de DMZ
es transversal en la industria y todos los fabricantes lo utilizan de manera similar, por
lo que esta descripción se ajusta a todos ellos. Para ver la configuración en detalle
de un firewall Cisco ASA (Adaptive Security Appliance) consulta nuestro artículo al
respecto.
CONFIGURACION DMZ
Configuración Router
Router>configure terminal
>ip not inside source static 192.168.100.2 200.44.0.254
>ip not inside source static 192.168.100.3 200.44.0.253
VPN
Empecemos por lo básico. VPN son las siglas de Virtual Private Network, o red
privada virtual
Una conexión VPN lo que te permite es crear una red local sin necesidad que sus
integrantes estén físicamente conectados entre sí, sino a través de Internet. Es el
componente "virtual" del que hablábamos antes. Obtienes las ventajas de la red local
(y alguna extra), con una mayor flexibilidad, pues la conexión es a través de Internet
y puede por ejemplo ser de una punta del mundo a la otra.
Mediante VPN, el portátil se puede unir a la Red corporativa como si estuviera allí
Sin embargo, es otra peculiaridad de las conexiones VPN la que las está volviendo
tan de moda hoy en día: los túneles de datos. Normalmente, mientras usas Internet
tu dispositivo se pone en contacto con tu proveedor de Internet, que es el que
conecta con los distintos servicios web para ofrecerte, por ejemplo, los vídeos de
YouTube.
Cuando te conectas a una conexión VPN, esto cambia. Todo tu tráfico de red sigue
yendo desde tu dispositivo a tu proveedor de Internet, pero de ahí se dirige directo
al servidor VPN, desde donde partirá al destino. Idealmente la conexión está cifrada,
de modo que tu proveedor de Internet realmente no sabe a qué estás accediendo.
A efectos prácticos, tu dirección IP es la del servidor VPN: en muchos aspectos es
como si estuvieras físicamente ahí, conectándote a Internet.
En vez de conectarte a Internet directamente, lo haces a través de un servidor VPN
Seguro que con las explicaciones anteriores ya te has imaginado unas cuantas
situaciones en las que las conexiones VPN podrían ser útiles. Es un secreto a voces
que son especialmente importantes en el entorno corporativo, pero sus usos no
acaban ni mucho menos ahí. Estos son los principales usos de las conexiones VPN.
Ahora que ya sabemos qué es una conexión VPN y para qué sirve, es hora de resumir
una lista de las ventajas e inconvenientes que te supone el uso de esta tecnología.
Primero, la parte positiva:
Hasta ahora todo muy bonito, usar conexiones VPN parece estar lleno de ventajas:
más seguridad, privacidad mejorada, salto de los bloqueos geográficos... Antes de
que te lances a comprar un servicio de VPN o registrarte en uno gratuito, hay unos
cuantos apartados que debes tener en cuenta:
El precio. Aunque hay servicios VPN gratuitos, obviamente no puedes esperar mucho
de ellos, pues con frecuencia estarán muy limitados, serán muy lentos o no sean muy
de fiar. Hay algunas excepciones, no obstante.
Su seguridad no es infalible. Esto ya lo hemos dicho varias veces, pero nunca está de
más repetirlo. Solo porque el icono de la conexión tenga un candado no quiere decir
que la conexión sea segura, especiamente si estamos hablando de conexiones VPN
basadas en el protocolo PPTP.
(Router 1)
crypto isakmp policy 10
authentication pre-share
hash sha
encryption aes 256
group 2
lifetime 86400
exit
crypto isakmp key toor address 10.0.0.2 (router 2)
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20sho.0 0.0.0.255 (Direccion
red 1 y red 2)
crypto map CMAP 10 ipsec-isakmp
set peer 10.0.0.2 (Router 2)
match address 101
set transform-set TSET
exit
interface fa0/1 (Interface a Router 2)
crypto map CMAP
do wr
(Router 2)
crypto isakmp policy 10
authentication pre-share
hash sha
encryption aes 256
group 2
lifetime 86400
exit
crypto isakmp key toor address 10.0.0.1 (router 1)
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 (Direccion red
2 y red 1)
crypto map CMAP 10 ipsec-isakmp
set peer 10.0.0.1 (Router 1)
match address 101
set transform-set TSET
exit
interface fa0/1 (Interface a Router 1)
crypto map CMAP
do wr
Los comandos para ver los paquetes enviados y recibidos y comprobar que fueron
encriptados/desencriptados son:
ACL
Las ACL estándar son fáciles de crear e implementar. Sin embargo, las ACL estándar
sólo filtran según la dirección de origen y filtrarán todo el tráfico
independientemente del tipo o destino del mismo. Con rutas hacia varias redes, es
posible que una ACL estándar colocada demasiado cerca del origen bloquee
involuntariamente el tráfico que se debe permitir. Por lo tanto, es importante colocar
las ACL estándar tan cerca del destino como sea posible.
Cuando los requisitos de filtrado sean más complejos, use una ACL extendida. Las
ACL extendidas proporcionan un control mayor que las ACL estándar. Filtran en las
direcciones origen y destino. También filtran observando el protocolo de capa de
red, el protocolo de capa de transporte y los números de puertos si fuera necesario.
Este detalle de filtrado incrementado permite que los administradores de red creen
ACL que satisfagan las necesidades específicas de un plan de seguridad.
El tráfico saliente está dentro del router y lo abandona a través de una interfaz. En
caso de un paquete saliente, el router ya ha realizado una búsqueda en la tabla de
enrutamiento y ha cambiado el paquete a la interfaz correcta. Este paquete se
compara con la ACL inmediatamente antes de abandonar el router.
Configuración ACL
Router>config T
>interface f0/0
>ip Access-group 1 in