Esquema de seguridad para una red

Proyecto final telemática III

Ingeniero:
Álvaro Hernán Alarcón

Carlos Andrés García

Freddy Steven Bustos Palencia
Luis Eduardo Baron Fajardo
Octubre 2018

Corporación universitaria de Huila- corhuila.

Programa ingeniería de sistemas.
Huila- Neiva
Telemática III
 ii

Tabla de Contenidos

Introducción .................................................................................................................................... 1
Objetivos ......................................................................................................................................... 2
General ...................................................................................................................................... 2
Específicos ................................................................................................................................ 2
Definición y análisis del problema ................................................................................................. 4
Terminos y conceptos ..................................................................................................................... 5
Marco teórico .................................................................................................................................. 7
Diseño implementado ..................................................................................................................... 8
Conclusión .................................................................................................................................... 14
Referencias .................................................................................................................................... 15

Proyecto final: esquema de seguridad

Telematica III
Freddy Bustos-Luis Baron-Carlos Garcia
 Lista de figuras iii

figura 1: topologia fisica ............................................................................................................. 8

figura 2: configuracion de cada router con direccionamiento DHCP. .......................................... 9
figura 3: creacion de vlan tanto en la LAN1 como en LAN3.......................................................10
figura 4: configuracion de seguridad de puertos ........................................................................11
figura 5: creacion ACL para nuestro origen destino que en el primer caso sera nuestro Router3.
..........................................................................................................................................12
figura 6. traduccion dinamica con solo una direccion pero con puerto diferente. .......................13
figura 7. Servidores. ..................................................................................................................13

Proyecto final: esquema de seguridad

Telematica III
Freddy Bustos-Luis Baron-Carlos Garcia
 iv

Listas de tablas

Tabla 1. tabla de direccionamiento ipv4 .......................................................................... 9

Proyecto final: esquema de seguridad

Telematica III
Freddy Bustos-Luis Baron-Carlos Garcia
 1

Introducción

En este documento se hablará de forma clara y precisa de la solución para el

proyecto final de la materia telemática III, que trata de implementar un esquema de
seguridad para una red planteada dándole la mejor solución posible, para lo cual
se tuvieron en cuenta los siguientes interrogantes ¿Cómo filtrar el tráfico de
paquetes ip?, En donde encontramos que para darle solución se tendrán que
implementar las ACL (listas de control de acceso), lo siguiente es ¿Cómo
segmentar el tráfico de unas redes LAN?; Sabemos que para segmentar el tráfico
en una red de manera que podamos disminuir los tráficos de difusión debemos
implementar las nombradas VLAN y además manejan enlaces troncales la cual
veremos en la parte de configuración, en cuanto a seguridad según lo visto en cada
sesión de clase se implementara en los puertos de switch en donde podremos
restringir y inhabilitar y configurar sistemas de violación en nuestra red esto en
cuanto a proteger los puertos de un equipo de interconexión; hay dos formas en
las que se puede asignar direccionamiento en una red estático y dinámico; para
esta red nos piden utilizar el DHCP (que es el protocolo de direccionamiento
dinámico); y por último se debe tener conocimiento de lo que son las NAT (que son
traducción de direcciones de red) proceso en el cual si se tiene direccionamiento
privado dentro de la red se traduce a públicas para poder salir hacia los servicios
de internet.

A Este Proyecto se le dará la mejor solución posible, investigando cada uno de los
temas mencionados anteriormente, cada uno será documentado y referenciado.

Proyecto final: esquema de seguridad

Telematica III
Freddy Bustos-Luis Baron-Carlos Garcia
 2

Objetivos
General
- Dar solución al esquema de red presentado, proporcionándole enrutamiento,
seguridad, asignación de direcciones dinámicamente y restricción de tráficos
entre lans para obtener una red optima utilizando plataforma de apoyo packet
tracert.

Específicos

- Definir e implementar la solución del problema planteado

- Recolección de información precisa y concisa para llegar a la solución del

problema.

- conceptualización y procesos de configuración.

Proyecto final: esquema de seguridad

Telematica III
Freddy Bustos-Luis Baron-Carlos Garcia
 3

Síntesis de información recogida y proceso de trabajo

Se crearon dentro de estos diferentes cuestionamientos en el grupo de trabajo. nos

proporcionan una red compuesta por cuatro LAN diferentes, tomándola y
plasmándola en packet tracert utilizando dispositivos de interconexión requeridos,
sabemos que no hay ninguna clase de configuración, pero para esta nos dicen que
tiene que hacerse dentro de unos requisito específicos planteados en la guía de
proyecto, nos proporcionan unos bloques IP y nos dicen que deben tener
servidores DNS, HTTP,FTP; lo primero que se realizo fue un análisis de los
requerimientos que se piden todos los requerimientos cumplen con información
verdadera y que se puede configurar pero al llegar a este que dice que ¨Los
equipos de la LAN 4 deben recibir direccionamiento IP dinámico, solo se pueden
usar las 64 primeras direcciones asignables a Host. Los equipos de la LAN 3 deben
recibir direccionamiento IP dinámico, solo se pueden usar las 80 primeras
direcciones asignables a Host. Los equipos de la LAN 1 deben recibir
direccionamiento IP dinámico, solo se pueden usar las 32 primeras direcciones
asignables a Host¨ acá nos surgió el primer interrogante; para estas LAN los
bloques IP asignados no cumplen con los requerimientos que allí piden en la cual
optamos por cambiar el prefijo o la longitud de red en donde se pudiera cumplir con
este requerimiento en donde también se hizo la observación en la simulación.pka
de packet tracert, otro interrogante que surgió fue la definición de las VLAN acá se
optó por dividir el bloque IP principal en subredes para una tener un orden
específico dentro de configuración de la red.

Fueron varios los aportes por cada uno de los integrantes del grupo para realizar
la mejor configuración a la red. Al darle solución a estos interrogantes se dio a la
tarea de retomar temas vistos y apoyos de herramientas de estudio tomadas de
servicios de internet, En la cual referenciaremos; se toma una decisión se empezó
por darle el direccionamiento de forma dinámica para cada equipo perteneciente a
cada red cada una con su servidor independiente, se procedió a asignarles
direccionamiento a cada interfaz giga y serial ethernet para poder configurar el
enrutamiento para lo que se utilizó RIPv2, luego se pasó a la seguridad de puertos
según lo requerido, se analizaron donde aplicar las listas de control de acceso que
se pedía y por ultimo de realizo la configuración de traducción de direccionamiento
de las redes ahí nombradas (documento guía).

Proyecto final: esquema de seguridad

Telematica III
Freddy Bustos-Luis Baron-Carlos Garcia
 4

Definición y análisis del problema

Se busca implementar un esquema de seguridad en una red especifica simulada

en packet tracert configurada y utilizando todos lo temas vistos durante el curso,
se nos plantea una serie de requisitos en los cuales esta red debe cumplir a la hora
de enviar o recibir trafico entre las redes LAN que la conforman, se pretende evitar
que hayan cualquier tipo de violación en cuanto a los puertos del equipo de
interconexión utilizados, se debe evitar que algunos equipos envíen tráficos hacia
otra red especifica; configurar traducción de direccionamiento de IP privadas IP
publicas y proporcionar direccionamiento dinámico independiente para cada una
de las LAN que allí anuncian.

Proyecto final: esquema de seguridad

Telematica III
Freddy Bustos-Luis Baron-Carlos Garcia
 5

Terminos y conceptos

DNS: Las DNS son las siglas que forman la denominación Domain Name System
o Sistema de Nombres de Dominio y además de apuntar los dominios al servidor
correspondiente, nos servirá para traducir la dirección real, que es una relación
numérica denominada IP, en el nombre del dominio.

Wilcard: Una máscara wildcard se compara con una dirección IP. Los números en
binario uno y cero en la máscara, se usan para identificar cómo se deben manejar
los bits de la dirección que desea revisar.
Las máscaras wildcard están diseñadas para filtrar direcciones de host individuales
o rangos, o incluso se pueden filtrar direcciones de red.
Un cero significa que esa posición será verificada. Un 1 significa que esa posición
no se verificará.
Servidor

Acl nombradas estándar: ACL con nombre, permite dar nombres en vez de
números a las ACL estándar o extendidas.

Acl numeradas: donde solo tenemos que especificar una dirección de origen.

Acl estendidas: en cuya sintaxis aparece el protocolo y una dirección de origen y

de destino.

Nat estatico: Consiste básicamente en un tipo de NAT en el cuál se mapea una

dirección IP privada con una dirección IP pública de forma estática. De esta
manera, cada equipo en la red privada debe tener su correspondiente IP pública
asignada para poder acceder a Internet.

Nat dinamico: Este tipo de NAT pretende mejorar varios aspectos del NAT estático
dado que utiliza un pool de IPs públicas para un pool de IPs privadas que serán
mapeadas de forma dinámica y a demanda. La ventaja de este esquema es que si
se tienen por ejemplo 5 IPs públicas y 10 máquinas en la red privada, las primeras
5 máquinas en conectarse tendrán acceso a Internet.

Nat por puertos: El caso de NAT con sobrecarga o PAT (Port Address Translation)
es el más común de todos y el más usado en los hogares. Consiste en utilizar una
única dirección IP pública para mapear múltiples direcciones IPs privadas. Las
ventajas que brinda tienen dos enfoques: por un lado, el cliente necesita contratar
una sola dirección IP pública para que las máquinas de su red tengan acceso a
Internet, lo que supone un importante ahorro económico; por otro lado se ahorra

Proyecto final: esquema de seguridad

Telematica III
Freddy Bustos-Luis Baron-Carlos Garcia
 6

un número importante de IPs públicas, lo que demora el agotamiento de las

mismas.

No autosumary: Al ingresar este comando le decimos al router que NO sumarize

las rutas que tiene. Es de gran utilidad cuando no tenemos redes contiguas.

Interfaces pasivas: Una interface pasiva lo que hace es que no envía ningún tipo
de paquete, ni ellos ni cualquier otro tipos de paquetes. Es decir que por esa
interfaces no podremos tener vecinos pero si anunciara las redes de dichas
interfaces.

Proyecto final: esquema de seguridad

Telematica III
Freddy Bustos-Luis Baron-Carlos Garcia
 7

Marco teórico

Listas de control de acceso: Una lista de control de acceso (Access Control List
o ACL) es el método utilizado para comparar patrones de información de los
diferentes protocolosde la arquitectura TCP/IP. Hay varias situaciones en la que se
puede necesitarrealizar esta comparación, por ejemplo, para limitar el acceso a
unasubred por razones de seguridad o para limitar el tamaño de las tablas de
enrutamiento de un encaminador por razones de desempeño. Las listas de control
de acceso se pueden aplicar de diferentes maneras. Cuando una ACL se aplica a
una interfaz, dicha ACL puede diseñarse para que se acepten o rechacen
datagramas IP entrantes o salientes de la misma, la aceptación o rechazo de los
paquetes se puede basar en los diferentes campos de los protocolos TCP/IP.. [1]

Traduccion de direccionamiento: El NAT o Traducción de Direcciones de Red

es un mecanismo que permite que múltiples dispositivos compartan una sola
dirección IP pública de Internet, ahorrando así millones de direcciones públicas. [2]

Subredes: Subnetear es la acción de tomar un rango de direcciones IP donde

todas las IPS sean locales unas con otras y dividirlas en diferentes rangos, o
subnets, donde las direcciones IPS de un rango serán remotas de las otras
direcciones. [2]

Seguridad de puertos: Con el objetivo de incrementar la seguridad en una red

LAN es posible implementar seguridad de puertos en los switches de capa de
acceso, de manera de permitir que a cada puerto se conecte sólo la estación
autorizada. [3]

Direccionamiento dinamico: Es un servicio a través del cual se asignan

automáticamente direcciones IP a los equipos de una red, este servicio se
configura e instala en un servidor y en cada computador se configura el
direccionamiento automático.. [3]

Direccionamiento con clase y sin clase: Los protocolos de enrutamiento con

clase no envían información de la máscara de subred en las actualizaciones de
enrutamiento. Los protocolos de enrutamiento sin clase incluyen la máscara de
subred con la dirección de red en las actualizaciones de enrutamiento. [4]

Proyecto final: esquema de seguridad

Telematica III
Freddy Bustos-Luis Baron-Carlos Garcia
 8

Diseño implementado

A partir de la topología inicial mostraremos en este apartado las configuraciones

tomando los requisitos pedidos para la solución.

1. Topología física presentada con la herramienta de trabajo packet tracert.

figura 1: topologia fisica

A partir de esta topología se trabajó para realizar las configuraciones

específicas que se dan en cuanto a los requerimientos, lo primero que se hizo
fue especificar una tabla de direccionamiento para tener claro con que
direcciones se cuenta para trabajar esto para lo que tiene que ver con el
siguiente requisito.
” Los equipos de la LAN 4 deben recibir direccionamiento IP dinámico, solo se pueden
usar las 64 primeras direcciones asignables a Host. Los equipos de la LAN 3 deben
recibir direccionamiento IP dinámico, solo se pueden usar las 80 primeras direcciones
asignables a Host. Los equipos de la LAN 1 deben recibir direccionamiento IP
dinámico, solo se pueden usar las 32 primeras direcciones asignables a Host.”

Proyecto final: esquema de seguridad

Telematica III
Freddy Bustos-Luis Baron-Carlos Garcia
 9

Tabla 1. tabla de direccionamiento ipv4

TABLA DE DIRECCIONAMIENTO
BLOQUES IP VLANS PUERTOS SUBREDES MASACARA DE PREFIJO
ASIGNADOS SUBRED
VLAN
LAN1 102.121.1.0/24 administracion F0/1-F0/8 102.121.1.0 255.255.255.192 /26
docentes F0/9-F0/16 102.121.1.64 255.255.255.192 /26
estudiantes F0/17-F0/23 102.121.1.128 255.255.255.192 /26
sin utilizar 102.121.1.194 255.255.255.192 /26
LAN2 102.121.2.0/24 255.255.255.0 /24
LAN3 80.192.1.0/23 administracion F0/1-F0/8 80.192.0.0 255.255.255.128 /25
docentes F0/9-F0/16 80.192.0.128 255.255.255.128 /25
estudiantes F0/17-F0/23 80.192.1.0 255.255.255.128 /25
si utilizar 80.192.1.128 255.255.255.128 /25
LAN4 80.192.2.0/25 255.255.255.128 /25

2. Se configuro cada Reuter de cada LAN para que proporcionara

direccionamiento dinámico a partir de los bloques IP de trabajo que se tienen
veremos la configuración que se le realizo a cada Router con sus
direcciones excluidas.
figura 2: configuracion de cada router con direccionamiento DHCP.

Proyecto final: esquema de seguridad

Telematica III
Freddy Bustos-Luis Baron-Carlos Garcia
 10

En la Fig.2 Podemos observar como se crea el pool de direccionamiento para

cada vlan que se creo en este caso se realize una dicison de subredes con FLSM
para tener una organizacion de utilizacion de asignacion IP y exclusion. Este paso
se hizo para cada uno del los router que observamos en la topologia.

3. Segmentación de la red en VLANs configurando su enlace troncal.

” En la LAN 1 se debe segmentar el tráfico de la siguiente forma: datos de administración
aislados de aquel proveniente de docentes y de estudiantes. En la LAN 3 se debe segmentar
el tráfico de la siguiente forma: datos de administración aislados de aquel proveniente de
docentes y de estudiantes.”
figura 3: creacion de vlan tanto en la LAN1 como en LAN3

para darle direccionamiento a cada vlan se crearon unas subredes, la Fig. 3

muestra la configuración realizada para la creación de las vlan solicitadas en los
en el anterior requisito. Una vez todos DHCP asigno las direcciones
correspondientes se realizo un enrutamiento con el protocolo RIPv2 anunciando
todas las redes conectadas de cada LAN en cada router, cable aclarar que para
conexión de LAN a LAN se hacer por serial, a la cual se le asigno una dirección
punto apunto para que cada LAN pueda salir y recibir y enviar paquetes.

Proyecto final: esquema de seguridad

Telematica III
Freddy Bustos-Luis Baron-Carlos Garcia
 11

4. Tercer requisito seguridad de puertos:

“Cada uno de los puertos de Switch 1 deben estar protegidos para que solo pueda
validarse una MAC por persistencia, si la MAC no corresponde el puerto debe entrar
al estado shutdown. Cada uno de los puertos de Switch 2 y 3 deben estar protegidos
para que solo pueda validarse una MAC por persistencia, si la MAC no corresponde el
puerto debe entrar al estado de protección y envío de mensajes de advertencia.”

En la Fig.4 nos muestra la configuración requerida para cada switch que

pertenece a cada LAN en este caso solo mostraremos una de las cuatro
configuraciones que allí solicitan y en el rango de interface que pertenece a
cada VLAN.

figura 4: configuracion de seguridad de puertos

5. Otro requisito que se pedía para la configuración dice lo siguiente:

“A la LAN 4, solo pueden acceder los equipos de la LAN 2. Además, a la LAN 2 no
pueden acceder los equipos de la LAN 1.”
Acá es donde aplicaremos las listas de control de acceso como no las solicitan
la Fig. 5 nos muestra la primera solicitud que piden a la LAN 4 solo pueden
acceder los equipos de la LAN 2.

Proyecto final: esquema de seguridad

Telematica III
Freddy Bustos-Luis Baron-Carlos Garcia
 12

figura 5: creacion ACL para nuestro origen destino que en el primer caso sera nuestro
Router3.

Se puede observar que hay creadas dos ACL estándar nombradas una es para
el requisito que solicitan y la otra es para aplicarla a la NAT para que me
traduzca todas las direcciones de esa LAN por PAT. Así mismo se creo en el
segundo requisito cite anteriormente.

6. Y la ultima configuración que se realizo fue la traducción NAT- PAT la

estática. No se logro realizar por que al traducirla salía traducida pero
cuando se quería que recibiera un paquete no reconocía el host, en la Fig.6
mostraremos esa traducción NAT_PAT para la LAN 3 .

Proyecto final: esquema de seguridad

Telematica III
Freddy Bustos-Luis Baron-Carlos Garcia
 13

figura 6. traduccion dinamica con solo una direccion pero con puerto diferente.

Y por último se configuro en la LAN 2 los servidores solicitados que fue el último
requerimiento.

figura 7. Servidores.

Proyecto final: esquema de seguridad

Telematica III
Freddy Bustos-Luis Baron-Carlos Garcia
 14

Conclusión

En conclusión, hay varias dudas que surgieron tras estas configuraciones por
ejemplo el por que si creo una ACL en la interfaz destino mas cerca, al devolver
paquetes no reconoce ningún host de las otras LAN si no tan solo al que se le
permitió con la ACL; esta es una duda que surgió en grupo pero no se pudo
resolver, en cuanto a la demás configuración se retomaron muchos de los
conceptos y practicas que se vieron en diferentes secciones del curso, no es solo
digitar comando hay que ver a lo que se quiere llegar con este, y para eso estar
bien documentado es una buena practica y eso fue lo que acá se aprendió.

Proyecto final: esquema de seguridad

Telematica III
Freddy Bustos-Luis Baron-Carlos Garcia
 15

Referencias

[1] U. manizales, «direccionamiento ipv4,» froac.manizales.unal.edu.co, [En línea]. Available:

http://froac.manizales.unal.edu.co/roap/scorm/648/index.html. [Último acceso: 19 noviembre 2018].
[2] cisco, «networking academy,» [En línea]. Available: https://static-course-
assets.s3.amazonaws.com/RSE6/es/index.html#3.2.1.5.
[3] I. Cisco Systems, «www.cisco.com,» 1992-2012. [En línea]. Available:
https://www.cisco.com/c/dam/global/es_mx/assets/ofertas/desconectadosanonimos/routing/pdfs/brochure_redes.pdf.
[Último acceso: 20 noviembre 2018].
[4] networkeando.blogspot.com, «networkeando.blogspot.com,» networkeando, [En línea]. Available:
http://networkeando.blogspot.com/2008/11/con-clase-y-sin-clase.html. [Último acceso: 20 noviembre 2018].
[5] microsoft, «programacion para redes,» .net, [En línea]. Available: https://docs.microsoft.com/es-
es/dotnet/framework/network-programming/ipv6-addressing. [Último acceso: 20 noviembre 2018].
[6] c. cnna, «capacityacademy,» cisco cnna, [En línea]. Available: http://blog.capacityacademy.com/2013/04/16/cisco-
ccna-todo-sobre-ipv6-tipos-de-direcciones/. [Último acceso: 20 noviembre 2018].

Proyecto final: esquema de seguridad

Telematica III
Freddy Bustos-Luis Baron-Carlos Garcia