Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Unidad 2. Disponibilidad y Confiabilidad - 2019 PDF
Unidad 2. Disponibilidad y Confiabilidad - 2019 PDF
Programa de la asignatura:
Administración de redes
Clave:
21144737
índice
Presentación de la unidad
Cada empresa tiene necesidades de comunicación diferentes y éstas son cada vez más complejas, lo que ha
generado la creación de distintos modelos de diseño y configuración. Debido a que las empresas generalmente
tienen distintos sitios de operación, se requiere un protocolo de enrutamiento que permita la intercomunicación de
sus redes locales a través de grandes distancias utilizando tecnologías de enlaces de gran capacidad y complejidad.
Mantener una red estable requiere de diversas herramientas de monitoreo que permitan tener una visibilidad
integral de la operación de la misma y reaccionar de acuerdo a un análisis e interpretación de la información por
parte del administrador de la red.
A grandes rasgos existen dos tipos de usuarios en la red, los usuarios finales y los administradores, cada uno requiere
acceso a ella de diferente forma, por lo tanto se crean mecanismos de acceso adaptados a las necesidades de cada
usuario, con el fin de que sólo puedan realizar el mantenimiento y modificaciones autorizadas para garantizar la
seguridad y el performance de la misma. Por lo tanto el acceso a los recursos debe de estar controlado por un
mecanismo adecuado que estudiarás en esta unidad a través de esquemas AAA, Autenticación, Autorización y
Contabilización (Authentication, Authorization and Accounting) y servidor TACACS+, (en inglés Terminal Access
Controller Access Control System, que se refiere a sistema de control de acceso del controlador de acceso a
terminales). Para los usuarios, no sólo la seguridad es importante, también se requiere el uso adecuado de los
recursos de la red, lo anterior en conjunto con el estado de los dispositivos, la disponibilidad de los medios, la
confiabilidad de la comunicación y la integridad de la información hacen necesaria la creación de un mecanismo que
satisfaga las necesidades en el manejo de información, es así que se creó el protocolo SNMP el cual analizarás más
adelante.
Gestionar lo anterior podría parecer mucho trabajo, sin embargo, es sólo el principio de la administración de redes.
Aunado a lo anterior, también es necesario cuidar el funcionamiento de los dispositivos, asegurar la información
que se transfiere, así como desarrollar proyectos de mejora.
Por otro lado, una vez que se encuentra construida la infraestructura, es necesario vigilar y proteger la red
celosamente contra ataques de entidades externas y/o actividades “mal intencionadas” de personal interno. El activo
más valioso para cualquier empresa es su información por lo cual su protección está regulada por organismos
internacionales para asegurar que los datos de los clientes que posee dicha organización no queden expuestos a los
criminales, y no sólo esto, también evitar actividades deshonestas internas con los recursos de la red, es así que se
crearon herramientas como Cisco Auto- Secure© y métodos de análisis como SPAN (the Switched Port Analyzer).
En la actualidad ya no se requiere una computadora o PC de escritorio para acceder a la red, teléfonos celulares,
tabletas, automóviles y hasta refrigeradores y lavadoras pueden acceder a ella. La seguridad inalámbrica también es
un aspecto de la red que requiere protección, para ello se te mostrarán los diferentes estándares que coadyuvan con
este objetivo. En el mundo de las redes, no existe red segura, lo único seguro en una red, es que alguien, en algún
momento, cuando menos se lo espere; la atacará.
Los elementos de configuración que se usan en este contenido se presentan de forma similar a la nomenclatura
utilizada por Cisco: “negritas” comandos” y “cursivas” opción a rellenar por el usuario. También se usa {o|o|o}
donde puedes elegir alguna de las tres opciones.
3
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Competencia específica
Logros
4
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
2.1 Disponibilidad y autenticación
Las redes tienen una característica muy importante a diferencia de otros dispositivos y áreas tecnológicas,
siempre deben de estar disponibles. Las PC y otros equipos pueden apagarse cuando el usuario no requiere
utilizarlos. Las telecomunicaciones como las carreteras de la información siempre deben de estar disponibles para
su utilización. Mantener disponibles y confiables estas grandes vías de la información requiere de un trabajo
constante y una vigilancia veinticuatro horas, con el fin de que siempre se encuentren en óptimas condiciones para
la transmisión de datos.
Por lo tanto, es necesario emplear herramientas que permitan vigilar y monitorear las vías de comunicación todo
el tiempo, inclusive cuando el administrador no se encuentra en horario laboral, con el fin de garantizar la
disponibilidad de la red. Un centinela que alerte al administrador de algún problema que se haya presentado en la
red, de lo que está sucediendo y avisar de lo que podría suceder. Es exactamente este servicio el que proporciona
SNMP (Simple Network Management Protocol), el cual estudiarás a continuación.
5
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Qué es SNMP
SNMP es el Protocolo Simple de Administración de Red (Simple Network Management Protocol), es un protocolo
de la capa de aplicación definido en el RFC 1157 para el intercambio de información de administración entre
dispositivos de red. Es parte de la pila de protocolos TCP/IP. SNMP es uno de los protocolos mayormente aceptados
para la administración y monitoreo de infraestructuras de red, la mayoría de los dispositivos de red utilizados a nivel
profesional vienen instalados de fábrica con un agente SNMP, estos agentes están configurados y preparados para la
comunicación con un Sistema de Administración de Red (Network Management System, NMS).
SNMP permite a los administradores de red supervisar el funcionamiento de la misma, buscar y resolver problemas
relacionados a la transmisión de información y análisis de tipos de datos y puertos, además de brindar la
información necesaria para el crecimiento y mejora de la infraestructura de red.
Origen de SNMP
SNMP surge en la década de los 70. El Protocolo de Mensajes de Control de Internet (Internet Control Message
Protocol, ICMP) fue desarrollado para administrar la red de la Agencia de Proyectos de Investigación Avanzada
(Advanced Research Project Agency NETwork, ARPANET). En esta época se crea ICMP que es un mecanismo para
la transferencia de mensajes de control entre nodos, un claro ejemplo del uso de ICMP es a través de la herramienta
PING (Packet Internet Groper), que forma parte de la pila de protocolos TCP/IP. PING es una herramienta simple
usada para investigar la disponibilidad y la confiabilidad de un nodo (destino) desde otro nodo (origen). PING es una
herramienta fundamental para cualquier sistema de monitoreo de redes.
Cuando ARPANET comenzó operaciones en 1969, se convirtió en la Internet en la década de los 80 con la llegada
del sistema UNIX y la popularización de la arquitectura cliente-servidor. Las redes basadas en TCP/IP crecieron
rápidamente, especialmente en ambientes militares, de gobierno y académicos. Algunas empresas comenzaron a
utilizar el desarrollo de los medios electrónicos para compartir información. La NSF Fundación Nacional de Ciencia
(National Science Foundation) en 1984 cambia el nombre de ARPANET a Internet.
6
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Con el crecimiento de la Internet, se hizo necesario y esencial contar con la capacidad de supervisar y monitorear los
dispositivos de red de manera remota, por lo cual se generó el Protocolo de Monitoreo de Router Simple (Simple
Gateway Monitoring Protocol, SGMP) el cual fue desarrollado con éste propósito de manera provisional en lo que
se creaba un protocolo mejor. Para alcanzar este objetivo se formó el Consejo Asesor de Internet (Internet Advisory
Board, IAB) encargado de administrar las actividades de la red; este organismo recomienda mejorar el protocolo de
monitoreo existe SGMP convirtiéndose en SNMP, incluso éste último protocolo también pretendía ser una solución
temporal, sin embargo, debido a la enorme simplicidad de SNMP y su extensiva implementación, se convirtió en el
estándar de facto en la actualidad para la administración de redes.
En lo sucesivo fueron desarrolladas las siguientes versiones de éste protocolo, como la SNMPv2 (v2 refiere a
versión2); con la intención de incluir más características, esta nueva versión sólo superó parcialmente algunas
limitaciones de la versión anterior, posteriormente la versión final de SNMPv2 fue liberada sin una de sus
principales características para lo que fue pensada, la seguridad, esto por discrepancias de opinión de sus
desarrolladores.
SNMPv3 incorpora características de seguridad a la versión anterior, logrando posicionar esta versión como el
estándar de monitoreo seguro para redes de computadoras, dichas características se mencionan a continuación:
Integridad: Usando algoritmos hash, SNMPv3 puede asegurar que los mensajes SNMP no sean
modificados durante su transmisión
Autenticación: El hash valida la autenticidad de la fuente de un mensaje SNMP
Encriptación: Usando el algoritmo de encriptación CBC- DES (DES-56), SNMP provee privacidad en
sus mensajes, haciéndolos ilegibles si algún atacante captura un paquete SNMP
Como se ha mencionado la IAB promovió la creación de SNMP. La IAB se fundó en 1983 de manera informal
por investigadores académicos durante el desarrollo de redes basadas en TCP/IP. Después cambió su nombre a
Consejo Asesor del Consejo de Arquitectura de Internet (Advisory Board to the Internet Architecture Board) en
1989 y se le designó la responsabilidad de administrar dos grandes fuerzas de tarea, el Grupo de Trabajo de
Ingeniería de Internet (Internet Engineering Task Force, IETF) y el Grupo de Investigación de Internet (Internet
Research Task Force, IRTF).
El IRTF se encarga de desarrollar los proyectos de investigación a largo plazo para la Internet, se compone de pequeños
grupos de investigación que trabajan en temas relacionados con los protocolos de Internet, aplicaciones, arquitectura y
tecnología. El crecimiento de la gran nube ayudó al posicionamiento de ETF hasta convertirse en la ingeniería de
protocolos, desarrollo y estandarización de la IAB.
7
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
El Centro de Información de Internet (Internet Network Information Center, InterNIC) es una organización que
almacena una gran cantidad de documentos relacionados a la Internet y a las actividades del IETF. Estos incluyen,
entre otros documentos, Solicitud de Comentarios del Documento (Request for Comments, RFC), Estándar RFC
(STD), y Para su Información RFC (FYI). Los dos últimos son subseries de RFC.
La Autoridad para la Asignación de Números en la Internet (Internet Assigned Numbers Authority, IANA) es el
coordinador central para la asignación de valores de parámetros únicos para los protocolos de Internet. El conjunto
de protocolos de Internet contiene numerosos parámetros, como las direcciones de Internet, nombres de dominio,
números de sistemas autónomos (usados en protocolos de enrutamiento), números de protocolo, números de puerto,
identificadores de objetos MIB (Management Information Base), entre muchos otros. El uso común de estos
protocolos por parte de la comunidad de Internet requiere que estos valores se asignen de forma exclusiva. Esta es la
tarea de la IANA, realizar la asignación de direcciones para la Internet y mantener un registro de los valores
otorgados.
Un principiante en la administración podría confundirse fácilmente con el gran número de RFC que estén
relacionados con la gestión de redes, en concreto, SMI (Structure of Management Information) (consulta el
siguiente subtema 2.1.2.), MIB y SNMP, además estos documentos están en continua evolución, por lo cual es
importante estar al tanto de las últimas versiones.
Las RFC son notas sobre Internet y sobre sistemas que se conectan a Internet,
cada una de ellas individualmente es un documento cuyo contenido es una
propuesta oficial para un nuevo protocolo de Internet, que se explica con todo
detalle para que, en caso de ser aceptado, se pueda implementar sin
ambigüedades. Si el IETF aprueba la propuesta se convierte en un RFC. Si
resulta suficientemente importante, se desarrolla y se convierte en un estándar
de Internet. Cada RFC tiene un título y un número asignado que no puede
repetirse o eliminarse si el documento queda
obsoleto.
Puedes consultar estas notas en el vínculo: http://www.rfc-es.org/
8
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Componentes de SNMP
Los componentes presentados a continuación, trabajan en conjunto para permitir la funcionalidad de SNMP.
Componentes:
a) SMI (Structure of Management Information)
La SMI define el tipo de datos que son permitidos dentro de la MIB. Se establece una única estructura
para cada objeto administrado. La RFC 1155 define cómo los objetos administrados se guardan en la
MIB. Básicamente los objetos administrados tienen seis atributos, por ejemplo, un nombre, un
identificador de objeto, un campo de sintaxis, un campo de acceso, un campo de estado y una texto con
su descripción.
La SMI define la estructura de la base de datos del agente SNMP. Cuando se construye la base de datos,
lo primero que se hace es decidir la estructura que llevará esta base. La estructura define el número de
campos de cada entrada, así como su tamaño y el tipo de datos que podrá contener cada uno.
Un objeto administrado puede representar una característica de un dispositivo administrado, por ejemplo,
el valor asociado con el número de paquetes que ha recibido el equipo a través de una interfaz desde el
último reinicio del mismo o el tiempo que ha permanecido encendido desde la última vez que se
encendió, entre otros.
El protocolo MIB describe los objetos, o las entradas, que deben ser incluidas en la base de
datos del agente SNMP. Por esta razón, los agentes SNMP son referidos algunas veces como
MIB. Los objetos en una MIB deben estar definidos de la manera en que los desarrolladores del
software del dispositivo conocen los nombres de los objetos y sus valores correspondientes.
Esta información se incluye en la especificación MIB.
9
c) Agentes SNMP
Todo dispositivo de red que pretende ser administrado, debe de contener un agente que ejecute todos los
objetos MIB que son relevantes para su monitoreo y administración. El agente provee la información que
es requerida por la aplicación de administración.
Un Administrador SNMP realiza solicitudes (de poleo). Por solicitud de poleo se entiende a una manera informal
de nombrar a la solicitud de traps, el cual entrega la información que se encuentra almacenada la MIB. Las
interrupciones (traps). Son mensajes que alertan al gestor SNMP de cierta condición en la red.
Administrador SNMP
Dispositivos administrados
Es un elemento de la red que requiere ser monitoreado y administrado, por ejemplo, routers, switches,
servidores, estaciones de trabajo, impresoras, UPS, etc.
Agente SNMP
Un Agente es un software que viene instalado desde fábrica en el dispositivos de red, una vez que se activa
este agente recopila toda la información del dispositivo en una base de datos de información de
administración manteniéndola disponible para un sistema de administración de red o un sistema de
administración SNMP. Estos agentes pueden ser estándares como Net-SNMP o específicos del fabricante,
por ejemplo, de Hewlett Packard© HP insight agent.
11
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Diagrama de comunicación SNMP
La Base de Datos de Información de Administración (Management Information Base, MIB) es una colección de
información que está organizada jerárquicamente. Cada Agente SNMP mantiene una base de datos de
información que describe los parámetros del dispositivo administrado. El Administrador SNMP usa esta base de
datos para obtener información específica del estado del dispositivo, la cual será interpretada por el Sistema de
Administración de Red (Network Management System, NMS). La MIB se intercambia en repetidas ocasiones con
el Administrador SNMP.
Fundamentalmente esta MIB contiene información estándar sobre valores estadísticos y de control definidos para
los dispositivos de red. SNMP también permite el complemento de estos valores estándares con valores específicos
para un agente en particular a través del uso de MIB privadas.
Resumiendo, los archivos MIB son el conjunto de preguntas que un Administrador SNMP puede solicitar a un
Agente SNMP sobre el estado de un dispositivo de red. El agente recopila estos datos de forma local y los almacena
tal como se define en la MIB. Por lo tanto, el Administrador SNMP debe estar al tanto de estas preguntas, estándares
y privadas, para cada tipo de agente.
La MIB es una colección de información para la gestión de los elementos que conforman una red. La MIB se
compone de objetos administrados los cuales poseen un identificador, llamado identificador de objeto (Object ID u
OID). Cada identificador es único y denota características específicas de un dispositivo gestionado, los objetos
administrados están compuestos de una o más instancias de objeto, que son esencialmente variables, como por
ejemplo, texto, número, contador, etc.
Hay dos tipos de objetos administrados o ID de objeto: escalares y tabulares. Los objetos escalares definen una
simple instancia de objeto. Los objetos tabulares definen múltiples instancias de objeto relacionadas que están
agrupadas conjuntamente en tablas MIB.
Un ejemplo de un valor escalar puede ser: nombre del fabricante del dispositivo, un ejemplo de un valor tabular
puede ser: la utilización de un procesador de 4 núcleos, lo que implicaría 4 resultados, uno por cada núcleo del
procesador. Cada ID de objeto se organiza jerárquicamente dentro de la MIB. La jerarquía de la MIB puede ser
representada en una estructura de árbol con ientificador variable individual.
Funcionamiento de SNMP
Como has estudiado, una red administrada vía SNMP incluye aplicaciones de administración (servidores de
administración) y elementos de la red (dispositivos de red). Los servidores de administración ejecutan aplicaciones
que utilizan datos SNMP para monitorear el performance de la red. Los agentes de la red son los responsables de
mantener los datos estadísticos y de estado de los dispositivos administrados que se enviarán como insumos para la
interpretación de la información por los servidores de administración que ejecutan un Administrador SNMP.
Comandos SNMP
12
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
SNMP es una aplicación de administración de red. Esta aplicación contiene varios comandos básicos como:
read, write, trap, y operaciones de recorrido, a continuación se explica dada una:
El comando read activa el administrador de sistema para monitorear los dispositivos administrados. Esto
permite el análisis de diferentes variables que el dispositivo de red entrega
El comando write permite al sistema administrador controlar los dispositivos administrados. Esto
permite que los valores almacenados en las variables se modifiquen
El comando trap es utilizado por los dispositivos administrados para enviar actualizaciones al sistema
administrador. Este comando es utilizado por el dispositivo administrador si necesita notificar algún
evento significativo de acuerdo a su estatus en la red
Las operaciones de recorrido permiten al sistema administrador recuperar información de la tabla de
variables. Esto permite al sistema administrador ordenar la información paso a paso
Beneficios
Administrar una red con la ayuda de SNMP ofrece significativos beneficios. Estos beneficios permiten al
administrador de red tomar el control para garantizar una red saludable y eficiente, los más importantes son:
Control
Prevención, detección y solución de problemas relacionados con la red. SNMP facilita las tareas
del administrador al tomar el control necesario para mantener la red saludable, proveyéndole un
mecanismo de monitoreo eficiente del performance de la red
Estandarización
SNMP es un protocolo soportado por la mayoría de los dispositivos de los diferentes fabricantes
alrededor del mundo. La administración centralizada es extremadamente efectiva y una solución extensa
para la administración de redes
Eficiencia
SNMP utiliza UDP para la entrega de paquetes llamados Unidades de Datos de Protocolo (Protocol
Data Units, PDUs). UDP es un método rápido de transmisión de información a diferencia de TCP. UDP
carece de las características de protección contra la pérdida de la trasmisión de los datos, además los
constantes mensajes de status de la red que envía SNMP a través de UDP demandan un bajo
procesamiento y evitan la congestión de la misma
Seguridad
SNMPv3 fue diseñado para contrarrestar las siguientes vulnerabilidades de seguridad:
- Modificación de la información: Alteración del mensaje por un agente externo durante su
transmisión
- Enmascaramiento: Alguna entidad podría enmascararse y hacerse pasar por otra entidad
- Modificación del flujo de mensaje: Reordenamiento o reenvío de mensajes
- Observación de información de acceso: Revelación de contraseñas
13
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Una de las tareas del administrador, es proveer acceso a la red, sin embargo, se debe sólo permitir el acceso a
usuarios autorizados como protección contra ataques. El modelo de Autenticación, Autorización y Auditoría
(Authentication, Authorization, and Accounting, AAA) permite definir quién accede y qué puede hacer dentro de la
red, además de llevar un registro del comportamiento dentro de la misma.
AAA es parte de una serie de servicios de seguridad que juntos proveen un marco de trabajo que define el
Control de Acceso a la Red (Network Access Control, NAC).
A continuación se examinará la naturaleza modular de AAA y se estudiará cómo este modelo provee servicios de
autenticación, autorización y auditoría al igual que examinarás como resolver problemas relacionados a AAA en
routers Cisco.
El acceso no autorizado a una red compromete la operación, los dispositivos, los servicios y la información que
transporta, por ello la arquitectura AAA provee un mecanismo de protección al acceso de intrusos a la red. Sin
embargo, no sólo usuarios e intrusos puede intentar ingresar a la red, también los administradores requieren acceso a
los diferentes equipos que comprende, el esquema AAA provee un ingreso seguro, también para ellos.
El acceso seguro a una red basada en plataformas Cisco utilizando el esquema de seguridad AAA implica la
utilización de una arquitectura modular que se compone de tres componentes funcionales:
14
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Cisco provee tres formas de implementar servicios AAA para routers Cisco:
La autenticación AAA local utiliza una base de datos local para la autenticación. Este método almacena los
nombres de usuario y contraseña localmente en el dispositivo. Sin embargo, por diversas razones que verás más
adelante, se recomienda la autenticación basada en servidor.
15
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
El control de acceso por AAA es soportado por los equipos de red de Cisco ya sea a través de una base de datos de
nombre de usuario y contraseña (username-password) o por una base de datos de un servidor de seguridad remoto
(AAA Server). Para permitir el acceso a un grupo reducido de usuarios, conviene utilizar una base de datos local
tipo username-password, la cual se puede crear mediante el comando username xyz password contraseña-fuerte.
Si requieres mayor seguridad para el acceso, puedes utilizar el comando username secret para configurar un
nombre de usuario y una contraseña asociada a una encriptación de nivel MD5.
Un servidor de seguridad remoto puede ser otra opción. Esta implementación utiliza una base de datos de seguridad
remota y provee servicios AAA para múltiples dispositivos de red y un gran número de usuarios o administradores
de red.
El método basado en servidor utiliza un recurso externo de servidor de base de datos a través de los protocolos
RADIUS (Remote Dial-in User Services) o TACACS+ (Terminal Access Control Access Control Server Plus). La
familia de productos ACS (Access Control Server) de Cisco soporta tanto TACACS+ como RADIUS, que son los
dos protocolos predominantes usados por los dispositivos de seguridad para la implementación de AAA.
Autenticación AAA
Son tres pasos los necesarios para configurar en un router Cisco un esquema AAA usando una base de datos local
para la autenticación. Es muy importante que protejas las interfaces de todos los routers que se tienen en una
infraestructura de red, con mayor razón los routers perimetrales o de borde ya que estos proporcionan en la
mayoría de los casos acceso a Internet. Los comandos AAA son usados para garantizar un acceso seguro a la red
local. La tabla siguiente compara los modos de acceso al router, tipos de puertos y los elementos de los comandos
AAA.
AAA tiene dos modos de acceso (caracter y paquete) que se resumen en la siguiente tabla:
Interfaz Modo Descripción
AUX Carácter Puerto auxiliar DTE
Consola Carácter Puerto de consola
TTY Carácter Puerto asíncrono
16
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
VTY Carácter Terminales virtuales
PPP Paquete Interfaces PPP, serial o ISDN
AppleTalk Remote Access
Arap Paquete
(ARA)
NASI Paquete NetWare Access Server
Interface o interfaz serie
Modos de acceso AAA. Autor: Ariganello, E. (2013)
Se requieren seis pasos para configurar un router Cisco para una autenticación loca:
Paso 1 Proteger el acceso al modo privilegiado o modo EXEC
Paso 2 Usar el comando aaa new-model para habilitar el esquema AAA globalmente en el router de
borde
Paso 3 Configurar las listas de autenticación AAA
Paso 4 Configurar el nivel de autorización AAA a asignar después de que el usuario ha sido autenticado
Paso 5 Configurar las opciones de registro de usuarios AAA
Paso 6 Verificar la configuración
Configurar la base de datos de autenticación local para los usuarios usando AAA
Para configurar en un router la utilización del esquema AAA, se debe ingresar primero el comando aaa new-
model. Este comando es crítico debido a que establece una cuenta de autenticación de usuarios utilizando AAA.
Para habilitar el método de autenticación local, se debe restablecer la sesión Telnet o de consola y utilizar la lista
de autenticación definida localmente para accesar al router debido a que se perderá la conexión durante la
configuración AAA. Si se pierde la conexión remota se requerirá acceso físico al equipo mediante el puerto de
consola y realizar una recuperación de contraseña. En casos muy extremos, la configuración salvada en la
NVRAM se perderá.
Los comandos mínimos requeridos son los siguientes y deben ingresarse en este orden:
La siguiente es una lista complete de comandos aaa authentication para IOS Cisco 12.2 y
posteriores:
Comando Descripción
AppleTalk Remote Access Protocol (ARAP) para
usuarios que utilizan RADIUS o TACACS+.
aaa authentication arap
Ingresar el comando aaa authentication arap para
habilitar el esquema AAA.
Usar este comando para crear un login banner
aaa authentication banner
personalizado.
17
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Utilizar este comando en modo de configuración
aaa authentication enable global para habilitar el esquema AAA y determinar
default si el usuario puede ejecutar comandos de nivel
privilegiado.
También es importante que estudies la función de estos tres comandos y como se utilizan en un ambiente
AAA:
El comando aaa authentication login
El comando aaa authentication ppp
El comando aaa authentication enable default
Después de activar AAA globalmente en el servidor de acceso, se requiere definir las listas de métodos de
autenticación y aplicarlas en las líneas o interfaces. Estos son perfiles de seguridad para PPP, dot1x o login y
método de autenticación. También se debe especificar hasta cinco métodos de autenticación (local, grupo
TACACS+, grupo RADIUS, línea, o activación de autenticación) para aplicar a una línea o interfaz. El objetivo
18
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
de esta sección se centra en la base de datos de usuario local, si se desea trabajar con varios métodos de
autenticación, es una best practice tener activada la autenticación local como última opción en una lista de
autenticación para acceder al equipo debido a que si falla el enlace hacia el servidor de autenticación se pueda
ingresar al mismo.
Para definir una lista de métodos de autenticación usando el comando aaa authentication, se requiere seguir los
siguientes pasos.
Paso 1 En Modo de configuración global, ingresar el comando aaa authentication para configurar una
lista de métodos de autenticación AAA:
Indicar el servicio (PPP, dot1x, etc.) o autenticación login
Usar una lista de métodos de autenticación o especificar un nombre de lista de métodos.
Asegurarse que la lista de métodos definida sobrescriba la existente después de
aplicarse sobre una interfaz. De no ser aplicada sobre la interfaz, la lista de métodos por
default entrará en función
Una lista puede ser cualquier cadena de caracteres alfanumérica que desees. Puedes
configurar múltiples cadenas en un router, sin embargo, cada cadena tiene que tener
un único nombre
Las listas de métodos son listas secuenciales que describen los métodos de autenticación
que deberían preguntarse cuando un usuario desea autenticarse. Esto permite al
administrador de la red designar uno o más protocolos de seguridad a usarse en la
autenticación, habilitando un sistema de respaldo por si el método inicial tiene algún
error, no está disponible o no es alcanzable
Paso 2 Especificar el método de autenticación (local, grupo TACACS+, grupo RADIUS o línea), y cómo
el router manejará las solicitudes cuando un método no está disponible. Por ejemplo, si un
servidor AAA está fuera Se pueden especificar hasta cuatro métodos.
Paso 3 Aplicar una lista de métodos de autenticación para cada uno de los siguientes:
a. Líneas. TTY, vty, consola, auxiliar, y líneas asíncronas, o el puerto de consola para
login o líneas asíncronas (en la mayoría de los casos) para ARAP.
b. Interfaces. Interfaces síncronas, asíncronas, y virtuales configuradas para PPP,
Protocolos de Interfaz de línea serial (SLIP), NASI, o ARAP.
El comando aaa authentication login es usado en modo de configuración global para configurar la
autenticación AAA con el objeto de iniciar sesión en un puerto de administración del router. La siguiente es
una lista de estos comandos:
aaa authentication login default enable este comando es utilizado para indicar un método de
autenticación por default de inicio de sesión usando enable password
19
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
aaa authentication login console-in local especifica la lista de métodos de autenticación de inicio de
sesión llamada console-in usando el nombre de usuario y password de la base de datos local del router
aaa authentication login tty-in este comando es usado para especificar una lista de autenticación de
inicio de sesión llamada tty-in usando la contraseña de línea configurada en el router
20
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
A continuación se describen los elementos del comando:
21
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Configurar la autenticación AAA en interfaces seriales corriendo PPP
Se puede especificar uno o más métodos de autenticación para ser empleados en interfaces seriales utilizando PPP.
Para hacer esto, se debe de ingresar el comando aaa authentication ppp en modo de configuración global. A
continuación algunas opciones:
aaa authentication ppp default local: Este comando es usado para especificar una lista de métodos de
autenticación PPP por default usando la base de datos nombre de usuario y contraseña local en el router
aaa authentication ppp dial-in local none: Este comando se usa para especificar una lista de métodos de
autenticación PPP llamada dial-in. Debe de usarse al iniciar sesión, usando la base de datos local de nombre
de usuario y contraseña en el router. Si el nombre de usuario local no es definido, la autenticación falla
Para habilitar la autenticación AAA con el fin de determinar si un usuario puede ingresar a un nivel
privilegiado de comandos, ingresar aaa authentication enable default en modo de configuración global.
La sintaxis de este comando es la siguiente:
aaa authentication enable default method1 [method2…]
Los comandos de autenticación pueden ser aplicados en líneas e interfaces de los routers. Como una mejor práctica,
siempre se debe de definir una lista por default para proveer los medios de autenticación de “último recurso” en
todas las líneas o interfaces protegidas por AAA. El siguiente ejemplo muestra la aplicación de los comandos de
autenticación para las líneas e interfaces de un router.
Ahora se presenta el significado de estos comandos:
line console 0 es usado para al modo de línea de consola
login authentication console-in especifica una lista de autenticación llamada console-in para la
autenticación de inicio de sesión sobre el puerto de consola 0
int s3/0 se utiliza para ingresar al modo de configuración del puerto 0 de la interfaz serial del slot
número 3
ppp authentication chap dial-in especifica una liste de métodos de autenticación llamada dial- in para
utilizarse junto con la autenticación PPP CHAP sobre la interfaz serial 3/0
Autorización AAA
Una vez que los usuarios han sido autenticados exitosamente a través de una base de datos local o de un servidor,
se les autoriza el acceso a recursos específicos de la red. El nivel de autorización determina que comandos o
modificaciones puede ejecutar el usuario.
Por lo general la mayoría de infraestructuras de red que utilizan este esquema lo hacen a través de un servidor
utilizando un grupo de atributos creado que describe el acceso del usuario a la red. Estos atributos son comparados
22
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
con la información contenida dentro de la base de datos AAA y se determinan las restricciones para ese usuario,
que son enviadas al router local donde el usuario intenta ingresar. La autorización se otorga inmediatamente
después de que el usuario se autentica, por lo general es transparente ya que no se requiere participación de él.
Para configurar parámetros que restringirán el acceso al modo de configuración global hacia los routers o
usuarios que deseen acceder a la red, se requiere ingresar el comando aaa authorization desde el modo de
configuración global del equipo. La sintaxis de este comando se describe a continuación:
aaa authorization {network | exec | commands level | reverse-access | configuration} {default |
list-name} method 1 [method2…]
23
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
24
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Auditoría AAA
Además de la autenticación y la autorización, AAA provee servicio de auditoría para diferentes fines, el principal es
la seguridad. El registro de auditoría recolecta y reporta datos de uso para fines de auditoria de redes inclusive
emisión de facturas. Los datos recolectados pueden incluir el inicio y fin de conexiones, comandos ejecutados,
números de paquetes y número de bytes. El registro de auditoria proporciona un valor agregado a la autenticación.
Los servidores AAA mantienen un registro detallado de absolutamente todo lo que hace el usuario una vez
autenticado en el dispositivo. Esto incluye todos los comandos de configuración EXEC emitidos por el usuario. El
registro contiene varios campos de datos, incluyendo en nombre de usuario, la fecha y hora y el comando ingresado
por el usuario. Esta información es útil, al solucionar problemas en la red. También proporciona protección contra
ataques.
Para habilitar la auditoria AAA de una petición de servicio cuando se trabaja con servidores RADIUS o TACACS+, se
debe ingresar el comando aaa accounting desde el modo de configuración global. La sintaxis de este comando se
describe a continuación:
aaa accounting {auth-proxy | system | network | exec | connection | commands level} {default |
list-name} [vrf vrf-name] {start-stop | stop-only | none} [broadcast] group group-name
26
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
El primer ejemplo define un comando para una lista de métodos de auditoría predeterminada. Los servicios de
auditoria en este caso son proporcionados por un servidor de seguridad TACACS+ y se ha establecido para
comandos del nivel privilegiado 15. La restricción stop-only se ha configurado en este ejemplo.
El segundo ejemplo define una lista de métodos de auditoria predeterminada a través de una autenticación proxy, en
la cual los servicios de auditoria son otorgados por el servidor de seguridad TACACS+ para los eventos de
autenticación vía proxy con una restricción start-stop. El comando auth- proxy es utilizado para autenticar usuarios
de entrada o de salida, o ambos.
El primer comando usado para resolver problemas AAA en routers Cisco es debug. Tres comandos
debug separados puedes ser utilizados para este fin:
debug aaa authentication: Se utiliza para desplegar en pantalla mensajes debugging para el proceso de
autenticación AAA
debug aaa authorization: Utilizar este comando para desplegar mensajes debugging para el proceso
de autorización AAA
debug aaa accounting: Utilizar este comando para desplegar mensajes debugging para el proceso de
auditoría AAA
Cada uno de los comandos anteriores debe ser ejecutado en el modo privilegiado o modo EXEC. Para deshabilitar
debugging para cualquiera de las tres funciones anteriores, usar la forma no del comando, por ejemplo, no debug
aaa authentication.
Un router Cisco puede utilizar diferentes tipos de autenticación, ofreciendo cada uno diferentes niveles de seguridad.
La forma básica de autenticación son las contraseñas, sin embargo, este método posee gran vulnerabilidad a ataques
o algoritmos de fuerza bruta. Además, al utilizar este método, no se cuenta con registros de auditoria de ningún tipo.
Cualquier individuo que posea la contraseña puede ingresar al equipo de manera privilegiada y alterar la
configuración.
Para mitigar esto, el esquema de seguridad AAA provee una mejor solución al hacer que todos los dispositivos
accedan a la misma base de datos de usuarios y contraseñas a través de un servidor centralizado.
Cómo has estudiado en este tema, administrar una red no es sencillo, se requiere tener el control de distintos
aspectos, uno de los más importantes es la seguridad. El esquema AAA nos permite tener la flexibilidad de
utilizar esquemas de seguridad de acuerdo a las necesidades del administrador, ya sea utilizando una base de
datos local o recurriendo a un servidor de seguridad centralizado. Dada la gran cantidad de tipos de usuario que
27
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
deben de acceder a la red y a los dispositivos, se requiere habilitar distintos perfiles basados en el rol que cada
usuario tiene en relación a la red. El área de la seguridad de redes es muy amplia, hay distintos dispositivos que
se emplean para asegurar la red, sin embargo, en el presente tema se tocan dos tipos de servidores muy
importantes para la administración del esquema AAA, los cuales son TACACS+ y RADIUS, que a continuación
se estudiarán.
Cómo has estudiado en la sección anterior el esquema AAA brinda una autenticación basada en perfiles la cual
tiene relación al rol de cada usuario respecto a lo que tienen autorizado ejecutar en la red. También estudiaste que
existe una autenticación local y una basada en servidor, las dos tienen ventajas, la decisión de utilizar una u otra
depende del administrador y del diseño de la red. Es importante tener como último recurso una autenticación y
autorización local, en caso de que falle el servidor remoto, por lo cual se considera importante que tengas un
panorama general de los dos tipos de servidores que se mencionó en la sección anterior.
28
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Las ventajas de TACACS+ para la administración de la autenticación
Como administrador de la red, necesitas mantener completo control sobre los dispositivos de la red como routers,
switches and firewalls. También es necesario comprender el valor de Single Sing-On (SSO) como una métrica
para facilitar la administración de la red e incrementar la seguridad de la misma. Los recientes acuerdos legales
como PCI, HIPAA, SOX, y algunas otras que se exigen a las grandes organizaciones el cumplimiento de ciertos
estándares que definen las mejores prácticas actuales (Best Current Practices, BCP) en la seguridad de redes para
satisfacer los requerimientos
Regulatorios. Incluso si una empresa no requiere cumplir con estas regulaciones, sus clientes o socios de negocio
podrían si requerirlo, al igual que ellos podrían exigirlo de sus proveedores y partners.
RADIUS and TACACS+ son los dos principales protocolos utilizados para la Autenticación, Autorización y
Auditoría de los dispositivos de red de una organización. RADIUS fue diseñado para la autenticación y conexión
remota de usuarios a través de dial-up. TACACS+ es usando principalmente para el acceso de administradores a los
dispositivos de su infraestructura. Esto es evidente en el nombre de los protocolos. RADIUS significa Remote
Access Dial-In User Service, and TACACS+ es la contracción de Terminal Access Controller Access Control
Service Plus.
La diferencia funcional básica entre RADUIS y TACACS+ es que TACACS+ separa la función de Autorización, y
RADIUS combina la Autenticación con la Autorización. Aunque podría parecer un contraste simple, a nivel
operativo implica una diferencia significativa en la implementación del AAA en un entorno de redes corporativas.
RADUIS puede incluir información privilegiada en la respuesta a la solicitud de autenticación, sin embargo, este
protocolo sólo puede asignar el nivel privilegiado de acceso, lo cual puede generar confusiones e inconsistencia en
los resultados para el administrador, al tratar con dispositivos de diferentes marcas y proveedores ya que cada uno
puede inferir un nivel “privilegiado” distinto, debido a que no existe un estándar entre proveedores para la
asignación de privilegios al utilizar RADIUS.
El protocolo TACACS+ fue diseñado para solucionar las limitaciones de RADIUS. TACACS+ es un protocolo
estandarizado desarrollado por el Departamento de Defensa de los Estados Unidos, y posteriormente mejorado
por Cisco Systems©. TACACS+ separa el proceso de autenticación, proporcionando flexibilidad y controles de
acceso granular sobre quién puede ejecutar determinados comandos en ciertos dispositivos de la red. Cada
comando ingresado bajo un proceso TACACS+ corriendo, es enviado al servidor central se seguridad
TACACS+ para la autorización de la ejecución del mismo, el cual busca el comando dentro de una lista
29
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
predefinida para cada usuario o grupo de usuarios, si lo encuentra permite su ejecución, de lo contrario la
deniega.
TACACS+ define políticas de autorización basadas en el usuario o administrador, tipo y ubicación del dispositivo,
inclusive, fecha y horario. El servicio TACACS+ puede ejecutarse sobre Windows Domain Controller o una PC,
utilizando los grupos o usuarios configurados localmente para controlar el acceso a los distintos dispositivos de la
red.
RADUIS fue diseñado para autenticar el ingreso a usuarios a la red. TACACS+ fue diseñado para permitir el
ingreso a administradores a la red bajo un esquema AAA. Sin embargo, RADIUS todavía puede ser utilizado para
administrar redes pequeñas, bajo la salvedad de no requerir autorización o si esta es una red homogénea, es decir,
que los equipos sean del mismo fabricante. En cualquier escenario donde exista un entorno de red heterogéneo y/o
la necesidad de políticas para el ingreso a los dispositivos bajo diferentes roles del personal, TACACS+ es la mejor
opción.
RADIUS vs TACACS+
Requiere que cada dispositivo de red tenga una Administración central para la configuración de la
configuración de autorización individual. autorización hacia todos los equipos de la red.
30
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
No guarda registros de los comandos ingresados. Guarda todos los registros de todos los comandos
ejecutados.
Soporte mínimo por parte del fabricante para el Es soportado por la mayoría de los fabricantes de
proceso de autorización. dispositivos de red.
UDP – Sin conexión
TCP – Orientada a la conexión. TCP puerto 49.
UDP puertos 1645/1646, 1812/1813
Diseñado para usuarios AAA Diseñado para administradores AAA
Consideraciones de implementación
Por lo general no se implementa el protocolo RADIUS y el TACACS+ en el mismo servidor, puede percibirse como
una ventaja en instalarlos en la misma máquina debido a que los dos implementan el esquema AAA, sin embargo,
fueron desarrollados para diferentes propósitos, por lo que utilizan los recursos de diferente manera. Combinar estos
servicios puede traer costos altos en licencias innecesariamente además de comprometer la seguridad. En una red
empresarial, se puede crear un grupo asignado a los usuarios que se conectan remotamente y requieren un nivel de
privilegios menor, y otro grupo para los usuarios administradores que requieren un nivel privilegiado alto.
Los servidores TACACS+ deben de implementarse en una red interna segura y de plena confianza. No deberían
tener ningún contacto directo con redes no seguras o semi-confiables. RADIUS comúnmente se implementa en redes
semi-confiables.
31
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Si se implementa un servidor TACACS+ en una red semi-segura con una conexión hacia los Windows Domain
Controllers©, se tienen que abrir varios puertos para LDAP, SMB, Kerberos, etc. También se tendrán que abrir
puertos para DNS y NTP. Si se mantienen el servicio de TACACS+ dentro de una red segura, sólo se requerirá
abrir un puerto, TCP 49. Esto es facilita la administración e incrementa considerablemente la seguridad.
El servicio de TACACS+ debe implementarse lo más cerca posible de la base de datos de usuario, preferentemente
en el mismo servidor. Si se intenta utilizar Windows Active Directory© como la base de datos de usuario, el mejor
lugar para instalar el servidor TACACS+ es directamente en los Windows Domain Controllers©. TACACS+
requiere de una constante sincronización con el Dominio y cualquier problema de conexión de la red. Los problemas
con DNS en relación a las diferencias de tiempo pueden causar un fallo crítico del servicio. Al instalar TACACS+
en el mismo servidor que la base de datos de usuario puede incrementar significativamente el performance del
servicio.
32
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
33
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Las grandes redes corporativas transfieren grandes cantidades de tráfico entre sus sitios a nivel nacional e incluso
alrededor del mundo, gran parte de este tráfico contiene datos personales de sus clientes información de la empresa
e inclusive transacciones financieras, por lo cual es necesario vigilar con diversas herramientas y mecanismos que
dicha información no se publique, intercepte o altere por entidades criminales durante su transmisión los distintos
medios.
A continuación estudiarás diversas herramientas y procesos que te permitirán identificar alguna posible infiltración a
la red o amenaza, además de la eliminación de vulnerabilidades que permiten la infiltración y ataque a la misma.
El tráfico en Internet crece constantemente en cantidad, diversidad y complejidad, lo que implica un reto constante
para la infraestructura global, los hosts en la Internet crecen en número y sofisticación demandando cada vez
mayores recursos de telecomunicaciones. Los ataques a la red varían en diversidad y sofisticación. Por lo que
identificar patrones de comportamiento normal y anormal de tráfico, no es una tarea sencilla, utilizar estos patrones
para monitorear tráfico imperceptible es, por lo tanto, de primordial importancia.
Nuevas aplicaciones son introducidas constantemente, algunas sin especificaciones claras de su comportamiento
sobre la red o incluso tratando de ocultar su presencia, generando nuevos esquemas de comportamiento y tráfico de
contenido. Esta avalancha de transmisiones sobre la Internet permite la infiltración de gran cantidad de tráfico
malicioso en las comunicaciones que se realizan diariamente alrededor del mundo, lo que permite una amplia gama
de ataques subsecuentes como denegaciones de servicio y la generación de envíos masivos de correos electrónicos,
en el mejor de los casos. En casos extremos, mas no aislados, provocan la pérdida de información, generando
pérdidas millonarias a empresas de todos los tamaños y en algunos casos la quiebra de las mismas.
Por tanto, es de suma importancia la evolución a la par del monitoreo del tráfico sobre la red,
básicamente por dos razones:
La primera, el monitoreo es necesario para identificar la actividad cotidiana en una red, por ejemplo, con
el fin de realizar el análisis del comportamiento o consumo de ancho de banda de una aplicación
determinada, identificar los puertos TCP o UDP utilizados en la transmisión de datos, la cantidad de
usuarios que acceden a un servidor en un data center, solicitud o envío de información no permitida,
puertos abiertos, el uso de aplicaciones no deseadas o restringidas por políticas de la empresa o negocio,
volumen excesivo de tráfico desde o hacia una IP determinada inclusive para identificar el
funcionamiento correcto de determinados servicios
34
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
La segunda, identificar tráfico intrusivo, gusanos, virus, procesos de ataque, comportamiento de escaneo
agresivo y actividad maliciosa en general
Inicialmente te adentrarás en algunos aspectos de la seguridad de redes para dar paso posteriormente a los
analizadores de tráfico enfocados a la primera razón del monitoreo.
Seguridad en la red
Actualmente existen técnicas prestablecidas para la seguridad de las redes, sin embargo, con la evolución
constante de la tecnología nuevos paradigmas para el monitoreo de redes tienen que ser generados para ayudar a
los administradores a mantener sus redes libres de tráfico malicioso. Un requerimiento esencial para este
escenario es la automatización, por una parte se requiere gran inversión de tiempo para analizar la información
que arrojan las herramientas de monitoreo por parte de administrador, lo que sería imposible analizar
completamente por él toda la información que atraviesa la red permanentemente y detectar amenazas. Por lo tanto
se requiere de un sistema automatizado que analice la información que viaja en la red en tiempo real y de manera
constate, por lo cual se crearon dispositivos capaces de hacer esta tarea llamados firewalls, IDS (Intrusion
Detection System) e IPS (Intrusion Prevention System) que permiten analizar la gran cantidad de información que
cruza la red en tiempo real y eliminar tráfico malicioso.
Una Intranet es una red interna o privada basada en TCP/IP que permite el uso de navegadores web
para el acceso a su información, sólo pueden ingresar dispositivos configurados dentro de la LAN,
además puede utilizar recursos de la www para interconectar segmentos LAN ubicados en diferentes
zonas geográficas. Su direccionamiento es privado y por lo general tiene acceso a Internet.
La información se ha convertido en uno de los activos más importantes en nuestra sociedad. Demasiada
información se genera cada día en la gran nube de redes y la cual debe ser accesible para cualquier persona y en
otros casos sólo a personas autorizadas, para esto se requiere una figura de centinela que garantice la protección al
acceso a información confidencial.
Los objetivos de la seguridad de redes están relacionados con tres puntos básicos:
Disponibilidad. Garantiza que la información siempre esté disponible cuando se requiere
Confidencialidad. Restricción del acceso a la información para personas no autorizadas
Integridad. Asegurar que la información no sufra alteraciones durante su transmisión
35
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Los ataques a las vías de telecomunicaciones intentan comprometer algunos de los tres puntos anteriores.
El límite entre los gusanos, virus y demás actividades maliciosas es cada vez más borroso, los ataques cada vez son
más sofisticados e involucran diferentes acciones que dificultan su identificación y mitigación. A manera de expresar
de manera global los diferentes ataques hacia los sistemas se creó el concepto de Malware que se refiere a todo tipo
de software malicioso.
Cada día se crean y se insertan a la red gran cantidad de malware, algunos han llegado a ser famosos por los efectos
devastadores en algunas corporaciones. Por mencionar algunos de estos: Sadmind, CodeRed, CodeRed II, Nimda,
Slammer, Blaster y Sober; que utilizando técnicas como DoS (Denials of Service) afectaron las operaciones de
varios sistemas alrededor del mundo.
Los diferentes tipos de malware pusieron en la mesa de los expertos en seguridad que no sólo la seguridad
perimetral es necesaria para evitar ataques, ya que una vez que los gusanos están dentro de la red, la seguridad
desde y hacia el exterior pierde sentido. Ten en cuenta que los diferentes dispositivos con los que cuentan los
usuarios como USB, disco duros portátiles, teléfonos celulares y demás equipos que pueden tener interacción con
las computadoras comprometen la seguridad desde adentro, por lo cual es necesario también el análisis de tráfico
interno que viaja por la Intranet.
Aun protegiendo el perímetro de la red y analizando el tráfico interno, existe otra forma de ataque que por su
repetición y utilización lo han conceptualizado como hacking social que implica ya no corromper sistemas sino a
las personas que los usan, lo que ha llevado a definir nuevas estrategias de combate y prevención para esta nueva
forma de ataque.
La constante batalla que se ha llevado por la seguridad de las redes durante décadas ha generado una “carrera
armamentista”. Con los intrusos adoptando nuevas estrategias de ataque, los diseñadores de la seguridad crean
estrategias de mitigación, lo que se ha convertido en una carrera sin fin.
Considera que también esta carrera es un negocio de las grandes corporaciones al diseñar costosos dispositivos
de seguridad de redes para contrarrestar estos ataques.
Inicialmente se crearon los IPS al desarrollar mecanismos de prevención de infiltraciones que en lo posterior fueron
mejorados por los algoritmos implementados por los IDS al permitir la distinción del tráfico malicioso del que no lo es,
aun viajando dentro de la red interna de la empresa. Sin embargo, no importa lo sofisticados que sean estos dispositivos
y lo grande o compleja que sea la Internet, habrá personas que siempre intentarán violar la seguridad, la cuestión es qué
tan fácil será para ellos poder hacerlo. Desde un punto de vista técnico, la carrera armamentista es un factor constante
que impulsa el desarrollo de ataques más sofisticados y mejores técnicas de defensa.
Esta batalla está aquí para quedarse, a pesar de las mejoras tecnológicas que depara el futuro. Esta evolución no se rige
exclusivamente por la tecnología, los requisitos legales tratan de proteger los derechos de los usuarios a la privacidad de
36
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
los datos. Lo que obliga a toda institución o corporación de cualquier país del mundo a proteger su información y la de
sus clientes, con dispositivos analizadores de tráfico automatizados y sniffers, aunado a un constante monitoreo. Algo
que los atacantes siempre intentarán evadir.
La evolución natural se refleja a través de la creación de nuevos tipos de tráfico malicioso. Ataques
automatizados vuelven “locas” a miles de computadoras a la vez, lo que permite ataques subsecuentes. Por
consiguiente es necesario distinguir el tráfico malicioso del benigno. Con esta premisa en mente se pueden
tomar varios pasos para lograr este objetivo
Un sniffer, mejor conocido como analizador de tráfico es un programa que puede observar el tráfico que pasa a
través de una red, decodificarlo y ofrecer información útil al administrador de la red para su interpretación y toma de
decisiones. En algunas ocasiones son también utilizados maliciosamente para conocer las contraseñas que viajan por
la red como texto plano, sin encriptación. Existen diversos analizadores de tráfico en el mercado uno muy popular es
conocido con el nombre de Wireshark (anteriormente Ethereal).
La herramienta básica para observar los mensajes intercambiados entre distintos protocolos es llamada sniffer o
analizador de paquetes. Un analizador de paquetes captura los mensajes que son enviados/recibidos desde/hacia
tu computadora, sino que también almacena y/o muestra los contenidos de varios campos de protocolo de los
mensajes capturados. Un analizador de paquetes es un software pasivo, es decir, está atento para husmear en los
mensajes que son enviados y recibidos por las aplicaciones y protocolos que corren en tu computadora, mas nunca
envía paquetes el mismo. Además, los paquetes recibidos nunca son dirigidos hacia el analizador de paquetes. En su
lugar, el analizador de paquetes recibe una copia de los paquetes que son enviados/recibidos desde/hacia las
aplicaciones y protocolos que se ejecutan en la computadora.
La siguiente figura muestra la estructura de un analizador de paquetes. En la derecha se encuentra los protocolos (en
este caso los protocolos de la Internet) y aplicaciones (como un navegador web o un cliente ftp) que normalmente se
ejecutan en una computadora. El analizador de paquetes, se muestra en el rectángulo de líneas punteadas como un
programa más ejecutándose en tu computadora, el cual se compone de dos partes.
37
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
La biblioteca de captura de paquetes recibe una copia de todas las tramas de la capa de enlace de datos
que son enviadas/recibidas por la computadora. Los mensajes intercambiados por los protocolos de las
capas más altas como HTTP, FTP, TCP, UDP, DNS o IP todos son encapsulados eventualmente en una
trama de capa de enlace de datos que es transmita sobre un medio físico como un cable Ethernet. En la
figura de abajo se asume que el medio físico es cableado Ethernet, y todos los protocolos de capas
superiores se encuentran encapsulados en una trama Ethernet. La captura de todas las tramas de la capa
dos asegura que todos los mensajes enviados/recibidos desde/hacia todos los protocolos y aplicaciones
ejecutándose en la computadora sean enviados al sniffer.
El analizador de paquetes muestra en pantalla el contenido de todos los campos dentro de un mensaje
de protocolo. Con el objeto de hacer esto, el analizador de paquetes debe “entender” la estructura de
todos los mensajes intercambiados por los protocolos. Por ejemplo, supon que estas interesados en
observar los diferentes campos de los mensajes que está intercambiando el protocolo HTTP. El
analizador de paquetes comprende el formato de las tramas Ethernet, y puede identificar el datagrama IP
dentro de una trama Ethernet. También puede comprender el formato del datagrama IP, además puede
extraer el segmento TCP dentro del datagrama IP. Finalmente, comprende la estructura del segmento
TCP y puede extraer el mensaje HTTP contenido en el segmento TCP.
Wireshark es uno de los sniffers más populares, este software despliega el contenido de los mensajes que son
enviados/recibidos desde/por los protocolos de las diferentes capas de la pila de protocolos. Técnicamente
hablando, Wireshark es un analizador de paquetes que usa la biblioteca de captura de paquetes en tu
computadora. Wireshark es software libre que puede correr en plataformas Windows,
Linux/Unix y Mac OS. Los componentes de la interfaz gráfica de usuario de Wireshark se muestran a
continuación:
38
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
La ventana de la lista de paquetes el cual despliega en un solo renglón el resumen con los datos de
cada paquete capturado, incluido el número de paquete (asignado por Wireshark; no es el número de
paquete contenido en la cabeza de un protocolo), el tiempo en el cual el paquete fue capturado, la IP de
origen y destino de cada paquete, el tipo de protocolo y la información específica de protocolo que
contiene el paquete. La lista de paquetes se puede acomodar de acuerdo a cualquiera de estas categorías
dando un click en el nombre de la columna. El campo de tipo de protocolo enumera el protocolo de
nivel más alto que envía o se recibe este paquete, es decir, el protocolo que es la fuente para este
paquete.
La ventana de detalles de la cabecera del paquete provee los detalles acerca del paquete seleccionado
(resaltado) en la ventana del listado de paquetes. (Para seleccionar un paquete en la ventana de la lista de
paquetes, poner el cursor sobre el paquete y dar click sobre él). Estos detalles incluyen información
acerca de la trama Ethernet (asumiendo que el paquete es enviado/recibido sobre una interfaz Ethernet) y
el datagrama IP que contiene este paquete. La información de los detalles puede ser expandida o reducida
dando click en las cajas de “más” o de “menos” que se encuentran del lado izquierdo de la línea de la
trama Ethernet o del datagrama IP. Si el paquete es enviado sobre TCP o UDP, los detalles TCP o UDP
también serán mostrados, con las opciones de expansión y reducción. Finalmente, también se
39
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
proporcionan detalles sobre el protocolo de más alto nivel que envió o recibió este paquete.
La ventana de contenido de paquete muestra todo el contenido de la trama capturada, en formato ASCII
y hexadecimal. Hacia la parte de arriba de la interfaz gráfica de usuario, se encuentra el campo de filtro
de los paquetes mostrados, en el cual se puede ingresar el nombre del protocolo o alguna otro dato con el
objeto de filtrar la información que se muestra en todas las ventanas.
40
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Por lo tanto se finaliza resumiendo. Wireshark es un software analizador de protocolos, o aplicación “packet
sniffer”, que se utiliza para la resolución de problemas en la red; el análisis, el desarrollo de software y
protocolos, y en la educación.
Un packet sniffer es un software capaz de interceptar y registrar el tráfico de datos que pasa a través de una red. A
medida que los flujos de información circulan de un lugar a otro sobre la red, el sniffer “captura” cada PDU
(Unidad de datos del protocolo, Protocol Data Unit) y puede decodificar y analizar su contenido según la RFC
apropiada o con base en cualquier otra especificación.
Wireshark está programado para reconocer la estructura de varios protocolos de red. Esto permite mostrar la
encapsulación, los campos individuales de una PDU e interpretar su significado.
41
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
2.2.2 Puerto SPAN
La característica de un analizador de puerto de conmutación (Switched Port Analyzer, SPAN), también llamada
duplicación de puertos (port mirroring) o supervisión de puertos (port monitoring), recolecta el tráfico de red
para su análisis por un analizador de red.
SPAN es una característica que fue introducida en los switches Cisco debido a una diferencia fundamental entre
los switches y los hubs. Cuando un hub recibe un paquete por un puerto, el hub envía una copia del paquete por
todos los puertos excepto por el puerto donde recibió el paquete. Después de que un swtich se enciende, comienza
a construir la tabla de envío de capa dos (Content Addressable Memory, CAM table) basada en las direcciones
MAC de origen de los diferentes paquetes. Después de construir esta tabla, el switch envía el tráfico destinada a
cada dirección MAC por el puerto correspondiente.
Por ejemplo, si se desea capturar el tráfico Ethernet enviado desde el host A hacia el host B, y ambos están
conectados a un hub, se puede conectar un sniffer también a éste, y debido a su función básica de enviar una copia
por todos los demás puertos, se podrán tener una de ellas por cada paquete que se envíe del host A al B y viceversa.
En un switch, después de que la dirección MAC del host B es aprendida a través de un puerto, se generará
posteriormente tráfico unicast cuando el host A se comunique con el host B, ya que sólo se enviará por el puerto
conectado a B y no se enviará copia de este paquete por todos los puertos restantes, este es el comportamiento
42
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
básico por el cual se crearon los switches.
La inundación por unidifusión (unicast flooding) ocurre cuando el switch no tiene la dirección MAC de destino
en la tabla CAM. El switch no sabe por dónde enviar el tráfico, por lo tanto, el switch envía copia del paquete
por todos los puertos que se encuentren en la misma VLAN. Por lo cual una característica extra es necesaria
para que se envíe una copia de los paquetes por la interfaz que se encuentra conectado el sniffer.
43
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
En el diagrama anterior, el sniffer es conectado que es configurado para recibir una copia de todos los paquetes que
envía el host A y viceversa. Este puerto es llamado puerto SPAN.
Terminología SPAN
44
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
SPAN Local: La característica de SPAN cuando los puertos fuente están localizados en el mismo
switch en donde se encuentra el puerto destino
SPAN Remoto (RSPAN): Los puertos fuente se encuentran en un switch distinto al puerto SPAN
destino. RSPAN es una característica avanzada que requiere una VLAN especial para llevar el tráfico
que es monitoreado por SPAN entre switches
Puerto base SPAN (PSPAN): El usuario especifica uno o varios puertos fuente en un switch y un
puerto destino
SPAN basado en VLAN (VSPAN): En un switch particular, el usuario puede monitorear todos los
puertos que pertenecen a una VLAN en particular
SPAN Mejorado (Enhanced SPAN version, ESPAN): Este término ha sido utilizado muchas veces
durante la evolución de SPAN con el objeto de nombrar las mejoras adicionales. Sin embargo el
término puede no ser claro, por lo cual en muchos documentos y libros ha sido omitido
Fuente administrativa: La lista de los puertos fuente o VLANs que se han configurado para ser
monitoreadas
Fuente operacional: La lista de puertos fuente que son correctamente monitoreados. Esta lista puede ser
diferente de la fuente administrativa. Por ejemplo, un puerto que este apagado puede aparecer como
fuente administrativa, mas no como fuente operacional
Ejemplo de configuración
45
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
El siguiente ejemplo muestra la configuración de dos sesiones SPAN concurrentes:
Interfaz Fastethernet0/1 (Fa0/1) monitorea el tráfico de envío y recepción de los puertos Fa0/2 y Fa/05.
El puerto Fa0/1 también monitorea el tráfico la interfaz de administración VLAN 1
Los puertos Fa/03, Fa0/4 y Fa/06 pertenecen a la VLAN 2. Los puertos restantes pertenecen a la VLAN
1 que es la de default
46
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Finalmente con el comando show port monitor en modo enable observa la configuración aplicada.
47
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Existen gran variedad de ataques que pueden utilizarse para infiltrarse en una red de computadoras. Para ayudar a
mitigar este tipo de problemas, Cisco Systems © recomienda el esquema de defensa en profundidad como parte
de la colección de sus mejores prácticas de seguridad.
Vulnerabilidades
Una vulnerabilidad en un sistema de información es una debilidad que un atacante podría utilizar para ganar acceso
no autorizado hacia el sistema y los datos. En algunos casos, después que la vulnerabilidad es descubierta, los
atacantes escriben un código de programación para intentar atacar a través de dicha vulnerabilidad. Este tipo de
programas se conocen como “explotadores”.
Sin embargo, incluso si un sistema tiene una vulnerabilidad, la probabilidad de que varios atacantes puedan
causar diversos daños es alta.
Cuando se diseñen esquema contra vulnerabilidades en una red, se deben considerar varios tipos de
ellas. Por ejemplo, considerar la siguiente lista de vulnerabilidades es muy recomendable:
Vulnerabilidad física, como un incendio, un terremoto, o tornado
Debilidades en el diseño de la red
Debilidades de los protocolos implementados sobre la red
Debilidades de código de los servidores y sistemas
Configuración de los dispositivos que no cumpla con los estándares o mejores prácticas
Software malicioso, por ejemplo virus
Vulnerabilidades humanas
Por ejemplo, considerar una vulnerabilidad humana podría ser la siguiente. Un ataque hacia la red o los sistemas
empresariales podría ocurrir desde adentro, es decir, por algún trabajador del departamento de TI o de alguna
48
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
otra área de la empresa, los cuales por lo general utilizan un nombre de usuario y una contraseña, y una vez
ingresado a la red ejecutar su ataque que puede ser motivado por distintas razones.
Ataques potenciales
Otro aspecto importante a considerar para la defensa de los datos que viaja sobre la red es definir una lista de los
diferentes perfiles de posibles atacantes como: personal de la competencia, empleados de la misma empresa,
hackers y hasta terroristas.
Como lo has visto en otras asignaturas el término “hacker” es usualmente utilizado para describir a cualquier
persona que intente o logre ingresar a un sistema o red sin autorización, con el objeto de realizar algún
movimiento o ejecución maliciosa.
Como observas en el cuadro anterior, hay hackers en diversos “tamaños y sabores” lo que invita a la pregunta
¿qué motiva a una persona a ser hacker?. Algunos hackers éticos trabajan para entidades gubernamentales en la
protección de su información estratégica, y los mal intencionados su motivación, por lo general, es obtener
dinero. Otras personas se convierten en hacker por afición o hobby, ya que les apasiona el mundo de la
seguridad. No importan que es lo que motive a una persona a convertirse en hacker, lo que importa es
protegerse de sus ataques.
49
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Al instalar por primera vez los routers Cisco, éstos vienen de fábrica con múltiples servicios e interfaces
activadas que no son necesarias que permanezcan activas, ya que representan vulnerabilidades de seguridad
potenciales. El proceso de desactivar los servicios innecesarios es llamado “hardening” de un router, en español
se puede traducir como “aseguramiento de un router, o protección de un router”. En esta sección estudiarás las
prácticas recomendadas por Cisco para proteger un router.
Se identificarán inicialmente los servicios en los routers que son susceptibles a ataques y se explicará cómo puede
ser comprometida la seguridad a través de varios servicios de administración que poseen.
Uno de los pasos más obvios para asegurar un router es apagar administrativamente cualquier interfaz que no se
utilice usando el comando shutdown dentro de su modo de configuración. Otro aspecto importante en el
aseguramiento implica desactivar los servicios innecesarios.
La siguiente tabla muestra un resumen de varios servicios y características disponibles en muchos routers
Cisco.
50
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Soporte para que el router cargue su configuración
Autocarga de la configuración
directamente desde un servidor de red
51
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Permite que el router funcione como un puente de capa 2
ARP Proxy respondiendo a solicitudes de ARP en nombre de otro
dispositivo de red (por ejemplo, un servidor de red)
Permite al router propagar un mensaje en multidifusión
Multidifusión IP direccionada
originado en un subred y destino hacia otra subred
Parecería demasiado engorroso tratar de proteger al router deshabilitando uno por uno de los servicios
anteriores. Para esto existe un comando que ejecuta de manera automática el aseguramiento del equipo y que
además es recomendado como una best practice.
El comando auto secure le indica al IOS deshabilitar los servicios vulnerables de manera automática, el cual
despliega una breve explicación y un corto menú interactivo en consola.
A continuación se muestra el menú interactivo que muestra el equipo al ejecutar el comando anterior, las letras en
azul es lo ingresado por el usuario:
Router#
Router#auto secure
53
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
54
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Enabling CEF (This might impact the memory requirements for your platform)
Enabling unicast rpf on all interfaces connected
to internet
Configura CBAC Firewall feature? [yes/no]: no
Tcp intercept feature is used prevent tcp syn attack
on the servers in the network. Create autosec_tcp_intercept_list
to form the list of servers to which the tcp traffic is to
be observed
Enable tcp intercept feature? [yes/no]: no
!
service password-encryption
no cdp run
access-list 100 permit udp any any eq bootpc
banner motd acceso restringido, equipo de la unadm, todo ingreso no autorizado sera perseguido bajo
55
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
56
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
2.3.3 Seguridad en redes inalámbricas
El objetivo de esta sección es identificar los aspectos de seguridad que se requieren implementar en una red
inalámbrica corporativa y proveer un panorama general de las características de seguridad del estándar 802.11
actualmente disponibles. El Acceso Protegido Wi-Fi (Wi-Fi Protected Access, WPA) y WPA2, como también el
antiguo Privacidad Equivalente a Cableado (Wired Equivalent Privacy, WEP) también serán estudiados.
WEP es el mecanismo de seguridad inicial especificado en el estándar original 802.11 y fue sustituido por la
actualización 802.11i. Inicialmente el estándar 802.11 tuvo algunos defectos los cuales se trataron de corregir con la
introducción de 802.11i. Estas nuevas mejoras de seguridad cumplen con los requerimientos de confidencialidad en
las comunicaciones que demandan las redes empresariales con la implementación de autenticación y encriptación.
Terminología
La siguiente ilustración muestra los roles básicos y las relaciones que involucra el proceso de autenticación
802.1X. El suplicante (Cisco Secure Service Client, CSSC) 802.1X reside en el cliente inalámbrico, el punto de
acceso y el Controlador LAN Inalámbrico (Wireless LAN Controller, WLC), a través de la arquitectura de
división de MAC, actúa como el autenticador 802.1X, y el Servidor AAA es el Servidor de Autenticación. Esta
imagen también ilustra el rol de 802.1X y el protocolo RADIUS en el proceso EAP (Extensive Authentication
Protocol) entre el cliente y el servidor de autenticación.
57
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Las tramas de notificación de actividad de una red LAN inalámbrica, contiene la información de configuración
acerca del punto de acceso, como el SSID (Service Set Identifier) que en términos coloquiales es el nombre de la
red, la tasa de bits soportada y la configuración de seguridad para la LAN inalámbrica.
El propósito primario de las tramas de notificación de actividad es permitir a los clientes de una red inalámbrica
conocer qué redes están disponibles en el área. Esto permite a los clientes inalámbricos escoger una red para tratar
de asociarse a ella.
58
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Muchos documentos de redes inalámbricas relacionados con la seguridad sugieren el envío de tramas de notificación
de actividad sin el SSID como una práctica recomendada, con el objeto de ayudar a prevenir ataques potenciales por
hackers, al denegarles la identificación de las redes que están al alcance. Todas las soluciones empresariales de redes
LAN inalámbricas ofrecen esta capacidad como una opción, sin embargo, esta opción ayuda en poco, debido a que
el SSID puede ser fácilmente descubierto durante un intento de asociación, además algunos cliente de LAN
inalámbricas dependen de la información del SSID que existe en la trama de notificación de actividad ya que no
hace confiable la asociación con una red inalámbrica si no publica su información SSID. Por estas razones, es una
buena opción difundir la información de SSID en la trama de notificación de actividad.
59
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
SSC (Secure Service Client) puede ser configurado con las redes LAN inalámbricas, el cual habilita el cliente
inalámbrico para enviar una solicitud de sondeo que contiene el SSID de la red inalámbrica a la que se desea
ingresar.
Si el cliente trata de descubrir las redes inalámbricas disponibles en la zona, éste puede enviar una solicitud de
sondeo sin el SSID. Cuando esto ocurre, todos los puntos de acceso que están configurados para responder a este
tipo de solicitud envían una respuesta. Las redes inalámbricas sin la habilitación de broadcast SSID no responderán
a esta solicitud.
Asociación
La asociación y las tramas de respuesta de asociación proveen el acuerdo final para la velocidad de datos y
parámetros de seguridad. Cuando este proceso se ha completado, las tramas de datos 802.11 pueden ser enviadas
entre el cliente y el punto de acceso. En implementaciones de redes inalámbricas corporativas, estas tramas de datos
están limitadas a tramas 802.1X entre el cliente y el punto de acceso hasta que la autenticación 802.1X o EAP es
completada exitosamente.
El proceso de asociación también tiene una trama de disociación relacionada usada para desconectar un cliente del
punto de acceso. Esta trama de disociación es envidada por unicast.
Reasociación
La reasociación ocurre cuando un cliente inalámbrico se mueve fuera del rango del punto de acceso al que se
encuentra conectado y se tiene que realizar roaming hacia otro punto de acceso. El proceso de reasociación es
similar al proceso de asociación, excepto cuando se efectúa roaming, el nuevo y el anterior punto de acceso
intercambian la información del cliente inalámbrico por conexión cableada.
Cuando el cliente inalámbrico realiza el proceso de roaming hacia un nuevo punto de acceso, el proceso de
reasociación informa a la red que el cliente se ha movido a otra localidad. El cliente inalámbrico envía una trama de
reasociación al nuevo punto de acceso, el cual contiene la información del punto de acceso anterior. El nuevo punto
de acceso se comunica con el anterior sobre un enlace alámbrico para verificar que el cliente estuvo previamente
asociado al anterior. Si efectivamente el cliente estuvo asociado al anterior, el nuevo punto de acceso efectúa el
proceso de reasociación con el cliente; en su defecto, envía una trama de disociación.
Después del envío de la respuesta de reasociación, el nuevo punto de acceso se comunica con el anterior
nuevamente, para concluir con el proceso de reasociación. Todas las tramas almacenadas en el buffer del anterior
punto de acceso se envían al nuevo en su totalidad. Después de completar el proceso de reasociación, el nuevo
punto de acceso comienza con el procesamiento de tramas procedentes del cliente.
60
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Autenticación
Primeramente, existen dos modos de autenticación 802.11: modo abierto y modo compartido. El proceso de
autenticación 802.11 en sí sólo provee la seguridad nominal y es utilizada comúnmente en redes inalámbricas
domésticas en las cuales no se requiere mayor seguridad. Los usuarios domésticos que requieren ingresar a redes
empresariales, por ejemplo, de su trabajo, a través de puntos de acceso que no están configurados con el protocolo
802.1X, deben establecer un túnel VPN utilizando SSC.
Existe otro tipo de trama llamada trama de fin de autenticación. Cuando una trama de fin de autenticación es
recibida por un cliente inalámbrico, el cliente es desconectado del punto de acceso. Esto podría causar que el
cliente inalámbrico vuelva a intentar el proceso de autenticación.
La seguridad debe ser considerada como un aspecto importante en el diseño de redes y no como una opción para
añadir posteriormente. La seguridad debe ser sujeta a un proceso similar de análisis costo/beneficio y al igual que
un estudio de compatibilidad con los demás componentes de la red.
Un tema importante a considerar en un diseño de redes inalámbricas es que la señal RF de la red comúnmente supera
el perímetro o el área del edificio corporativo, esto implica una vulnerabilidad para la red ya que un delincuente
puede estar monitoreando las redes a su alrededor justo al lado del corporativo, identificar la red corporativa y
tramar algún ataque. Sin embargo, este tipo de ataques se ve limitado debido a que un intruso con la habilidad
necesaria para infiltrarse en la red requiere estar por lo general muy cerca del punto de acceso. El estándar 802.1X
para el control de acceso, junto con otras herramientas de administración de redes inalámbricas puede reducir
considerablemente la factibilidad de estos tipos de ataque. La ubicación de la empresa, y tipo de negocios que opere
la organización determinarán la severidad de la seguridad que requiere su red inalámbrica.
Seguridad Física
Actividades de sabotaje pueden ocurrir en cualquier red corporativa las cuales se pueden clasificar en:
Acceso no autorizado. La autenticación y la encriptación en el estándar de seguridad de redes
inalámbricas 802.11 pueden proteger las sesiones, sin embargo, políticas y procesos tiene que ser
implementados para proteger los dispositivos físicamente y las contraseñas. Lo anterior se puede
implementar de dos maneras
- Seguridad de nodo final para la protección de dispositivos móviles que no estén
relacionados directamente con la red LAN inalámbrica
- WPA y WPA2 clientes inalámbricos que provee autenticación de usuarios y confidencialidad en la
comunicación de usuario sobre la red inalámbrica
Denegación de servicio. Un ataque de red que impide que usuarios legítimos accedan a información
o servicios de la red. Este ataque comúnmente utiliza tramas de administración
802.11 o interferencia RF en el mismo espectro electromagnético que la red LAN inalámbrica
61
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
La mayoría de los estándares de telecomunicaciones son creados por el Instituto de Ingenieros Eléctrico
Electrónicos (Institute of Electrical and Electronic Engineers, IEEE) y la Fuerza de Tarea de Ingeniería en
Internet (Internet Engineering Task Force, IETF). El estándar 802.11 fue introducido por el IEEE y el estándar
EAP lo definió la IETF.
IEEE
El IEEE posee el grupo de estándares 802.11. El estándar 802.11 original fue publicado en 1999 y se ha
modificado periódicamente. Las enmiendas al estándar han modificado la forma de implementar la
capa física, agregando mayor capacidad de ancho de banda (802.11b, 802.11a y 802.11g), se agregaron
mejoras en las calidades de servicio (QoS ) (802.11e) y en seguridad (802.11i).
El IEEE también es propietario del estándar 802.1X para el puerto de seguridad que es usado en el
estándar 802.11i para la autenticación de los clientes inalámbricos.
IETF
El principal RFC IETF y los documentos de redes inalámbricas asociados se basan en EAP. La
ventaja de EAP es que divide el protocolo de autenticación de los mecanismos de transporte. EAP
puede transportar tramas 802.1X, tramas PPP, paquetes UDP y paquetes RADIUS.
EAP viaja a través de redes inalámbricas en tramas 802.1X y en paquetes RADIUS entre el punto de
acceso y el servidor AAA. Esto permite la autenticación EAP de extremo a extremo entre el cliente
inalámbrico y el servidor AAA.
62
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
WIFI
En redes cableadas es común que los dispositivos de redes pertenezcan al mismo proveedor como parte del
aseguramiento de la compatibilidad. Cuando diferentes dispositivos de diferentes proveedores se combinan en una
infraestructura de red, la interoperabilidad y la integración deben ser administradas y contraladas por un grupo de
especialistas los cuales conocen los dispositivos y la integración deben ser administradas y contraladas por un grupo de
especialistas los cuales conocen los dispositivos y la interacción entre ellos.
En redes inalámbricas que incluyen dispositivos de diferentes proveedores, los estándares inalámbricos permiten
diferentes interpretaciones y el desarrollo de características opcionales. Un grupo de empresas y organizaciones
fabricantes de estos dispositivos formaron la Alianza Wi-Fi (Wi-Fi Alliance, www.wi-fi.org) para certificar de la
interoperabilidad de la tecnología inalámbrica a través de WPA, WPA2 y los programas de certificación multimedia
Wi-Fi (Wi-Fi Multimedia, WMM).
El estándar WPA fue desarrollado para hacer frente a las debilidades de encriptación WEP antes de la confirmación del
estándar 802.11i. Uno de los principales objetivos era hacerlo compatible con los dispositivos que ya manejaban WEP,
permitiendo el soporte de la encriptación basada en RC4 usada en WEP, además se añadieron mejoras sustanciales en la
revisión de la integridad de los mensajes que era un punto débil de la encriptación WEP.
WPA2 es basado en el estándar ratificado 802.11i y utiliza encriptación AES-CCMP. Este tipo de encriptación
requiere puntos de acceso y clientes inalámbricos más avanzados. Sin embargo, para dar soporte a los diferentes
dispositivos utilizados en la actualidad, la migración de WPA a WP2 la realizarán lentamente otorgando a los
dispositivos más antiguos soporte de larga duración.
IEEE 802.1X
IEEE 802.1X es un marco de trabajo estándar IEEE para el control de acceso basado en puerto que ha
sido adoptado por el grupo de trabajo de seguridad 802.11i como el medio para proveer autenticación en
el acceso a redes LAN inalámbricas.
El proceso de asociación 802.11 crea un puerto virtual en el punto de acceso para el cliente
inalámbrico.
El punto de acceso bloquea todas las tramas de datos que no correspondan al tráfico de 802.1X.
Las tramas 802.1X llevan los paquetes de autenticación EAP, que son enviados por el servidor
AAA a través del punto de acceso.
Si la autenticación EAP es exitosa, el servidor AAA envía un mensaje EAP-éxito al punto de
acceso, por lo tanto el punto de acceso permite el paso del tráfico de datos desde el cliente
inalámbrico a través del puerto virtual.
Antes de la apertura del puerto virtual, la encriptación del enlace de datos se establece entre el
cliente inalámbrico y el punto de acceso. Esto asegura que otro cliente inalámbrico no pueda
acceder al puerto virtual que ha sido abierto por un cliente autenticado previo.
EAP
EAP es un IETF RFC que guía los requerimientos para que un protocolo de autenticación sea separado
del protocolo de transporte que lo lleva. Esto permite que el protocolo EAP sea transportado por
802.1X, UDP o RADIUS sin cambios en el protocolo de autenticación.
63
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Las bases del protocolo EAP son relativamente simples, la cual se compone de cuatro tipos de paquetes:
Solicitud EAP. El autenticador envía el paquete de solicitud hacia el suplicante. Cada solicitud tiene un
campo de tipo que indica que información se requiere, como la identidad del suplicante y el tipo EAP
usado. Una secuencia de números permite que el autenticador compare la respuesta EAP a cada solicitud
EAP
Respuesta EAP. El suplicante envía el paquete de respuesta al autenticador utilizando un número de
secuencia para hacer coincidir con la solicitud EAP inicial. El tipo de respuesta EAP generalmente
coincide con la solicitud EAP, de lo contrario la respuesta es un NAK (Negative Acknowledgment)
Éxito EAP. El autenticador envía un paquete de éxito en el proceso de autenticación hacia el
suplicante
Falla EAP. El autenticador envía un paquete de falla en el proceso de autenticación hacia el
suplicante
Cuando EAP es utilizado en sistemas 802.11i, el punto de acceso opera en modo “paso a través de EAP”. En este
modo, el punto de acceso revisa el código, el identificador, y la longitud de los campos, después envía los
paquetes EAP desde el suplicante hacia el servidor AAA. Los paquetes recibidos desde el servidor AAA hacia el
autenticador son enviados hacia el suplicante.
Autenticación
Suplicantes
El software cliente utilizado por la autenticación 802.11X generalmente es llamado suplicante el cual se basa en
la terminología 802.1X. SSC es un suplicante para redes inalámbricas y cableadas, soporta diferentes métodos
EAP que se asignan adecuadamente a diferentes requerimientos de sistemas de autenticación de clientes. Los
métodos comunes EAP soportados por SSC se listan a continuación:
EAP protegido (PEAP) MSCHAPv2. Utiliza un túnel seguro de la capa de transporte (Transport
Layer Security) para proteger un intercambio encapsulado MSCHAPv2 entre el cliente inalámbrico
y el servidor de autenticación
PEAP GTC (Generic Token Card). Utiliza un túnel TLS para proteger un intercambio de tarjeta de
tokens genérica
EAP-Flexible Authentication via Secured Tunnel (FAST). Utiliza un túnel para proteger el
intercambio
EAP TL. Utiliza autenticación única basada certificados digitales X.509
Autenticador
El autenticador en la solución móvil segura de Cisco (Cisco Secure Mobility Solution) es el WLC que procesa
las tramas 802.1X entrantes desde los puntos de acceso de la red inalámbrica, y actúa en el modo EAP pass-
through. Una vez completada exitosamente el proceso de autenticación, el WLC recibe el paquete RADIUS que
contiene el mensaje EAP éxito, y la llave de encriptación que fue generada por el servidor de autenticación
durante el proceso de autenticación EAP y las extensiones RADIUS para la comunicación de las políticas.
En las ilustraciones previas se aprecia la ubicación del autenticador dentro del proceso de autenticación
completo. El autenticador controla el acceso a la red a través del mecanismo 802.1X y envíos de mensajes
EAP entre el suplicante y el servidor de autenticación.
Servidor de autenticación
El servidor de autenticación usado en el Cisco Secure Mobility Solution es el Cisco Access Control Server
(ACS). Cisco ACS está disponible como un software instalable en Windows Server como una aplicación. El
servidor de autenticación también puede estar embebido dentro de dispositivos de infraestructura de red
inalámbrica, por ejemplo, los servicios de autenticación locales en un punto de acceso corriendo un IOS Cisco
o servicios AAA.
Encriptación
Hay dos niveles de mecanismos de encriptación especificados en 802.1i: WPA y WPA2. Estos tipos de
65
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
encriptación son el Protocolo de Íntegro de Llave Temporal (Temporal Key Integrity Protocol, TKIP) y el
Estándar Avanzado de Encriptación (Advance Encryption Standard, AES).
TKIP, la encriptación certificada en WPA, provee soporte de encriptación para dispositivos inalámbricos más
antiguos abordando las deficiencias en WEP, soportando el algoritmo de encriptación RC4. El ciclo de
actualización de hardware es tal que TKIP es probable que sea un mecanismo de cifrado común para los años
venideros.
Mientras que TKIP aborda todas las debilidades conocidas de WEP, la encriptación AES de WPA2 es el mecanismo
recomendado de encriptación porque lleva a la encriptación inalámbrica a cumplir los lineamientos que dictan las
mejores prácticas actuales de encriptación.
Los dos principales mecanismos de encriptación en TKIP son la generación de la clave por paquete para la
encriptación RC4 de la MSDU (MAC Service Data Unit) y una verificación de integridad de mensaje de manera
adicional (Message Integrity Check, MIC) para el paquete encriptado.
AES Counter Mode/CBC MAC Protocol (CCMP) es el modo usado de encriptación AES en 802.11i en el cual el
contador de modo provee confidencialidad y CBC MAC provee integridad en el mensaje.
Autenticación de 4 vías
La Autenticación de 4 vías (Four-Way Handshake) describe el mecanismo usado para derivar las llaves de
encriptación usadas para encriptar las tramas de datos inalámbricas. La siguiente figura esquematiza los
intercambios de tramas para generar las llaves de encriptación. A estas llaves se les conocen como “llaves
temporales”.
66
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Las llaves usadas para la encriptación son derivadas de la Llave Maestra en Pares (Pairwise Master Key, PMK)
que se deriva durante la autenticación EAP. Esta PMK es enviada al autenticador, más no se envía hacia el
suplicante debido a que el suplicante ha derivado su propia copia de PMK.
Para lograr la movilidad inalámbrica, el administrador de red necesita analizar el entorno geográfico para
garantizar que se tiene una cobertura inalámbrica adecuada. Cisco provee herramientas analizadoras de
67
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
espectros y aplicaciones que pueden ayudar a diseñar una red inalámbrica correctamente o adaptar una
eficiente infraestructura de red inalámbrica existente a las necesidades de la empresa.
Las infraestructuras de red corporativas se basan en redes inalámbricas y cableadas en la cual la red inalámbrica
provee la movilidad y la cableada provee mayores anchos de banda.
La mayoría de los entornos organizacionales requieren que los usuarios finales puedan tener conectividad
cuando se mueven de sus lugares de trabajo, por ejemplo, a una sala de juntas u otra ubicación con su Laptop.
En una empresa típica, una falta de conexión es aceptable mientras el usuario está en movimiento. Sin
embargo, cuando llega a la nueva ubicación, debe ser capaz de recuperar fácilmente la conectividad
inalámbrica.
Otras empresas pueden requerir conectividad mientras están en tránsito, ya que pueden tener una aplicación
que requiera conectividad continua. Por ejemplo una aplicación que requiere este tipo de conexión es la voz
sobre IP (VoIP). El roaming en redes inalámbricas soluciona estos temas.
Roaming
Para que la infraestructura de red cableada e inalámbrica aporte ventajas significativas y un adecuado servicio a
los usuarios de una empresa. El usuario final debe poder realizar lo siguiente:
Cambiar fácilmente de una conexión cableada a una conexión inalámbrica y viceversa
Cambiarse de un punto de acceso con señal débil hacia otro con una mejor intensidad de señal que tenga
el mismo SSID
El roaming de un punto de acceso a otro punto de acceso requiere de la disociación con el viejo punto de acceso
y una asociación al nuevo punto de acceso. Este proceso conduce a la terminación de las conexiones existentes,
especialmente en un entorno empresarial que requiera 802.1X. El roaming es seguido de una autenticación
802.1X. El proceso completo puede tardar aproximadamente 30 segundos.
68
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Cierre de la unidad
Como has podido analizar en la presente unidad, el mundo de la administración de redes comprende diversos
factores y demasiadas responsabilidades en las que queda de relieve la disponibilidad y la confiabilidad. No sólo se
debe procurar un óptimo funcionamiento de los recursos e infraestructura de la misma, sino también, se tiene que
mejorar constantemente, administrar su acceso y vigilar su seguridad. Para lo anterior se deben desarrollar
esquemas que cubran las necesidades y requerimientos que una red corporativa de computadoras requiere.
Las redes son dinámicas, se adaptan constantemente a las necesidades del negocio que soporten, y por lo tanto su
administrador también debe evolucionar a la par. Los conocimientos académicos que posee un administrador de red
deben estar actualizados, por lo que se requiere una constante preparación y entrenamiento para desarrollar mayores
habilidades que permitan ofrecer a sus clientes valores agregados en la operación.
Nacen nuevos ataques todos los días, los criminales informáticos no descansan y están al acecho, las herramientas
de monitoreo y esquemas mejoran constantemente, los paradigmas también cambian. ¿Por qué un administrador de
red no debería evolucionar?
69
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Para saber más
SNMP: En el siguiente vínculo podrás ampliar tus conocimientos acerca del funcionamiento de este
protocolo de monitoreo y administración, además de la interacción con los diferentes agentes en los
dispositivos de red.
https://tools.ietf.org/html/rfc1157
AAA: A continuación en el primer vínculo podrás consultar la gama de dispositivos que soportan AAA
así como las características de este esquema de administración de la seguridad.
http://www.cisco.com/en/US/products/ps6663/products_ios_protocol_option_home.html
http://www.cisco.com/en/US/products/ps6638/products_data_sheet09186a00804fe332.html
https://www.ietf.org/rfc/rfc3702.txt
Introducción al TACACS+: Al ingresar a los siguientes vínculos podrás incrementar tus conocimientos
acerca de este protocolo y revisar diferentes opciones de configuración e implementación.
http://www.openwall.com/articles/TACACS+-Protocol-Security
http://www.sans.org/reading-room/whitepapers/networkdevs/understanding-implementing-tacacs-plus-
117
http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a0080094e99.shtml
Sniffer: En el primer vínculo se podrá consultar un tutorial de Wireshark™. Por último se agrega la
página oficial de uno de los sniffers más populares en el mercado, el cual podrás bajar y realizar tu
propio análisis de red.
https://www.evilfingers.com/publications/howto_EN/HowTo%20-%20Use%20Packet%20Sniffers.pdf
http://www.wireshark.org/
Puerto SPAN: En el siguiente vínculo podrás observar un ejemplo de configuración de dicho puerto.
http://docs.exinda.com/ga-released/exos/6.3/span-mirror-port.pdf
70
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Por último en el siguiente link podrás identificar la definición de la mayoría de los términos técnicos que
has manejado a lo largo de tus asignaturas. Corresponde a una empresa dedicada a la organización
de congresos y conferencia en TI, por lo cual, su glosario se encuentra validado por los fabricantes
más importantes de la industria de las TIC.
http://mundocontact.com/glosario/a/
Fuentes de consulta
Fuentes básicas
Ariganello, E. & Barrientos Sevilla, E. Madrid, España (2010). REDES CISCO CCNP a Fondo.
Guía de estudio para profesionales. 1a. Edición: Editorial Alfaomega.
Ariganello, E. Madrid, España (2013). REDES CISCO Guía de estudio para la certificación
CCNA Security. Edición Original: Editorial Alfaomega.
Terán, D. México (2010). Redes Convergentes. Diseño e implementación. 1ra. Edición: Editorial
Alfaomega.
Alegría Loinaz, I., Cortiñas Rodríguez, R. & Ezeiza Ramos, A. España (2005). Linux
Administración del sistema y la red. Editorial Prentice Hall.
Stallings, W. Madrid, España (2004). Comunicaciones y Redes de Computadoras. 7a Edición:
Editorial Prentice Hall.
71
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Fuentes complementarias
Kurose, J. & Ross, K. USA (2013). Computer networking: a top-down approach. 6ta. Edición.
Editorial Pearson.
Graves, K. USA (2010). CHE Certified Ethical Hacker Study Guide. 1ra. Edición. Editorial Wiley.
Watkins, M. & Wallace, K. USA (2008). CCNA Security Official Exam Certification Guide. 3ra.
Edición: Editorial Cisco Press.
Fuentes electrónicas
Arumadigital (2011). Informática Redes 007 Cisco CCNA Captura tráfico con Wireshark.
Consultado en: https://www.youtube.com/watch?v=JtI45DmIuOc
Balchunas, A. (2007). SPAN. Consultado en: https://www.routeralley.com/guides/span.pdf
Case, J. (1990). SNMP research. IEFT. Consultado en: https://tools.ietf.org/html/rfc1157
Cisco (2005). Authentication, Authorization, and Accounting (AAA). Cisco. Consultado en:
http://www.cisco.com/en/US/products/ps6663/products_ios_protocol_option_home.html
Cisco (2018). User Security Configuration Guide, Cisco IOS XE Realease 3S Consultado
en: https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cfg/configuration/xe-
3s/sec-usr-cfg-xe-3s-book/sec-autosecure.html
Cisco (2003 ). Cisco AutoSecure White Paper. Cisco. Consultado en:
https://tools.cisco.com/security/center/whitePapers.x
Cisco (2011 ). Cisco IOS Routers: Auto Secure. Cisco. Consultado en:
http://ciscoskills.net/2011/02/17/cisco-ios-routers-auto-secure/
Cisco (2019). Ejemplo de Configuración del Switched Port Analyzer (SPAN) del catalizador.
Cisco. Consultado en: https://www.cisco.com/c/es_mx/support/docs/switches/catalyst-6500-
series-switches/10570-41.html
Cisco (2006). Cisco Wireless LAN Security White Paper. Cisco. Consultado en:
https://www.cisco.com/c/en/us/products/collateral/wireless/aironet-1200-access-
point/prod_white_paper09186a00800b469f.html
Cisco (2006). Datasheet. Authentication, Authorization, and Accounting (AAA). Cisco
Consultado en:
http://www.cisco.com/en/US/products/ps6638/products_data_sheet09186a00804fe332.html
Cisco (2018). Simple Network Management Protocol (SNMP) Users on a switch
through the Command Line Interface (CLI). Consultado en:
https://www.cisco.com/c/es_mx/support/docs/smb/switches/cisco-250-series-smart-
switches/smb5637-configure-simple-network-management-protocol-snmp-users-on-
a.html
Cisco (2009). SNMP (Protocolo de administración de red simple): Preguntas frecuentes acerca
de la teoría y el funcionamiento de MIB. Cisco. Consultado
en:https://www.cisco.com/c/es_mx/support/docs/ip/simple-network-management-protocol-
snmp/26012-faq-snmp-mib.html
72
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Cisco (2008). TACACS+ and RADIUS Comparison. Cisco. Consultado en:
http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a0080094e99.shtml
Cisco Support Community https://supportforums.cisco.com/index.jspa
DMOZ (2014). Protocol Analyzers. Consultado en: https://dmoz-
odp.org/Computers/Software/Networking/Network_Performance/Protocol_Analyzers/
Evilfingers (s/f). Snnifers. Evilfingers. Consultado en:
https://www.evilfingers.com/publications/howto_EN/HowTo%20-
%20Use%20Packet%20Sniffers.pdf
Exinda (2012). SPAN and Mirror port monitoring. Exinda, Inc. Consultado en:
http://docs.exinda.com/ga-released/exos/6.3/span-mirror-port.pdf
Loughney, J. (2004). Authentication, Authorization, and Accounting. Requirements for the
Session Initiation Protocol (SIP). IEFT. Consultado en: https://www.ietf.org/rfc/rfc3702.txt
Mundocontact (2013). Glosario. Mundocontact. Consultado en:
http://mundocontact.com/glosario/a/
SANS Insitute (2002). Understanding and Implementing TACACS+. SANS Institute. Consultado
en: http://www.sans.org/reading-room/whitepapers/networkdevs/understanding-implementing-
tacacs-plus-117
Solar Designer (2010). An Analysis of TACACS+ Protocol Security. Openwall. Consultado en:
http://www.openwall.com/articles/TACACS+-Protocol-Security
Symantec (2002). Wireless LAN Security. White paper. Symantec. Consultado en:
http://www.symantec.com/avcenter/reference/symantec.wlan.security.pdf
The Cisco Learning Network https://learningnetwork.cisco.com/index.jspa
Windows (2013). What are the different wireless network. Microsoft. Consultado en:
http://windows.microsoft.com/en-us/windows-vista/what-are-the-different-wireless-network-
security-methods
73