Unidad 2. Disponibilidad y Confiabilidad

Ingeniería en Telemática
Programa de la asignatura:
Administración de redes
Unidad 2. Disponibilidad y confiabilidad
Clave:
21144737
Universidad Abierta y a Distancia de México
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática

índice
Unidad 2. Disponibilidad y confiabilidad ................................................................................................. 3

Presentación de la unidad ...................................................................................................................3
Competencia específica ......................................................................................................................5
Logros .................................................................................................................................................5
2.1. Disponibilidad y autenticación ......................................................................................................6
2.1.1. Protocolo SNMP (Simple Network Manager Protocol)............................................................7
Actividad 1. Protocolo SNMP ............................................................................................................ 17
2.1.2. Modelo de autenticación, autorización y auditoria (AAA)...................................................... 17
Actividad 2. Administración local y remota ........................................................................................ 31
2.1.3. Introducción a TACACS+ ..................................................................................................... 31
Actividad 3. Administración de usuarios bajo el esquema AAA y TACACS+ ..................................... 36
2.2. Detección y mitigación de ataques ............................................................................................. 37
2.2.1. Analizadores de tráfico (sniffers) .......................................................................................... 37
2.2.2. Puerto SPAN ....................................................................................................................... 45
2.2.3. Escenario de ataque ............................................................................................................ 51
2.3. Protección (Hardening) .............................................................................................................. 53
2.3.1. Servicios e interfaces potencialmente vulnerables (Hardening) ........................................... 53
2.3.2. Cisco Auto-Secure .................................................................................................... 55
2.3.3. Seguridad en redes inalámbricas .............................................................................. 60
Actividad 4. Asegurando la red.......................................................................................................... 72
Evidencia de aprendizaje. Identificación básica de la administración de seguridad de un router ....... 73
Cierre de la unidad ............................................................................................................................ 74
Para saber más ................................................................................................................................. 75
Fuentes de consulta .......................................................................................................................... 76
Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática

Presentación de la unidad
Cada empresa tiene necesidades de comunicación diferentes y éstas son cada vez más complejas, lo que ha
generado la creación de distintos modelos de diseño y configuración. Debido a que las empresas generalmente
tienen distintos sitios de operación, se requiere un protocolo de enrutamiento que permita la intercomunicación de
sus redes locales a través de grandes distancias utilizando tecnologías de enlaces de gran capacidad y complejidad.
Mantener una red estable requiere de diversas herramientas de monitoreo que permitan tener una visibilidad
integral de la operación de la misma y reaccionar de acuerdo a un análisis e interpretación de la información por
parte del administrador de la red.
A grandes rasgos existen dos tipos de usuarios en la red, los usuarios finales y los administradores, cada uno requiere
acceso a ella de diferente forma, por lo tanto se crean mecanismos de acceso adaptados a las necesidades de cada
usuario, con el fin de que sólo puedan realizar el mantenimiento y modificaciones autorizadas para garantizar la
seguridad y el performance de la misma. Por lo tanto el acceso a los recursos debe de estar controlado por un
mecanismo adecuado que estudiarás en esta unidad a través de esquemas AAA, Autenticación, Autorización y
Contabilización (Authentication, Authorization and Accounting) y servidor TACACS+, (en inglés Terminal Access
Controller Access Control System, que se refiere a sistema de control de acceso del controlador de acceso a
terminales). Para los usuarios, no sólo la seguridad es importante, también se requiere el uso adecuado de los
recursos de la red, lo anterior en conjunto con el estado de los dispositivos, la disponibilidad de los medios, la
confiabilidad de la comunicación y la integridad de la información hacen necesaria la creación de un mecanismo que
satisfaga las necesidades en el manejo de información, es así que se creó el protocolo SNMP el cual analizarás más
adelante.
Gestionar lo anterior podría parecer mucho trabajo, sin embargo, es sólo el principio de la administración de redes.
Aunado a lo anterior, también es necesario cuidar el funcionamiento de los dispositivos, asegurar la información
que se transfiere, así como desarrollar proyectos de mejora.
Por otro lado, una vez que se encuentra construida la infraestructura, es necesario vigilar y proteger la red
celosamente contra ataques de entidades externas y/o actividades “mal intencionadas” de personal interno. El activo
más valioso para cualquier empresa es su información por lo cual su protección está regulada por organismos
internacionales para asegurar que los datos de los clientes que posee dicha organización no queden expuestos a los
criminales, y no sólo esto, también evitar actividades deshonestas internas con los recursos de la red, es así que se
crearon herramientas como Cisco Auto- Secure© y métodos de análisis como SPAN (the Switched Port Analyzer).
En la actualidad ya no se requiere una computadora o PC de escritorio para acceder a la red, teléfonos celulares,
tabletas, automóviles y hasta refrigeradores y lavadoras pueden acceder a ella. La seguridad inalámbrica también es
un aspecto de la red que requiere protección, para ello se te mostrarán los diferentes estándares que coadyuvan con
este objetivo. En el mundo de las redes, no existe red segura, lo único seguro en una red, es que alguien, en algún
momento, cuando menos se lo espere; la atacará.
Los elementos de configuración que se usan en este contenido se presentan de forma similar a la nomenclatura
utilizada por Cisco: “negritas” comandos” y “cursivas” opción a rellenar por el usuario. También se usa {o|o|o}
donde puedes elegir alguna de las tres opciones.
3
Competencia específica
Analiza la información obtenida del monitoreo de una

red para determinar las estrategias de prevención de
riesgos y mitigación de ataques, identificando los
protocolos de administración, los mecanismos de
ataques y las herramientas de monitoreo.
Logros
 Identificar las funciones y procesos del

protocolo SNMP
 Comparar las características y ventajas de los

esquemas AAA y TACACS+
 Ubicar las características de la seguridad de

redes
 Interpretar la información obtenida de las

herramientas de monitoreo y análisis de
tráfico
 Identificar las vulnerabilidades de seguridad de

una red
 Determinar estrategias de mitigación de

riesgos y prevención de ataques
4
2.1 Disponibilidad y autenticación
Las redes tienen una característica muy importante a diferencia de otros dispositivos y áreas tecnológicas,
siempre deben de estar disponibles. Las PC y otros equipos pueden apagarse cuando el usuario no requiere
utilizarlos. Las telecomunicaciones como las carreteras de la información siempre deben de estar disponibles para
su utilización. Mantener disponibles y confiables estas grandes vías de la información requiere de un trabajo
constante y una vigilancia veinticuatro horas, con el fin de que siempre se encuentren en óptimas condiciones para
la transmisión de datos.
Carreteras de información siempre abiertas
Por lo tanto, es necesario emplear herramientas que permitan vigilar y monitorear las vías de comunicación todo
el tiempo, inclusive cuando el administrador no se encuentra en horario laboral, con el fin de garantizar la
disponibilidad de la red. Un centinela que alerte al administrador de algún problema que se haya presentado en la
red, de lo que está sucediendo y avisar de lo que podría suceder. Es exactamente este servicio el que proporciona
SNMP (Simple Network Management Protocol), el cual estudiarás a continuación.
5
2.1.1 Protocolo SNMP (Simple Network Manager Protocol)
Qué es SNMP
SNMP es el Protocolo Simple de Administración de Red (Simple Network Management Protocol), es un protocolo
de la capa de aplicación definido en el RFC 1157 para el intercambio de información de administración entre
dispositivos de red. Es parte de la pila de protocolos TCP/IP. SNMP es uno de los protocolos mayormente aceptados
para la administración y monitoreo de infraestructuras de red, la mayoría de los dispositivos de red utilizados a nivel
profesional vienen instalados de fábrica con un agente SNMP, estos agentes están configurados y preparados para la
comunicación con un Sistema de Administración de Red (Network Management System, NMS).
SNMP permite a los administradores de red supervisar el funcionamiento de la misma, buscar y resolver problemas
relacionados a la transmisión de información y análisis de tipos de datos y puertos, además de brindar la
información necesaria para el crecimiento y mejora de la infraestructura de red.
Origen de SNMP
SNMP surge en la década de los 70. El Protocolo de Mensajes de Control de Internet (Internet Control Message
Protocol, ICMP) fue desarrollado para administrar la red de la Agencia de Proyectos de Investigación Avanzada
(Advanced Research Project Agency NETwork, ARPANET). En esta época se crea ICMP que es un mecanismo para
la transferencia de mensajes de control entre nodos, un claro ejemplo del uso de ICMP es a través de la herramienta
PING (Packet Internet Groper), que forma parte de la pila de protocolos TCP/IP. PING es una herramienta simple
usada para investigar la disponibilidad y la confiabilidad de un nodo (destino) desde otro nodo (origen). PING es una
herramienta fundamental para cualquier sistema de monitoreo de redes.
Cuando ARPANET comenzó operaciones en 1969, se convirtió en la Internet en la década de los 80 con la llegada
del sistema UNIX y la popularización de la arquitectura cliente-servidor. Las redes basadas en TCP/IP crecieron
rápidamente, especialmente en ambientes militares, de gobierno y académicos. Algunas empresas comenzaron a
utilizar el desarrollo de los medios electrónicos para compartir información. La NSF Fundación Nacional de Ciencia
(National Science Foundation) en 1984 cambia el nombre de ARPANET a Internet.
Para fines de homologación cuando se menciona a la Internet, puedes hacerlo con un

artículo masculino o femenino, esto depende el contexto en el cual te encuentres.
Debido a que la Internet se compone de diferentes redes interconectadas formando una

gran nube, al querer inferir la “nube” se escribe antecediendo el artículo femenino “la
Internet”. Cuando se hace referencia a un servicio de conexión hacia la nube puedes
utilizar únicamente “Internet”, por ejemplo – cuento con el servicio de Internet – o
6
cuando se expresa en un argumento – existen numerosos protocolos en Internet –. Por

lo tanto es incorrecto escribir o mencionar “el Internet”.
También es importante mencionar que la palabra Internet en cualquier contexto se

escribe con la letra inicial en mayúscula.
Con el crecimiento de la Internet, se hizo necesario y esencial contar con la capacidad de supervisar y monitorear los
dispositivos de red de manera remota, por lo cual se generó el Protocolo de Monitoreo de Router Simple (Simple
Gateway Monitoring Protocol, SGMP) el cual fue desarrollado con éste propósito de manera provisional en lo que
se creaba un protocolo mejor. Para alcanzar este objetivo se formó el Consejo Asesor de Internet (Internet Advisory
Board, IAB) encargado de administrar las actividades de la red; este organismo recomienda mejorar el protocolo de
monitoreo existe SGMP convirtiéndose en SNMP, incluso éste último protocolo también pretendía ser una solución
temporal, sin embargo, debido a la enorme simplicidad de SNMP y su extensiva implementación, se convirtió en el
estándar de facto en la actualidad para la administración de redes.
En lo sucesivo fueron desarrolladas las siguientes versiones de éste protocolo, como la SNMPv2 (v2 refiere a
versión2); con la intención de incluir más características, esta nueva versión sólo superó parcialmente algunas
limitaciones de la versión anterior, posteriormente la versión final de SNMPv2 fue liberada sin una de sus
principales características para lo que fue pensada, la seguridad, esto por discrepancias de opinión de sus
desarrolladores.
SNMPv3 incorpora características de seguridad a la versión anterior, logrando posicionar esta versión como el
estándar de monitoreo seguro para redes de computadoras, dichas características se mencionan a continuación:
 Integridad: Usando algoritmos hash, SNMPv3 puede asegurar que los mensajes SNMP no sean
modificados durante su transmisión
 Autenticación: El hash valida la autenticidad de la fuente de un mensaje SNMP
 Encriptación: Usando el algoritmo de encriptación CBC- DES (DES-56), SNMP provee privacidad en
sus mensajes, haciéndolos ilegibles si algún atacante captura un paquete SNMP
Organizaciones de Internet y estándares
Como se ha mencionado la IAB promovió la creación de SNMP. La IAB se fundó en 1983 de manera informal
por investigadores académicos durante el desarrollo de redes basadas en TCP/IP. Después cambió su nombre a
Consejo Asesor del Consejo de Arquitectura de Internet (Advisory Board to the Internet Architecture Board) en
1989 y se le designó la responsabilidad de administrar dos grandes fuerzas de tarea, el Grupo de Trabajo de
Ingeniería de Internet (Internet Engineering Task Force, IETF) y el Grupo de Investigación de Internet (Internet
Research Task Force, IRTF).
El IRTF se encarga de desarrollar los proyectos de investigación a largo plazo para la Internet, se compone de pequeños
grupos de investigación que trabajan en temas relacionados con los protocolos de Internet, aplicaciones, arquitectura y
tecnología. El crecimiento de la gran nube ayudó al posicionamiento de ETF hasta convertirse en la ingeniería de
protocolos, desarrollo y estandarización de la IAB.
7
El Centro de Información de Internet (Internet Network Information Center, InterNIC) es una organización que
almacena una gran cantidad de documentos relacionados a la Internet y a las actividades del IETF. Estos incluyen,
entre otros documentos, Solicitud de Comentarios del Documento (Request for Comments, RFC), Estándar RFC
(STD), y Para su Información RFC (FYI). Los dos últimos son subseries de RFC.
La Autoridad para la Asignación de Números en la Internet (Internet Assigned Numbers Authority, IANA) es el
coordinador central para la asignación de valores de parámetros únicos para los protocolos de Internet. El conjunto
de protocolos de Internet contiene numerosos parámetros, como las direcciones de Internet, nombres de dominio,
números de sistemas autónomos (usados en protocolos de enrutamiento), números de protocolo, números de puerto,
identificadores de objetos MIB (Management Information Base), entre muchos otros. El uso común de estos
protocolos por parte de la comunidad de Internet requiere que estos valores se asignen de forma exclusiva. Esta es la
tarea de la IANA, realizar la asignación de direcciones para la Internet y mantener un registro de los valores
otorgados.
Un principiante en la administración podría confundirse fácilmente con el gran número de RFC que estén
relacionados con la gestión de redes, en concreto, SMI (Structure of Management Information) (consulta el
siguiente subtema 2.1.2.), MIB y SNMP, además estos documentos están en continua evolución, por lo cual es
importante estar al tanto de las últimas versiones.
Las RFC son notas sobre Internet y sobre sistemas que se conectan a Internet,
cada una de ellas individualmente es un documento cuyo contenido es una
propuesta oficial para un nuevo protocolo de Internet, que se explica con todo
detalle para que, en caso de ser aceptado, se pueda implementar sin
ambigüedades. Si el IETF aprueba la propuesta se convierte en un RFC. Si
resulta suficientemente importante, se desarrolla y se convierte en un estándar
de Internet. Cada RFC tiene un título y un número asignado que no puede
repetirse o eliminarse si el documento queda
obsoleto.
Puedes consultar estas notas en el vínculo: http://www.rfc-es.org/
8
Componentes de SNMP
Los componentes presentados a continuación, trabajan en conjunto para permitir la funcionalidad de SNMP.
Componentes:
a) SMI (Structure of Management Information)
La SMI define el tipo de datos que son permitidos dentro de la MIB. Se establece una única estructura
para cada objeto administrado. La RFC 1155 define cómo los objetos administrados se guardan en la
MIB. Básicamente los objetos administrados tienen seis atributos, por ejemplo, un nombre, un
identificador de objeto, un campo de sintaxis, un campo de acceso, un campo de estado y una texto con
su descripción.
La SMI define la estructura de la base de datos del agente SNMP. Cuando se construye la base de datos,
lo primero que se hace es decidir la estructura que llevará esta base. La estructura define el número de
campos de cada entrada, así como su tamaño y el tipo de datos que podrá contener cada uno.
b) MIB (Management Information Base)

Es una colección de datos sobre información de los elementos de la red. Esta información es
almacenada en una base de datos de objetos administrados que puede ser accedida a través de un
protocolo de administración de red como SNMP. La RFC 1156 define los objetos administrados que
contiene la MIB.
Un objeto administrado puede representar una característica de un dispositivo administrado, por ejemplo,
el valor asociado con el número de paquetes que ha recibido el equipo a través de una interfaz desde el
último reinicio del mismo o el tiempo que ha permanecido encendido desde la última vez que se
encendió, entre otros.
El protocolo MIB describe los objetos, o las entradas, que deben ser incluidas en la base de
datos del agente SNMP. Por esta razón, los agentes SNMP son referidos algunas veces como
MIB. Los objetos en una MIB deben estar definidos de la manera en que los desarrolladores del
software del dispositivo conocen los nombres de los objetos y sus valores correspondientes.
Esta información se incluye en la especificación MIB.
9
Incluye un conjunto común de objetos aceptados y ratificados

Estándar
por el grupo de estándares de la Internet.
Existen tres categorías de la especificación MIB:
requieren colectar datos particulares de sus propios

dispositivos de red. Permite que se definan objetos propios.
Que pueden ser específicos y no estar definidos en la
categoría estándar.
c) Agentes SNMP
Todo dispositivo de red que pretende ser administrado, debe de contener un agente que ejecute todos los
objetos MIB que son relevantes para su monitoreo y administración. El agente provee la información que
es requerida por la aplicación de administración.
Un Administrador SNMP realiza solicitudes (de poleo). Por solicitud de poleo se entiende a una manera informal
de nombrar a la solicitud de traps, el cual entrega la información que se encuentra almacenada la MIB. Las
interrupciones (traps). Son mensajes que alertan al gestor SNMP de cierta condición en la red.
Componentes básicos y sus funciones
SNMP se compone de:

 Administrador SNMP
 Dispositivos administrados
 Agente SNMP
 Base de datos de Información de Administración
Administrador SNMP
Un Sistema de Administración SNMP es una entidad separada responsable de la comunicación con el

Agente SNMP implementado por los dispositivos de red. Por lo general es un servidor en el cual corren uno
o más sistemas de administración de red.
Sus funciones clave son:

 Consultar a Agentes
10
 Interpretar respuestas de los Agentes
 Configurar variables en los Agentes
 Reconocer eventos asíncronos desde los Agentes
Dispositivos administrados
Es un elemento de la red que requiere ser monitoreado y administrado, por ejemplo, routers, switches,
servidores, estaciones de trabajo, impresoras, UPS, etc.
Agente SNMP
Un Agente es un software que viene instalado desde fábrica en el dispositivos de red, una vez que se activa
este agente recopila toda la información del dispositivo en una base de datos de información de
administración manteniéndola disponible para un sistema de administración de red o un sistema de
administración SNMP. Estos agentes pueden ser estándares como Net-SNMP o específicos del fabricante,
por ejemplo, de Hewlett Packard© HP insight agent.
Sus funciones clave son:

 Recopilación de información de administración de todo el entorno del dispositivo
 Almacena y recupera la información de administración almacenada en la MIB
 Envío de señales al producirse un evento hacia el sistema administrador
 Actúa como proxy para los dispositivos de red que no corren SNMP
11
Diagrama de comunicación SNMP
Base de Datos de Información de Administración
La Base de Datos de Información de Administración (Management Information Base, MIB) es una colección de
información que está organizada jerárquicamente. Cada Agente SNMP mantiene una base de datos de
información que describe los parámetros del dispositivo administrado. El Administrador SNMP usa esta base de
datos para obtener información específica del estado del dispositivo, la cual será interpretada por el Sistema de
Administración de Red (Network Management System, NMS). La MIB se intercambia en repetidas ocasiones con
el Administrador SNMP.
Fundamentalmente esta MIB contiene información estándar sobre valores estadísticos y de control definidos para
los dispositivos de red. SNMP también permite el complemento de estos valores estándares con valores específicos
para un agente en particular a través del uso de MIB privadas.
Resumiendo, los archivos MIB son el conjunto de preguntas que un Administrador SNMP puede solicitar a un
Agente SNMP sobre el estado de un dispositivo de red. El agente recopila estos datos de forma local y los almacena
tal como se define en la MIB. Por lo tanto, el Administrador SNMP debe estar al tanto de estas preguntas, estándares
y privadas, para cada tipo de agente.
Estructura de la MIB y el identificador de objeto
La MIB es una colección de información para la gestión de los elementos que conforman una red. La MIB se
compone de objetos administrados los cuales poseen un identificador, llamado identificador de objeto (Object ID u
OID). Cada identificador es único y denota características específicas de un dispositivo gestionado, los objetos
administrados están compuestos de una o más instancias de objeto, que son esencialmente variables, como por
ejemplo, texto, número, contador, etc.
Hay dos tipos de objetos administrados o ID de objeto: escalares y tabulares. Los objetos escalares definen una
simple instancia de objeto. Los objetos tabulares definen múltiples instancias de objeto relacionadas que están
agrupadas conjuntamente en tablas MIB.
Un ejemplo de un valor escalar puede ser: nombre del fabricante del dispositivo, un ejemplo de un valor tabular
puede ser: la utilización de un procesador de 4 núcleos, lo que implicaría 4 resultados, uno por cada núcleo del
procesador. Cada ID de objeto se organiza jerárquicamente dentro de la MIB. La jerarquía de la MIB puede ser
representada en una estructura de árbol con ientificador variable individual.
Funcionamiento de SNMP
Como has estudiado, una red administrada vía SNMP incluye aplicaciones de administración (servidores de
administración) y elementos de la red (dispositivos de red). Los servidores de administración ejecutan aplicaciones
que utilizan datos SNMP para monitorear el performance de la red. Los agentes de la red son los responsables de
mantener los datos estadísticos y de estado de los dispositivos administrados que se enviarán como insumos para la
interpretación de la información por los servidores de administración que ejecutan un Administrador SNMP.
Comandos SNMP
12
SNMP es una aplicación de administración de red. Esta aplicación contiene varios comandos básicos como:
read, write, trap, y operaciones de recorrido, a continuación se explica dada una:
 El comando read activa el administrador de sistema para monitorear los dispositivos administrados. Esto
permite el análisis de diferentes variables que el dispositivo de red entrega
 El comando write permite al sistema administrador controlar los dispositivos administrados. Esto
permite que los valores almacenados en las variables se modifiquen
 El comando trap es utilizado por los dispositivos administrados para enviar actualizaciones al sistema
administrador. Este comando es utilizado por el dispositivo administrador si necesita notificar algún
evento significativo de acuerdo a su estatus en la red
 Las operaciones de recorrido permiten al sistema administrador recuperar información de la tabla de
variables. Esto permite al sistema administrador ordenar la información paso a paso
Beneficios
Administrar una red con la ayuda de SNMP ofrece significativos beneficios. Estos beneficios permiten al
administrador de red tomar el control para garantizar una red saludable y eficiente, los más importantes son:
 Control
Prevención, detección y solución de problemas relacionados con la red. SNMP facilita las tareas
del administrador al tomar el control necesario para mantener la red saludable, proveyéndole un
mecanismo de monitoreo eficiente del performance de la red
 Estandarización
SNMP es un protocolo soportado por la mayoría de los dispositivos de los diferentes fabricantes
alrededor del mundo. La administración centralizada es extremadamente efectiva y una solución extensa
para la administración de redes
 Eficiencia
SNMP utiliza UDP para la entrega de paquetes llamados Unidades de Datos de Protocolo (Protocol
Data Units, PDUs). UDP es un método rápido de transmisión de información a diferencia de TCP. UDP
carece de las características de protección contra la pérdida de la trasmisión de los datos, además los
constantes mensajes de status de la red que envía SNMP a través de UDP demandan un bajo
procesamiento y evitan la congestión de la misma
 Seguridad
SNMPv3 fue diseñado para contrarrestar las siguientes vulnerabilidades de seguridad:
- Modificación de la información: Alteración del mensaje por un agente externo durante su
transmisión
- Enmascaramiento: Alguna entidad podría enmascararse y hacerse pasar por otra entidad
- Modificación del flujo de mensaje: Reordenamiento o reenvío de mensajes
- Observación de información de acceso: Revelación de contraseñas
13
Actividad 1. Protocolo SNMP
¡Bienvenido(a) a la primer actividad de la Unidad 2!

Revisa el documento de actividades.
*Revisa los criterios de evaluación para esta actividad.
2.1.2 Modelo de autenticación, autorización y auditoria (AAA)
Una de las tareas del administrador, es proveer acceso a la red, sin embargo, se debe sólo permitir el acceso a
usuarios autorizados como protección contra ataques. El modelo de Autenticación, Autorización y Auditoría
(Authentication, Authorization, and Accounting, AAA) permite definir quién accede y qué puede hacer dentro de la
red, además de llevar un registro del comportamiento dentro de la misma.
AAA es parte de una serie de servicios de seguridad que juntos proveen un marco de trabajo que define el
Control de Acceso a la Red (Network Access Control, NAC).
A continuación se examinará la naturaleza modular de AAA y se estudiará cómo este modelo provee servicios de
autenticación, autorización y auditoría al igual que examinarás como resolver problemas relacionados a AAA en
routers Cisco.
Configurar AAA usando la base de datos de usuario local
El acceso no autorizado a una red compromete la operación, los dispositivos, los servicios y la información que
transporta, por ello la arquitectura AAA provee un mecanismo de protección al acceso de intrusos a la red. Sin
embargo, no sólo usuarios e intrusos puede intentar ingresar a la red, también los administradores requieren acceso a
los diferentes equipos que comprende, el esquema AAA provee un ingreso seguro, también para ellos.
Autenticación, Autorización y Auditoría
El acceso seguro a una red basada en plataformas Cisco utilizando el esquema de seguridad AAA implica la
utilización de una arquitectura modular que se compone de tres componentes funcionales:
14
Definición del esquema AAA
AAA para routers Cisco
Cisco provee tres formas de implementar servicios AAA para routers Cisco:
Formas de proveer servicios AAA
La autenticación AAA local utiliza una base de datos local para la autenticación. Este método almacena los
nombres de usuario y contraseña localmente en el dispositivo. Sin embargo, por diversas razones que verás más
adelante, se recomienda la autenticación basada en servidor.
15
El control de acceso por AAA es soportado por los equipos de red de Cisco ya sea a través de una base de datos de
nombre de usuario y contraseña (username-password) o por una base de datos de un servidor de seguridad remoto
(AAA Server). Para permitir el acceso a un grupo reducido de usuarios, conviene utilizar una base de datos local
tipo username-password, la cual se puede crear mediante el comando username xyz password contraseña-fuerte.
Si requieres mayor seguridad para el acceso, puedes utilizar el comando username secret para configurar un
nombre de usuario y una contraseña asociada a una encriptación de nivel MD5.
Cuando se hace referencia a una contraseña-fuerte, implica asignar una cadena

de por lo menos 8 caracteres en la cual se incluya mínimo una letra en mayúscula,
un número y un signo, por ejemplo, el de pesos “$”.
Un servidor de seguridad remoto puede ser otra opción. Esta implementación utiliza una base de datos de seguridad
remota y provee servicios AAA para múltiples dispositivos de red y un gran número de usuarios o administradores
de red.
El método basado en servidor utiliza un recurso externo de servidor de base de datos a través de los protocolos
RADIUS (Remote Dial-in User Services) o TACACS+ (Terminal Access Control Access Control Server Plus). La
familia de productos ACS (Access Control Server) de Cisco soporta tanto TACACS+ como RADIUS, que son los
dos protocolos predominantes usados por los dispositivos de seguridad para la implementación de AAA.
Autenticación AAA
Son tres pasos los necesarios para configurar en un router Cisco un esquema AAA usando una base de datos local
para la autenticación. Es muy importante que protejas las interfaces de todos los routers que se tienen en una
infraestructura de red, con mayor razón los routers perimetrales o de borde ya que estos proporcionan en la
mayoría de los casos acceso a Internet. Los comandos AAA son usados para garantizar un acceso seguro a la red
local. La tabla siguiente compara los modos de acceso al router, tipos de puertos y los elementos de los comandos
AAA.
AAA tiene dos modos de acceso (caracter y paquete) que se resumen en la siguiente tabla:
Interfaz Modo Descripción
AUX Carácter Puerto auxiliar DTE
Consola Carácter Puerto de consola
TTY Carácter Puerto asíncrono
16
VTY Carácter Terminales virtuales
PPP Paquete Interfaces PPP, serial o ISDN
AppleTalk Remote Access
Arap Paquete
(ARA)
NASI Paquete NetWare Access Server
Interface o interfaz serie
Modos de acceso AAA. Autor: Ariganello, E. (2013)
Se requieren seis pasos para configurar un router Cisco para una autenticación loca:
Paso 1 Proteger el acceso al modo privilegiado o modo EXEC
Paso 2 Usar el comando aaa new-model para habilitar el esquema AAA globalmente en el router de
borde
Paso 3 Configurar las listas de autenticación AAA
Paso 4 Configurar el nivel de autorización AAA a asignar después de que el usuario ha sido autenticado
Paso 5 Configurar las opciones de registro de usuarios AAA
Paso 6 Verificar la configuración
Configurar la base de datos de autenticación local para los usuarios usando AAA
Para configurar en un router la utilización del esquema AAA, se debe ingresar primero el comando aaa new-
model. Este comando es crítico debido a que establece una cuenta de autenticación de usuarios utilizando AAA.
Para habilitar el método de autenticación local, se debe restablecer la sesión Telnet o de consola y utilizar la lista
de autenticación definida localmente para accesar al router debido a que se perderá la conexión durante la
configuración AAA. Si se pierde la conexión remota se requerirá acceso físico al equipo mediante el puerto de
consola y realizar una recuperación de contraseña. En casos muy extremos, la configuración salvada en la
NVRAM se perderá.
Los comandos mínimos requeridos son los siguientes y deben ingresarse en este orden:
Router(config)# aaa new-model

Router(config)# username nombre-de-usuario password contraseña
Router(config)# aaa authentication login default local
La siguiente es una lista complete de comandos aaa authentication para IOS Cisco 12.2 y
posteriores:
Comando Descripción
AppleTalk Remote Access Protocol (ARAP) para
usuarios que utilizan RADIUS o TACACS+.
aaa authentication arap
Ingresar el comando aaa authentication arap para
habilitar el esquema AAA.
Usar este comando para crear un login banner
aaa authentication banner
personalizado.
17
Utilizar este comando en modo de configuración
aaa authentication enable global para habilitar el esquema AAA y determinar
default si el usuario puede ejecutar comandos de nivel
privilegiado.
aaa authentication fail- Este comando crea el banner que se desplegará en

message pantalla cuando falla el acceso para un usuario.
Este comando se utiliza para indicar al IOS de
Cisco que busque primeramente en la base de
aaa authentication local-
datos local para autenticar a un usuario, antes de
override
intentar con algún otro método. La forma no del
comando deshabilita esta acción.
Este comando se utiliza para habilitar el esquema
aaa authentication login
AAA para autenticación.
Especifica la autenticación AAA para clientes
NetWare Access Server Interface (NASI) que se
aaa authentication nasi
conectan usando un servidor de acceso. La forma
no del comando deshabilita esta acción.
Se utiliza para cambiar el texto que se despliega
aaa authentication cuando los usuarios ingresan la contraseña. La
password-prompt forma no del comando regresa al texto por default
del nombre de usuario.
Se utiliza para especificar uno o más métodos de
autenticación AAA para su uso en interfaces
aaa authentication ppp
seriales que corren PPP. La forma no del comando
deshabilita esta acción.
Se utiliza para cambiar el texto mostrado cuando se
aaa authentication requiere que los usuarios ingresen su nombre de
username-prompt usuario. La forma no de este comando regresa el
texto default del prompt.
Diferentes tipos de comandos de autenticación AAA. Watkins, M. & Wallace (2008)
También es importante que estudies la función de estos tres comandos y como se utilizan en un ambiente
AAA:
 El comando aaa authentication login
 El comando aaa authentication ppp
 El comando aaa authentication enable default
Después de activar AAA globalmente en el servidor de acceso, se requiere definir las listas de métodos de
autenticación y aplicarlas en las líneas o interfaces. Estos son perfiles de seguridad para PPP, dot1x o login y
método de autenticación. También se debe especificar hasta cinco métodos de autenticación (local, grupo
TACACS+, grupo RADIUS, línea, o activación de autenticación) para aplicar a una línea o interfaz. El objetivo
18
de esta sección se centra en la base de datos de usuario local, si se desea trabajar con varios métodos de
autenticación, es una best practice tener activada la autenticación local como última opción en una lista de
autenticación para acceder al equipo debido a que si falla el enlace hacia el servidor de autenticación se pueda
ingresar al mismo.
Definir una lista de métodos
Para definir una lista de métodos de autenticación usando el comando aaa authentication, se requiere seguir los
siguientes pasos.
Paso 1 En Modo de configuración global, ingresar el comando aaa authentication para configurar una
lista de métodos de autenticación AAA:
 Indicar el servicio (PPP, dot1x, etc.) o autenticación login
 Usar una lista de métodos de autenticación o especificar un nombre de lista de métodos.
Asegurarse que la lista de métodos definida sobrescriba la existente después de
aplicarse sobre una interfaz. De no ser aplicada sobre la interfaz, la lista de métodos por
default entrará en función
 Una lista puede ser cualquier cadena de caracteres alfanumérica que desees. Puedes
configurar múltiples cadenas en un router, sin embargo, cada cadena tiene que tener
un único nombre
 Las listas de métodos son listas secuenciales que describen los métodos de autenticación
que deberían preguntarse cuando un usuario desea autenticarse. Esto permite al
administrador de la red designar uno o más protocolos de seguridad a usarse en la
autenticación, habilitando un sistema de respaldo por si el método inicial tiene algún
error, no está disponible o no es alcanzable
Paso 2 Especificar el método de autenticación (local, grupo TACACS+, grupo RADIUS o línea), y cómo
el router manejará las solicitudes cuando un método no está disponible. Por ejemplo, si un
servidor AAA está fuera Se pueden especificar hasta cuatro métodos.
Paso 3 Aplicar una lista de métodos de autenticación para cada uno de los siguientes:
a. Líneas. TTY, vty, consola, auxiliar, y líneas asíncronas, o el puerto de consola para
login o líneas asíncronas (en la mayoría de los casos) para ARAP.
b. Interfaces. Interfaces síncronas, asíncronas, y virtuales configuradas para PPP,
Protocolos de Interfaz de línea serial (SLIP), NASI, o ARAP.
Configurar la autenticación AAA para login
El comando aaa authentication login es usado en modo de configuración global para configurar la
autenticación AAA con el objeto de iniciar sesión en un puerto de administración del router. La siguiente es
una lista de estos comandos:
 aaa authentication login default enable este comando es utilizado para indicar un método de
autenticación por default de inicio de sesión usando enable password
19
 aaa authentication login console-in local especifica la lista de métodos de autenticación de inicio de
sesión llamada console-in usando el nombre de usuario y password de la base de datos local del router
 aaa authentication login tty-in este comando es usado para especificar una lista de autenticación de
inicio de sesión llamada tty-in usando la contraseña de línea configurada en el router
La sintaxis empleada para el comando aaa authentication es la siguiente:

aaa authenticacion login {default | list-name} method1 [method2…]
20
A continuación se describen los elementos del comando:
Elemento de comando Descripción

Especifica la lista por default de métodos de autenticación que
Default se utilizará cuando un usuario inicia sesión con base en los
métodos que siguen a este argumento.
Utilizado para nombrar la lista de métodos de autenticaciones
list-name
activa cuando un usuario inicia sesión
Una palabra clave debe ser especificada. Para usar la base de
datos local, usar la palabra clave local.
enable: El enable password es usado para la autenticación.
krb5: Kerberos 5 es usado para la autenticación.
krb5-telnet: El protocolo de autenticación Kerberos 5 es

utilizado cuando se intenta conectarse al router por Telnet.
line: El line password es utilizado para la autenticación.
local: El nombre de usuario local es utilizado para la

autenticación.
Method local-case: Activa la detección de mayúsculas y minúsculas

para la autenticación local de nombre de usuario.
none: No es utilizada la autenticación.
group radius: La lista de todos los servidores RADIUS es

utilizada para la autenticación.
group tacacs+: La lista de todos los servidores TACACS+ es

utilizada para la autenticación.
group group-name: Utiliza ya sea un subconjunto de

servidores RADIUS o TACACS+ para la autenticación como es
definido por el comando aaa group server radius o aaa group
Tonado
serverde:tacacs+.
Watkins, M. & Wallace (2008)
21
Configurar la autenticación AAA en interfaces seriales corriendo PPP
Se puede especificar uno o más métodos de autenticación para ser empleados en interfaces seriales utilizando PPP.
Para hacer esto, se debe de ingresar el comando aaa authentication ppp en modo de configuración global. A
continuación algunas opciones:
 aaa authentication ppp default local: Este comando es usado para especificar una lista de métodos de
autenticación PPP por default usando la base de datos nombre de usuario y contraseña local en el router
 aaa authentication ppp dial-in local none: Este comando se usa para especificar una lista de métodos de
autenticación PPP llamada dial-in. Debe de usarse al iniciar sesión, usando la base de datos local de nombre
de usuario y contraseña en el router. Si el nombre de usuario local no es definido, la autenticación falla
Usando el comando aaa authentication enable default
Para habilitar la autenticación AAA con el fin de determinar si un usuario puede ingresar a un nivel
privilegiado de comandos, ingresar aaa authentication enable default en modo de configuración global.
La sintaxis de este comando es la siguiente:
aaa authentication enable default method1 [method2…]
Los comandos de autenticación pueden ser aplicados en líneas e interfaces de los routers. Como una mejor práctica,
Router(config)# line console 0

Router(config-line)# login authentication console-in
Router(config)# int s3/0
Router(config-if)# ppp authentication chap dial-in
siempre se debe de definir una lista por default para proveer los medios de autenticación de “último recurso” en
todas las líneas o interfaces protegidas por AAA. El siguiente ejemplo muestra la aplicación de los comandos de
autenticación para las líneas e interfaces de un router.
Ahora se presenta el significado de estos comandos:
 line console 0 es usado para al modo de línea de consola
 login authentication console-in especifica una lista de autenticación llamada console-in para la
autenticación de inicio de sesión sobre el puerto de consola 0
 int s3/0 se utiliza para ingresar al modo de configuración del puerto 0 de la interfaz serial del slot
número 3
 ppp authentication chap dial-in especifica una liste de métodos de autenticación llamada dial- in para
utilizarse junto con la autenticación PPP CHAP sobre la interfaz serial 3/0
Autorización AAA
Una vez que los usuarios han sido autenticados exitosamente a través de una base de datos local o de un servidor,
se les autoriza el acceso a recursos específicos de la red. El nivel de autorización determina que comandos o
modificaciones puede ejecutar el usuario.
Por lo general la mayoría de infraestructuras de red que utilizan este esquema lo hacen a través de un servidor
utilizando un grupo de atributos creado que describe el acceso del usuario a la red. Estos atributos son comparados
22
con la información contenida dentro de la base de datos AAA y se determinan las restricciones para ese usuario,
que son enviadas al router local donde el usuario intenta ingresar. La autorización se otorga inmediatamente
después de que el usuario se autentica, por lo general es transparente ya que no se requiere participación de él.
Para configurar parámetros que restringirán el acceso al modo de configuración global hacia los routers o
usuarios que deseen acceder a la red, se requiere ingresar el comando aaa authorization desde el modo de
configuración global del equipo. La sintaxis de este comando se describe a continuación:
aaa authorization {network | exec | commands level | reverse-access | configuration} {default |
list-name} method 1 [method2…]
23
La siguiente tabla explica la sintaxis de los comandos aaa authorization:

Elemento de comando Descripción
Se utiliza para autorizar todas las solicitudes de
network servicio relacionadas con la red, como son SLIP, PPP
Network Control Protocol (NCP) y ARAP.
Para implementar la autorización con el fin de
exec determinar si un usuario tiene autorizado ingresar al
modo Exec.
Se utiliza para implementar la autorización de todos
commands
los comandos para un nivel específico de privilegios.
Para determinar el nivel de comandos que deberá
level autorizarse. Los valores se encuentran en un rango
de 0 a 15.
Se emplea para conexiones de acceso reverso, como
reverse-access
Telnet reverso.
Utilizado para descargar la configuración desde un
configuration
servidor AAA.
Se utiliza para mostrar los métodos de autenticación,
default list-name y method como la lista por default de
métodos para autorización.
Provee una cadena de caracteres usada para nombre
list-name
la lista de métodos de autorización.
Especifica el método a utilizar para la autenticación
usando una de las siguientes palabras clave:
group group-name: Especifica un subconjunto de

servidores RADIUS o TACACS+ usados para la
autenticación. Estos se definen con los comandos
aaa group server RADIUS o aaa group server
tacacs+.
method if-authenticated: Autoriza al usuario a accesar a la

función solicitada si él o ella han sido válidamente
autenticados.
krb5-instance: Es utilizado en conjunción con el

comando para especificar la instancia a utilizarse.
local: Especifica el uso de la base de datos local para

autorización.
none: No se lleva a cabo la autorización.
Tomado de: Watkins, M. & Wallace (2008)
24
A continuación se muestran algunos ejemplos del comando aaa authorization:
Router(config)#aaa authorization commands 15 default local

Router(config)#aaa authorization commands 1 juan local
Router(config)#aaa authorization commands 15 luis local
Router(config)#aaa authorization network carlos local none
Router(config)#aaa authorization exec donald if-authenticated
A continuación se explican los comandos anteriores:

 aaa authorization commands 15 default local: La base de datos de usuario local es empleada para
autorizar el uso de todos los comandos de nivel 15 para la lista de método por default
 aaa authorization commands 1 juan local: La base de datos de usuario local es utilizada para
autorizar todos los comandos de nivel 1 para la lista de método Juan
 aaa authorization commands 15 luis local: La base de datos de usuario local es empleada para
autorizar el uso de todos los comandos de nivel 15 para la lista de método Luis
 aaa authorization network carlos local none: La base de datos de usuario local es empleada para
autorizar todos los servicios de red, como son SLIP, PPP y ARAP, para la lista de método llamada
Carlos. Si el nombre de usuario local no es definido, este comando no implementa una autorización, y el
usuario puede utilizar todos los servicios de red
 aaa authorization exec luis if-authenticated: Si el usuario se ha autenticado, este comando le permite
correr procesos EXEC
Auditoría AAA
Además de la autenticación y la autorización, AAA provee servicio de auditoría para diferentes fines, el principal es
la seguridad. El registro de auditoría recolecta y reporta datos de uso para fines de auditoria de redes inclusive
emisión de facturas. Los datos recolectados pueden incluir el inicio y fin de conexiones, comandos ejecutados,
números de paquetes y número de bytes. El registro de auditoria proporciona un valor agregado a la autenticación.
Los servidores AAA mantienen un registro detallado de absolutamente todo lo que hace el usuario una vez
autenticado en el dispositivo. Esto incluye todos los comandos de configuración EXEC emitidos por el usuario. El
registro contiene varios campos de datos, incluyendo en nombre de usuario, la fecha y hora y el comando ingresado
por el usuario. Esta información es útil, al solucionar problemas en la red. También proporciona protección contra
ataques.
Para habilitar la auditoria AAA de una petición de servicio cuando se trabaja con servidores RADIUS o TACACS+, se
debe ingresar el comando aaa accounting desde el modo de configuración global. La sintaxis de este comando se
describe a continuación:
aaa accounting {auth-proxy | system | network | exec | connection | commands level} {default |
list-name} [vrf vrf-name] {start-stop | stop-only | none} [broadcast] group group-name
A continuación se describen cada uno de los elementos anteriores:
Elemento de Comando Descripción

25
Provee información acerca de todos los eventos de
auth-proxy
autenticación de usuarios a través de proxy.
Realiza auditorias de los eventos de los niveles de
system
sistema que no están asociados con los usuarios.
Realiza auditorias para todas las peticiones de
network servicio relacionadas con la red, incluyendo SLIP,
PPP, PPP NCP y ARAP.
exec Realiza auditoria para las sesiones EXEC.
Provee información acerca de todas las conexiones
connection
salientes hechas desde el NAS.
Realiza auditorias para todos los comandos del nivel
commands level específico de privilegios. Los niveles de privilegios
se asignan dentro del rango de 0 al 15.
Configura la lista predeterminada de métodos de
default auditoria basada en los métodos listados de
auditoria especificado por la lista de nombres.
La lista de al menos uno de los métodos de
list-name
auditoria.
vrf vrf-name Especifica una configuración para VRF.
Envía un aviso de “inicio” al iniciar un proceso y un
start-stop
aviso de “alto” al finalizar el proceso.
Envía un evento de auditoria de parada al finalizar el
stop-only
proceso solicitado por el usuario.
Deshabilita los servicios de auditoria en este línea o
none
interfaz.
Se trata de un comando opcional, el cual permite el
envío de los registros de auditoria hacia múltiple
servidores AAA. Los registros de auditoria son
broadcast enviados simultáneamente al primer servidor de
cada grupo. Si el primer servidor no responde, se
utiliza el servidor de respaldo definido para este
grupo.
Define la cadena de caracteres usada para nombrar
group group-name
el grupo de métodos de auditoria.
Tomado de: Watkins, M. & Wallace (2008)
Los siguientes son un par de ejemplos de la implementación de este comando:
Router(config)#aaa accounting commands 15 default stop-only group tacacs+

Router(config)#aaa accounting auth-proxy default start-stop group tacacs+
26
El primer ejemplo define un comando para una lista de métodos de auditoría predeterminada. Los servicios de
auditoria en este caso son proporcionados por un servidor de seguridad TACACS+ y se ha establecido para
comandos del nivel privilegiado 15. La restricción stop-only se ha configurado en este ejemplo.
El segundo ejemplo define una lista de métodos de auditoria predeterminada a través de una autenticación proxy, en
la cual los servicios de auditoria son otorgados por el servidor de seguridad TACACS+ para los eventos de
autenticación vía proxy con una restricción start-stop. El comando auth- proxy es utilizado para autenticar usuarios
de entrada o de salida, o ambos.
Resolución de problemas AAA a través de CLI para routers Cisco
El primer comando usado para resolver problemas AAA en routers Cisco es debug. Tres comandos
debug separados puedes ser utilizados para este fin:
 debug aaa authentication: Se utiliza para desplegar en pantalla mensajes debugging para el proceso de
autenticación AAA
 debug aaa authorization: Utilizar este comando para desplegar mensajes debugging para el proceso
de autorización AAA
 debug aaa accounting: Utilizar este comando para desplegar mensajes debugging para el proceso de
auditoría AAA
Cada uno de los comandos anteriores debe ser ejecutado en el modo privilegiado o modo EXEC. Para deshabilitar
debugging para cualquiera de las tres funciones anteriores, usar la forma no del comando, por ejemplo, no debug
aaa authentication.
Un router Cisco puede utilizar diferentes tipos de autenticación, ofreciendo cada uno diferentes niveles de seguridad.
La forma básica de autenticación son las contraseñas, sin embargo, este método posee gran vulnerabilidad a ataques
o algoritmos de fuerza bruta. Además, al utilizar este método, no se cuenta con registros de auditoria de ningún tipo.
Cualquier individuo que posea la contraseña puede ingresar al equipo de manera privilegiada y alterar la
configuración.
Para mitigar esto, el esquema de seguridad AAA provee una mejor solución al hacer que todos los dispositivos
accedan a la misma base de datos de usuarios y contraseñas a través de un servidor centralizado.
Básicamente el proceso AAA puede resumirse en estas tres preguntas:

¿Quién es usted?
Autenticación
¿Qué se le permitirá ejecutar?
Autorización
¿Qué ha estado haciendo en la red?
Auditoría
Cómo has estudiado en este tema, administrar una red no es sencillo, se requiere tener el control de distintos
aspectos, uno de los más importantes es la seguridad. El esquema AAA nos permite tener la flexibilidad de
utilizar esquemas de seguridad de acuerdo a las necesidades del administrador, ya sea utilizando una base de
datos local o recurriendo a un servidor de seguridad centralizado. Dada la gran cantidad de tipos de usuario que
27
deben de acceder a la red y a los dispositivos, se requiere habilitar distintos perfiles basados en el rol que cada
usuario tiene en relación a la red. El área de la seguridad de redes es muy amplia, hay distintos dispositivos que
se emplean para asegurar la red, sin embargo, en el presente tema se tocan dos tipos de servidores muy
importantes para la administración del esquema AAA, los cuales son TACACS+ y RADIUS, que a continuación
se estudiarán.
Actividad 2. Administración local y remota
Consulta el documento de actividades.

2.1.3 Introducción a TACACS+
Cómo has estudiado en la sección anterior el esquema AAA brinda una autenticación basada en perfiles la cual
tiene relación al rol de cada usuario respecto a lo que tienen autorizado ejecutar en la red. También estudiaste que
existe una autenticación local y una basada en servidor, las dos tienen ventajas, la decisión de utilizar una u otra
depende del administrador y del diseño de la red. Es importante tener como último recurso una autenticación y
autorización local, en caso de que falle el servidor remoto, por lo cual se considera importante que tengas un
panorama general de los dos tipos de servidores que se mencionó en la sección anterior.
28
Las ventajas de TACACS+ para la administración de la autenticación
Como administrador de la red, necesitas mantener completo control sobre los dispositivos de la red como routers,
switches and firewalls. También es necesario comprender el valor de Single Sing-On (SSO) como una métrica
para facilitar la administración de la red e incrementar la seguridad de la misma. Los recientes acuerdos legales
como PCI, HIPAA, SOX, y algunas otras que se exigen a las grandes organizaciones el cumplimiento de ciertos
estándares que definen las mejores prácticas actuales (Best Current Practices, BCP) en la seguridad de redes para
satisfacer los requerimientos
Regulatorios. Incluso si una empresa no requiere cumplir con estas regulaciones, sus clientes o socios de negocio
podrían si requerirlo, al igual que ellos podrían exigirlo de sus proveedores y partners.
Diferencias entre protocolos
RADIUS and TACACS+ son los dos principales protocolos utilizados para la Autenticación, Autorización y
Auditoría de los dispositivos de red de una organización. RADIUS fue diseñado para la autenticación y conexión
remota de usuarios a través de dial-up. TACACS+ es usando principalmente para el acceso de administradores a los
dispositivos de su infraestructura. Esto es evidente en el nombre de los protocolos. RADIUS significa Remote
Access Dial-In User Service, and TACACS+ es la contracción de Terminal Access Controller Access Control
Service Plus.
La diferencia funcional básica entre RADUIS y TACACS+ es que TACACS+ separa la función de Autorización, y
RADIUS combina la Autenticación con la Autorización. Aunque podría parecer un contraste simple, a nivel
operativo implica una diferencia significativa en la implementación del AAA en un entorno de redes corporativas.
RADUIS puede incluir información privilegiada en la respuesta a la solicitud de autenticación, sin embargo, este
protocolo sólo puede asignar el nivel privilegiado de acceso, lo cual puede generar confusiones e inconsistencia en
los resultados para el administrador, al tratar con dispositivos de diferentes marcas y proveedores ya que cada uno
puede inferir un nivel “privilegiado” distinto, debido a que no existe un estándar entre proveedores para la
asignación de privilegios al utilizar RADIUS.
RADIUS no almacena la bitácora de comandos ingresados por el administrador de red o

por los usuarios. Éste sólo registra el ingreso al dispositivo, la salida y algunos datos de
la sesión. Esto significa que si existe más de un usuario dentro del equipo ejecutando
comandos al mismo tiempo, no hay forma de distinguir que comandos ejecutó cada
usuario.
El protocolo TACACS+ fue diseñado para solucionar las limitaciones de RADIUS. TACACS+ es un protocolo
estandarizado desarrollado por el Departamento de Defensa de los Estados Unidos, y posteriormente mejorado
por Cisco Systems©. TACACS+ separa el proceso de autenticación, proporcionando flexibilidad y controles de
acceso granular sobre quién puede ejecutar determinados comandos en ciertos dispositivos de la red. Cada
comando ingresado bajo un proceso TACACS+ corriendo, es enviado al servidor central se seguridad
TACACS+ para la autorización de la ejecución del mismo, el cual busca el comando dentro de una lista
29
predefinida para cada usuario o grupo de usuarios, si lo encuentra permite su ejecución, de lo contrario la
deniega.
TACACS+ define políticas de autorización basadas en el usuario o administrador, tipo y ubicación del dispositivo,
inclusive, fecha y horario. El servicio TACACS+ puede ejecutarse sobre Windows Domain Controller o una PC,
utilizando los grupos o usuarios configurados localmente para controlar el acceso a los distintos dispositivos de la
red.
RADUIS fue diseñado para autenticar el ingreso a usuarios a la red. TACACS+ fue diseñado para permitir el
ingreso a administradores a la red bajo un esquema AAA. Sin embargo, RADIUS todavía puede ser utilizado para
administrar redes pequeñas, bajo la salvedad de no requerir autorización o si esta es una red homogénea, es decir,
que los equipos sean del mismo fabricante. En cualquier escenario donde exista un entorno de red heterogéneo y/o
la necesidad de políticas para el ingreso a los dispositivos bajo diferentes roles del personal, TACACS+ es la mejor
opción.
Comparación del proceso AAA en RADIUS y TACACS+
RADIUS vs TACACS+
Separa los 3 elementos de AAA brindando

Combina autenticación y autorización.
flexibilidad en la configuración.
Encripta sólo la contraseña. Encripta el nombre de usuario y la contraseña.
Requiere que cada dispositivo de red tenga una Administración central para la configuración de la
configuración de autorización individual. autorización hacia todos los equipos de la red.
30
No guarda registros de los comandos ingresados. Guarda todos los registros de todos los comandos
ejecutados.
Soporte mínimo por parte del fabricante para el Es soportado por la mayoría de los fabricantes de
proceso de autorización. dispositivos de red.
UDP – Sin conexión
TCP – Orientada a la conexión. TCP puerto 49.
UDP puertos 1645/1646, 1812/1813
Diseñado para usuarios AAA Diseñado para administradores AAA
Comparación de los protocolos AAA en RADIUS y TACACS+
Consideraciones de implementación
Por lo general no se implementa el protocolo RADIUS y el TACACS+ en el mismo servidor, puede percibirse como
una ventaja en instalarlos en la misma máquina debido a que los dos implementan el esquema AAA, sin embargo,
fueron desarrollados para diferentes propósitos, por lo que utilizan los recursos de diferente manera. Combinar estos
servicios puede traer costos altos en licencias innecesariamente además de comprometer la seguridad. En una red
empresarial, se puede crear un grupo asignado a los usuarios que se conectan remotamente y requieren un nivel de
privilegios menor, y otro grupo para los usuarios administradores que requieren un nivel privilegiado alto.
Los servidores TACACS+ deben de implementarse en una red interna segura y de plena confianza. No deberían
tener ningún contacto directo con redes no seguras o semi-confiables. RADIUS comúnmente se implementa en redes
semi-confiables.
31
Ambientes de implementación de servidores RADIUS y TACACS+
Si se implementa un servidor TACACS+ en una red semi-segura con una conexión hacia los Windows Domain
Controllers©, se tienen que abrir varios puertos para LDAP, SMB, Kerberos, etc. También se tendrán que abrir
puertos para DNS y NTP. Si se mantienen el servicio de TACACS+ dentro de una red segura, sólo se requerirá
abrir un puerto, TCP 49. Esto es facilita la administración e incrementa considerablemente la seguridad.
El servicio de TACACS+ debe implementarse lo más cerca posible de la base de datos de usuario, preferentemente
en el mismo servidor. Si se intenta utilizar Windows Active Directory© como la base de datos de usuario, el mejor
lugar para instalar el servidor TACACS+ es directamente en los Windows Domain Controllers©. TACACS+
requiere de una constante sincronización con el Dominio y cualquier problema de conexión de la red. Los problemas
con DNS en relación a las diferencias de tiempo pueden causar un fallo crítico del servicio. Al instalar TACACS+
en el mismo servidor que la base de datos de usuario puede incrementar significativamente el performance del
servicio.
32
Implementación de TACACS+ en un ambiente no confiable y confiable
Por último se destacan las características principales de TACACS+:

 RADIUS está orientado a usuarios AAA, TACACS+ está orientado a administradores AAA
 TACACS+ implementa la autorización y el registro por comando
 TACACS+ te permite configurar políticas de acceso por usuario, dispositivo, ubicación,
inclusive fecha y hora
 TACACS+ es soportado por la mayoría de dispositivos de red de diferentes fabricantes
 El servidor TACACS+ y RADIUS no debes de instalarse en el mismo servidor debido a que pueden
reducir la seguridad de la red e incrementar los costos de licencias
 TACACS+ debe ser implementado en un entorno de red seguro
 TACACS+ debe ser instalado lo más cercano posible a la base de datos de usuario,
preferentemente en el mismo servidor para minimizar los puntos de falla e incrementar el
performance
Actividad 3. Administración de usuarios bajo el esquema AAA y TACACS+

33
2.2 Detección y mitigación de ataques
Las grandes redes corporativas transfieren grandes cantidades de tráfico entre sus sitios a nivel nacional e incluso
alrededor del mundo, gran parte de este tráfico contiene datos personales de sus clientes información de la empresa
e inclusive transacciones financieras, por lo cual es necesario vigilar con diversas herramientas y mecanismos que
dicha información no se publique, intercepte o altere por entidades criminales durante su transmisión los distintos
medios.
A continuación estudiarás diversas herramientas y procesos que te permitirán identificar alguna posible infiltración a
la red o amenaza, además de la eliminación de vulnerabilidades que permiten la infiltración y ataque a la misma.
2.2.1 Analizadores de tráfico (sniffers)
El tráfico en Internet crece constantemente en cantidad, diversidad y complejidad, lo que implica un reto constante
para la infraestructura global, los hosts en la Internet crecen en número y sofisticación demandando cada vez
mayores recursos de telecomunicaciones. Los ataques a la red varían en diversidad y sofisticación. Por lo que
identificar patrones de comportamiento normal y anormal de tráfico, no es una tarea sencilla, utilizar estos patrones
para monitorear tráfico imperceptible es, por lo tanto, de primordial importancia.
Nuevas aplicaciones son introducidas constantemente, algunas sin especificaciones claras de su comportamiento
sobre la red o incluso tratando de ocultar su presencia, generando nuevos esquemas de comportamiento y tráfico de
contenido. Esta avalancha de transmisiones sobre la Internet permite la infiltración de gran cantidad de tráfico
malicioso en las comunicaciones que se realizan diariamente alrededor del mundo, lo que permite una amplia gama
de ataques subsecuentes como denegaciones de servicio y la generación de envíos masivos de correos electrónicos,
en el mejor de los casos. En casos extremos, mas no aislados, provocan la pérdida de información, generando
pérdidas millonarias a empresas de todos los tamaños y en algunos casos la quiebra de las mismas.
Por tanto, es de suma importancia la evolución a la par del monitoreo del tráfico sobre la red,
básicamente por dos razones:
 La primera, el monitoreo es necesario para identificar la actividad cotidiana en una red, por ejemplo, con
el fin de realizar el análisis del comportamiento o consumo de ancho de banda de una aplicación
determinada, identificar los puertos TCP o UDP utilizados en la transmisión de datos, la cantidad de
usuarios que acceden a un servidor en un data center, solicitud o envío de información no permitida,
puertos abiertos, el uso de aplicaciones no deseadas o restringidas por políticas de la empresa o negocio,
volumen excesivo de tráfico desde o hacia una IP determinada inclusive para identificar el
funcionamiento correcto de determinados servicios
34
 La segunda, identificar tráfico intrusivo, gusanos, virus, procesos de ataque, comportamiento de escaneo
agresivo y actividad maliciosa en general
Inicialmente te adentrarás en algunos aspectos de la seguridad de redes para dar paso posteriormente a los
analizadores de tráfico enfocados a la primera razón del monitoreo.
Seguridad en la red
Actualmente existen técnicas prestablecidas para la seguridad de las redes, sin embargo, con la evolución
constante de la tecnología nuevos paradigmas para el monitoreo de redes tienen que ser generados para ayudar a
los administradores a mantener sus redes libres de tráfico malicioso. Un requerimiento esencial para este
escenario es la automatización, por una parte se requiere gran inversión de tiempo para analizar la información
que arrojan las herramientas de monitoreo por parte de administrador, lo que sería imposible analizar
completamente por él toda la información que atraviesa la red permanentemente y detectar amenazas. Por lo tanto
se requiere de un sistema automatizado que analice la información que viaja en la red en tiempo real y de manera
constate, por lo cual se crearon dispositivos capaces de hacer esta tarea llamados firewalls, IDS (Intrusion
Detection System) e IPS (Intrusion Prevention System) que permiten analizar la gran cantidad de información que
cruza la red en tiempo real y eliminar tráfico malicioso.
Una Intranet es una red interna o privada basada en TCP/IP que permite el uso de navegadores web
para el acceso a su información, sólo pueden ingresar dispositivos configurados dentro de la LAN,
además puede utilizar recursos de la www para interconectar segmentos LAN ubicados en diferentes
zonas geográficas. Su direccionamiento es privado y por lo general tiene acceso a Internet.
La información se ha convertido en uno de los activos más importantes en nuestra sociedad. Demasiada
información se genera cada día en la gran nube de redes y la cual debe ser accesible para cualquier persona y en
otros casos sólo a personas autorizadas, para esto se requiere una figura de centinela que garantice la protección al
acceso a información confidencial.
La seguridad de red se refiere a todas las funciones de hardware y software, es decir;

características, procedimientos operativos, medidas de responsabilidad, controles de acceso,
políticas de gestión y administración requeridas para proveer un nivel aceptable de protección del
hardware, software y de la información que viaja sobre la red.
Los objetivos de la seguridad de redes están relacionados con tres puntos básicos:
 Disponibilidad. Garantiza que la información siempre esté disponible cuando se requiere
 Confidencialidad. Restricción del acceso a la información para personas no autorizadas
 Integridad. Asegurar que la información no sufra alteraciones durante su transmisión
35
Los ataques a las vías de telecomunicaciones intentan comprometer algunos de los tres puntos anteriores.
El límite entre los gusanos, virus y demás actividades maliciosas es cada vez más borroso, los ataques cada vez son
más sofisticados e involucran diferentes acciones que dificultan su identificación y mitigación. A manera de expresar
de manera global los diferentes ataques hacia los sistemas se creó el concepto de Malware que se refiere a todo tipo
de software malicioso.
Cada día se crean y se insertan a la red gran cantidad de malware, algunos han llegado a ser famosos por los efectos
devastadores en algunas corporaciones. Por mencionar algunos de estos: Sadmind, CodeRed, CodeRed II, Nimda,
Slammer, Blaster y Sober; que utilizando técnicas como DoS (Denials of Service) afectaron las operaciones de
varios sistemas alrededor del mundo.
Los diferentes tipos de malware pusieron en la mesa de los expertos en seguridad que no sólo la seguridad
perimetral es necesaria para evitar ataques, ya que una vez que los gusanos están dentro de la red, la seguridad
desde y hacia el exterior pierde sentido. Ten en cuenta que los diferentes dispositivos con los que cuentan los
usuarios como USB, disco duros portátiles, teléfonos celulares y demás equipos que pueden tener interacción con
las computadoras comprometen la seguridad desde adentro, por lo cual es necesario también el análisis de tráfico
interno que viaja por la Intranet.
Aun protegiendo el perímetro de la red y analizando el tráfico interno, existe otra forma de ataque que por su
repetición y utilización lo han conceptualizado como hacking social que implica ya no corromper sistemas sino a
las personas que los usan, lo que ha llevado a definir nuevas estrategias de combate y prevención para esta nueva
forma de ataque.
Hacking Social es el arte de obtener información confidencial a través de la

manipulación de usuarios legítimos. Es una técnica usada por delincuentes informáticos
para persuadir a la víctima y obtener información privada, acceso o privilegios en
sistemas de información, que les permita realizar algún acto que perjudique, exponga o
comprometa al usuario o alguna institución, causándole perjuicio.
Luchando por la seguridad de la red
La constante batalla que se ha llevado por la seguridad de las redes durante décadas ha generado una “carrera
armamentista”. Con los intrusos adoptando nuevas estrategias de ataque, los diseñadores de la seguridad crean
estrategias de mitigación, lo que se ha convertido en una carrera sin fin.
Considera que también esta carrera es un negocio de las grandes corporaciones al diseñar costosos dispositivos
de seguridad de redes para contrarrestar estos ataques.
Inicialmente se crearon los IPS al desarrollar mecanismos de prevención de infiltraciones que en lo posterior fueron
mejorados por los algoritmos implementados por los IDS al permitir la distinción del tráfico malicioso del que no lo es,
aun viajando dentro de la red interna de la empresa. Sin embargo, no importa lo sofisticados que sean estos dispositivos
y lo grande o compleja que sea la Internet, habrá personas que siempre intentarán violar la seguridad, la cuestión es qué
tan fácil será para ellos poder hacerlo. Desde un punto de vista técnico, la carrera armamentista es un factor constante
que impulsa el desarrollo de ataques más sofisticados y mejores técnicas de defensa.
Esta batalla está aquí para quedarse, a pesar de las mejoras tecnológicas que depara el futuro. Esta evolución no se rige
exclusivamente por la tecnología, los requisitos legales tratan de proteger los derechos de los usuarios a la privacidad de
36
los datos. Lo que obliga a toda institución o corporación de cualquier país del mundo a proteger su información y la de
sus clientes, con dispositivos analizadores de tráfico automatizados y sniffers, aunado a un constante monitoreo. Algo
que los atacantes siempre intentarán evadir.
Componentes de un analizador de paquetes
La evolución natural se refleja a través de la creación de nuevos tipos de tráfico malicioso. Ataques
automatizados vuelven “locas” a miles de computadoras a la vez, lo que permite ataques subsecuentes. Por
consiguiente es necesario distinguir el tráfico malicioso del benigno. Con esta premisa en mente se pueden
tomar varios pasos para lograr este objetivo
Un sniffer, mejor conocido como analizador de tráfico es un programa que puede observar el tráfico que pasa a
través de una red, decodificarlo y ofrecer información útil al administrador de la red para su interpretación y toma de
decisiones. En algunas ocasiones son también utilizados maliciosamente para conocer las contraseñas que viajan por
la red como texto plano, sin encriptación. Existen diversos analizadores de tráfico en el mercado uno muy popular es
conocido con el nombre de Wireshark (anteriormente Ethereal).
La herramienta básica para observar los mensajes intercambiados entre distintos protocolos es llamada sniffer o
analizador de paquetes. Un analizador de paquetes captura los mensajes que son enviados/recibidos desde/hacia
tu computadora, sino que también almacena y/o muestra los contenidos de varios campos de protocolo de los
mensajes capturados. Un analizador de paquetes es un software pasivo, es decir, está atento para husmear en los
mensajes que son enviados y recibidos por las aplicaciones y protocolos que corren en tu computadora, mas nunca
envía paquetes el mismo. Además, los paquetes recibidos nunca son dirigidos hacia el analizador de paquetes. En su
lugar, el analizador de paquetes recibe una copia de los paquetes que son enviados/recibidos desde/hacia las
aplicaciones y protocolos que se ejecutan en la computadora.
La siguiente figura muestra la estructura de un analizador de paquetes. En la derecha se encuentra los protocolos (en
este caso los protocolos de la Internet) y aplicaciones (como un navegador web o un cliente ftp) que normalmente se
ejecutan en una computadora. El analizador de paquetes, se muestra en el rectángulo de líneas punteadas como un
programa más ejecutándose en tu computadora, el cual se compone de dos partes.
Estructura de un sniffer de paquetes
37
 La biblioteca de captura de paquetes recibe una copia de todas las tramas de la capa de enlace de datos
que son enviadas/recibidas por la computadora. Los mensajes intercambiados por los protocolos de las
capas más altas como HTTP, FTP, TCP, UDP, DNS o IP todos son encapsulados eventualmente en una
trama de capa de enlace de datos que es transmita sobre un medio físico como un cable Ethernet. En la
figura de abajo se asume que el medio físico es cableado Ethernet, y todos los protocolos de capas
superiores se encuentran encapsulados en una trama Ethernet. La captura de todas las tramas de la capa
dos asegura que todos los mensajes enviados/recibidos desde/hacia todos los protocolos y aplicaciones
ejecutándose en la computadora sean enviados al sniffer.
 El analizador de paquetes muestra en pantalla el contenido de todos los campos dentro de un mensaje
de protocolo. Con el objeto de hacer esto, el analizador de paquetes debe “entender” la estructura de
todos los mensajes intercambiados por los protocolos. Por ejemplo, supon que estas interesados en
observar los diferentes campos de los mensajes que está intercambiando el protocolo HTTP. El
analizador de paquetes comprende el formato de las tramas Ethernet, y puede identificar el datagrama IP
dentro de una trama Ethernet. También puede comprender el formato del datagrama IP, además puede
extraer el segmento TCP dentro del datagrama IP. Finalmente, comprende la estructura del segmento
TCP y puede extraer el mensaje HTTP contenido en el segmento TCP.
Wireshark como uno de los sniffers más populares
Wireshark es uno de los sniffers más populares, este software despliega el contenido de los mensajes que son
enviados/recibidos desde/por los protocolos de las diferentes capas de la pila de protocolos. Técnicamente
hablando, Wireshark es un analizador de paquetes que usa la biblioteca de captura de paquetes en tu
computadora. Wireshark es software libre que puede correr en plataformas Windows,
Linux/Unix y Mac OS. Los componentes de la interfaz gráfica de usuario de Wireshark se muestran a
continuación:
38
Interfaz gráfica de usuario de Wireshark (GUI, Graphical User Interface)
La interfaz de Wireshark tiene cuatro componentes principales:

 El menú de comandos son menús estándar desplegables localizados en la parte superior de la ventana.
Aquí encuentras los menús File y Capture que son los básicos para la utilización del software. El menú
File permite guardar la lista de los paquetes capturados o abrir un archivo de una lista previamente
guardada. El menú Capture te permite seleccionar algunas opciones antes de iniciar la captura.
 La ventana de la lista de paquetes el cual despliega en un solo renglón el resumen con los datos de
cada paquete capturado, incluido el número de paquete (asignado por Wireshark; no es el número de
paquete contenido en la cabeza de un protocolo), el tiempo en el cual el paquete fue capturado, la IP de
origen y destino de cada paquete, el tipo de protocolo y la información específica de protocolo que
contiene el paquete. La lista de paquetes se puede acomodar de acuerdo a cualquiera de estas categorías
dando un click en el nombre de la columna. El campo de tipo de protocolo enumera el protocolo de
nivel más alto que envía o se recibe este paquete, es decir, el protocolo que es la fuente para este
paquete.
 La ventana de detalles de la cabecera del paquete provee los detalles acerca del paquete seleccionado
(resaltado) en la ventana del listado de paquetes. (Para seleccionar un paquete en la ventana de la lista de
paquetes, poner el cursor sobre el paquete y dar click sobre él). Estos detalles incluyen información
acerca de la trama Ethernet (asumiendo que el paquete es enviado/recibido sobre una interfaz Ethernet) y
el datagrama IP que contiene este paquete. La información de los detalles puede ser expandida o reducida
dando click en las cajas de “más” o de “menos” que se encuentran del lado izquierdo de la línea de la
trama Ethernet o del datagrama IP. Si el paquete es enviado sobre TCP o UDP, los detalles TCP o UDP
también serán mostrados, con las opciones de expansión y reducción. Finalmente, también se
39
proporcionan detalles sobre el protocolo de más alto nivel que envió o recibió este paquete.
 La ventana de contenido de paquete muestra todo el contenido de la trama capturada, en formato ASCII
y hexadecimal. Hacia la parte de arriba de la interfaz gráfica de usuario, se encuentra el campo de filtro
de los paquetes mostrados, en el cual se puede ingresar el nombre del protocolo o alguna otro dato con el
objeto de filtrar la información que se muestra en todas las ventanas.
40
Ventana de opciones de filtrado de Wireshark
Por lo tanto se finaliza resumiendo. Wireshark es un software analizador de protocolos, o aplicación “packet
sniffer”, que se utiliza para la resolución de problemas en la red; el análisis, el desarrollo de software y
protocolos, y en la educación.
Un packet sniffer es un software capaz de interceptar y registrar el tráfico de datos que pasa a través de una red. A
medida que los flujos de información circulan de un lugar a otro sobre la red, el sniffer “captura” cada PDU
(Unidad de datos del protocolo, Protocol Data Unit) y puede decodificar y analizar su contenido según la RFC
apropiada o con base en cualquier otra especificación.
Wireshark está programado para reconocer la estructura de varios protocolos de red. Esto permite mostrar la
encapsulación, los campos individuales de una PDU e interpretar su significado.
41
2.2.2 Puerto SPAN
La característica de un analizador de puerto de conmutación (Switched Port Analyzer, SPAN), también llamada
duplicación de puertos (port mirroring) o supervisión de puertos (port monitoring), recolecta el tráfico de red
para su análisis por un analizador de red.
¿Qué es un puerto SPAN y por qué es necesario?
SPAN es una característica que fue introducida en los switches Cisco debido a una diferencia fundamental entre
los switches y los hubs. Cuando un hub recibe un paquete por un puerto, el hub envía una copia del paquete por
todos los puertos excepto por el puerto donde recibió el paquete. Después de que un swtich se enciende, comienza
a construir la tabla de envío de capa dos (Content Addressable Memory, CAM table) basada en las direcciones
MAC de origen de los diferentes paquetes. Después de construir esta tabla, el switch envía el tráfico destinada a
cada dirección MAC por el puerto correspondiente.
Por ejemplo, si se desea capturar el tráfico Ethernet enviado desde el host A hacia el host B, y ambos están
conectados a un hub, se puede conectar un sniffer también a éste, y debido a su función básica de enviar una copia
por todos los demás puertos, se podrán tener una de ellas por cada paquete que se envíe del host A al B y viceversa.
Operación básica de un HUB común
En un switch, después de que la dirección MAC del host B es aprendida a través de un puerto, se generará
posteriormente tráfico unicast cuando el host A se comunique con el host B, ya que sólo se enviará por el puerto
conectado a B y no se enviará copia de este paquete por todos los puertos restantes, este es el comportamiento
42
básico por el cual se crearon los switches.
Comportamiento de un switch después de haber registrado la MAC de la PC B en su CAM
En el caso anterior, el sniffer sólo captará el tráfico tipo:

 Broadcast
 Multidifusión (multicast)
 Tráfico de unidifusión (unicast) desconocido
La inundación por unidifusión (unicast flooding) ocurre cuando el switch no tiene la dirección MAC de destino
en la tabla CAM. El switch no sabe por dónde enviar el tráfico, por lo tanto, el switch envía copia del paquete
por todos los puertos que se encuentren en la misma VLAN. Por lo cual una característica extra es necesaria
para que se envíe una copia de los paquetes por la interfaz que se encuentra conectado el sniffer.
43
El sniffer recibiendo copia de un paquete
En el diagrama anterior, el sniffer es conectado que es configurado para recibir una copia de todos los paquetes que
envía el host A y viceversa. Este puerto es llamado puerto SPAN.
Terminología SPAN
 Tráfico de ingreso: Tráfico que entra al switch

 Tráfico de egreso: Tráfico que sale del switch
 Puerto SPAN fuente: El puerto que es monitoreado con la característica SPAN
 Puerto SPAN VLAN: La VLAN cuyo tráfico es monitoreado con la característica SPAN
 Puerto SPAN destino: El puerto que funciona de monitor para el puerto origen, usualmente se encuentra
conectado a este puerto el analizador de red
 Puerto reflector: Un puerto que copia los paquetes a un puerto RSPAN VLAN
 Puerto monitor: Un puerto monitor también es un puerto destino para algunos modelos se switch
Catalyst ©
44
Identificación de puertos SPAN origen y destino
 SPAN Local: La característica de SPAN cuando los puertos fuente están localizados en el mismo
switch en donde se encuentra el puerto destino
 SPAN Remoto (RSPAN): Los puertos fuente se encuentran en un switch distinto al puerto SPAN
destino. RSPAN es una característica avanzada que requiere una VLAN especial para llevar el tráfico
que es monitoreado por SPAN entre switches
 Puerto base SPAN (PSPAN): El usuario especifica uno o varios puertos fuente en un switch y un
puerto destino
 SPAN basado en VLAN (VSPAN): En un switch particular, el usuario puede monitorear todos los
puertos que pertenecen a una VLAN en particular
 SPAN Mejorado (Enhanced SPAN version, ESPAN): Este término ha sido utilizado muchas veces
durante la evolución de SPAN con el objeto de nombrar las mejoras adicionales. Sin embargo el
término puede no ser claro, por lo cual en muchos documentos y libros ha sido omitido
 Fuente administrativa: La lista de los puertos fuente o VLANs que se han configurado para ser
monitoreadas
 Fuente operacional: La lista de puertos fuente que son correctamente monitoreados. Esta lista puede ser
diferente de la fuente administrativa. Por ejemplo, un puerto que este apagado puede aparecer como
fuente administrativa, mas no como fuente operacional
Ejemplo de configuración
45
El siguiente ejemplo muestra la configuración de dos sesiones SPAN concurrentes:
 Interfaz Fastethernet0/1 (Fa0/1) monitorea el tráfico de envío y recepción de los puertos Fa0/2 y Fa/05.
El puerto Fa0/1 también monitorea el tráfico la interfaz de administración VLAN 1
 Los puertos Fa/03, Fa0/4 y Fa/06 pertenecen a la VLAN 2. Los puertos restantes pertenecen a la VLAN
1 que es la de default
El diagrama que vas a utilizar de ejemplo para la configuración es el siguiente:
Creación de dos sesiones SPAN concurrentes
46
A continuación se muestra la configuración del diagrama anterior:

Comandos Descripción
Se ingresa al modo de configuración de la interfaz Fa0/1 con el
objeto de que esta interfaz sea el destino, se configura los puertos
!
que monitoreará esta interfaz, los cuales son Fa0/2 y Fa0/5. Cada
interface FastEthernet0/1
paquete que se reciba o se envíe por los puertos Fa0/2 y Fa0/5 se
port monitor FastEthernet0/2
enviará una copia al puerto Fa0/1. El comando port monitor
port monitor FastEthernet0/5
VLAN1 indica que también se monitoree la interfaz administrativa,
port monitor VLAN1
no indica que se monitoree la VLAN1 en su totalidad.
!
No es necesario ingresar Fa0/1 a la VLAN1 debido a que por
default todas las interfaces se encuentran dentro de esta VLAN.
!
Ingresa la interfaz Fa0/3 a la VLAN 2.
switchport access vlan 2
! Se ingresa al modo de configuración de la interfaz Fa0/4 con el

interface FastEthernet0/4 objeto de que esta interfaz sea el destino, se configura los puertos
port monitor FastEthernet0/3 que monitoreará esta interfaz, los cuales son Fa0/3 y Fa0/6. Cada
port monitor FastEthernet0/6 paquete que reciba o se envíe por los puertos Fa0/3 y Fa0/6 se
switchport access vlan 2 enviará una copia al puerto Fa0/4. Se ingresa el puerto Fa0/4 a la
VLAN2.
!
Se ingresa el puerto Fa0/6 a la VLAN 2.
switchport access vlan 2
!
!
interface VLAN1
ip address 10.200.8.136
255.255.252.0 Se configura la interfaz de administración VLAN 1.
no ip directed−broadcast
no ip route−cache
!
Finalmente con el comando show port monitor en modo enable observa la configuración aplicada.
47
Switch#show port monitor

Monitor Port Port Being Monitored
−−−−−−−−−−−−−−−−−−−−− −−−−−−−−−−−−−−−−−−−−−
FastEthernet0/1 VLAN1
FastEthernet0/1 FastEthernet0/2
Salida del comando show port monitor de la configuración anterior
2.3 Escenario de ataque
Existen gran variedad de ataques que pueden utilizarse para infiltrarse en una red de computadoras. Para ayudar a
mitigar este tipo de problemas, Cisco Systems © recomienda el esquema de defensa en profundidad como parte
de la colección de sus mejores prácticas de seguridad.
Vulnerabilidades
Una vulnerabilidad en un sistema de información es una debilidad que un atacante podría utilizar para ganar acceso
no autorizado hacia el sistema y los datos. En algunos casos, después que la vulnerabilidad es descubierta, los
atacantes escriben un código de programación para intentar atacar a través de dicha vulnerabilidad. Este tipo de
programas se conocen como “explotadores”.
Sin embargo, incluso si un sistema tiene una vulnerabilidad, la probabilidad de que varios atacantes puedan
causar diversos daños es alta.
Cuando se diseñen esquema contra vulnerabilidades en una red, se deben considerar varios tipos de
ellas. Por ejemplo, considerar la siguiente lista de vulnerabilidades es muy recomendable:
 Vulnerabilidad física, como un incendio, un terremoto, o tornado
 Debilidades en el diseño de la red
 Debilidades de los protocolos implementados sobre la red
 Debilidades de código de los servidores y sistemas
 Configuración de los dispositivos que no cumpla con los estándares o mejores prácticas
 Software malicioso, por ejemplo virus
 Vulnerabilidades humanas
Por ejemplo, considerar una vulnerabilidad humana podría ser la siguiente. Un ataque hacia la red o los sistemas
empresariales podría ocurrir desde adentro, es decir, por algún trabajador del departamento de TI o de alguna
48
otra área de la empresa, los cuales por lo general utilizan un nombre de usuario y una contraseña, y una vez
ingresado a la red ejecutar su ataque que puede ser motivado por distintas razones.
Ataques potenciales
Otro aspecto importante a considerar para la defensa de los datos que viaja sobre la red es definir una lista de los
diferentes perfiles de posibles atacantes como: personal de la competencia, empleados de la misma empresa,
hackers y hasta terroristas.
Como lo has visto en otras asignaturas el término “hacker” es usualmente utilizado para describir a cualquier
persona que intente o logre ingresar a un sistema o red sin autorización, con el objeto de realizar algún
movimiento o ejecución maliciosa.
A manera de recordatorio se presenta la siguiente tabla muestra diferentes tipos de “hackers” :

Tipo de Hacker Descripción
Hacker de sobrero Posee las habilidades para infiltrase en sistemas de computaras y
blanco. causarles algún daño. Sin embargo utiliza sus conocimientos para ayudar
a las organizaciones a reforzar sus seguridad y a prevenir ataques mal
intencionados. En la mayoría de los casos son auditores de seguridad de
redes corporativas.
Hacker de sobrero negro También conocido como “cracker”, utiliza sus habilidades para realizar
daños a los sistemas, robar información confidencial o desviar fondos.
Hacker de sobrero gris Utilizan sus habilidades sociales e informáticas para realizar actividades
maliciosas aparentando realizar acciones inofensivas, por lo general son
empleados de las compañías y sus ataques son desde el interior de la red.
Phreaker Es el hacker de la PSTN. Se infiltra en los sistemas telefónicos de algún
proveedor de servicio de voz y realizar llamadas de larga distancia.
Script kiddy Por lo regular son personas que intentan realizar las acciones de un
Hacker empleado software no diseñados por ellos como herramientas de
ataque.
Hacktivist Hacker con motivaciones políticas, por lo regular alteran o derriban
páginas web de candidatos políticos para desprestigiar o realizar
actividades prejuiciosas hacia ellos.
Como observas en el cuadro anterior, hay hackers en diversos “tamaños y sabores” lo que invita a la pregunta
¿qué motiva a una persona a ser hacker?. Algunos hackers éticos trabajan para entidades gubernamentales en la
protección de su información estratégica, y los mal intencionados su motivación, por lo general, es obtener
dinero. Otras personas se convierten en hacker por afición o hobby, ya que les apasiona el mundo de la
seguridad. No importan que es lo que motive a una persona a convertirse en hacker, lo que importa es
protegerse de sus ataques.
2.3 Protección (Hardening)
49
Al instalar por primera vez los routers Cisco, éstos vienen de fábrica con múltiples servicios e interfaces
activadas que no son necesarias que permanezcan activas, ya que representan vulnerabilidades de seguridad
potenciales. El proceso de desactivar los servicios innecesarios es llamado “hardening” de un router, en español
se puede traducir como “aseguramiento de un router, o protección de un router”. En esta sección estudiarás las
prácticas recomendadas por Cisco para proteger un router.
2.3.1 Servicios e interfaces potencialmente vulnerables (Hardening)
Además de deshabilitar los servicios e interfaces no necesarios o no utilizados, el tráfico de administración no

seguro de un router puede suponer una amenaza a la seguridad. Por ejemplo, un atacante puede comprometer un
router interceptando el nombre de usuario y contraseña para el inicio de sesión. También abordarás los protocolos
de gestión y la presentación de informes así como aplicaciones tales como syslog, Secure Shell (SSH), y el
aspecto de seguridad de SNMPv3.
Identificando los servicios e interfaces potencialmente vulnerables en un router
Se identificarán inicialmente los servicios en los routers que son susceptibles a ataques y se explicará cómo puede
ser comprometida la seguridad a través de varios servicios de administración que poseen.
Uno de los pasos más obvios para asegurar un router es apagar administrativamente cualquier interfaz que no se
utilice usando el comando shutdown dentro de su modo de configuración. Otro aspecto importante en el
aseguramiento implica desactivar los servicios innecesarios.
Afortunadamente, el aseguramiento de un router no requiere conocimientos avanzados en cómo un atacante puede

comprometer su seguridad a través de servicios específicos. Sin embargo, es preciso estar familiarizado con los
servicios que se ejecutan en el router, los cuales podrían o no ser necesarios. Si un servicio no es necesario,
comúnmente es deshabilitado para prevenir que se convierta inadvertidamente en un hoyo de seguridad.
La siguiente tabla muestra un resumen de varios servicios y características disponibles en muchos routers
Cisco.
Características del IOS Descripción

Servidor de protocolo Bootstrap Permite al router operar como un servidor BOOTP para otros
(BOOTP) routers
Protocolo de descubrimiento de Un protocolo de capa 2 que permite conocer al router la
Cisco (CDP, Cisco Discovery información de los dispositivos que están conectados
Protocol) directamente a él (por ejemplo, información de la plataforma)
50
Soporte para que el router cargue su configuración
Autocarga de la configuración
directamente desde un servidor de red
Permite a un router actuar como un servidor FTP para la

Servidor FTP
transferencia de archivos
Permite al router actuar como un servidor TFTP, el cual no
Servidor TFTP
requiere autenticación
Protocolo de tiempo de red (NTP, Permite al router actuar como una fuente de sincronización de
Network Time Protocol) tiempo para otros dispositivos de red
Ensablador/Desensamblador de
paquetes (PAD, Packet Permite el acceso a comandos X.25
Assembler/Disassembler)
Permite la ejecución de varios procesos utilizados para
TCP/UDP servicios menores
diagnósticos
Protocolo de operación de
Utilizado como un protocolo de mantenimiento en ambientes
mantenimiento (MOP, Maintenance
con dispositivos de Digital Equipment Corporation (DEC)
Operation Protocol)
Protocolo de administración simple Permite que el router se comunique con una estación de
(SNMP) administración de red que utiliza SNMP
HTTP/HTTPS configuración y Soporta el monitoreo y configuración vía un navegador web
monitoreo (por ejemplo, la interfaz SDM de Cisco)
Servicios de nombres de dominio Permite al router enviar solicitudes DNS para la resolución de
(DNS, Domain Name Service) direcciones IP
Redirecciones del protocolo de
Un mensaje redireccionando ICMP es enviado por el router
mensajes de control de Internet
para notificarle a los hosts que existe una mejor rute disponible
(ICMP, Internet Control Message
para un destino en particular
Protocol)
Permite que el router envíe un paquete IP con una ruta
Enrutamiento IP de origen
prestablecida a seguir hasta su destino
Despliega los usuarios que actualmente están conectados al
Servicio de identificación
equipo
Notificaciones de ICMP inalcanzable Notifica al emisor del paquete si su destino es inalcanzable
Permite al router enviar un mensaje de respuesta de máscara
ICMP, la cual contiene la máscara de una dirección IP
Máscara ICMP
configurada en una interfaz, en respuesta de una solicitud de
máscara ICMP
Servicio de identificación de IP Identifica al iniciador de una conexión TCP
Notificaciones de actividad TCP Permite que el router finaliza conexiones TCP inactivas
Permite al router que acepte réplicas de solicitudes del
ARP gratuito protocolo de resolución de direcciones (Address Resolution
Protocol) que él mismo no solicitó
51
Permite que el router funcione como un puente de capa 2
ARP Proxy respondiendo a solicitudes de ARP en nombre de otro
dispositivo de red (por ejemplo, un servidor de red)
Permite al router propagar un mensaje en multidifusión
Multidifusión IP direccionada
originado en un subred y destino hacia otra subred
2.3.2 Cisco Auto-Secure
Protegiendo el IOS del router Cisco
Parecería demasiado engorroso tratar de proteger al router deshabilitando uno por uno de los servicios
anteriores. Para esto existe un comando que ejecuta de manera automática el aseguramiento del equipo y que
además es recomendado como una best practice.
El comando auto secure le indica al IOS deshabilitar los servicios vulnerables de manera automática, el cual
despliega una breve explicación y un corto menú interactivo en consola.
A continuación se muestra el menú interactivo que muestra el equipo al ejecutar el comando anterior, las letras en
azul es lo ingresado por el usuario:
Router#
Router#auto secure
--- AutoSecure Configuration ---

*** AutoSecure configuration enhances the security of
the router, but it will not make it absolutely resistant
to all security attacks ***
AutoSecure will modify the configuration of your device.

All configuration changes will be shown. For a detailed
explanation of how the configuration changes enhance security
and any possible side effects, please refer to Cisco.com for
Autosecure documentation.
At any prompt you may enter '?' for help.
Use ctrl-c to abort this session at any prompt.
Gathering information about the router for AutoSecure
Is this router connected to internet? [no]: yes

Enter the number of interfaces facing the internet [1]: 1
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 unassigned YES unset administratively down down

52
FastEthernet0/1 unassigned YES unset administratively down down
Vlan1 unassigned YES unset administratively down down
53
Enter the interface name that is facing the internet: Fastethernet0/0
Securing Management plane services...
Disabling service finger

Disabling service pad
Disabling udp & tcp small servers
Enabling service password encryption

Enabling service tcp-keepalives-in
Enabling service tcp-keepalives-out
Disabling the cdp protocol
Disabling the bootp server

Disabling the http server
Disabling the finger service
Disabling source routing
Disabling gratuitous arp
Here is a sample Security Banner to be shown

at every access to device. Modify it to suit your
enterprise requirements.
Authorized Access only

This system is the property of So-&-So-Enterprise.
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
You must have explicit permission to access this
device. All activities performed on this device
are logged. Any violations of access policy will result
in disciplinary action.
Enter the security banner {Put the banner between

k and k, where k is any character}: k Acceso restringido, equipo de la UNADM, todo ingreso no
autorizado sera perseguido bajo las leyes del estado k
Enable secret is either not configured or
is the same as enable password
Enter the new enable secret: $jie5!8h1
Confirm the enable secret: $jie5!8h1
Enter the new enable password:dher74h3$
Confirm the enable password: dher74h3$
54
Configuration of local user database

Enter the username: unadm
Enter the password: d$hafu/#
Confirm the passord: d$hafu/#
Configuring AAA local authentication

Configuring Console, Aux and VTY lines for
local authentication, exec-timeout, and transport
Securing device against Login Attacks
Configure the following parameters
Blocking Period when Login Attack detected: 20
Maximum Login failures with the device: 10
Maximum time period for crossing the failed login attempts: 5
Configure SSH server? [yes]: no
Configuring interface specific AutoSecure services

Disabling the following ip services on all interfaces:
Disabling mop on Ethernet interfaces
Securing Forwarding plane services...
Enabling CEF (This might impact the memory requirements for your platform)
Enabling unicast rpf on all interfaces connected
to internet
Configura CBAC Firewall feature? [yes/no]: no
Tcp intercept feature is used prevent tcp syn attack
on the servers in the network. Create autosec_tcp_intercept_list
to form the list of servers to which the tcp traffic is to
be observed
Enable tcp intercept feature? [yes/no]: no
This is the configuration generated:
!
service password-encryption
no cdp run
access-list 100 permit udp any any eq bootpc
banner motd acceso restringido, equipo de la unadm, todo ingreso no autorizado sera perseguido bajo
55
las leyes del estado

enable secret 5 $1$mERr$12j0ZLMIQL1o8Rv00ex9Z/
enable password 7 0824425A1B1817021C0A0809
username alberto password 7 0824425A1B1817161E0909163E24
aaa new-model
aaa authentication login local_auth local
line con 0
login authentication local_auth
exec-timeout 5 0
transport output telnet
line vty 0 4
login authentication local_auth
transport input telnet
service timestamps debug datetime msec
service timestamps log datetime msec
logging trap debugging
logging console
logging buffered
Apply this configuration to running-config? [yes]: yes

Applying the config generated to running-config
The name for the keys will be: test.test
% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-exportable...
*Mar 1 22:56:41.001: %SYS-3-CPUHOG: Task is running for (2007)msecs, more than
(2000)msecs (0/0),process = crypto sw pk proc.
-Traceback= 0x824198E0 0x82419FC4 0x8283C238 0x82866AD8 0x828667A8 0x82865D34 0x
828660F4 0x82866510 0x802335D4 0x80236D80 [OK]
Router#
Menú interactivo que ejecuta el comando auto secure y ejemplo de respuestas
56
2.3.3 Seguridad en redes inalámbricas
El objetivo de esta sección es identificar los aspectos de seguridad que se requieren implementar en una red
inalámbrica corporativa y proveer un panorama general de las características de seguridad del estándar 802.11
actualmente disponibles. El Acceso Protegido Wi-Fi (Wi-Fi Protected Access, WPA) y WPA2, como también el
antiguo Privacidad Equivalente a Cableado (Wired Equivalent Privacy, WEP) también serán estudiados.
WEP es el mecanismo de seguridad inicial especificado en el estándar original 802.11 y fue sustituido por la
actualización 802.11i. Inicialmente el estándar 802.11 tuvo algunos defectos los cuales se trataron de corregir con la
introducción de 802.11i. Estas nuevas mejoras de seguridad cumplen con los requerimientos de confidencialidad en
las comunicaciones que demandan las redes empresariales con la implementación de autenticación y encriptación.
Terminología
El siguiente cuadro explica la terminología que utilizarás a lo largo del tema:

Término Descripción
Dispositivo inalámbrico que solicita/pretende
El suplicante incorporarse a una red inalámbrica, por lo general
se trata de un dispositivo móvil o una Laptop.
Se refiere a un cliente LAN inalámbrico, por
Cliente inalámbrico
ejemplo, una Laptop.
Es un servidor AAA basado en el protocolo
Servidor de autenticación
RADIUS
Dispositivos que gestiona los puntos de acceso
Controlador LAN Inalámbrico
inalámbricos.
La siguiente ilustración muestra los roles básicos y las relaciones que involucra el proceso de autenticación
802.1X. El suplicante (Cisco Secure Service Client, CSSC) 802.1X reside en el cliente inalámbrico, el punto de
acceso y el Controlador LAN Inalámbrico (Wireless LAN Controller, WLC), a través de la arquitectura de
división de MAC, actúa como el autenticador 802.1X, y el Servidor AAA es el Servidor de Autenticación. Esta
imagen también ilustra el rol de 802.1X y el protocolo RADIUS en el proceso EAP (Extensive Authentication
Protocol) entre el cliente y el servidor de autenticación.
57
Diagrama de una topología inalámbrica segura
Fundamentos del estándar IEEE 802.11
El estándar inalámbrico LAN 802.11 consiste en los siguientes componentes básicos y

comportamientos:
 Trama de notificación de actividad (Beacon): Utilizada para indicar la presencia de una red LAN
inalámbrica
 Sondeo (Probe): Utilizado por los clientes de redes LAN inalámbricas para encontrar las redes
disponibles
 Autenticación: Característica definida en el estándar 802.11 original
 Asociación: El proceso de establecer un vínculo entre un punto de acceso y un cliente de red
inalámbrico
Las guías son regularmente enviadas por broadcast por el punto de acceso, sin embargo, el sondeo, la autenticación,
y la asociación de tramas son generalmente usadas durante los procesos de asociación y reasociación.
Trama de notificación de actividad
Las tramas de notificación de actividad de una red LAN inalámbrica, contiene la información de configuración
acerca del punto de acceso, como el SSID (Service Set Identifier) que en términos coloquiales es el nombre de la
red, la tasa de bits soportada y la configuración de seguridad para la LAN inalámbrica.
El propósito primario de las tramas de notificación de actividad es permitir a los clientes de una red inalámbrica
conocer qué redes están disponibles en el área. Esto permite a los clientes inalámbricos escoger una red para tratar
de asociarse a ella.
58
Muchos documentos de redes inalámbricas relacionados con la seguridad sugieren el envío de tramas de notificación
de actividad sin el SSID como una práctica recomendada, con el objeto de ayudar a prevenir ataques potenciales por
hackers, al denegarles la identificación de las redes que están al alcance. Todas las soluciones empresariales de redes
LAN inalámbricas ofrecen esta capacidad como una opción, sin embargo, esta opción ayuda en poco, debido a que
el SSID puede ser fácilmente descubierto durante un intento de asociación, además algunos cliente de LAN
inalámbricas dependen de la información del SSID que existe en la trama de notificación de actividad ya que no
hace confiable la asociación con una red inalámbrica si no publica su información SSID. Por estas razones, es una
buena opción difundir la información de SSID en la trama de notificación de actividad.
Asociación, el proceso de unión

Un cliente 802.11debe de recorrer un proceso de tres estados antes de permitirle enviar datos sobre una red LAN
inalámbrica:
 Buscar una red LAN inalámbrica disponible. En una red empresarial, la búsqueda de una red
disponible involucra un sondeo de solicitud en múltiples canales y especificando el SSID de la red, los
requerimientos de la tasa de muestreo, y la configuración de seguridad requerida.
 La autenticación 802.11: 802.11 soporta dos mecanismos de autenticación, autenticación abierta y
autenticación de llave compartida. La autenticación abierta es básicamente una red sin autenticación en
la cual los clientes solicitan el ingreso a la red y el punto de acceso responde positivamente. La
implementación de la autenticación de llave WEP compartida
802.11 no es recomendable, sin embargo, se debe incluir en los dispositivos por cumplimiento del
estándar. Por cuestiones de seguridad, en una empresa la llave WEP compartida no es recomendable y
no se debería usar.
La autenticación abierta es la única autenticación usada en implementaciones de red LAN inalámbricas
empresariales. Como previamente se mencionó, la red LAN inalámbrica con autenticación abierta
implica que no existe autenticación, la autenticación real acurre después de la asociación a través de los
mecanismos de autenticación 802.1X y EAP.
 Asociaciones 802.11. Esta etapa finaliza la seguridad y la velocidad de bits y establece el enlace de datos
entre el punto de acceso y el cliente. En redes corporativas el punto de acceso bloquea el tráfico de todos
los clientes hasta que se haya autenticado correctamente a través del estándar 802.1X. Si el cliente ha
obtenido acceso a la red inalámbrica y pasa de un punto de acceso hacia otra red la asociación es llamada
reasociación. La diferencia principal entre una asociación y una reasociación es que la reasociación
envía la dirección básica MAC (BSSID) del punto de acceso previo en la solicitud de reasociación, para
proveer información de roaming con el objeto de extender la red.
59
Solicitud de sondeo y respuesta de sondeo
SSC (Secure Service Client) puede ser configurado con las redes LAN inalámbricas, el cual habilita el cliente
inalámbrico para enviar una solicitud de sondeo que contiene el SSID de la red inalámbrica a la que se desea
ingresar.
Si el cliente trata de descubrir las redes inalámbricas disponibles en la zona, éste puede enviar una solicitud de
sondeo sin el SSID. Cuando esto ocurre, todos los puntos de acceso que están configurados para responder a este
tipo de solicitud envían una respuesta. Las redes inalámbricas sin la habilitación de broadcast SSID no responderán
a esta solicitud.
Asociación
La asociación y las tramas de respuesta de asociación proveen el acuerdo final para la velocidad de datos y
parámetros de seguridad. Cuando este proceso se ha completado, las tramas de datos 802.11 pueden ser enviadas
entre el cliente y el punto de acceso. En implementaciones de redes inalámbricas corporativas, estas tramas de datos
están limitadas a tramas 802.1X entre el cliente y el punto de acceso hasta que la autenticación 802.1X o EAP es
completada exitosamente.
El proceso de asociación también tiene una trama de disociación relacionada usada para desconectar un cliente del
punto de acceso. Esta trama de disociación es envidada por unicast.
Reasociación
La reasociación ocurre cuando un cliente inalámbrico se mueve fuera del rango del punto de acceso al que se
encuentra conectado y se tiene que realizar roaming hacia otro punto de acceso. El proceso de reasociación es
similar al proceso de asociación, excepto cuando se efectúa roaming, el nuevo y el anterior punto de acceso
intercambian la información del cliente inalámbrico por conexión cableada.
Cuando el cliente inalámbrico realiza el proceso de roaming hacia un nuevo punto de acceso, el proceso de
reasociación informa a la red que el cliente se ha movido a otra localidad. El cliente inalámbrico envía una trama de
reasociación al nuevo punto de acceso, el cual contiene la información del punto de acceso anterior. El nuevo punto
de acceso se comunica con el anterior sobre un enlace alámbrico para verificar que el cliente estuvo previamente
asociado al anterior. Si efectivamente el cliente estuvo asociado al anterior, el nuevo punto de acceso efectúa el
proceso de reasociación con el cliente; en su defecto, envía una trama de disociación.
Después del envío de la respuesta de reasociación, el nuevo punto de acceso se comunica con el anterior
nuevamente, para concluir con el proceso de reasociación. Todas las tramas almacenadas en el buffer del anterior
punto de acceso se envían al nuevo en su totalidad. Después de completar el proceso de reasociación, el nuevo
punto de acceso comienza con el procesamiento de tramas procedentes del cliente.
60
Autenticación
Primeramente, existen dos modos de autenticación 802.11: modo abierto y modo compartido. El proceso de
autenticación 802.11 en sí sólo provee la seguridad nominal y es utilizada comúnmente en redes inalámbricas
domésticas en las cuales no se requiere mayor seguridad. Los usuarios domésticos que requieren ingresar a redes
empresariales, por ejemplo, de su trabajo, a través de puntos de acceso que no están configurados con el protocolo
802.1X, deben establecer un túnel VPN utilizando SSC.
Existe otro tipo de trama llamada trama de fin de autenticación. Cuando una trama de fin de autenticación es
recibida por un cliente inalámbrico, el cliente es desconectado del punto de acceso. Esto podría causar que el
cliente inalámbrico vuelva a intentar el proceso de autenticación.
Conceptos de seguridad de redes inalámbricas
La seguridad debe ser considerada como un aspecto importante en el diseño de redes y no como una opción para
añadir posteriormente. La seguridad debe ser sujeta a un proceso similar de análisis costo/beneficio y al igual que
un estudio de compatibilidad con los demás componentes de la red.
Un tema importante a considerar en un diseño de redes inalámbricas es que la señal RF de la red comúnmente supera
el perímetro o el área del edificio corporativo, esto implica una vulnerabilidad para la red ya que un delincuente
puede estar monitoreando las redes a su alrededor justo al lado del corporativo, identificar la red corporativa y
tramar algún ataque. Sin embargo, este tipo de ataques se ve limitado debido a que un intruso con la habilidad
necesaria para infiltrarse en la red requiere estar por lo general muy cerca del punto de acceso. El estándar 802.1X
para el control de acceso, junto con otras herramientas de administración de redes inalámbricas puede reducir
considerablemente la factibilidad de estos tipos de ataque. La ubicación de la empresa, y tipo de negocios que opere
la organización determinarán la severidad de la seguridad que requiere su red inalámbrica.
Seguridad Física
Actividades de sabotaje pueden ocurrir en cualquier red corporativa las cuales se pueden clasificar en:
 Acceso no autorizado. La autenticación y la encriptación en el estándar de seguridad de redes
inalámbricas 802.11 pueden proteger las sesiones, sin embargo, políticas y procesos tiene que ser
implementados para proteger los dispositivos físicamente y las contraseñas. Lo anterior se puede
implementar de dos maneras
- Seguridad de nodo final para la protección de dispositivos móviles que no estén
relacionados directamente con la red LAN inalámbrica
- WPA y WPA2 clientes inalámbricos que provee autenticación de usuarios y confidencialidad en la
comunicación de usuario sobre la red inalámbrica
 Denegación de servicio. Un ataque de red que impide que usuarios legítimos accedan a información
o servicios de la red. Este ataque comúnmente utiliza tramas de administración
802.11 o interferencia RF en el mismo espectro electromagnético que la red LAN inalámbrica
Regulaciones, Estándares, y Certificaciones Industriales
61
La mayoría de los estándares de telecomunicaciones son creados por el Instituto de Ingenieros Eléctrico
Electrónicos (Institute of Electrical and Electronic Engineers, IEEE) y la Fuerza de Tarea de Ingeniería en
Internet (Internet Engineering Task Force, IETF). El estándar 802.11 fue introducido por el IEEE y el estándar
EAP lo definió la IETF.
IEEE
El IEEE posee el grupo de estándares 802.11. El estándar 802.11 original fue publicado en 1999 y se ha
modificado periódicamente. Las enmiendas al estándar han modificado la forma de implementar la
capa física, agregando mayor capacidad de ancho de banda (802.11b, 802.11a y 802.11g), se agregaron
mejoras en las calidades de servicio (QoS ) (802.11e) y en seguridad (802.11i).
El IEEE también es propietario del estándar 802.1X para el puerto de seguridad que es usado en el
estándar 802.11i para la autenticación de los clientes inalámbricos.
IETF
El principal RFC IETF y los documentos de redes inalámbricas asociados se basan en EAP. La
ventaja de EAP es que divide el protocolo de autenticación de los mecanismos de transporte. EAP
puede transportar tramas 802.1X, tramas PPP, paquetes UDP y paquetes RADIUS.
EAP viaja a través de redes inalámbricas en tramas 802.1X y en paquetes RADIUS entre el punto de
acceso y el servidor AAA. Esto permite la autenticación EAP de extremo a extremo entre el cliente
inalámbrico y el servidor AAA.
62
WIFI
En redes cableadas es común que los dispositivos de redes pertenezcan al mismo proveedor como parte del
aseguramiento de la compatibilidad. Cuando diferentes dispositivos de diferentes proveedores se combinan en una
infraestructura de red, la interoperabilidad y la integración deben ser administradas y contraladas por un grupo de
especialistas los cuales conocen los dispositivos y la integración deben ser administradas y contraladas por un grupo de
especialistas los cuales conocen los dispositivos y la interacción entre ellos.
En redes inalámbricas que incluyen dispositivos de diferentes proveedores, los estándares inalámbricos permiten
diferentes interpretaciones y el desarrollo de características opcionales. Un grupo de empresas y organizaciones
fabricantes de estos dispositivos formaron la Alianza Wi-Fi (Wi-Fi Alliance, www.wi-fi.org) para certificar de la
interoperabilidad de la tecnología inalámbrica a través de WPA, WPA2 y los programas de certificación multimedia
Wi-Fi (Wi-Fi Multimedia, WMM).
El estándar WPA fue desarrollado para hacer frente a las debilidades de encriptación WEP antes de la confirmación del
estándar 802.11i. Uno de los principales objetivos era hacerlo compatible con los dispositivos que ya manejaban WEP,
permitiendo el soporte de la encriptación basada en RC4 usada en WEP, además se añadieron mejoras sustanciales en la
revisión de la integridad de los mensajes que era un punto débil de la encriptación WEP.
WPA2 es basado en el estándar ratificado 802.11i y utiliza encriptación AES-CCMP. Este tipo de encriptación
requiere puntos de acceso y clientes inalámbricos más avanzados. Sin embargo, para dar soporte a los diferentes
dispositivos utilizados en la actualidad, la migración de WPA a WP2 la realizarán lentamente otorgando a los
dispositivos más antiguos soporte de larga duración.
IEEE 802.1X
IEEE 802.1X es un marco de trabajo estándar IEEE para el control de acceso basado en puerto que ha
sido adoptado por el grupo de trabajo de seguridad 802.11i como el medio para proveer autenticación en
el acceso a redes LAN inalámbricas.
 El proceso de asociación 802.11 crea un puerto virtual en el punto de acceso para el cliente
inalámbrico.
 El punto de acceso bloquea todas las tramas de datos que no correspondan al tráfico de 802.1X.
 Las tramas 802.1X llevan los paquetes de autenticación EAP, que son enviados por el servidor
AAA a través del punto de acceso.
 Si la autenticación EAP es exitosa, el servidor AAA envía un mensaje EAP-éxito al punto de
acceso, por lo tanto el punto de acceso permite el paso del tráfico de datos desde el cliente
inalámbrico a través del puerto virtual.
 Antes de la apertura del puerto virtual, la encriptación del enlace de datos se establece entre el
cliente inalámbrico y el punto de acceso. Esto asegura que otro cliente inalámbrico no pueda
acceder al puerto virtual que ha sido abierto por un cliente autenticado previo.
EAP
EAP es un IETF RFC que guía los requerimientos para que un protocolo de autenticación sea separado
del protocolo de transporte que lo lleva. Esto permite que el protocolo EAP sea transportado por
802.1X, UDP o RADIUS sin cambios en el protocolo de autenticación.
63
Las bases del protocolo EAP son relativamente simples, la cual se compone de cuatro tipos de paquetes:
 Solicitud EAP. El autenticador envía el paquete de solicitud hacia el suplicante. Cada solicitud tiene un
campo de tipo que indica que información se requiere, como la identidad del suplicante y el tipo EAP
usado. Una secuencia de números permite que el autenticador compare la respuesta EAP a cada solicitud
EAP
 Respuesta EAP. El suplicante envía el paquete de respuesta al autenticador utilizando un número de
secuencia para hacer coincidir con la solicitud EAP inicial. El tipo de respuesta EAP generalmente
coincide con la solicitud EAP, de lo contrario la respuesta es un NAK (Negative Acknowledgment)
 Éxito EAP. El autenticador envía un paquete de éxito en el proceso de autenticación hacia el
suplicante
 Falla EAP. El autenticador envía un paquete de falla en el proceso de autenticación hacia el
suplicante
Cuando EAP es utilizado en sistemas 802.11i, el punto de acceso opera en modo “paso a través de EAP”. En este
modo, el punto de acceso revisa el código, el identificador, y la longitud de los campos, después envía los
paquetes EAP desde el suplicante hacia el servidor AAA. Los paquetes recibidos desde el servidor AAA hacia el
autenticador son enviados hacia el suplicante.
Flujo de mensajes del protocolo EAP
Autenticación
Depende de los requerimientos de la empresa, diferentes mecanismos de autenticación son empleados en el

64
aseguramiento de la red inalámbrica, sin embargo, todos los mecanismos usan 802.1X, EAP y RADIUS como sus
protocolos de soporte. Este sistema también provee los elementos de AAA, autorización y auditoría, a través de
políticas dictadas por el protocolo RADIUS. El principal factor para llevar a cabo la autenticación es la
integración con la actual base de datos de autenticación de clientes.
Suplicantes
El software cliente utilizado por la autenticación 802.11X generalmente es llamado suplicante el cual se basa en
la terminología 802.1X. SSC es un suplicante para redes inalámbricas y cableadas, soporta diferentes métodos
EAP que se asignan adecuadamente a diferentes requerimientos de sistemas de autenticación de clientes. Los
métodos comunes EAP soportados por SSC se listan a continuación:
 EAP protegido (PEAP) MSCHAPv2. Utiliza un túnel seguro de la capa de transporte (Transport
Layer Security) para proteger un intercambio encapsulado MSCHAPv2 entre el cliente inalámbrico
y el servidor de autenticación
 PEAP GTC (Generic Token Card). Utiliza un túnel TLS para proteger un intercambio de tarjeta de
tokens genérica
 EAP-Flexible Authentication via Secured Tunnel (FAST). Utiliza un túnel para proteger el
intercambio
 EAP TL. Utiliza autenticación única basada certificados digitales X.509
Autenticador
El autenticador en la solución móvil segura de Cisco (Cisco Secure Mobility Solution) es el WLC que procesa
las tramas 802.1X entrantes desde los puntos de acceso de la red inalámbrica, y actúa en el modo EAP pass-
through. Una vez completada exitosamente el proceso de autenticación, el WLC recibe el paquete RADIUS que
contiene el mensaje EAP éxito, y la llave de encriptación que fue generada por el servidor de autenticación
durante el proceso de autenticación EAP y las extensiones RADIUS para la comunicación de las políticas.
En las ilustraciones previas se aprecia la ubicación del autenticador dentro del proceso de autenticación
completo. El autenticador controla el acceso a la red a través del mecanismo 802.1X y envíos de mensajes
EAP entre el suplicante y el servidor de autenticación.
Servidor de autenticación
El servidor de autenticación usado en el Cisco Secure Mobility Solution es el Cisco Access Control Server
(ACS). Cisco ACS está disponible como un software instalable en Windows Server como una aplicación. El
servidor de autenticación también puede estar embebido dentro de dispositivos de infraestructura de red
inalámbrica, por ejemplo, los servicios de autenticación locales en un punto de acceso corriendo un IOS Cisco
o servicios AAA.
Encriptación
Hay dos niveles de mecanismos de encriptación especificados en 802.1i: WPA y WPA2. Estos tipos de
65
encriptación son el Protocolo de Íntegro de Llave Temporal (Temporal Key Integrity Protocol, TKIP) y el
Estándar Avanzado de Encriptación (Advance Encryption Standard, AES).
TKIP, la encriptación certificada en WPA, provee soporte de encriptación para dispositivos inalámbricos más
antiguos abordando las deficiencias en WEP, soportando el algoritmo de encriptación RC4. El ciclo de
actualización de hardware es tal que TKIP es probable que sea un mecanismo de cifrado común para los años
venideros.
Mientras que TKIP aborda todas las debilidades conocidas de WEP, la encriptación AES de WPA2 es el mecanismo
recomendado de encriptación porque lleva a la encriptación inalámbrica a cumplir los lineamientos que dictan las
mejores prácticas actuales de encriptación.
Los dos principales mecanismos de encriptación en TKIP son la generación de la clave por paquete para la
encriptación RC4 de la MSDU (MAC Service Data Unit) y una verificación de integridad de mensaje de manera
adicional (Message Integrity Check, MIC) para el paquete encriptado.
AES Counter Mode/CBC MAC Protocol (CCMP) es el modo usado de encriptación AES en 802.11i en el cual el
contador de modo provee confidencialidad y CBC MAC provee integridad en el mensaje.
Autenticación de 4 vías
La Autenticación de 4 vías (Four-Way Handshake) describe el mecanismo usado para derivar las llaves de
encriptación usadas para encriptar las tramas de datos inalámbricas. La siguiente figura esquematiza los
intercambios de tramas para generar las llaves de encriptación. A estas llaves se les conocen como “llaves
temporales”.
66
Tramas intercambiadas para la encriptación de llaves
Las llaves usadas para la encriptación son derivadas de la Llave Maestra en Pares (Pairwise Master Key, PMK)
que se deriva durante la autenticación EAP. Esta PMK es enviada al autenticador, más no se envía hacia el
suplicante debido a que el suplicante ha derivado su propia copia de PMK.
La autenticación de 4 vías consiste en los siguientes pasos:

1. El autenticador envía una trama EAPOL-Key que contiene un ANonce (Authenticator Nonce) que es
un número aleatorio generado por el autenticador
- El suplicante deriva una Llave Temporal por Parejas (Pairwise Temporal Key, PTK) desde ANonce
y SNonce (Supplicant Nonce) un número aleatorio generado por el suplicante.
2. El suplicante envía una trama EAPOL-Key que contiene SNonce, el elemento de información RSN
(Robust Security Network) de la trama de solicitud de reasociación y una Revisión de la Integridad del
Mensaje (Message Integrity Check, MIC)
- El autenticador deriva PTK de ANonce y SNonce y valida el MIC en la trama EAPOLKey.
3. El autenticador envía una trama EAPOL-Key que contiene un ANonce, el elemento de información RSN
de sus mensajes guía o respuesta de sondeo, MIC, si desea instalar las ventajas temporales, y la Llave
Temporal de Grupo (Group Temporal Key, GTK) que es la llave de encriptación multicast
4. El suplicante envía una trama EAPOL-Key para confirmar que las llaves temporales están
instaladas
Conectividad sin hoyos
Para lograr la movilidad inalámbrica, el administrador de red necesita analizar el entorno geográfico para
garantizar que se tiene una cobertura inalámbrica adecuada. Cisco provee herramientas analizadoras de
67
espectros y aplicaciones que pueden ayudar a diseñar una red inalámbrica correctamente o adaptar una
eficiente infraestructura de red inalámbrica existente a las necesidades de la empresa.
Las infraestructuras de red corporativas se basan en redes inalámbricas y cableadas en la cual la red inalámbrica
provee la movilidad y la cableada provee mayores anchos de banda.
La mayoría de los entornos organizacionales requieren que los usuarios finales puedan tener conectividad
cuando se mueven de sus lugares de trabajo, por ejemplo, a una sala de juntas u otra ubicación con su Laptop.
En una empresa típica, una falta de conexión es aceptable mientras el usuario está en movimiento. Sin
embargo, cuando llega a la nueva ubicación, debe ser capaz de recuperar fácilmente la conectividad
inalámbrica.
Otras empresas pueden requerir conectividad mientras están en tránsito, ya que pueden tener una aplicación
que requiera conectividad continua. Por ejemplo una aplicación que requiere este tipo de conexión es la voz
sobre IP (VoIP). El roaming en redes inalámbricas soluciona estos temas.
Roaming
Para que la infraestructura de red cableada e inalámbrica aporte ventajas significativas y un adecuado servicio a
los usuarios de una empresa. El usuario final debe poder realizar lo siguiente:
 Cambiar fácilmente de una conexión cableada a una conexión inalámbrica y viceversa
 Cambiarse de un punto de acceso con señal débil hacia otro con una mejor intensidad de señal que tenga
el mismo SSID
El roaming de un punto de acceso a otro punto de acceso requiere de la disociación con el viejo punto de acceso
y una asociación al nuevo punto de acceso. Este proceso conduce a la terminación de las conexiones existentes,
especialmente en un entorno empresarial que requiera 802.1X. El roaming es seguido de una autenticación
802.1X. El proceso completo puede tardar aproximadamente 30 segundos.
Actividad 4. Asegurando la red

Evidencia de aprendizaje. Identificación básica de la administración de seguridad de un router

68
Cierre de la unidad
Como has podido analizar en la presente unidad, el mundo de la administración de redes comprende diversos
factores y demasiadas responsabilidades en las que queda de relieve la disponibilidad y la confiabilidad. No sólo se
debe procurar un óptimo funcionamiento de los recursos e infraestructura de la misma, sino también, se tiene que
mejorar constantemente, administrar su acceso y vigilar su seguridad. Para lo anterior se deben desarrollar
esquemas que cubran las necesidades y requerimientos que una red corporativa de computadoras requiere.
Un protocolo de administración como SNMP, analizadores de tráfico, autenticación y eliminación de

vulnerabilidades son aspectos básicos a implementar en una arquitectura. Más no sólo son necesarios conocimientos
técnicos para mantener la operación de las telecomunicaciones de una empresa, sino también un análisis de riesgos y
una visión estratégica son fundamentales a desarrollar por el administrador de red, debido a la evolución tecnológica
que sufre la tecnología diariamente.
Las redes son dinámicas, se adaptan constantemente a las necesidades del negocio que soporten, y por lo tanto su
administrador también debe evolucionar a la par. Los conocimientos académicos que posee un administrador de red
deben estar actualizados, por lo que se requiere una constante preparación y entrenamiento para desarrollar mayores
habilidades que permitan ofrecer a sus clientes valores agregados en la operación.
Nacen nuevos ataques todos los días, los criminales informáticos no descansan y están al acecho, las herramientas
de monitoreo y esquemas mejoran constantemente, los paradigmas también cambian. ¿Por qué un administrador de
red no debería evolucionar?
69
Para saber más
Para observar el comportamiento de un sniffer se sugiere el siguiente video en donde se utiliza

Wireshark™ para identificar el tipo de paquetes que pasan a través de la interfaz de red de una
computadora. En el cuál se aprecia la IP de origen, la IP destino, así como el tipo de protocolo e
información complementaria del paquete.
https://www.youtube.com/watch?v=JtI45DmIuOc
SNMP: En el siguiente vínculo podrás ampliar tus conocimientos acerca del funcionamiento de este
protocolo de monitoreo y administración, además de la interacción con los diferentes agentes en los
dispositivos de red.
https://tools.ietf.org/html/rfc1157
AAA: A continuación en el primer vínculo podrás consultar la gama de dispositivos que soportan AAA
así como las características de este esquema de administración de la seguridad.
http://www.cisco.com/en/US/products/ps6663/products_ios_protocol_option_home.html
http://www.cisco.com/en/US/products/ps6638/products_data_sheet09186a00804fe332.html
https://www.ietf.org/rfc/rfc3702.txt
Introducción al TACACS+: Al ingresar a los siguientes vínculos podrás incrementar tus conocimientos
acerca de este protocolo y revisar diferentes opciones de configuración e implementación.
http://www.openwall.com/articles/TACACS+-Protocol-Security
http://www.sans.org/reading-room/whitepapers/networkdevs/understanding-implementing-tacacs-plus-
117
http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a0080094e99.shtml
Sniffer: En el primer vínculo se podrá consultar un tutorial de Wireshark™. Por último se agrega la
página oficial de uno de los sniffers más populares en el mercado, el cual podrás bajar y realizar tu
propio análisis de red.
https://www.evilfingers.com/publications/howto_EN/HowTo%20-%20Use%20Packet%20Sniffers.pdf
http://www.wireshark.org/
Puerto SPAN: En el siguiente vínculo podrás observar un ejemplo de configuración de dicho puerto.
http://docs.exinda.com/ga-released/exos/6.3/span-mirror-port.pdf
70
Servicios e interfaces potencialmente vulnerables y Cisco Auto-Secure©: El primer vínculo

corresponde a la explicación teórica, en el cual te muestra cómo se configura paso a paso
http://ciscoskills.net/2011/02/17/cisco-ios-routers-auto-secure/
Seguridad en redes inalámbricas: En el primer te presenta un enfoque de la seguridad de redes

inalámbricas desde el punto de vista de Symantec™ y el tercero responde a la pregunta de cuáles
son los diferentes métodos de seguridad para las redes inalámbricas.
http://www.symantec.com/avcenter/reference/symantec.wlan.security.pdf
http://windows.microsoft.com/en-us/windows-vista/what-are-the-different-wireless-network-security-
methods
Por último en el siguiente link podrás identificar la definición de la mayoría de los términos técnicos que
has manejado a lo largo de tus asignaturas. Corresponde a una empresa dedicada a la organización
de congresos y conferencia en TI, por lo cual, su glosario se encuentra validado por los fabricantes
más importantes de la industria de las TIC.
http://mundocontact.com/glosario/a/
Fuentes de consulta
Fuentes básicas
 Ariganello, E. & Barrientos Sevilla, E. Madrid, España (2010). REDES CISCO CCNP a Fondo.
Guía de estudio para profesionales. 1a. Edición: Editorial Alfaomega.
 Ariganello, E. Madrid, España (2013). REDES CISCO Guía de estudio para la certificación
CCNA Security. Edición Original: Editorial Alfaomega.
 Terán, D. México (2010). Redes Convergentes. Diseño e implementación. 1ra. Edición: Editorial
Alfaomega.
 Alegría Loinaz, I., Cortiñas Rodríguez, R. & Ezeiza Ramos, A. España (2005). Linux
Administración del sistema y la red. Editorial Prentice Hall.
 Stallings, W. Madrid, España (2004). Comunicaciones y Redes de Computadoras. 7a Edición:
Editorial Prentice Hall.
71
Fuentes complementarias
 Kurose, J. & Ross, K. USA (2013). Computer networking: a top-down approach. 6ta. Edición.
Editorial Pearson.
 Graves, K. USA (2010). CHE Certified Ethical Hacker Study Guide. 1ra. Edición. Editorial Wiley.
 Watkins, M. & Wallace, K. USA (2008). CCNA Security Official Exam Certification Guide. 3ra.
Edición: Editorial Cisco Press.
Fuentes electrónicas
 Arumadigital (2011). Informática Redes 007 Cisco CCNA Captura tráfico con Wireshark.
Consultado en: https://www.youtube.com/watch?v=JtI45DmIuOc
 Balchunas, A. (2007). SPAN. Consultado en: https://www.routeralley.com/guides/span.pdf
 Case, J. (1990). SNMP research. IEFT. Consultado en: https://tools.ietf.org/html/rfc1157
 Cisco (2005). Authentication, Authorization, and Accounting (AAA). Cisco. Consultado en:
http://www.cisco.com/en/US/products/ps6663/products_ios_protocol_option_home.html
 Cisco (2018). User Security Configuration Guide, Cisco IOS XE Realease 3S Consultado
en: https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cfg/configuration/xe-
3s/sec-usr-cfg-xe-3s-book/sec-autosecure.html
 Cisco (2003 ). Cisco AutoSecure White Paper. Cisco. Consultado en:
https://tools.cisco.com/security/center/whitePapers.x
 Cisco (2011 ). Cisco IOS Routers: Auto Secure. Cisco. Consultado en:
http://ciscoskills.net/2011/02/17/cisco-ios-routers-auto-secure/
 Cisco (2019). Ejemplo de Configuración del Switched Port Analyzer (SPAN) del catalizador.
Cisco. Consultado en: https://www.cisco.com/c/es_mx/support/docs/switches/catalyst-6500-
series-switches/10570-41.html
 Cisco (2006). Cisco Wireless LAN Security White Paper. Cisco. Consultado en:
https://www.cisco.com/c/en/us/products/collateral/wireless/aironet-1200-access-
point/prod_white_paper09186a00800b469f.html
 Cisco (2006). Datasheet. Authentication, Authorization, and Accounting (AAA). Cisco
Consultado en:
http://www.cisco.com/en/US/products/ps6638/products_data_sheet09186a00804fe332.html
 Cisco (2018). Simple Network Management Protocol (SNMP) Users on a switch
through the Command Line Interface (CLI). Consultado en:
https://www.cisco.com/c/es_mx/support/docs/smb/switches/cisco-250-series-smart-
switches/smb5637-configure-simple-network-management-protocol-snmp-users-on-
a.html
 Cisco (2009). SNMP (Protocolo de administración de red simple): Preguntas frecuentes acerca
de la teoría y el funcionamiento de MIB. Cisco. Consultado
en:https://www.cisco.com/c/es_mx/support/docs/ip/simple-network-management-protocol-
snmp/26012-faq-snmp-mib.html
72
 Cisco (2008). TACACS+ and RADIUS Comparison. Cisco. Consultado en:
http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a0080094e99.shtml
 Cisco Support Community https://supportforums.cisco.com/index.jspa
 DMOZ (2014). Protocol Analyzers. Consultado en: https://dmoz-
odp.org/Computers/Software/Networking/Network_Performance/Protocol_Analyzers/
 Evilfingers (s/f). Snnifers. Evilfingers. Consultado en:
https://www.evilfingers.com/publications/howto_EN/HowTo%20-
%20Use%20Packet%20Sniffers.pdf
 Exinda (2012). SPAN and Mirror port monitoring. Exinda, Inc. Consultado en:
http://docs.exinda.com/ga-released/exos/6.3/span-mirror-port.pdf
 Loughney, J. (2004). Authentication, Authorization, and Accounting. Requirements for the
Session Initiation Protocol (SIP). IEFT. Consultado en: https://www.ietf.org/rfc/rfc3702.txt
 Mundocontact (2013). Glosario. Mundocontact. Consultado en:
http://mundocontact.com/glosario/a/
 SANS Insitute (2002). Understanding and Implementing TACACS+. SANS Institute. Consultado
en: http://www.sans.org/reading-room/whitepapers/networkdevs/understanding-implementing-
tacacs-plus-117
 Solar Designer (2010). An Analysis of TACACS+ Protocol Security. Openwall. Consultado en:
http://www.openwall.com/articles/TACACS+-Protocol-Security
 Symantec (2002). Wireless LAN Security. White paper. Symantec. Consultado en:
http://www.symantec.com/avcenter/reference/symantec.wlan.security.pdf
 The Cisco Learning Network https://learningnetwork.cisco.com/index.jspa
 Windows (2013). What are the different wireless network. Microsoft. Consultado en:
http://windows.microsoft.com/en-us/windows-vista/what-are-the-different-wireless-network-
security-methods
73

Unidad 2. Disponibilidad y Confiabilidad - 2019 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Unidad 2. Disponibilidad y Confiabilidad - 2019 PDF

Cargado por

Copyright:

Formatos disponibles

Ingeniería en Telemática

Universidad Abierta y a Distancia de México

Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática

Unidad 2. Disponibilidad y confiabilidad ................................................................................................. 3

Ciencias Exactas, Ingeniería y Tecnología Ingeniería en Telemática

Unidad 2. Disponibilidad y confiabilidad

Analiza la información obtenida del monitoreo de una

 Identificar las funciones y procesos del

 Comparar las características y ventajas de los

 Ubicar las características de la seguridad de

 Interpretar la información obtenida de las

 Identificar las vulnerabilidades de seguridad de

 Determinar estrategias de mitigación de

Carreteras de información siempre abiertas

2.1.1 Protocolo SNMP (Simple Network Manager Protocol)

Para fines de homologación cuando se menciona a la Internet, puedes hacerlo con un

Debido a que la Internet se compone de diferentes redes interconectadas formando una

cuando se expresa en un argumento – existen numerosos protocolos en Internet –. Por

También es importante mencionar que la palabra Internet en cualquier contexto se

Organizaciones de Internet y estándares

b) MIB (Management Information Base)

Incluye un conjunto común de objetos aceptados y ratificados

requieren colectar datos particulares de sus propios

Componentes básicos y sus funciones

SNMP se compone de:

Un Sistema de Administración SNMP es una entidad separada responsable de la comunicación con el

Sus funciones clave son:

Sus funciones clave son:

Base de Datos de Información de Administración

Estructura de la MIB y el identificador de objeto

Actividad 1. Protocolo SNMP

¡Bienvenido(a) a la primer actividad de la Unidad 2!

2.1.2 Modelo de autenticación, autorización y auditoria (AAA)

Configurar AAA usando la base de datos de usuario local

Autenticación, Autorización y Auditoría

Definición del esquema AAA

AAA para routers Cisco

Formas de proveer servicios AAA

Cuando se hace referencia a una contraseña-fuerte, implica asignar una cadena

Router(config)# aaa new-model

aaa authentication fail- Este comando crea el banner que se desplegará en

Definir una lista de métodos

Configurar la autenticación AAA para login

La sintaxis empleada para el comando aaa authentication es la siguiente:

Elemento de comando Descripción

enable: El enable password es usado para la autenticación.

krb5: Kerberos 5 es usado para la autenticación.

krb5-telnet: El protocolo de autenticación Kerberos 5 es

line: El line password es utilizado para la autenticación.

local: El nombre de usuario local es utilizado para la

Method local-case: Activa la detección de mayúsculas y minúsculas

none: No es utilizada la autenticación.

group radius: La lista de todos los servidores RADIUS es

group tacacs+: La lista de todos los servidores TACACS+ es

group group-name: Utiliza ya sea un subconjunto de

Usando el comando aaa authentication enable default

Router(config)# line console 0

La siguiente tabla explica la sintaxis de los comandos aaa authorization:

group group-name: Especifica un subconjunto de

method if-authenticated: Autoriza al usuario a accesar a la

krb5-instance: Es utilizado en conjunción con el

local: Especifica el uso de la base de datos local para