CyOps1.1 Chp05 Instructor Supplemental Material

Capítulo 5: Infraestructura
de la red
Materiales del Instructor
CCNA Cybersecurity Operations v1.1

Materiales para el instructor – Capítulo 5: Guía de planificación
 Esta presentación en PowerPoint se divide en dos partes:
 Guía de planificación para el instructor

• Información para ayudarlo a familiarizarse con el capítulo
• Ayuda didáctica
 Presentación de la clase del instructor
• Diapositivas opcionales que puede utilizar en el aula
• Comienza en la diapositiva n.º 11
 Nota: Elimine la Guía de Planificación de esta presentación antes de compartirla con otras personas.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 2
Capítulo 5: Infraestructura de
la red
Operaciones de ciberseguridad de
CCNA: guía de planificación v1.1
Capítulo 5: Actividades
¿Qué actividades se relacionan con este capítulo?
N.° de página Tipo de actividad Nombre de la actividad
5.1.1.2 Video Terminales
Indicar la correspondencia entre la asignación de direcciones de capa 2 y la
5.1.1.4 Actividad
de capa 3
5.1.1.7 Video Enrutamiento estático y dinámico
5.1.1.10 Video Tablas de direcciones MAC en switches conectados
5.1.2.1 Video Comunicaciones inalámbricas
5.1.2.5 Actividad Ordenar los pasos del proceso de asociación del cliente y el AP
5.1.2.7 Actividad Identificación de dispositivos LAN
5.2.1.1 Video Dispositivos de seguridad
5.2.1.7 Actividad Identificación del tipo de firewall
5.2.1.12 Actividad Comparación de las características de IDS e IPS
Capítulo 5: Actividades (cont.)
¿Qué actividades se relacionan con este capítulo?
N.° de página Tipo de actividad Nombre de la actividad
5.2.2.1 Video Servicios de seguridad
5.2.2.4 Packet Tracer Demostración de ACL
5.2.2.12 Actividad Identificación de servicios o dispositivos de seguridad de redes
5.3.1.6 Video Diseño de redes de tres capas
5.3.1.8 Actividad Identificación de topologías de redes
5.3.1.9 Actividad Identificación de la terminología del diseño de redes
5.3.1.10 Packet Tracer Identificación de flujos de paquetes
Capítulo 5: Evaluación
 Los estudiantes deben completar el capítulo 5 "Evaluación" después de completar el capítulo 5.
 Los cuestionarios, las prácticas de laboratorio, los Packet Tracers y otras actividades se pueden
utilizar para evaluar informalmente el progreso de los estudiantes.
Capítulo 5: Prácticas recomendadas
 Antes de enseñar el capítulo 5, el instructor debe:
 Completar el capítulo 5: "Evaluación".

• Asegúrese de que este capítulo sea lo más práctico posible.
• Repase el modelo OSI. Repase los tipos de dispositivos de red y la capa del modelo OSI donde operan.
• Router
• Switch multicapa
• Access point
• Switch de capa 2
• Firewall independiente del estado
• Firewall de estado
• Firewall proxy
Capítulo 5: Prácticas recomendadas (cont.)
• Si bien en este capítulo se ven en bastante detalle los dispositivos de red, también se tratan los
servicios de red y las topologías de redes. Repase la documentación sobre servicios de seguridad de
redes y sobre topologías físicas y lógicas.
• Listas de control de acceso (ACL)
• SNMP
• NetFlow
• Replicación de puertos
• Servidor Syslog
• NTP
• AAA
• VPN
Capítulo 5: Ayuda adicional
 Para obtener ayuda adicional sobre las estrategias de enseñanza, incluidos los planes de
lección, las analogías para los conceptos difíciles y los temas de conversación, visite los
Foros comunitarios.
 Si tiene planes o recursos de lección que desee compartir, cárguelos en los Foros
comunitarios a fin de ayudar a otros instructores.
 Los alumnos pueden inscribirse en Introducción a Packet Tracer (autodidacta).
Capítulo 5: Infraestructura
de la red
CCNA Cybersecurity Operations v1.1

Capítulo 5: Secciones y objetivos
 5.1 Dispositivos de comunicación por redes
• Explicar cómo los dispositivos de red permiten la comunicación por redes cableadas e inalámbricas.
• Explicar cómo los dispositivos de red permiten la comunicación por redes.
• Explicar cómo los dispositivos de red inalámbrica permiten la comunicación por redes.
 5.2 Infraestructura de seguridad de redes
• Explicar cómo se emplean los dispositivos y servicios para reforzar la seguridad de las redes.
• Explicar cómo se emplean los dispositivos para reforzar la seguridad de las redes.
• Explicar cómo los servicios de red mejoran la seguridad de las redes.
 5.3 Representaciones de redes

• Explicar cómo se representan las redes y sus topologías.
• Explicar cómo se representan los diseños de la red mediante símbolos interconectados.
5.1 Dispositivos de
comunicación de red
Dispositivos de red
Dispositivos finales
 Terminales:
• Computadoras, computadoras portátiles, servidores, impresoras, dispositivos inteligentes y dispositivos móviles.
• Los dispositivos finales individuales se conectan a las redes mediante dispositivos intermediarios.
 Dispositivos intermediarios:
• Conectan los dispositivos finales individuales a la red y también conectan varias redes individuales para formar
una internetwork.
• Brindan conectividad y garantizan el flujo de los datos por toda la red.
Dispositivos intermediarios
Dispositivos de red
Tutorial de video: terminales
 Un terminal es cualquier dispositivo de la red que inicia la comunicación, ya sea origen o destino.
 Los dispositivos intermediarios conectan los terminales a la red, proporcionan una conectividad y
garantizan el flujo de datos.
Dispositivos de red
Routers
 Función de un router:
• determina rutas y reenvía paquetes.
• Es responsable de encapsular y desencapsular
paquetes.
• Emplea una tabla de routing para determinar la
mejor ruta para enviar paquetes a una red
específica.
 Tabla de routing:
• incluye rutas de conexión directa y rutas
remotas.
• El router busca en su tabla una dirección de red
que coincida con la dirección IP de destino del
paquete.
• Utiliza la puerta de enlace de último recurso si
fue memorizada o configurada; de lo contrario,
el paquete se elimina.
Dispositivos de red
Routers (continuación)
 El router ejecuta los siguientes tres pasos
principales:
1. Desencapsula el encabezado y la cola de la
trama de la capa 2 para exponer el paquete de la
capa 3.
2. Examina la dirección IP de destino del paquete IP
para encontrar la mejor ruta en la tabla de
enrutamiento.
3. Si el router encuentra una ruta hacia el destino,
encapsula el paquete de la capa 3 en una nueva
trama de la capa 2 y lo reenvía por la interfaz de
salida.
 Los dispositivos tienen direcciones IPv4 de capa 3,
mientras que las interfaces Ethernet tienen
direcciones de enlace de datos de capa 2. Las
direcciones MAC se acortan para simplificar el
ejemplo.
Dispositivos de red
Funcionamiento del router
 Una de las funciones principales de los routers es determinar la mejor ruta para enviar paquetes a
cada subred. Para determinar la mejor ruta, el router busca en su tabla de enrutamiento una dirección
de red que coincida con la dirección IP de destino del paquete. La tabla de enrutamiento busca
resultados en una de tres determinaciones de ruta:
• Red conectada directamente
• Red remota
• No hay ruta determinada
Dispositivos de red
Información de enrutamiento
 La tabla de enrutamiento de un router almacena
información sobre lo siguiente:
• Rutas conectadas directamente
• Rutas remotas
 Las entradas de la red de destino en la tabla de
enrutamiento se pueden agregar de varias maneras:
• Interfaces de ruta local: se agregan cuando
una interfaz está configurada y activa.
• Interfaces conectadas directamente: se
agregan a la tabla de enrutamiento cuando una
interfaz está configurada y activa.
• Rutas estáticas: se agregan cuando una ruta se
configura manualmente y la interfaz de salida
está activa.
• Protocolo de enrutamiento dinámico: se
agrega cuando se implementan protocolos de
enrutamiento que detectan la red de manera
dinámica (como EIGRP u OSPF) y cuando se
identifican las redes.
Dispositivos de red
Tutorial en video: enrutamiento estático y dinámico
 La función del router es dirigir mensajes a través de la red, eligiendo el mejor camino que debe
tomar un mensaje para llegar del punto A al punto B.
 Con el protocolo de enrutamiento dinámico, las tablas de enrutamiento se actualizan de forma
dinámica.
Dispositivos de red
Concentradores, puentes y switches de LAN
 Un hub de Ethernet actúa como un repetidor multipuerto que recibe

una señal eléctrica entrante (datos) en un puerto. Luego, reenvía
inmediatamente una señal regenerada a todos los demás puertos.
Los concentradores utilizan procesamiento de capa física para
reenviar datos.
 Los puentes tienen dos interfaces y están conectados entre
concentradores para dividir la red en varios dominios de colisión.
Cada dominio de colisión puede tener solamente un remitente en un
momento dado.
 Los switches de LAN son, en definitiva, puentes multipuerto que
conectan dispositivos en una topología de estrella. Al igual que los
puentes, los switches segmentan una red LAN en dominios de
colisión separados, uno para cada puerto del switch. Un switch toma
decisiones de reenvío sobre la base de direcciones MAC.
Dispositivos de red
Operación de cambio
Dispositivos de red
Tutorial en video: tablas de direcciones MAC en switches conectados
 Un switch puede tener muchas direcciones MAC asociadas a un solo puerto.
 El switch tiene una entrada independiente en la tabla de direcciones MAC para cada
trama recibida con una dirección MAC de origen diferente.
Dispositivos de red
VLAN
 Segmentan las redes a partir de varios
factores (la función, el equipo del proyecto
o la aplicación) independientemente de la
ubicación física.
 Crean un dominio de difusión lógico que
puede abarcar varios segmentos LAN
físicos.
 Mejoran el rendimiento de la red mediante
la división de grandes dominios de difusión
en otros más pequeños.
 Evitan que los usuarios en VLAN diferentes
espíen el tráfico de los demás.
Dispositivos de red
STP
 Protocolo de árbol de expansión (STP)
• Garantiza que haya una sola ruta lógica entre todos los destinos de la red al bloquear las rutas
redundantes.
• Impide los bucles mediante el uso de puertos de "estado de bloqueo" estratégica colocados.
• Utiliza tramas de unidad de datos de protocolo puente (BPDU) para evitar bucles.
Dispositivos de red
Switches de multicapa
 Los switches de multicapa admiten puertos con routing e interfaces virtuales de switches (SVI)
para reenviar tramas a partir de la información de la capa 3.
• Puertos enrutados: puerto físico que actúa como una interfaz en un router, no asociado a cualquier VLAN.
• SVI: interfaz virtual que puede configurarse para cualquier VLAN dentro de un switch multicapa.
Comunicaciones inalámbricas
Tutorial en video: comunicaciones inalámbricas
 Controlador de LAN inalámbrica:
• ofrece configuración de administración centralizada e implementación sobre los puntos de acceso ligeros.
• Controla los puntos de acceso ligeros usando el protocolo de puntos de acceso ligeros.
Protocolos y funciones
 LAN inalámbricas (WLAN):
• usan radiofrecuencias (RF) en lugar de cables en la capa física y la subcapa MAC de la capa de enlace
de datos.
• Conectan clientes a la red mediante un punto de acceso (AP) inalámbrico o un router inalámbrico, en
lugar de hacerlo mediante un switch Ethernet.
Operaciones de red inalámbrica
 El proceso de asociaciones de clientes inalámbricos con el punto de acceso incluye descubrir un nuevo punto de acceso
inalámbrico, autenticar con ese punto de acceso y, a continuación, asociar con ese punto de acceso.
 Los parámetros inalámbricos configurables comunes incluyen lo

siguiente:
• Modo de red
• SSID
• Configuración de canal
• Modo de seguridad
• Cifrado
• Contraseña
 Los dispositivos inalámbricos deben detectar un AP o un router
inalámbrico y se deben conectar a este. Este proceso puede ser pasivo o activo.
 El estándar 802.11 originalmente se ha desarrollado con dos mecanismos de autenticación: autenticación abierta, que
proporciona conectividad inalámbrica a cualquier dispositivo inalámbrico, y autenticación de clave compartida, técnica
que se basa en una clave precompartida entre el cliente y el punto de acceso.
Comunicación inalámbrica
El proceso de asociación de cliente y AP
 Para asociarse con un AP, un cliente inalámbrico atraviesa un proceso de tres
etapas.
 Detección: un clientes inalámbrico localiza el AP para asociar.
 Autenticación:
• El cliente inalámbrico envía una trama de autenticación al AP.

• El AP responde con un desafío de texto.
• El cliente cifra el mensaje mediante la clave compartida y devuelve el texto
cifrado al AP.
• A continuación, el AP descifra el texto cifrado mediante la clave compartida.
• Si el texto descifrado coincide con el texto de desafío, el AP autentica el cliente.
 Asociación:
• El cliente inalámbrico reenvía una trama de solicitud de asociación que incluye

su dirección MAC.
• El AP envía una respuesta de asociación que incluye su dirección MAC.
• El AP asigna un puerto lógico al cliente inalámbrico.
Dispositivos inalámbricos: AP, LWAP, WLC
 Punto de acceso (AP):
• Red pequeña: normalmente un router inalámbrico que integra las funciones de un router.
• Red grande: puede ser muchos puntos de acceso.
 Controlador LAN inalámbrico (WLC):
• Controla y administra las funciones de los puntos de acceso en una red.
• Simplifica la configuración y supervisión de numerosos puntos de acceso.
 Punto de acceso liviano (LWAP):
• Administración centralizada por WLC.
• Ya no funciona de manera autónoma.
5.2 Infraestructura de
seguridad de la red
Dispositivos de seguridad
Tutorial en video: dispositivos de seguridad
 Capa de acceso:
• Seguridad de puerto, inspección dinámica de ARP y detección DHCP.
 Capa de distribución
• Listas de acceso de un firewall de capa 3

• Firewall con detección de estado de capa 4
• Permite y rechaza el tráfico basado en la asignación de
direcciones IP, y puertos TCP y UDP.
 Capa de núcleo central
• Firewall proxy: inspecciona el tráfico

• Firewall proxy web: inspecciona el tráfico web
• Firewall proxy de correo electrónico: detecta el correo spam
• Dispositivo de seguridad SSL: descifra el tráfico HTTPS
• IDS: escanea sin conexión contra firmas de ataque a la red
 Red inalámbrica
• Encriptación y autenticación WPA2

Firewalls
 Algunas propiedades comunes de firewalls:
• Los firewalls resisten ataques de red.

• Todo el tráfico fluye a través del firewall.
• Los firewalls aplican la política de control de acceso.
 Algunos beneficios de usar un firewall en una red:
• Previene la exposición de hosts, recursos y aplicaciones

confidenciales, y aplicaciones a usuarios no confiables.
• Limpia el flujo del protocolo.
• Bloquea los datos maliciosos de servidores y clientes.
• Reduce la complejidad de la administración de la seguridad.
 Los firewalls también tienen algunas limitaciones:
• Un firewall mal configurado puede tener graves consecuencias para la red.

• Los datos de muchas aplicaciones no se pueden transmitir con seguridad mediante firewalls.
• Los usuarios buscan formas alrededor del firewall para recibir material bloqueado.
• Puede reducirse la velocidad de la red.
• El tráfico no autorizado se puede tunelizar como tráfico legítimo a través del firewall.
Descripciones de tipos de firewall
 Los firewalls de filtrado de paquetes (sin estado) suelen formar parte de un firewall de router,
que autoriza o rechaza el tráfico a partir de la información de las capas 3 y 4.
 Firewall con estado:
• Permiten o bloquean el tráfico según el estado, el puerto y el protocolo.
• Monitorea toda la actividad desde la apertura hasta el cierre de una conexión.
 Firewall de puerta de enlace de la aplicación (proxy de firewall): filtra la información en las
capas 3, 4, 5 y 7 del modelo de referencia OSI.
 Firewall basado en host (servidor y personal): una computadora o servidor que ejecuta software
de firewall.
 Firewall transparente: filtra el tráfico de IP entre un par de interfaces conectadas con puente.
 Firewall híbrido: una combinación de los distintos tipos de firewall.
Firewalls de filtrado de paquetes
 Suelen formar parte de un firewall de
router, que autoriza o rechaza el tráfico
a partir de la información de las capas
3 y 4.
 Sin firewalls independientes del estado
que emplean una búsqueda simple en
la tabla de políticas para filtrar el tráfico
a partir de criterios específicos.
Firewalls con estado
 La tecnología de firewalls más versátil y común
actualmente.
 Ofrecen filtrado de paquetes utilizando la información de
conexiones indicada en una tabla de estados.
 Clasifican en la capa de red, pero también analizan el
tráfico en las capas 4 y 5 de OSI.
Firewalls de última generación
 Ofrecen recursos de firewall estándar como inspección activa.
 Contienen prevención de intrusiones integrada.
 Emplean control y reconocimiento de aplicaciones para ver y bloquear las aplicaciones riesgosas.
 Actualizan las rutas para incluir futuros datos de información.
 Implementan técnicas para las amenazas de seguridad en constante evolución.
Dispositivos de detección y prevención de intrusiones
Ventajas y desventajas de IDS e IPS
Tipos de IPS
 IPS basado en host (HIPS):
• Software instalado en un host individual que se usa para controlar y analizar actividades sospechosas.
• Monitorea y protege el sistema operativo y los procesos fundamentales del sistema que son específicos de ese
host.
• Combina software antivirus, software antimalware y firewall.
 IPS basado en la red:
• Implementado utilizando un dispositivo IPS exclusivo o no exclusivo.
• Son un componente fundamental de la prevención de intrusiones.
• Los sensores detectan actividad maliciosa y no autorizada en tiempo real y pueden tomar medidas cuando es
necesario.
Dispositivos de seguridad especializados
 Cisco Advanced Malware Protection (AMP):
• es una solución integrada de protección y análisis de malware de clase empresarial.

• Brinda protección integral contra malware para las organizaciones antes, durante y después de un ataque.
 Aplicación de seguridad web (WSA) de Cisco / Cisco Cloud Web Security (CWS)
• WSA protege la red bloqueando automáticamente sitios peligrosos y probando sitios desconocidos antes de permitir que los usuarios tengan
acceso a ellos.
• WSA ofrece protección contra malware, visibilidad y control de las aplicaciones, controles de políticas de uso aceptable, informes detallados y
movilidad segura.
• CWS garantiza una comunicación segura a y desde Internet.
• CWS proporciona a los trabajadores remotos el mismo nivel de seguridad que los empleados in situ.
 Cisco Email Security Appliance (ESA):
• defiende sistemas de correo electrónico fundamentales.

• Detecta y correlacionada amenazas utilizando un sistema de monitoreo con base de datos de
todo el mundo.
Servicios de seguridad
Tutorial en video: dispositivos de seguridad
 El sistema de detección de intrusiones (IDS)
explora paquetes contra las firmas de seguridad en
busca de ataques de red.
 Autenticación, autorización y auditoría (AAA) es un

servidor que está configurado para gestionar toda
la autenticación de cuenta de usuario en la red.
 NetFlow recopila información en los encabezados

de los paquetes, tal como dirección IP, números de
puerto TCP UDP, tipo de campo de servicio e
información de protocolo en el tráfico de ingreso y
egreso.
 El protocolo simple de administración de redes

(SNMP) puede leer información y monitorear
dispositivos en la red que se configuraron como
agentes SNMP.
Control del tráfico con ACL
 Una lista de control de acceso (ACL) es una serie de comandos que controla si un dispositivo reenvía
o descarta paquetes según la información que se encuentra en el encabezado del paquete.
• Limita el tráfico de la red para aumentar su
rendimiento.
• Proporcionan control del flujo de tráfico.
• Proporcionan un nivel básico de seguridad
para el acceso a la red.
• Filtran el tráfico según el tipo de tráfico.
• Filtran a los hosts para permitirles o
denegarles el acceso a los servicios de red.
ACL: características importantes
 Los dos tipos de ACL de IPv4 de Cisco son estándar y extendida.
 Las ACL estándar se pueden utilizar para permitir o denegar el tráfico de direcciones IPv4 de origen
únicamente. Las ACL extendidas filtran paquetes IPv4 según varios
atributos, como los siguientes:
• Tipo de protocolo
• Dirección IPv4 de origen
• Dirección IPv4 de destino
• Puertos TCP o UDP de origen
• Puertos TCP o UDP de destino
• Información optativa de tipo de protocolo para un control más preciso
 Las ACL estándar y extendidas se pueden crear con un número o un nombre para identificar la ACL y su
lista de instrucciones.
 Se puede generar y registrar un mensaje de ACL cuando el tráfico cumpla con los criterios de permiso o
denegación definidos en la ACL.
Packet Tracer: demostración de ACL
SNMP
 SNMP permite a los administradores administrar dispositivos finales, como servidores, estaciones
de trabajo, routers, switches y dispositivos de seguridad.
 El sistema SNMP consta de tres elementos:
• Un administrador que ejecuta el software de
administración de SNMP.
• Agentes que son los nodos monitoreados y
administrados.
• Base de información de administración (MIB):
una base de datos del agente donde se guardan
datos y estadísticas operativas sobre el dispositivo.
NetFlow
 Tecnología de Cisco IOS que proporciona estadísticas sobre los paquetes que pasan por un router
o switch de multicapa de Cisco.
 Ofrece datos para monitoreo de redes y seguridad, planificación de redes, análisis de tráfico y
contabilidad de IP con fines de facturación.
Replicación de puertos
 Recurso para que el switch pueda hacer copias del tráfico que pasa y luego enviarlas a un puerto
con un monitor de redes conectado.
 El tráfico original se reenvía de la manera habitual.
Servidores Syslog
 Es el método más común de acceder a los mensajes del sistema.
 Permite que los dispositivos de red envíen los mensajes del sistema a servidores syslog a través
de la red.
 El servicio de registro de syslog proporciona tres funciones principales:
• Recopila información de registros para el monitoreo y la
solución de problemas.
• Selecciona el tipo de información de registros que se
captura.
• Especifica el destino de los mensajes de syslog
capturados.
NTP
 Permite que los routers de la red sincronicen su configuración horaria con un servidor NTP y
empleen niveles de estratos.
 Se puede sincronizar con un reloj maestro privado o con un servidor NTP disponible públicamente
en Internet.
 Los servidores NTP están dispuestos en niveles,
conocidos como estratos:
• Estrato 0: dispositivos de cronometraje de alta precisión
que suponen ser precisos y tener poco o ningún retraso.
• Estrato 1: conectados a las fuentes horarias válidas.
Actúan como el estándar horario de la red principal.
• Estrato 2 e inferiores: conectados a dispositivos del
estrato 1 mediante conexiones de red. Los dispositivos del
estrato 2 sincronizan su horario con los paquetes NTP
desde servidores del estrato 1. Podrían también actuar
como servidores para dispositivos del estrato 3.
Servidores AAA
 Servicios AAA es un conjunto de tres funciones de seguridad independiente: autenticación,
autorización y auditoría/contabilidad.
• Autenticación: los usuarios y administradores deben probar que son quienes dicen ser.
• Combinaciones de nombre de usuario y contraseña, preguntas, desafíos, tarjetas token y otros métodos.
• La autenticación AAA ofrece un método centralizado para controlar el acceso a las redes.
• Autorización: tras la autenticación, se determina a qué recursos puede acceder el usuario y qué
operaciones tiene permitido realizar.
• Contabilidad y auditoría: se registra qué hace el usuario, a qué se accede, cuánto tiempo se
permanece en el recurso y qué cambios se hacen. La Auditoría realiza un seguimiento de la forma en la
que se utilizan los recursos de red.
 Protocolos de autenticación AAA
VPN
• Es una red privada que se crea sobre una red pública.
• Una VPN es privada porque el tráfico se encripta para preservar la confidencialidad de los datos
mientras se los transporta por la red pública.
• Los servicios de IPSec permiten la autenticación, la integridad, el control de acceso y la confidencialidad.
Red privada virtual VPN de IPsec
5.3 Representaciones de redes
Topologías de la red
Descripción general de los componentes de red
 La infraestructura de las redes incluye tres categorías de componentes:
• Dispositivos Dispositivos
• Medios
• Servicios
Servicios
Medios
Topologías física y lógica
 La topología física hace referencia a
las conexiones físicas e identifica
las interconexiones entre los
dispositivos finales y los de la
infraestructura.
Topologías física y lógica (continuación)
 La topología lógica refiere
a la forma en que una red
transfiere tramas de un
nodo al siguiente.
Topologías de WAN
 Punto a punto: consiste de un enlace permanente entre dos terminales.
 Hub-and-spoke: es una versión WAN de la topología en estrella, en la que un sitio central

interconecta sitios de sucursal mediante enlaces punto a punto.
 Malla: esta topología proporciona alta disponibilidad, pero requiere que cada sistema final esté
interconectado con todos los demás sistemas.
Topologías de LAN
 Estrella: los terminales se conectan a un dispositivo

intermediario central.
 Estrella extendida o híbrida: en una topología en
estrella extendida, dispositivos intermediarios centrales
interconectan otras topologías en estrella. R
 Bus: todos los sistemas finales se encadenan entre sí y
terminan de algún modo en cada extremo.
 Anillo: los sistemas finales se conectan a su respectivo
vecino y forman un anillo. A diferencia de la topología de
bus, la de anillo no necesita tener una terminación.
El modelo de diseño de red de tres capas
Modelo jerárquico de tres capas
• Capa de acceso:
• ofrece a los terminales y usuarios acceso directo a la red.
• El tráfico de usuario se inicia en esta capa.
• Capa de distribución
• La capa que agrega capas de acceso.
• Proporciona conectividad a los servicios.
• Capa principal
• Proporciona conectividad entre las capas de distribución.
 Núcleo contraído
• Las capas de núcleo y de distribución se combinan en una
sola capa.
• Reducen los costos y la complejidad.
Tutorial en video: el modelo de diseño de red de tres capas
 Capa de acceso: en esta capa, los
switches de grupo de trabajo admiten
VLAN, calidad de servicio (QoS) y
alimentación a través de Ethernet.
 Capa de distribución:
• switches multicapa capaces de cambar y
enrutar.
• Aplican política de red.
 Capa principal:
• envía paquetes tan rápido como sea
posible.
• Usa NAT.
Topologías de red
Arquitecturas de seguridad comunes
 Principalmente, el diseño de firewall tiene por objetivo permitir o denegar el tráfico según el origen,
el destino y el tipo de tráfico. Algunos diseños son tan simples y solo consisten en diseñar una red
externa y una interna. Un firewall con dos interfaces se configura del siguiente modo:
• El tráfico procedente de la red privada se autoriza e inspecciona mientras viaja hacia la red pública.
También se autoriza el tráfico inspeccionado que regresa de la red pública y está relacionado con el
tráfico que se originó en la red privada.
• Generalmente, se bloquea el tráfico procedente de la red pública que viaja hacia la red privada.
Topologías de red
Arquitecturas de seguridad comunes (continuación)
 Una zona perimetral (DMZ, Demilitarized Zone) es un diseño de firewall donde, normalmente, hay una
interfaz interna conectada a la red privada, una interfaz externa conectada a la red pública y una interfaz
de DMZ.
• El tráfico procedente de la red privada se inspecciona mientras
viaja hacia la red pública o la DMZ. Este tráfico se permite casi
sin restricciones. Normalmente se permite el tráfico de retorno.
• Con frecuencia, se bloquea el tráfico procedente de la DMZ que
viaja hacia la red privada.
• El tráfico procedente de la DMZ y que viaja hacia la red pública
se permite, siempre y cuando cumpla con los requisitos de
servicio.
• El tráfico procedente de la red pública que viaja hacia la DMZ se
permite de manera selectiva y se inspecciona. Dinámicamente
se permite el tráfico de retorno.
• Se bloquea el tráfico procedente de la red pública que viaja
hacia la red privada.
Topologías de red
Arquitecturas de seguridad comunes (continuación)
 En los firewalls de políticas
basadas en zonas (ZPF) se utiliza
el concepto de zonas para
ofrecer mayor flexibilidad.
 Una zona es un grupo de al menos
una interfaz con funciones o
características similares.
Packet Tracer: identificación del flujo de paquete
5.4 Resumen del capítulo
Resumen del capítulo
Resumen
 Los dispositivos intermedios conectan los terminales individuales a la red y conectan varias redes individuales
para formar una internetwork.
 Los routers determinan rutas y reenvían paquetes.
 La búsqueda de la tabla de enrutamiento da como resultado una red conectada directamente, una red remota o
ninguna ruta determinada.
 Las entradas de la red de destino en la tabla de enrutamiento pueden añadirse a las interfaces de ruta local,
interfaces conectadas directamente, rutas estáticas o a través de un protocolo de enrutamiento dinámico.
 Un concentrador Ethernet actúa como un repetidor multipuerto, los puentes tienen dos interfaces y están
conectados entre concentradores y los conmutadores LAN conectan los dispositivos en una topología de estrella.
 Los switches LAN determinan cómo manejar las tramas de datos entrantes mediante una tabla de direcciones
MAC.
 Los dispositivos dentro de una VLAN funcionan como si estuvieran en su propia red independiente, aunque
compartan una misma infraestructura con otras VLAN.
Resumen (continuación)
 STP asegura que exista sólo una ruta lógica entre todos los destinos de la red, al realizar un bloqueo de
forma intencional a aquellas rutas redundantes que puedan ocasionar un bucle.
 Los switches multicapa (también conocidos como switches de Capa 3) no solo tienen a su cargo el
switching de Capa 2 sino que también reenvían tramas en función de la información de las capas 3 y 4.
 Las redes LAN inalámbricas (WLAN) usan radiofrecuencias (RF) en lugar de cables en la capa física y la
subcapa MAC de la capa de enlace de datos.
 Los dispositivos inalámbricos utilizan marcos de gestión para completar el proceso de tres fases de
descubrimiento, autenticación y asociación del punto de acceso (AP).
 Cuando se utiliza un controlador LAN inalámbrico (WLC), los AP ya no actúan de manera autónoma, sino
que actúan como AP ligeros (LWAP).
 Un firewall es un sistema o grupo de sistemas que impone una política de control de acceso entre redes.
 Existen diferentes tipos de firewalls: filtrado de paquetes (sin estado), firewall con estado, firewall de puerta de
enlace de aplicación (firewall de proxy), firewall basado en host (servidor y personal), firewall transparente y
firewall híbrido.
 Los firewalls de filtrado de paquetes suelen formar parte de un firewall de router, que autoriza o rechaza el tráfico
a partir de la información de las capas 3 y 4.
 Los firewalls con estado proporcionan un filtrado de paquetes utilizando la información de conexión que se
mantiene en una tabla de estados.
 Los firewalls de última generación van más allá de los firewalls con estado, ya que proporcionan las capacidades
de firewall estándar, prevención de intrusiones integrada, conocimiento de las aplicaciones, actualización de rutas
para incluir las fuentes de información del futuro y técnicas para abordar las amenazas de seguridad cambiantes.
 Al implementar IDS o IPS, es importante conocer los tipos de sistemas disponibles, los enfoques basados en host
y basados en la red, la implementación de estos sistemas, el papel que desempeñan las categorías de firma y las
posibles acciones que puede adoptar un router de Cisco IOS cuando se detecta un ataque.
 Decidir qué implementación de IDS e IPS aplicar depende de los objetivos de seguridad de la organización, como
se definen en su política de seguridad de la red.
 Existen dos tipos primarios de IPS: basados en hosts y con base en la red.
 Los dispositivos de seguridad especializados, como dispositivos de seguridad web, dispositivos de seguridad de
correo electrónico y firewalls de última generación proporcionan una protección integral frente a malware y ayudan
a mitigar amenazas de correo electrónico.
 Una lista de control de acceso (ACL, Access Control List) es una serie de comandos que controla si un dispositivo
reenvía o descarta paquetes según la información que se encuentra en el encabezado del paquete.
 Las ACL estándar se pueden utilizar para permitir o denegar el tráfico solo de direcciones IPv4 de origen, mientras
que las ACL extendidas filtran paquetes de IPv4 en función de los diferentes atributos.
 Un protocolo simple de administración de redes (SNMP) permite a los administradores gestionar terminales en
una red IP y permite a los administradores de redes supervisar y gestionar el rendimiento de la red, buscar y
resolver problemas de red y planificar el crecimiento de red.
 NetFlow proporciona datos para habilitar el monitoreo de red y de seguridad, la planificación de
red, el análisis de tráfico para incluir la identificación de los cuellos de botella de la red y la
contabilidad de IP para fines de facturación.
 La replicación de puertos es una característica que le permite al switch hacer copias del tráfico que
pasa y, luego, enviarlas a un puerto con un supervisor de redes conectado.
 El protocolo syslog permite que los dispositivos de red envíen los mensajes del sistema a
servidores de syslog a través de la red.
 El protocolo de tiempo de red (NTP) permite que los routers de la red sincronicen sus ajustes de
hora con un servidor NTP.
 AAA es un marco arquitectónico para configurar la autenticación, autorización y auditoría.
 Una VPN conecta dos terminales (por ejemplo, una oficina remota con una central) usando una red
pública para formar una conexión lógica.
 La infraestructura de red contiene tres categorías de componentes de red: dispositivos, medios y
servicios.
 Las topologías de LAN y de red de área extensa (WAN) se pueden ver de dos maneras: topología
física o topología lógica.
 En general, las redes WAN se interconectan mediante topologías físicas punto a punto, hub-and-
spoke o de malla.
 Los terminales se pueden interconectar mediante las topologías físicas en estrella, de estrella
extendida, de bus o de anillo.
 Un diseño de la red LAN jerárquica incluye acceso, distribución y capas principales.
 Principalmente, el diseño de firewall tiene por objetivo permitir o denegar el tráfico según el origen,
el destino y el tipo de tráfico.
Capítulo 5
Nuevos términos y comandos
• Listas de control de acceso (ACL) • sistemas de prevención de intrusiones (IPS)
• Capa de acceso • Punto de acceso liviano (LWAP)
• Firewall del gateway de aplicaciones (firewall • Topología lógica
de proxy) • Switch multicapa
• memoria de contenido direccionable (CAM) • NetFlow
• capa principal • Protocolo de tiempo de red (NTP)
• CSMA/CA • Analizador de paquetes
• CSMA/CD • Firewall para filtrado de paquetes (sin estado)
• zona desmilitarizada (DMZ) • Envío de paquetes
• Capa de distribución
• protocolo de routing dinámico
• Encapsulación de routing genérico (GRE)
• IPS basado en host (HIPS)
• dispositivo intermediario
Capítulo 5
Nuevos términos y comandos
• Determinación de ruta • Protocolo de syslog
• Topología física • Sistema de control de acceso del controlador
• Puertos reflejados de acceso a terminales plus (TACACS+)
• Remote Authentication Dial-In User Service • LAN virtual (VLAN)
(RADIUS, servicio de usuario de acceso • Red privada virtual (VPN)
telefónico de autenticación remota) • Punto de acceso (AP) inalámbrico
• Puerto enrutado • Controlador LAN inalámbrico (WLC)
• Router • LAN inalámbricas (WLAN)
• Identificador de conjunto de servicios (SSID) • Firewall de políticas basadas en zonas (ZPF)
• Protocolo simple de administración de redes
(SNMP)
• Protocolo de árbol de expansión (STP)
• Firewall de estado
• Rutas estáticas
• Interfaz virtual de switch (SVI)
Certificación en operaciones de ciberseguridad
En este capítulo se tratan las siguientes áreas de certificación en operaciones de ciberseguridad:
De 210-250 SECFND - descripción de temas fundamentales sobre ciberseguridad de Cisco:
 Dominio 1: conceptos de red
• 1.4 Describa el funcionamiento básico de los siguientes tipos de servicios de red:
• Router
• Switch
• Concentrador
• Puente
• Punto de acceso inalámbrico (WAP)
• Controlador LAN inalámbrico (WLC)
Certificación de operaciones de Cybersecurity (continuación)
• 1.5 Describa las funciones de los siguientes sistemas de seguridad de redes al implementarse en
un host, una red o una nube:
• Firewall
• Sistema de prevención de intrusiones (IPS)
• Advance Malware Protection (AMP)
• Aplicación de seguridad web (WSA) / Cisco Cloud Web Security (CWS)
• Aplicación de seguridad de correo electrónico (ESA) / Cisco Cloud Email Security (CES)
• 1.7 Describa la relación entre las VLAN y la visibilidad de los datos
• 1.8 Describa el funcionamiento de las ACL aplicadas como filtros de paquetes en las interfaces
de dispositivos de red
• 1.9 Compare y contraste la inspección profunda de paquetes con el filtrado de paquetes y la
operación de firewalls con estado
• 1.10 Compare y contraste la interrogación de tráfico en línea con los taps o la creación de reflejo
de tráfico
• 1.11 Compare y contraste las características de los datos obtenidos mediante taps o reflejo de
tráfico y Netflow en el análisis de tráfico de red
 Dominio 4: análisis basado en host
• 4.4 Describa los datos de los siguientes registros de sistemas operativos para identificar un evento:
• SysLog de Unix

CyOps1.1 Chp05 Instructor Supplemental Material

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CyOps1.1 Chp05 Instructor Supplemental Material

Cargado por

Copyright:

Formatos disponibles

Capítulo 5: Infraestructura

CCNA Cybersecurity Operations v1.1

 Guía de planificación para el instructor

5.1.1.10 Video Tablas de direcciones MAC en switches conectados

5.1.2.1 Video Comunicaciones inalámbricas

5.1.2.7 Actividad Identificación de dispositivos LAN

5.2.1.1 Video Dispositivos de seguridad

5.2.1.7 Actividad Identificación del tipo de firewall

5.2.1.12 Actividad Comparación de las características de IDS e IPS

5.2.2.4 Packet Tracer Demostración de ACL

5.2.2.12 Actividad Identificación de servicios o dispositivos de seguridad de redes

5.3.1.6 Video Diseño de redes de tres capas

5.3.1.8 Actividad Identificación de topologías de redes

5.3.1.9 Actividad Identificación de la terminología del diseño de redes

5.3.1.10 Packet Tracer Identificación de flujos de paquetes

 Completar el capítulo 5: "Evaluación".

CCNA Cybersecurity Operations v1.1

 5.3 Representaciones de redes

 Un hub de Ethernet actúa como un repetidor multipuerto que recibe

 Los parámetros inalámbricos configurables comunes incluyen lo

 Detección: un clientes inalámbrico localiza el AP para asociar.

• El cliente inalámbrico envía una trama de autenticación al AP.

• El cliente inalámbrico reenvía una trama de solicitud de asociación que incluye

• Seguridad de puerto, inspección dinámica de ARP y detección DHCP.

• Listas de acceso de un firewall de capa 3

 Capa de núcleo central

• Firewall proxy: inspecciona el tráfico

• Encriptación y autenticación WPA2

• Los firewalls resisten ataques de red.

 Algunos beneficios de usar un firewall en una red:

• Previene la exposición de hosts, recursos y aplicaciones

 Los firewalls también tienen algunas limitaciones:

• Un firewall mal configurado puede tener graves consecuencias para la red.

 Firewall híbrido: una combinación de los distintos tipos de firewall.

 Contienen prevención de intrusiones integrada.

 Actualizan las rutas para incluir futuros datos de información.

 Implementan técnicas para las amenazas de seguridad en constante evolución.

• es una solución integrada de protección y análisis de malware de clase empresarial.

 Cisco Email Security Appliance (ESA):

• defiende sistemas de correo electrónico fundamentales.

 Autenticación, autorización y auditoría (AAA) es un

 NetFlow recopila información en los encabezados

 El protocolo simple de administración de redes

Red privada virtual VPN de IPsec

 Hub-and-spoke: es una versión WAN de la topología en estrella, en la que un sitio central

 Estrella: los terminales se conectan a un dispositivo

 Los routers determinan rutas y reenvían paquetes.

También podría gustarte