Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEGURIDAD EN REDES
Índice de Figuras
Ilustración 1 VLAN......................................................................................................................8
Ilustración 2. Interfaz Wireshark ................................................................................................10
Ilustración 3 Estructura de la Trama IEEE 802.1Q ....................................................................13
Ilustración 4 Ejemplo de configuración de seguridad en el puerto ............................................14
Ilustración 5 Topología ..............................................................................................................17
Ilustración 6 Configuraciones Básicas S1 ..................................................................................18
Ilustración 7 Configuraciones Básicas S2 ..................................................................................19
Ilustración 8 Configuraciones Básicas S3 ..................................................................................19
Ilustración 9 Deshabilitar interfaces VLAN S1 ..........................................................................20
Ilustración 10 Deshabilitar interfaces VLAN S2 ........................................................................20
Ilustración 11 Deshabilitar interfaces VLAN ESW3 ..................................................................20
Ilustración 12 Configuración de VLAN S1 ................................................................................20
Ilustración 13 Configuración de VLAN S2 ................................................................................21
Ilustración 14 Configuración de VLAN S3 ................................................................................21
Ilustración 15 Puertos de las VLANs S1 ....................................................................................21
Ilustración 16 Puertos de las VLANs S2 ....................................................................................21
Ilustración 17 Puertos de las VLANs S3 ....................................................................................22
Ilustración 18 Configuración de VTP en S1 modo server ..........................................................22
Ilustración 19 Configuración de VTP en S2 ...............................................................................22
Ilustración 20 Configuración de VTP en ESW3 .........................................................................22
Ilustración 21 Enlace Troncal y VLAN S1 .................................................................................23
Ilustración 22 Enlace Troncal y VLAN S2 .................................................................................23
Ilustración 23 Enlace Troncal y VLAN S3 .................................................................................23
Ilustración 24 Troncalización S1 ................................................................................................23
Ilustración 25 Troncalización S2 ................................................................................................24
Ilustración 26 Troncalización S3 ................................................................................................24
Ilustración 27 Asignación de puertos S2 ....................................................................................24
Ilustración 28 Asignación de puertos S3 ....................................................................................25
Ilustración 29 Dirección IP PC1 .................................................................................................25
Ilustración 30 Dirección IP PC2 .................................................................................................25
Ilustración 31 Dirección IP PC3 .................................................................................................25
Ilustración 32 Dirección IP PC4 .................................................................................................25
Ilustración 33 Dirección IP PC5 .................................................................................................25
Ilustración 34 Dirección IP PC6 .................................................................................................26
Ilustración 35 Configuraciones básicas R1 .................................................................................26
Ilustración 36 Subinterfaces R1..................................................................................................27
Ilustración 37 Configuración Port Security ................................................................................27
Ilustración 38 Guardar configuraciones S1 ................................................................................28
Ilustración 39 Guardar configuraciones S2 ................................................................................28
Ilustración 40 Guardar configuraciones S3 ................................................................................28
Ilustración 41 Guardar configuraciones R1 ................................................................................28
Ilustración 42 Búsqueda de dominio S1 .....................................................................................29
Ilustración 43 Búsqueda de dominio S2 .....................................................................................29
Ilustración 44 Búsqueda de dominio S3 .....................................................................................30
Ilustración 45 Configuración SSH S1 ........................................................................................30
Ilustración 46 Configuración SSH S2 ........................................................................................30
Ilustración 47 Configuración SSH S3 ........................................................................................31
Ilustración 48 Configuraciones básicas en S1 ............................................................................31
Ilustración 49 Configuraciones básicas en S2 ............................................................................31
Ilustración 50 Configuraciones básicas en S3 ............................................................................31
Ilustración 51 Ping de PC1 a PC4 VLAN 10..............................................................................32
Ilustración 52 Ping de PC2 a PC5 VLAN 20..............................................................................33
Ilustración 53 Ping de PC3 a PC6 VLAN 30..............................................................................33
Ilustración 54 VLANs ESW1 .....................................................................................................34
Ilustración 55 VLANs ESW2 .....................................................................................................34
Ilustración 56 VLANs ESW3 .....................................................................................................34
Ilustración 57 Trunking ESW1 ...................................................................................................35
Ilustración 58 Trunking ESW2 ...................................................................................................35
Ilustración 59 Trunking ESW3 ...................................................................................................35
Ilustración 60 Modo de Operación ESW1 ..................................................................................36
Ilustración 61 Modo de Operación ESW2 ..................................................................................36
Ilustración 62 Modo de Operación ESW3 ..................................................................................36
Ilustración 63 Configuraciones básicas realizadas R1 ................................................................37
Ilustración 64 Interfaces .............................................................................................................37
Ilustración 65 Echo Request y Echo Reply de InterVlan ............................................................39
Ilustración 66 Echo Request y Echo Reply de InterVlan de VLAN 20a VLAN 30 ....................40
Ilustración 67 VLANs ................................................................................................................41
Ilustración 68 Port Security ESW2 .............................................................................................42
Ilustración 69 Port Security ........................................................................................................43
Ilustración 70 Tabla MAC antes de puerto seguro .....................................................................43
Ilustración 71 Tabla de direcciones MAC configurado puerto seguro ........................................43
Índice de Tablas
Tabla 1 Materiales y Equipos .....................................................................................................15
Tabla 2 Direcciones IPv4 de los dispositivos .............................................................................16
1. Tema
2. Objetivos
Realizar la configuración de VLAN y Port Security en IPv4 para aplicar los diferentes
tipos de seguridad en puertos en la topología planteada.
3. Marco Teórico
3.1 GNS3
GNS3 es un software utilizado por cientos de miles de ingenieros de redes a nivel mundial
para emular, configurar, probar y solucionar problemas de redes virtuales y reales. Le
permite ejecutar una pequeña topología que consta de solo unos pocos dispositivos en su
computadora portátil, a aquellos que tienen muchos dispositivos alojados en múltiples
servidores o incluso alojados en la nube. (Marrone, 2014)
Originalmente solo emulaba dispositivos Cisco que usaban software llamado Dynamips,
GNS3 ahora ha evolucionado y admite muchos dispositivos de múltiples proveedores de
red, incluidos conmutadores virtuales Cisco, Cisco ASA, Brocade vRouters,
conmutadores Cumulus Linux, instancias Docker, HPE VSR, múltiples dispositivos
Linux y muchos otros. (Marrone, 2014)
El subneteo con VLSM (Variable Length Subnet Mask), máscara variable ó máscara de
subred de longitud variable, es uno de los métodos que se implementó para evitar el
agotamiento de direcciones IPv4 permitiendo un mejor aprovechamiento y optimización
del uso de direcciones. Antes de seguir explicando voy a hacer una breve aclaración sobre
VLSM, CIDR y sumarización de rutas. Estos 3 conceptos son complementarios y se
prestan a confusión. (IST, 2007)
VLSM: Es el resultado del proceso por el cual se divide una red o subred en subredes más
pequeñas cuyas máscaras son diferentes según se adaptan a las necesidades de hosts por
subred.
3.3 VLAN
Una red de área local virtual (Virtual Local Area Network o VLAN) es un segmento
lógico más pequeño dentro de una gran red física cableada. Las diferentes estaciones se
combinan en una solución de red independiente de su ubicación: siempre que estén
conectadas entre sí en la misma LAN, es posible combinarlas mediante una VLAN. No
supone ningún problema que la LAN abarque varios switches. Lo único importante es
que el switch también sea compatible con la VLAN. La única manera de crear VLAN es
utilizando switches gestionables (Managed Switches). (Smith, 2011)
Una VLAN puede configurarse de varias maneras. Dependiendo del tipo de VLAN,
encontraremos una tecnología diferente. En la práctica, se utilizan dos tipos de VLAN:
las VLAN basadas en puertos y VLAN etiquetadas (en inglés, tagged VLAN). En muchos
casos, los administradores de red realizan sus instalaciones y asignaciones utilizando un
híbrido de estos dos tipos. (Crespo, 2016)
En las VLAN etiquetadas la asignación a las VLAN es más dinámica. En lugar de tener
que establecerse en el switch, una etiqueta (tag) en el marco del datagrama se encarga de
la asignación. Por esta razón, esta técnica también se denomina, en analogía a las redes
basadas en puertos, como basada en marcos. En la etiqueta se encuentra la información
sobre la VLAN en la que se encuentra actualmente. De esta manera, un switch puede
reconocer en qué segmento se produce la comunicación y reenviar el mensaje en
consecuencia. (Crespo, 2016)
3.5 Wireshark
TCP/IP fue desarrollado por el Departamento de Defensa de EE. UU. para especificar el
modo en que los equipos transfieren datos de un dispositivo a otro. TCP/IP incide mucho
en la precisión y dispone de varios pasos para garantizar la correcta transmisión de los
datos entre ambos equipos. (Cerón, 2015)
Este es uno de los mecanismos que emplea para ello. Si el sistema enviara un mensaje
entero en una pieza y se encontrara cualquier problema, sería necesario enviar de nuevo
el mensaje completo. Lo que hace TCP/IP es descomponer cada mensaje en paquetes que
se vuelven a ensamblar en el otro extremo. De hecho, cada paquete podría tomar una ruta
distinta hasta el equipo de destino si la ruta deja de estar disponible o está muy
congestionada. (Cerón, 2015)
Además, TCP/IP divide las distintas tareas de comunicación en capas. Cada capa tiene
una función distinta. Los datos pasan por cuatro capas independientes antes de recibirse
en el otro extremo (como se explica en la sección siguiente). A continuación, TCP/IP
recorre estas capas en orden inverso para re ensamblar los datos y presentárselos al
destinatario. (Cerón, 2015)
El propósito de las capas es crear un sistema estandarizado, sin que los distintos
fabricantes de hardware y software tengan que gestionar la comunicación por su cuenta.
Es como conducir un coche: todos los fabricantes convienen en la posición de los pedales,
así que no tenemos que tener eso en cuenta al cambiar de coche. También significa que
es posible actualizar determinadas capas, por ejemplo, para mejorar el rendimiento o la
seguridad, sin tener que actualizar todo el sistema. (Cerón, 2015)
Virtual Trunking Protocol (VTP) es un protocolo propietario de CISCO. VTP sirve para
centralizar en un solo switch la administración de todas las VLANs.
En una red física suele haber varios switches interconectados que admiten varias VLANs.
Para mantener la conectividad entre las VLANs, cada VLAN se debe configurar de forma
manual en cada switch. A medida que la organización crece y se agregan switches
adicionales a la red, cada nuevo switch debe configurarse manualmente con la
información de las VLANs.
Usando VTP, cada switch publica en sus puertos troncales su dominio de administración,
las VLANs que conoce y determinados parámetros para cada VLAN conocida. Todos los
dispositivos en el mismo dominio de administración reciben información acerca de
cualquier nueva VLAN que se haya configurado en el dispositivo transmisor. Se debe
crear y configurar una nueva VLAN en un solo dispositivo del dominio de administración.
Los demás dispositivos reciben automáticamente la información.
Para configurar VLANs utilizando VTP se debe seleccionar uno de los switches como
servidor VTP (también llamado Primary Domain Controller). Los switches Catalyst están
configurados por defecto como servidores VTP. En el switch servidor de VTP se crearán
todas las VLANs. El resto de los switches serán clientes. En los switches cliente no hay
que definir o crear las VLANs. Sólo habrá que asignar los puertos a las VLANs. (García,
2016)
Es un enlace que se configura en uno o más puertos de un switch para permitir el paso del
tráfico de las distintas VLANs que hemos configurado. Este enlace puede funcionar en una
conexión de switch a otro switch o bien, de un switch a un router, e incluso de un switch a
un servidor que soporte el estándar 802.1Q para «pasarle» varias VLANs simultáneamente.
En cualquiera de los casos, no hay dudas respecto a su eficacia, pues ahorra la necesidad de
utilizar un enlace físico para cada VLAN. (Fernández, 2020)
El protocolo esencial que da vida al enlace troncal es el que pertenece al estándar IEEE
802.1Q. Esto permite que las tramas Ethernet viajen a través de la red con una «etiqueta»
que contiene el identificador de la VLAN. (Fernández, 2020)
3.9 IEEE 802.1Q
El protocolo IEEE 802.1Q, también conocido como dot1Q, fue un proyecto del grupo de
trabajo 802 de la IEEE para desarrollar un mecanismo que permita a múltiples redes
compartir de forma transparente el mismo medio físico, sin problemas de interferencia
entre ellas (Trunking) o enlace troncal. Es también el nombre actual del estándar
establecido en este proyecto y se usa para definir el protocolo de encapsulamiento usado
para implementar este mecanismo en redes Ethernet. Todos los dispositivos de
interconexión que soportan VLAN deben seguir la norma IEEE 802.1Q que especifica
con detalle el funcionamiento y administración de redes virtuales. (Torres, 2016)
Formato de la trama:
802.1Q en realidad no encapsula la trama original, sino que añade 4 bytes al encabezado
Ethernet original. El valor del campo EtherType se cambia a 0x8100 para señalar el
cambio en el formato de la trama.
Se define un número máximo de direcciones MAC de origen permitidas para todas las
tramas que llegan a la interfaz. Además, se debe mirar todas las tramas de ingreso y
mantiene una lista de todas las direcciones MAC de origen, además un conteo del número
de direcciones MAC diferentes. Cuando se agrega una nueva dirección MAC de origen a
la lista, si el número de las direcciones MAC sobrepasa al máximo configurado, una
violación de seguridad en el puerto ocurre. El switch realiza una acción por defecto apaga
administrativamente la interfaz. (CCNA, 2020)
MATERIALES FIGURA
Computadora Portátil
GNS3
Wireshark
Routers
Switch Capa 3
PC
5. Procedimiento Experimental
Configuración de
Levantamiento de Subneteo y
EtherSwitch y
Topología Direccionamiento
Router
Configuración
Comprobación y Configuración de
de VLANs e
verificación de Troncalización,
interfaces de
resultados 802.1Q, intervlan
VLANs
5.2 Subneteo
Ilustración 5 Topología
6. Desarrollo
Como siguiente paso se debe realizar las configuraciones básicas en cada uno de los
EtherSwitch Y Router, como es el hostname, un mensaje de bienvenida y las contraseñas
de acceso a cada uno de los equipos en este caso los Routers, y como adicional poder
aplicar una búsqueda de dominio para evitar demoras al momento de digitar mal un
comando. Así como el protocolo SSH.
Aquí se procede a crear las VLANs las cuáles serán las mismas en todos los Switches con
la finalidad de que se establezca la conectividad entre cada VLAN. Esto se lo realiza en
el Switch 2 que esta designado como server
Se procede a crear las VLANs en el ESW tomando en cuenta cada uno de los puertos, se
debe realizar en cada uno de los equipos.
En este caso se procede a configurar a los Switches como un servidor VTP al SW1, para
lo cual damos un nombre de dominio, al siguiente Switch en este caso se lo configura de
dos formas, como servidor y cliente VTP.
Se configura el Trunk, en este caso nos servirá para la conexión entre los puertos
correspondientes y será en donde se realice el encapsulamiento del tráfico de las VLANs.
Primeramente, la troncalización en el Router brinda comunicación con una red externa e
interna.
Ilustración 24 Troncalización S1
Ilustración 25 Troncalización S2
Ilustración 26 Troncalización S3
Se procede a asignar cada uno de los puertos para las VLANs creadas en cada uno de los
Switches.
Se configura la dirección IP asignada para cada una de las PCs. De igual manera se lo
realiza para IPv6.
Configuración InterVlan
Configuramos las subinterfaces correspondientes a las VLANs 10, 20, 30 que fueron
designadas.
Ilustración 36 Subinterfaces R1
Se procede a guardar las configuraciones realizadas en cada uno de los equipos con la
finalidad de realizar un respaldo.
Dentro de este campo podemos verificar la información de cada una de las VLANs
configuradas con su respectivo puerto y las interfaces utilizadas.
Como se verificó antes de realizar las configuraciones se procede a ver el estado actual
del Switch el cual nos muestra información acerca del modo de operación que se
encuentra cada uno de los equipos, así como la cantidad de VLANs creadas entre otra
información configurada. Para este caso el ESW1 se encuentra en modo Server y los
demás en modo cliente
Verificamos las direcciones configuradas para cada una de las subinterfaces para
comunicación InterVLAN.
Ilustración 64 Interfaces
Para esto realizamos ping desde la PC1 de la VLAN 10 hacia la PC5 de la VLAN 20.
Ilustración 65 Echo Request y Echo Reply de InterVlan
Ahora verificamos haciendo ping desde la PC2 de la VLAN 20 hacia la PC6 de la VLAN
30.
Ilustración 66 Echo Request y Echo Reply de InterVlan de VLAN 20a VLAN 30
7.9 Verificación de VLANs
Ilustración 67 VLANs
7.10 Verificar puerto seguro inicial
7.12 Ver la tabla de direcciones MAC cuando se habilita Seguridad en el Puerto del
Switch
Se recomienda definir cada uno de los puertos que se va a utilizar y los demás que
se encuentren deshabilitados con la finalidad de un mejor rendimiento y para
evitar confusiones y problemas en la seguridad de la información.
Se recomienda verificar en cada uno de los Switches las VLANs configuradas ya
que tienen que ser las mismas con la finalidad de que cada PC se agrupe en la
VLAN y se comunica con las que se encuentran en la misma red.
Se recomienda analizar la troncalización que nos da como resultado ya que es ahí
en donde se pude verificar la correcta configuración.
Bibliografía