Desarrollo de

SEGURIDAD
Aplicaciones Web
INFORMÁTICA
 Desarrollo de
Seguridad Redes
Aplicaciones Web I
REDES CABLEADAS

 Los equipos generalmente NO están aislados. Generalmente están

conectadas a una LAN (Red de área local) para:
 Utilizar recursos de otras máquinas
 Las otras máquinas aprovechen sus recursos

 Ahora hay que vigilar:

 Datos que entran y salen por la red por alguna de las interfaces de sus redes.
 Protegerse de los ataques que vengan de la red: una máquina que ofrece servicios
TCP/IP debe abrir ciertos puertos, que pueden ser solicitados por máquinas fiables
o máquinas maliciosas pudiendo dejar el servicio ininterrumpido o bien, se pueden
hacer con el control de la máquina.
REDES CABLEADAS
 Las primeras Redes LAN eran muy inseguras, porque todos los
ordenadores estaban conectado al mismo cable: arquitectura en Bus:
cualquiera podía poner su tarjeta en modo promiscuo (procesando
cualquier paquete que pasa por su interfaz, si no está en ese modo
procesa solo los paquetes que le afectan a ella), y escuchar todas las
conversaciones.
REDES CABLEADAS

 Actualmente esto ha desaparecido: ARQUITECTURA EN ESTRELLA: cada

equipo tiene un cable directo a un puerto de un conmutador de red (switch)
y por ahí envían sus paquetes. EL switch los recibe y decide porqué puerto va
a enviarlos para que lleguen a su destino. Mejoramos así seguridad y
rendimiento.
REDES CABLEADAS

 Medidas para evitar las Vulnerabilidades de las redes conmutadas:

 Proteger el switch físicamente: evitando robo o que accedan al

botón de reset y lo configuren a su modo.
 Proteger el switch lógicamente: con usuario y password.
 Hacer grupos de puertos: porque puede haber grupos de
máquinas que nunca tienen que comunicarse entre sí. Así hay que
aislarlos para ganar seguridad y rendimiento.
 Controlar qué equipos se pueden conectar y a qué puertos:
derivado del punto anterior.
REDES CABLEADAS - VLAN

 Los grupos de puertos que hacemos en un switch gestionable para aislar un

conjunto de máquinas constituyen una VLAN (LAN virtual). Se le llama virtual
porque parece que están en una LAN propia, que la red está montada para
ellos solos.
 VENTAJAS:
 Mejoran rendimiento y seguridad
 Si hay un ataque en una VLAN las otras VLAN no se ven afectadas
 No obstante, un exceso de tráfico en una VLAN si afectaría al resto,
porque comparten el switch.
 Una VLAN basada en grupo de puertos NO queda limitada a un
switch. Uno de los puertos puede estar conectado al puerto de otro
switch, y a su vez ese puerto forma parte de otro grupo d puertos..
REDES CABLEADAS - VLAN

 Una VLAN no tiene por qué estar

limitada a un único switch, ya que
uno de los puertos del switch puede
estar conectado a otro siwtch lo que
nos permite aumentar la VLAN.
 Las VLAN no suelen estar aisladas
del resto del mundo. Como mínimo
necesitan acceso a Internet, así
como estar conectados a servidores
internos de la empresa.
REDES CABLEADAS - VLAN

 Para interconectar VLAN (capa2) generalmente utilizaremos un

router(capa 3):

 CAPA 2: en el modelo TCP-IP la Capa 2 o capa de enlace,

tiene una visión local de la red:
 Sabe cómo intercambiar paquetes de datos (se llaman tramas) con los
equipos que están en su misma red.
 La comunicación es directa entre origen y destino (aunque cruce uno o varios
switch)

 CAPA 3: o capa de Red.

 Tiene una visión global de la red: sabe cómo hacer llegar paquetes de datos
hasta equipos que no están en la misma red.
 La comunicación es indirecta: necesita pasar por una máquina más: el router
REDES CABLEADAS - VLAN etiquetada
 El router necesitará conectividad con cada una de las VLAN que interconecta. Una
forma de conseguirlo es reservarle un puerto en cada una, pero nos llevaría a instalar
varias tarjetas en el router. Se suele usar la VLAN etiquetada.

 Utilizada para crear diseños de la capa 3, donde una máquina hace de router. En este
modelo el switch que conectará las VLAN al router VLAN tiene una configuración
distinta:
 el switch añadirá una etiqueta (un número) a los paquetes de datos (tramas) que salen por ese
puerto.
 Estos paquetes ya pueden viajar por el mismo cable que los paquetes de otras VLAN sin
interferirse entre ellos (conservamos el aislamiento entre VLAN), porque llegarán solo a los
puertos donde la interfaz de red sea capaz de interpretar ese tag (etiqueta, número).
 La configuración más simple mantiene los grupos de puertos pero el que lo conectará
con el router tiene una configuración distinta: el switch añadir una etiqueta (número) a
los paquetes de datos (tramas) que salen por este puerto.
 El router solo necesita un cable hasta el switch donde llegan todos los flujos, porque
internamente utiliza subinterfaces para tratar el tráfico de las diferentes VLAN.
REDES CABLEADAS - VLAN etiquetada
REDES CABLEADAS - Comandos para configurar VLAN
 Desde Desktop/IP Configuration: configurar las interfaces Ethernet
 vlan id de la VLAN en el modo de configuración global: para agregar VLAN al
switch: ejemplo (S1 es el switch)
S1(config)#vlan 99
S1(config-vlan)#name Student
S1(config-vlan)#exit
 show vlan brief: para verificar que las VLAN se hayan creado

S1#show vlan brief

 switchport access vlan id de la VLAN: los puertos se asignan a las VLAN en el

modo de configuración de interfaz

 vlan id número de VLAN o vlan id nombre de VLAN: muestra puertos

asignados a la VLAN
Comandos para configurar VLAN

 Ip address: desde el modo de configuración de interfaz para asignar la

dirección IP de administración a los switches.
S1(config)#interface vlan 99
S1(config-if)#ip address 172.17.99.11 255.255.255.0
S1(config-if)#no shutdown

 Configurar los enlaces troncales y la VLAN nativa para los puertos de enlaces
troncales en todos los switches.
S1(config)#interface fa0/1
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk native vlan 99
S1(config-if)#interface fa0/2
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk native vlan 99
S1(config-if)#end
Comandos para configurar VLAN

 show interface trunk : para verificar que los enlaces troncales se hayan
configurado.

 Para verificar que los switches puedan comunicarse. Ej

Desde S1, haga ping a la dirección de administración en S2 y S3.
S1#ping 172.17.99.12
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.17.99.12, timeout is 2 seconds:
..!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/9 ms
REDES CABLEADAS - AUTENTICACIÓN EN EL PUERTO. MAC y 802.1X

 Cualquiera puede meterse en el despacho y desconectar el cable del

ordenador del empleado y conectarlo a su portátil. Al ir a un switch no tiene
acceso al resto de las VLAN pero sí a lanzar ataques contra ellas.

 Para evirarlo los switch permiten autenticación en puertos: solo podrá

conectar aquel cuya MAC está definida en una lista dentro del propio switch,
o, como las MAC son fácilmente falsificables, el que sea autenticado mediante
RADIUS en el stándar 802.1X.

 DIRECCIÓN MAC = Dirección de nivel 2 (de enlace) de una tarjeta de Red

 La mejor forma de aprender es “haciendo”.
Educación y empresas forman un binomio inseparable