1

Implementando seguridad en dispositivos capa 2

Duvan Páez Tapia

Ronaldo Stive Guette Ospino

Carlos Eduardo Ortiz Botina

Jesús David Plitt Torres

Fundación Universitaria Área Andina

Seguridad En Redes - 8190 - 11

Ricardo Alfredo López Bulla

05 de Mayo de 2023
 2

TABLA DE CONTENIDO

INTRODUCCIÓN 3

1. Explique qué beneficios de seguridad brinda a la red, el filtrado MAC y desactivar el SSID

en un 4

2. Desarrolle un mapa mental sobre los protocolos de seguridad de la red WiFi, WEP, WPA,

WPA2 y WPA 3. 4

3. Proponga cómo podría mejorar la seguridad inalámbrica en el diseño implementado en el

taller 5

4. Explique la importancia de implementar la configuración básica de un dispositivo antes de

la producción. 5

5. Diseñe un mapa conceptual de los principales ataques a las redes LAN y las estrategias de

mitigación. 5

6. Explique la importancia de implementar la seguridad en los puertos de switch. 6

7. Analice el impacto de la configuración de las VLAN en la seguridad de la red. 6

8. Desarrolle un cuadro comparativo entre Telnet y SSH. 8

9. Cuál es la importancia de implementar DHCP snooping en la red. 9

10. Proponga políticas de seguridad en red LAN que mejoren la seguridad, la alta

disponibilidad y calidad de servicio de esta. 10

 3

INTRODUCCIÓN

La seguridad en redes inalámbricas es un aspecto crítico para considerar en cualquier

diseño de red. Este tema es de gran importancia debido a la popularidad de las redes WiFi y su

amplio uso en hogares, oficinas y lugares públicos. En este trabajo se explorarán diferentes

aspectos de seguridad inalámbrica, incluyendo el filtrado MAC, la desactivación del SSID, los

protocolos de seguridad WiFi (WEP, WPA, WPA2 y WPA 3), los principales ataques a las redes

LAN y las estrategias de mitigación, la seguridad en los puertos de switch y el impacto de la

configuración de VLAN en la seguridad de la red. Además, se propondrán estrategias para

mejorar la seguridad en una red inalámbrica y se discutirá la importancia de implementar la

configuración básica de un dispositivo antes de ponerlo en producción.

 4

Paso 1: Implementar topología física y lógica

Imagen 1.Topología física y lógica diseñado en Packet tracer.

Fuente 1. Elaboración Propia.

Paso 2: Configuración de control de acceso y seguridad en al Router WiFi.

Imagen 2.

Configure la red LAN y WAN del Router WiFi de acuerdo con la tabla de direccionamiento
 5

Implemente el control de acceso al Router WiFi desactivando el SSID y cambiando el nombre al

mismo.

Desarrolle filtrado MAC de las tres Laptops ingresándolas a las listas de MAC permitidas.
 6

Aplique el protocolo de seguridad WPA2 al dispositivo Router WiFi.

Paso 3: Configuración básica del switch

Cambie el nombre a los switch según la tabla de direccionamiento.

 7

Agregue contraseña a modo privilegiado “FUAA123*”.

Implemente un mensaje de advertencia

 8

Cree dos usuarios con privilegio mínimo

 9

Configure el acceso a SSH.

 10

Paso 4: Configuración de VLAN

• Implemente las VLAN de acuerdo con la tabla de VLAN.

 11

• Asigne dos PC a cada VLAN de acuerdo con la imagen y tabla de direccionamiento.

• Asigne los puertos a las VLAN de acuerdo con la tabla de VLAN.

 12

Paso 5: Asegurando puertos

• Implemente la seguridad de los puertos para que admitan una única MAC

• Configure la acción shutdown cuando detecte una violación en el puerto.

 13

• Configure la detección automática de la MAC en cada puerto.

• Implemente el DHCP Snooping para prevenir ataques.

DHCP de la infraestructura
 14

Ingresamos al switch y en modo privilegiado

Ingresamos el comando do show run

 15

Como podemos observar está configurada el ARP inspection trust y DHCP snooping trust,

adicional se le configura la seguridad de puertos que permita una sola MAC.

1. Explique qué beneficios de seguridad brinda a la red, el filtrado MAC y desactivar el SSID

en un

Router WiFi.

El filtrado MAC (Media Access Control), limita el acceso a la red solo a los dispositivos

cuyas direcciones MAC hayan sido autorizada por el administrador de la red. Esto significa que

si incluso la red recibe un ataque no podrían acceder a ella a menos de que su dirección MAC

este incluida en la lista de control de acceso

 16

La desactivación del SSID (Service Set Identifier) implica ocultar el nombre de la red

WiFi para que no aparezca en la lista de redes disponibles cuando un dispositivo está buscando

una red a la cual conectarse. Esto hace que la red no sea visible para un atacante potencial. Sin

embargo, debe tenerse en cuenta que esto no proporciona una protección total, ya que un

atacante aún puede encontrar la red mediante el uso de herramientas de escaneo de redes.

2. Desarrolle un mapa mental sobre los protocolos de seguridad de la red WiFi, WEP, WPA,

WPA2 y WPA 3.

3. Proponga cómo podría mejorar la seguridad inalámbrica en el diseño implementado en el

taller

- Deshabilitando la opción de acceso a la utilidad Web mediante conexión inalámbrica está

habilitada por defecto. Se puede deshabilitar esta función para aumentar la seguridad,
 17

aunque en cisco packet tracert no está habilitada esta opción si es un punto fundamental

que debemos tener en cuenta en una red inalámbrica.

- Establecer Radio Band (Banda de radio) en Auto (Automático). Esto permite que la red

utilice todos los dispositivos 802.11n, g y b

- Habilitar el DHCP Server para que tenga un pool de direcciones como límite.

- Habilitar la seguridad WPA2 Enterprise, esto con el objetivo de configurar una RADIUS

esto se refiere a un sistema de autenticación y control de acceso a una red inalámbrica.

Radius es un protocolo de autenticación de red utilizado para autenticar y autorizar el

acceso a una red. Una implementación de Radius puede incluir un servidor de

autenticación que gestiona y valida las credenciales de los usuarios que intentan

conectarse a una red inalámbrica, como una red WiFi.

- Habilitar firewall SPI utiliza un conjunto de reglas para examinar los paquetes de datos

entrantes y salientes de una red. Estas reglas permiten o bloquean el tráfico en función de

ciertos criterios, como la dirección IP de origen y destino, el número de puerto y el estado

de la conexión.
 18

- Habilitar la Política de acceso a Internet: La pantalla Política de acceso a Internet le

permite bloquear o permitir tipos específicos de uso y tráfico de Internet, como acceso a

Internet, servicios designados, sitios web y tráfico entrante durante días y horarios

específicos.

- Applications & Gaming DMZ permite que un usuario local esté expuesto a Internet para

el uso de un servicio de propósito especial como

Juegos de Internet y videoconferencias. El alojamiento DMZ reenvía todos los puertos al

mismo tiempo a una PC. El puerto

Range Forwarding es más seguro porque solo abre los puertos que desea tener

abiertos, mientras que el alojamiento DMZ abre todos los puertos de una computadora,

exponiendo la computadora a Internet.

4. Explique la importancia de implementar la configuración básica de un dispositivo antes

de la producción.

La implementación de la autenticación de RADIUS (Authentication Dial-In User

Service) en una red inalámbrica puede proporcionar una mejora significativa en el diseño y

seguridad de la red. Al implementar la autenticación de RADIUS en una red WiFi, se puede

mejorar el rendimiento y la capacidad de la red para manejar una mayor densidad de

dispositivos. Esto se debe a que RADIUS puede manejar el proceso de autenticación y

autorización en un servidor centralizado, lo que reduce la carga de procesamiento en los

dispositivos de la red. Además, la autenticación de RADIUS también puede mejorar la seguridad

de la red WiFi y también puede ayudar a prevenir el acceso no autorizado a la red y reducir el

riesgo de ataques de suplantación de identidad. También se puede configurar RADIUS para

 19

requerir certificados digitales para la autenticación, lo que proporciona una capa adicional de

seguridad.

5. Diseñe un mapa conceptual de los principales ataques a las redes LAN y las estrategias de

mitigación.

6. Explique la importancia de implementar la seguridad en los puertos de switch.

La seguridad en los puertos de switch es un componente crítico para la integridad y

confidencialidad de los datos transmitidos a través de la red. Si no se implementa la seguridad

adecuada en los puertos de switch, se pueden exponer vulnerabilidades en la red, lo que puede

poner en riesgo la privacidad y la seguridad de la información.

Entre las medidas que se pueden implementar para mejorar la seguridad en los puertos de switch

se encuentran:

Configuración de contraseñas de acceso: Se pueden configurar contraseñas en los puertos

de switch para evitar el acceso no autorizado. Las contraseñas deben ser robustas y únicas para

cada puerto y se recomienda cambiarlas regularmente para mantener la seguridad. Limitación del
 20

tráfico de red: Se pueden limitar ciertos tipos de tráfico de red a través de determinados puertos

de switch para evitar la propagación de virus y malware. Configuración de VLANs: Las VLANs

son redes virtuales que permiten separar diferentes tipos de tráfico de red, lo que puede ayudar a

reducir la propagación de ataques y mejorar la seguridad. Supervisión de la actividad de red: Es

importante supervisar la actividad de red para detectar posibles amenazas y tomar medidas

preventivas para evitar ataques. Las herramientas de monitoreo y análisis de tráfico de red

pueden ayudar en esta tarea.

7. Analice el impacto de la configuración de las VLAN en la seguridad de la red.

Las VLAN (Virtual Local Area Network) pueden tener impactos significativos en la seguridad e

la red como por ejemplo:

7.1. Aislamiento de tráfico: Una de las principales ventajas de las VLANs es que pueden aislar

el tráfico de red. Cada VLAN se considera como una red virtual separada, lo que significa que

los dispositivos en una VLAN no pueden comunicarse directamente con los dispositivos de otras

VLANs, a menos que se configure específicamente. Esto ayuda a prevenir la propagación de

ataques o malware de una VLAN a otra, limitando el alcance del impacto en caso de una

intrusión. A no ser que esté configurado con los protocolos de enrutamiento dinámico RIPv2,

OSPF, IGRP, EIGRP y BGP

7.2. Control de acceso: Las VLANs permiten un mayor control de acceso a los recursos de red.

Los dispositivos solo pueden acceder a los recursos y servicios dentro de su propia VLAN, a

menos que se configure explícitamente un enlace o ruta entre VLANs. Esto evita que usuarios no

autorizados o dispositivos no confiables accedan a recursos sensibles. Por ejemplo, una VLAN
 21

puede estar configurada exclusivamente para servidores y solo permitir el acceso a

administradores autorizados, mientras que otra VLAN puede ser para los empleados regulares.

7.3. Segmentación de red: Las VLANs permiten la segmentación lógica de la red en grupos más

pequeños y manejables. Esto es especialmente útil en entornos corporativos donde diferentes

departamentos pueden requerir diferentes niveles de acceso y seguridad. Al asignar a cada

departamento o grupo su propia VLAN, se puede controlar de manera más efectiva el acceso a

los recursos compartidos y reducir la superficie de ataque potencial.

7.4. Mitigación de ataques internos: Las VLANs también pueden ayudar a mitigar los ataques

internos. Al aislar grupos de usuarios o departamentos en VLANs separadas, se reduce la

posibilidad de que un usuario malintencionado o comprometido pueda acceder o afectar otros

segmentos de la red. Esto limita el impacto potencial de un ataque interno y proporciona una

capa adicional de seguridad.

7.5.Simplificación de la administración: La configuración de VLANs puede simplificar la

administración de la red al permitir una gestión centralizada de los recursos y políticas de

seguridad. Los cambios y actualizaciones en las políticas de seguridad se pueden aplicar

fácilmente a nivel de VLAN, lo que agiliza la administración y mejora la coherencia en toda la

red.

También la configuración de VLANs pueden fortalecer la seguridad de una red al

proporcionar aislamiento de tráfico, control de acceso más granular, segmentación de red y

mitigación de ataques internos. Estas medidas ayudan a proteger los datos y recursos críticos, así

como a limitar el impacto de posibles ataques en la red en general.

 22

8. Desarrolle un cuadro comparativo entre Telnet y SSH.

Explicación de los elementos del cuadro comparativo

Protocolo de red antiguo:

Telnet es un protocolo de red antiguo que ha sido reemplazado por SSH.

Cifrado de datos:

Telnet no proporciona cifrado de datos, lo que significa que la información enviada a través de

Telnet puede ser interceptada y leída por terceros.

SSH, por otro lado, proporciona cifrado de extremo a extremo, lo que significa que la información

enviada a través de SSH está protegida de los intentos de intercepción.

Autenticación:
 23

Telnet utiliza contraseñas en texto plano para la autenticación, lo que significa que las contraseñas

se envían a través de la red sin cifrar y son vulnerables a los ataques de sniffing.

SSH utiliza autenticación de clave pública/privada, lo que significa que las claves se utilizan para

la autenticación en lugar de contraseñas en texto plano.

Seguridad:

Telnet no es seguro para la red porque no proporciona cifrado de datos ni autenticación segura.

SSH es seguro para la red porque proporciona cifrado de extremo a extremo y autenticación segura.

Utilización:

Telnet se puede utilizar para tareas básicas en sistemas simples, pero no es adecuado para tareas

críticas.

SSH se utiliza comúnmente para tareas críticas y seguras, como la administración remota de

servidores y sistemas.

Plataforma:

Telnet se puede utilizar en una amplia variedad de sistemas operativos y dispositivos de red.

SSH es compatible con sistemas Unix y Windows.

Telnet y SSH utilizan diferentes puertos para establecer una conexión:

● Telnet utiliza el puerto 23 de manera predeterminada. Sin embargo, este puerto puede ser

configurado para cualquier puerto de red deseado.

● SSH, por otro lado, utiliza el puerto 22 de manera predeterminada. Al igual que Telnet, el

puerto utilizado por SSH también puede ser configurado para cualquier otro puerto de red.
 24

Es importante destacar que, aunque SSH utiliza un puerto diferente, es posible que un cortafuegos

o sistema de seguridad bloquee el acceso a cualquier puerto que no esté específicamente permitido.

Por lo tanto, es importante revisar la configuración de los puertos en el sistema y ajustarlos en

consecuencia para garantizar una comunicación segura y efectiva.

9. Cuál es la importancia de implementar DHCP snooping en la red.

La implementación de DHCP snooping en una red es importante por varias razones, como:

9.1. Prevención de ataques de DHCP rogue: DHCP snooping ayuda a prevenir ataques de DHCP

rogue, donde un dispositivo no autorizado intenta actuar como un servidor DHCP y distribuir

direcciones IP falsas. Al habilitar DHCP snooping, se puede garantizar que solo los servidores

DHCP autorizados puedan asignar direcciones IP válidas.

9.2. Protección contra ataques ARP Spoofing: DHCP snooping también puede ayudar a proteger

contra ataques de envenenamiento de ARP (Address Resolution Protocol). Estos ataques implican

el envío de respuestas ARP falsas para redirigir el tráfico de red a través de un atacante. Al validar

las respuestas DHCP con DHCP snooping, se puede detectar y prevenir estos ataques.

9.3. Mejora de la seguridad de la red: Al asegurar la asignación correcta de direcciones IP a

través de DHCP snooping, se mejora la seguridad general de la red. Esto evita que dispositivos no

autorizados obtengan acceso a la red o realicen actividades maliciosas.

9.4. Control de dispositivos de red no autorizados: DHCP snooping también permite controlar

los dispositivos de red no autorizados. Al monitorear y registrar las direcciones MAC de los

dispositivos conectados a los puertos, se puede identificar y bloquear dispositivos no autorizados

o desconocidos en la red.
 25

9.5. Optimización del rendimiento de la red: Al evitar conflictos de direcciones IP y asegurar

una asignación adecuada de direcciones, DHCP snooping contribuye a la optimización del

rendimiento de la red. Esto ayuda a evitar problemas de conectividad y mejora la eficiencia de la

red en general.

La implementación de DHCP snooping es importante para prevenir ataques, mejorar la

seguridad de la red, controlar dispositivos no autorizados y optimizar el rendimiento de la red. Es

una medida efectiva para proteger y mantener una red segura y confiable.

10. Proponga políticas de seguridad en red LAN que mejoren la seguridad, la alta

disponibilidad y calidad de servicio de esta.

- Implementar una autenticación de usuarios sólida: Todos los usuarios que accedan a la

red LAN deben autenticarse mediante credenciales seguras, como contraseñas complejas

o autenticación de doble factor, para evitar accesos no autorizados.

- Actualizar regularmente los sistemas y dispositivos: Mantener los sistemas y dispositivos

actualizados con las últimas actualizaciones de seguridad y parches ayudará a prevenir

vulnerabilidades y proteger contra amenazas conocidas.

- Limitar el acceso a la red: Restringir el acceso a la red LAN solo a usuarios y dispositivos

autorizados puede ayudar a reducir el riesgo de ataques maliciosos.

- Configurar el firewall: Configurar el firewall para bloquear tráfico no autorizado y

permitir solo el tráfico permitido a través de la red, de acuerdo con las políticas de

seguridad establecidas.

- Monitorear la red: Implementar herramientas de monitoreo para detectar posibles

amenazas, y tomar medidas preventivas en consecuencia.

 26

- Implementar redundancia y alta disponibilidad: Configurar sistemas y dispositivos de red

en una topología redundante y tolerante a fallos, para garantizar la alta disponibilidad y

continuidad del servicio.

- Establecer políticas de calidad de servicio (QoS): Priorizar el tráfico crítico, como voz y

video, para garantizar que la calidad del servicio de la red no se vea comprometida en

momentos de alta demanda.

- Controlar el acceso a internet: Restringir el acceso a sitios web y contenido no

autorizado, y limitar el ancho de banda utilizado por ciertas aplicaciones, para reducir la

exposición a amenazas en línea y mejorar el rendimiento de la red.

- Configurar el cifrado: Configurar el cifrado de extremo a extremo en las comunicaciones

de la red, utilizando tecnologías como VPN (Virtual Private Network) o TLS (Transport

Layer Security), para proteger la confidencialidad e integridad de los datos transmitidos.

- Establecer políticas de gestión de contraseñas: Establecer políticas para la gestión de

contraseñas seguras, incluyendo la obligación de cambiar regularmente las contraseñas,

establecer una complejidad mínima de la contraseña, y evitar la reutilización de

contraseñas.

- Capacitar a los usuarios: Capacitar a los usuarios de la red en las políticas de seguridad y

buenas prácticas de seguridad, como el uso de contraseñas seguras y la identificación de

correos electrónicos fraudulentos.

- Realizar pruebas de penetración: Realizar pruebas de penetración regulares para

identificar posibles vulnerabilidades de seguridad y mejorar la eficacia de las políticas de

seguridad.
 27

- Realizar copias de seguridad de los datos: Realizar copias de seguridad regulares de los

datos críticos de la red, para garantizar la disponibilidad de los datos en caso de fallas del

sistema o desastres naturales.

 28

Conclusión

la implementación de una red segura es un proceso complejo que involucra varias etapas,

como la configuración de topologías, dispositivos y protocolos de seguridad. En este contexto, el

control de acceso y la seguridad en el router WiFi, la configuración básica del switch, la

implementación de VLAN y la seguridad en los puertos son elementos fundamentales para

garantizar la protección de la red y sus usuarios. Además, la comprensión de los principales

ataques a las redes LAN y la importancia de implementar DHCP snooping son aspectos clave

para mantener la seguridad de la red. Por último, es importante tener políticas de seguridad en

red LAN que mejoren la seguridad y la calidad de servicio de la red. En resumen, la seguridad de

la red es una tarea importante y continua que requiere de un conocimiento detallado y

actualizado de los protocolos y tecnologías de seguridad disponibles.

 29

Referencias bibliográficas

https://areandina.instructure.com/courses/35489

https://areandina.instructure.com/courses/35489/assignments/154285

https://www.cisco.com/c/es_mx/products/security/what-is-network-security.html

https://www.cadlan.com/noticias/noticias-gran-cuenta/esta-segura-tu-red-wifi-con-wpa-y-

wpa2/

https://www.cisco.com/c/en/us/solutions/small-business/resource-

center/networking/what-is-a-router.html

https://learn.microsoft.com/es-es/windows-server/networking/technologies/dhcp/dhcp-top

https://www.watchguard.com/help/docs/fireware/12/es-419/Content/es-

419/networksetup/vlans_about_c.html#:~:text=Una%20VLAN%20(Red%20de%20%C3%A1rea

,en%20lugar%20de%20proximidad%20f%C3%ADsica.