MEJORES PRÁCTICAS PARA

EL DISEÑO DE REDES TCP

 INTRODUCCIÓN.

Es necesario que los usuarios y las empresas enfoquen su atención en el grado de

vulnerabilidad y en las herramientas de seguridad con las que cuentan para hacerle frente a
posibles ataques informáticos que luego se pueden traducir en grandes pérdidas.

Los desarrolladores de Internet la diseñaron para que fuera resistente a los desastres.

En principio pensaban en roturas de los equipos, de los cables o fallos en el suministro

eléctrico. Desgraciadamente, Internet (y las redes conectadas a ella) necesitan tecnología
adicional para evitar los ataques contra la privacidad de los usuarios, los datos de las empresas
y la seguridad de las compañías. Afortunadamente, puede adquirir una gran variedad de
soluciones software y hardware que le ayudarán a proteger su red. Uno de los pasos más
importante para proteger físicamente su red contra los intrusos es utilizar hardware diseñado
específicamente para esta tarea

Hemos de pensar en la cantidad de información recogida en ficheros informáticos sobre

nosotros, que aisladamente pueden revelar poco de la persona, pero que en conjunto pueden
darnos una visión bastante exacta de esa persona; o la cantidad de información tan valiosa que
hay en ficheros del gobierno, militares, o empresariales, que pueden sumir en él un país entero
si esa información cae en manos de personas que sepan utilizarla contra ese país o empresa
 DESARROLLO:

1. Distinción entre WAN / MAN / LAN.

 Las redes LAN (Local Área Network) es una subred instalada en la misma sala, oficina o
edificio, es decir, una serie de ordenadores conectados en una zona pequeña. Estos
equipos comparten, además del espacio, unos protocolos y IP’s, lo que permite
conectarse mutuamente unos con otros, compartir una impresora etc. Estos equipos
requieren un hardware específico para mantenerse conectados, como un switch o un
HUB.

 Las redes MAN (Metropolitan Area Network) comparten similitudes con las redes WAN,
pero se refiere a aquella red implantada en las ciudades.
  Las redes WAN (Wide Area Network) son un conjunto de LAN’s interconectadas,
llegando a ocupar grandes espacios como ciudades, países o continentes. Para
conectar todas las LAN en una WAN, se requiere una serie de routers que enruten los
paquetes al destino.

2. Capa física (cableado o medio de enlace)

Normalmente define las especificaciones a nivel de conector e interfaz eléctrica con el

medio de transmisión. En ocasiones también define características de cómo debería de ser ese
medio. Por ejemplo, si se trata de un cable de comunicación, indica características de cómo
debería de ser ese cable (apantallado, par trenzado, etc…).

En pocas palabras, la capa Física puede definir, pero, no obliga a

cumplir, especificaciones a nivel eléctrico, mecánico, funcional y de procedimiento para poder
enviar varios bits por una red de dispositivos. Por eso la unidad básica de información en esta
capa es el bit.

Un ejemplo de capa Física de comunicaciones es la especificación RS 485. En esta

especificación no se recoge ni se aconseja utilizar ningún protocolo de comunicaciones, no se
define cómo debe de ser el conector ni tampoco el procedimiento a seguir para transmitir bits.
Se limita solamente a describir las características eléctricas que deben cumplir un transmisor y
un receptor que se comuniquen bajo esta especificación en una línea multipunto. Entre otras
cositas define: que sean señales diferenciales, rango de tensión entre -7V y +12V, velocidad
máxima hasta de 10Mbits/s, y otras muchas propiedades.
 Otro ejemplo. Ethernet tiene varias especificaciones de la capa Física, como la famosa
10BASE-T o Gigabit Ethernet, que se diferencian básicamente en el medio utilizado (tipo de
cable) y la velocidad de transmisión. Pero en Ethernet además, la especificación habla del tipo
de cable utilizado, la codificación utilizada en la transmisión o la mecánica del conector.
Además, Ethernet amplía su especificación hasta la capa de Enlace de Datos, del que hablaré
más abajo.

“La función de la capa física es la de codificar las señales recibidas y enviadas a la capa
de enlace de datos, y transmitir y recibir esas señales a través de los medios físicos”.

3. Segmentación de la red.

Segmentar una red consiste en dividir en subredes para poder aumentar el número de
ordenadores conectados a ella y así aumentar el rendimiento, tomando en cuenta que existe
una única topología, un mismo protocolo de comunicación t un solo entorno de trabajo.

Un segmento es un bus lineal al cual están conectadas varias estaciones. Las

características son:

 Cuando se tiene una red grande se divide en trozos llamados segmentos.

 Para interconectar varios segmentos se utilizan bridges o routers.
 Al dividir una red en segmentos, aumenta su rendimiento.
 A cada segmento y a las estaciones conectadas a él se le llama subred.

Cuando se segmenta una red, se está creando subredes que se autogestionen, de

forma que la comunicación entre segmentos solo se realiza cuando es necesario, mientras
tanto, la subred está trabajando de forma independiente, el dispositivo para segmentar una red
debe ser inteligente, ya que debe ser capaz de decidir a qué segmento va a enviar la
información que llego a él. Se pueden utilizar hubs, repetidores, bridges, routers, gateways.

Hoy en día la interconexión entre redes es más común de lo que parece, desde una
simple conexión a internet, ya estamos sumergidos en un sin fin de conexiones, de las
que muchas veces como usuarios ni nos damos cuenta de todo lo que acontece detrás de un
simple cable de red.
4. Distribución de los siguientes servicios los cuales son comúnmente requeridos en
redes empresariales:

Las redes empresariales están sufriendo una serie de transformaciones, debidas a los
avances tecnológicos, pero también al cambio en el enfoque de las TI, que las lleva cada vez
más cerca de ser las verdaderas impulsoras de los objetivos del negocio.

 DNS: abreviatura del inglés que significa servicio de nombres de dominio, permite
controlar la configuración de correo electrónico y sitio web de tu nombre de dominio.
Cuando los visitantes van a tu nombre de dominio, la configuración de DNS controla a
cuál servidor de la empresa se dirigen. es básicamente es el encargado de traducir las
complicadas series de números que conforman una dirección IP en palabras que el
usuario pueda recordar fácilmente.

 DHCP: es una extensión del protocolo Bootstrap (BOOTP) desarrollado en 1985 para
conectar dispositivos como terminales y estaciones de trabajo sin disco duro con un
Bootserver, del cual reciben su sistema operativo. El DHCP se desarrolló como solución
para redes de gran envergadura y ordenadores portátiles y por ello complementa a
BOOTP, entre otras cosas, por su capacidad para asignar automáticamente direcciones
de red reutilizables y por la existencia de posibilidades de configuración adicionales.

La asignación de direcciones con DHCP se basa en un modelo cliente-servidor:

el terminal que quiere conectarse solicita la configuración IP a un servidor DHCP que,
por su parte, recurre a una base de datos que contiene los parámetros de red
asignables. Este servidor, componente de cualquier router ADSL moderno, puede
asignar los siguientes parámetros al cliente con ayuda de la información de su base de
datos:

 Dirección IP única
 Máscara de subred
 Puerta de enlace estándar
 Servidores DNS
 Configuración proxy por WPAD (Web Proxy Auto-Discovery Protocol).
 WEB: Es un conjunto de archivos electrónicos y páginas web referentes a un tema en
particular, incluyendo una página inicial de bienvenida generalmente denominada home
page, a los cuales se puede acceder a través de un nombre de dominio y dirección en
Internet específicos. El World Wide Web, o simplemente Web como se le llama
comúnmente, está integrado por sitios web y éstos a su vez por páginas web. La gente
suele confundir estos términos, pero un sitio web es en realidad un conjunto de páginas
web. A manera de ejemplo, la Secretaría de Turismo en México cuenta con un sitio web
que se puede visitar a través de la siguiente dirección http://www.gob.mx/sectur/ y cada
tema (vínculo) que se puede consultar dentro de este sitio representa una página web.

 MAIL: Es un sistema de correspondencia que permite el intercambio de mensajes entre

usuarios que estén conectados a una red informática, pero ubicados en distintas
computadoras. es un método para crear, enviar y recibir mensajes a través de sistemas
de comunicación electrónica. La mayoría de los sistemas de correo electrónico de hoy
en día utilizan Internet, siendo el correo electrónico uno de los usos más populares
de Internet.

 FILESHARING: es el acto de distribuir o proveer acceso a información almacenada

digitalmente, como programas informáticos, obras multimedia (audio, video),
documentos, o libros electrónicos. Puede ser implementado con distintos tipos de
almacenamiento, transmisión y modelos de distribución. Algunos de los métodos más
comunes son la distribución manual mediante el uso de medios
extraíbles (CD, DVD, disquetes, cintas magnéticas, memorias flash), instalaciones
centralizadas de servidores de archivos en redes informáticas,
documentos enlazados de la World Wide Web, y el uso de redes peer-to-peer (P2P)
distribuidas.

 VPN: En la informática una Red Privada Virtual (RPV) o Virtual Private Network (VPN)
supone una tecnología de red que, por razones de costo y comodidad, brinda la
posibilidad de conectarse a una red pública generando una extensión a nivel de área
local. Por caso, este tipo de redes se utilizan a la hora de conectar dos o más oficinas de
una empresa a través de Internet. Esto facilita la conexión y el intercambio a un bajo
 costo económico, y permite que miembros de un mismo equipo se conecten entre sí
desde locaciones remotas.

Las VPN funcionan de manera tal que, si bien se utiliza una red pública como es la de
conexión a Internet, los datos son transmitidos por un canal privado, de forma que no
peligra la seguridad ni la integridad de la información interna. Los datos son cifrados y
descifrados alternativamente, ahorrando dinero y problemas a empresas de distinta
escala.

5. Planeación y aseguramiento de acceso a los servicios públicos mediante conceptos

como:

 ROUTING: Básicamente consiste en mover paquetes en el buen sentido de la palabra o

mover información a nivel de una red de Internet desde una red a otra.
El encaminamiento, enrutamiento o ruteo es la función de buscar un camino entre todos
los posibles en una red de paquetes cuyas topologías poseen una gran conectividad.
Dado que se trata de encontrar la mejor ruta posible, lo primero será definir qué se
entiende por “mejor ruta” y en consecuencia cuál es la “métrica” que se debe utilizar
para medirla.”

 NAT: Permite a un único dispositivo, como un Router, actuar como un agente entre
Internet (red pública) y una red local (red privada). Esto significa que solo hace falta una
única dirección IP para representar a un grupo entero de ordenadores. Imaginemos una
empresa en un edificio de 10 plantas y todos los trabajadores conectándose a Internet.
Esto sería un gasto importante si tenemos en cuenta todas las empresas que existen en
el mundo. La solución más lógica es poner un Proxy haciendo NAT entre la empresa e
Internet. Con esto todos los trabajadores saldrán con la misma dirección. Este ahorro de
direcciones es solo uno de los motivos de utilizar NAT. Implementando NAT crea una
especie de Firewall entre tu red interna y las redes externas, o entre tu red interna e
Internet. NAT solo permite conexiones que se originen dentro del dominio. En esencia,
esto significa que un ordenador en una red externa no puede conectar contigo a no ser
que tú hayas iniciado el contacto.
 FIREWALL: Es un sistema que permite proteger a una computadora o una red de
computadoras de las intrusiones que provienen de una tercera red (expresamente de
Internet). El firewall es un sistema que permite filtrar los paquetes de datos que andan
por la red. Se trata de un “puente angosto” que filtra, al menos, el tráfico entre la red
interna y externa. Un firewall puede ser un programa (software) o un equipo (hardware)
que actúa como intermediario entre la red local (o la computadora local) y una o varias
redes externas.

Un firewall funciona como una barrera entre internet u otras redes públicas y
nuestra computadora. Todo el tipo de tráfico que no esté en la lista permitida por el
firewall, no entra ni sale de la computadora. Para ello, un sistema de firewall contiene un
conjunto de reglas predefinidas que permiten:
 Autorizar una conexión (Allow)
 Bloquear una conexión (Deny)
 Redireccionar un pedido de conexión sin avisar al emisor (Drop).

 PROTECCIÓN DE PROTOCOLOS:

 SSH (Secure Shell): este fue desarrollado con el fin de mejorar la seguridad
en las comunicaciones de internet. Para lograr esto el SSH elimina el envío de
aquellas contraseñas que no son cifradas y codificando toda la información
transferida.

 SEGURIDAD PERIMETRAL Y LOCAL: La seguridad perimetral se define como

aquellos elementos y sistemas que permiten proteger unos perímetros en instalaciones
sensibles de ser atacadas por intrusos.

La seguridad perimetral informática no deja de tener el mismo significado que la

general. De hecho, también son todos los sistemas destinados a proteger de intrusos tu
perímetro. La única diferencia es que, en lugar de un espacio físico, se protegen las
redes privadas de tu sistema informático.
 Se trata de una primera línea de defensa, igual que las alarmas de una oficina.
La seguridad total no existe ni en el mundo físico ni en el informático, pero reduce
muchísimo el riesgo a que nos roben nuestros datos o, incluso, que puedan
desaparecer.

La seguridad perimetral que protege tus redes debe cumplir cuatro funciones
básicas:

 Resistir a los ataques externos.

 Identificar los ataques sufridos y alertar de ellos.
 Aislar y segmentar los distintos servicios y sistemas en función de su
exposición a ataques.
 Filtrar y bloquear el tráfico, permitiendo únicamente aquel que sea
absolutamente necesario.

La mejor manera de dotar de seguridad perimetral informática a tu empresa es

contratando los servicios de una empresa con experiencia. Lo cual permita establecer y
gestionar los sistemas para una empresa mediante:

 Un diseño de una topología red adecuada.

 Recomendaciones de soluciones eficientes.
 Instalación y configuración de elementos red que sean necesarios.
 Proporción de soporte y equipos para el seguimiento y la administración de la
red.
 EJEMPLO DE COMO ESTABLECER MEDIDAS DE SEGURIDAD.

La administración de una red es una gran responsabilidad. Necesitas asegurarte de que

el servidor que aloja tu sitio web o tus copias de seguridad, sea tan seguro como sea posible, o
podrías estar poniendo en peligro tus datos.

Si la red no es seguro, entonces podría ocurrirte que se produzca algún tipo de

infiltración y perder datos valiosos que se almacenan en el servidor. A continuación
repasaremos algunas medidas básicas que debemos tener en cuenta para mantener a salvo
nuestros sistemas en entornos Windows.

Protegiendo un servidor de archivos en entorno Windows

Asegúrate de que tu servidor está físicamente seguro: si un intruso puede obtener

acceso físico a tu servidor, entonces estás en riesgo de que toda la máquina o uno de tus
discos duros “se vayan” tranquilamente por la puerta. Además de garantizar la seguridad física,
también debes configurar tu sistema para que sólo pueda arrancar desde un disco duro interno
y así evitar que un intruso pueda iniciar el sistema desde un medio extraíble. La BIOS y el
cargador de arranque deben estar protegidos con una contraseña segura.

Cifra las unidades: el uso de un sistema como por nombrar alguno, BitLocker, para cifrar
las unidades te asegura que tus archivos siguen siendo “seguros” incluso si el disco duro es
robado. Usa un servidor con un módulo de plataforma segura (TPM) que te garantiza que el uso
de BitLocker es transparente para los administradores y usuarios.

Mantén el servidor desconectado de Internet lo máximo posible: Hay pocas razones por
la que los servidores de archivos deban conectarse a Internet, así que usa un servidor de
seguridad para restringir el acceso desde fuera de la LAN.

No olvidar la instalación de algún software anti-virus: incluso si se tiene la protección del

software gateway de seguridad y anti-virus que se ejecuta en los clientes, todavía debes
ejecutar software anti-virus a nivel empresarial en tu servidor de archivos. La mayoría de los
productos te permiten actualizar las firmas de virus desde un servidor de actualización local (o
incluso de otros clientes que ejecuten el software en su red).
 Protegiendo un servidor de archivos: cuidado con el software

Deshacerse de software innecesario: es casi seguro que no hay necesidad de un

software como Flash, Silverlight o Java en el servidor, y el que estén instalados no hace sino
aumentar la superficie de ataque que los hackers pueden abordar. Puedes eliminar software
innecesario de tu servidor utilizando el Apple del panel de control.

Detener los servicios innecesarios: en Windows debes parar el servicio de fax,

mensajería, administración de IIS, SMTP, el Programador de tareas, Telnet, Terminal Services,
y la World Wide Web Publishing Services, a menos que específicamente necesites alguno de
ellos (por ejemplo, para la administración remota).

Utilizar la función de auditoria: asegúrarse de que configuras la auditoría de modo que

puedas ver quién está tratando de leer, escribir o borrar tus archivos y carpetas confidenciales.
Puedes configurar esta opción mediante la visualización de un archivo o en las propiedades de
la carpeta, eligiendo en la pestaña Seguridad y, a continuación, selecciona la ficha Auditoría en
Opciones avanzadas.

Realizar tareas de administración utilizando la menor cantidad de privilegios: evita el uso

de privilegios de administrador todo cuanto te sea posible. En la misma línea, asegúrarse de
que todas las cuentas con derechos de administrador están protegidas por contraseñas fuertes,
reforzadas.
 CONCLUSIÓN:

Hoy en día la seguridad informática se ha convertido en una de las principales

preocupaciones de las empresas. Por otro lado el uso de las tecnologías de la información y
comunicaciones (TIC), es cada vez más extenso por lo que los activos a proteger y las
vulnerabilidades aumentan; y por otro lado los ciberataques son más frecuentes y complejos,
llegando a tener consecuencias muy graves como como la revelación de información entre
otras, por lo que disponer de profesionales en seguridad TIC que puedan proteger los
activos en la red se hace imprescindible en todas la empresas por pequeñas o grandes que
estas sean.