ITNv51 InstructorPPT CH11

Captulo 11:
Armado de una red pequea
Introduccin a redes v5.1

11.0 Introduccin
11.1 Diseo de la red
11.2 Seguridad de la red
11.3 Rendimiento bsico de la
red
11.4 Resumen
2013 Cisco y/o sus filiales. Todos los derechos reservados. Informacin pblica de Cisco 2
Al finalizar esta seccin, podr hacer lo siguiente:
Identificar los dispositivos utilizados en una red pequea.
Identificar los protocolos utilizados en una red pequea.
Explicar la forma en que una red pequea sirve como base de redes ms
grandes.
Red tpica de una pequea empresa
Las redes pequeas tienen diseos simples.
Solo se necesitan unos pocos dispositivos de red.
En general, una red pequea est compuesta de un router, un par de
switches y las PC de los usuarios.
La conexin a Internet se logra mediante un nico enlace WAN (por lo
general, por cable o DSL).
La mayora de las tareas
administrativas estn relacionadas
con el mantenimiento y la solucin
de problemas de los equipos existentes.
En general, la administracin de una
red pequea la realiza un empleado
de otra empresa.
Al elegir un dispositivo, se deben tener en cuenta las siguientes
caractersticas del SO, adems de los factores que se indican en el
grfico:
Seguridad
QoS
VoIP
Switching de capa 3
NAT
DHCP
El espacio de direcciones es un componente de gran importancia en el diseo de una red.
Todos los dispositivos conectados a la red deben tener una direccin.
Se debe planificar, registrar y mantener el esquema de direcciones.
El registro del espacio de direcciones puede ser muy til para la solucin de problemas.
El registro de direcciones tambin es muy importante para controlar el acceso a los

recursos.
Redundancia a una granja de servidores
Una red debe tener un diseo confiable.
Las fallas en las redes suelen ser muy costosas
La redundancia aumenta la confiabilidad,

ya que elimina puntos de error nicos.
La redundancia de la red se puede lograr
al duplicar los equipos y los enlaces de red.
Un buen ejemplo es el enlace de una red
a Internet o a una granja de servidores.
Al disear una red, tambin se deben tener en cuenta el tipo y los
patrones de trfico.
Un buen diseo de red categoriza
el trfico segn la prioridad.
Aplicaciones de red
Se usan para comunicarse en la red.
Los clientes de correo electrnico y los navegadores web son ejemplos de
este tipo de aplicaciones.
Servicios de la capa de aplicacin

Programas que interactan con la red y preparan los datos para la
transferencia.
Cada servicio usa protocolos que definen los estndares y los formatos de
datos que deben utilizarse.
Cada uno de estos protocolos de red define lo siguiente:
Los procesos en cualquier extremo de una sesin de comunicacin
Cmo se envan los mensajes y la respuesta esperada
Los tipos de mensajes
La sintaxis de los mensajes
El significado de los campos informativos
La interaccin con la capa inferior siguiente
Componentes bsicos:
Infraestructura
VoIP
Telefona IP
Aplicaciones en tiempo real
Para extender una red, se requieren varios elementos:
Registro de red
Inventario de dispositivos
Presupuesto
Anlisis de trfico
Un administrador de redes debe comprender los protocolos que se
usan en la red. Los analizadores de protocolos son herramientas
diseadas para facilitar esta tarea.
Para obtener un anlisis de protocolos ms preciso, es importante
capturar trfico en los momentos de ms uso y en diferentes
ubicaciones de la red.
El resultado del anlisis
permite administrar el
trfico de forma ms
eficaz.
Tambin es importante saber cmo cambia el uso de las redes.
Un administrador de redes puede generar instantneas de TI en

persona del uso de aplicaciones de los empleados.
Generalmente, estas instantneas incluyen la siguiente informacin:
o SO y versin del SO
o Aplicaciones que no utilizan
la red
o Aplicaciones de red
o Utilizacin de CPU
o Utilizacin de unidades
o Utilizacin de RAM
Las instantneas de TI
registradas de los empleados
son muy tiles para informar los
cambios en los requisitos de
protocolos.
Es posible que se necesite un ajuste en la asignacin de los recursos de red si
produce un cambio en su utilizacin.
Explicar por qu son necesarias las medidas de seguridad en los dispositivos de
red.
Identificar las vulnerabilidades de seguridad.
Identificar las tcnicas generales de mitigacin.
Configurar los dispositivos de red con caractersticas de proteccin de
dispositivos a fin de mitigar las amenazas de seguridad.
Aplicar los comandos para realizar copias de respaldo de un archivo de
configuracin de IOS y restaurarlo.
Las intrusiones digitales pueden ser costosas.
Los intrusos pueden acceder mediante vulnerabilidades en el software,
ataques al hardware o robo de credenciales.
Los tipos comunes de amenazas digitales incluyen las que se indican
en este grfico.
Los tipos de amenaza fsica son
los siguientes:
Hardware
Ambientales
Elctricas
Mantenimiento
Existen tres tipos de vulnerabilidades principales:
o Tecnolgica: vulnerabilidades en los protocolos, sistemas operativos y
equipos de red.
o De configuracin: vulnerabilidades generadas por dispositivos mal
configurados, valores de configuracin predeterminados y contraseas fciles
de adivinar.
o De poltica de seguridad: no existe una poltica de seguridad, la instalacin
del software y del hardware no cumple con la poltica de seguridad y no hay
un plan de recuperacin en casos de desastre.
Por lo general, los dispositivos que sufren ataques son las terminales,
como los servidores y las computadoras de escritorio.
En un ataque, se puede usar cualquiera de estas tres vulnerabilidades.
Virus
Gusanos
Caballos de Troya
Deteccin y esquematizacin de sistemas y servicios.
En general, no se consideran un ataque en s mismo.
El objetivo es reunir la suficiente informacin sobre el sistema o la red

objetivo como para facilitar la bsqueda de vulnerabilidades.
Las herramientas ms comunes
dependen mayormente de servicios
gratuitos y pblicos de Internet,
como DNS y Whois.
Tambin es frecuente el uso de
programas detectores de paquetes
y escneres de puertos en los
ataques de reconocimiento.
Ataque de contrasea
Ataques contra vulnerabilidades y

servicios conocidos.
El objetivo es acceder a informacin
que no se tiene derecho a ver.
Los ataques de acceso se pueden
clasificar en cuatro categoras:
Ataques de contrasea
Explotacin de confianza Explotacin de confianza
Redireccionamiento de puertos
Ataque man-in-the-middle
Redireccionamiento de puertos
Ataque man-in-the-middle
Los ataques por denegacin de servicio (DoS) son difciles de eliminar.
Se considera que los ataques DoS son comunes y que no se necesita un gran
esfuerzo para ejecutarlos.
A pesar de ser simples, los ataques DoS son peligrosos.
Fundamentalmente, evitan que las personas autorizadas utilicen un servicio
mediante el consumo de recursos del sistema.
Para prevenir ataques DoS, es importante tener las actualizaciones de seguridad
ms recientes.
Saturacin
Ataques DoS frecuentes: SYN
Ping de la muerte
Saturacin SYN
DDoS
Ataque Smurf
Ataque Smurf DDos
Mantenerse actualizado con los ltimos avances puede ser una tcnica de
defensa eficaz contra los ataques de red.
A medida que se publican nuevos tipos de malware, las empresas deben
mantenerse al da con actualizaciones a las versiones ms recientes de los
softwares antivirus.
Para mitigar los ataques de gusanos,
se deben aplicar parches para todas
las vulnerabilidades conocidas.
Un servidor central de parches puede
ser una buena solucin para administrar
una gran cantidad de servidores y
sistemas.
Todo parche que no est aplicado en un
host se descarga automticamente del
servidor de parches y se instala sin que
intervenga el usuario.
Los servicios AAA proporcionan control de acceso a los dispositivos de
red.
AAA es un modo de controlar quin tiene permitido acceder a un
recurso (autenticar), controlar lo que las personas pueden mientras se
encuentran all (autorizar) y las acciones que
realizan mientras acceden a un recurso
(contabilizar).
El marco AAA puede ser muy
til para mitigar los ataques
de red.
Un firewall controla el trfico y contribuye a evitar el acceso no
autorizado.
Las tcnicas para determinar qu acceso permitir y qu acceso denegar
en una red incluyen lo siguiente:
o Filtrado de paquetes
o Filtrado de aplicaciones
o Filtrado de URL
o Inspeccin de paquetes con

estado (SPI)
Las terminales comunes son PC porttiles, computadoras de escritorio,
servidores, smartphones y tablets.
Proteger las terminales es una tarea desafiante.
Se debe capacitar a los empleados sobre el uso correcto de la red.
En general, estas polticas incluyen el uso de software antivirus y la

prevencin de intrusiones de hosts.
Las soluciones ms integrales de
seguridad de terminales
dependen del control de acceso
a la red.
La configuracin predeterminada no es segura porque es ampliamente
conocida.
Los routers Cisco tienen la caracterstica Cisco AutoSecure.
Adems, a la mayora de los sistemas, se aplican las siguientes medidas de
seguridad:
o Cambiar de inmediato los nombres de usuario
y las contraseas predeterminadas.
o Restringir el acceso a los recursos del
sistema nicamente a las personas
autorizadas.
o Desactivar los servicios innecesarios.
o Actualizar cualquier software e
instalar todos los parches de
seguridad antes de la operacin
de produccin.
Utilice contraseas seguras. Una contrasea sea segura debe cumplir con los siguientes
requisitos:
o Deben tener un mnimo de ocho caracteres, preferentemente 10 o ms.
o Deben incluir una combinacin de letras maysculas, minsculas, nmeros, smbolos y
espacios.
o No utilice repeticiones, palabras comunes, secuencias de letras o nmeros, nombres de
usuarios, de parientes, de mascotas ni ninguna otra informacin que pueda identificarse
con facilidad.
o Puede ser una palabra mal escrita.
o Debe cambiar la contrasea con
frecuencia.
Los routers Cisco admiten el uso

de una frase compuesta de muchas
palabras, lo que se denomina "frase de
contrasea".
Las contraseas seguras resultan tiles en la medida en que sean secretas.
El comando service password-encryption cifra las contraseas en la
configuracin.
El comando security passwords min-length asegura que todas las contraseas
configuradas tengan una longitud mnima especfica.
El bloqueo despus de varios intentos consecutivos de inicio de sesin contribuye a
minimizar los ataques de contrasea de fuerza bruta.
Con el comando login block-for 120
attempts 3 within 60
se bloquea durante 120 segundos
el inicio de sesin si se realizan tres
intentos fallidos de inicio de sesin
en un perodo de 60 segundos.
Con el comando Exec Timeout se
desconectan automticamente
los usuarios inactivos en una lnea.
Telnet no es seguro.
Se recomienda especialmente usar SSH para el protocolo de shell remoto.
La configuracin de un dispositivo Cisco para que admita SSH consta de cuatro pasos:
o Paso 1. Asegrese de que el router tenga
un nombre de host nico y un nombre de
dominio IP.
o Paso 2. Genere las claves SSH.
o Paso 3. Cree un nombre de usuario local.
o Paso 4. Habilite las sesiones
SSH de entrada VTY.
Ahora se puede acceder al router de manera

remota utilizando nicamente SSH.
Sistemas de archivos
El sistema de archivos Cisco IOS (IFS) permite que el sistema

de archivos lea y escriba operaciones.
Utilice el comando show file systems para obtener una lista

de todos los sistemas de archivos disponibles.
Este curso se centra en los sistemas

de archivos tftp, flash y nvram. La imagen de IOS de arranque
se encuentra en la memoria flash.
El sistema de archivos flash

o En general, es el sistema de archivos ms grande en un router
Cisco. Memoria flash
o Suele almacenar la imagen de IOS.
o Utilice el comando dir para obtener una lista del contenido del
sistema de archivos flash o de cualquier otro sistema de archivos.
El sistema de archivos NVRAM

o En general, se usa para almacenar los archivos de configuracin.
o No es habitual que IOS tenga un sistema de archivos NVRAM muy
grande.
Switch Cisco 2960
Es similar al sistema de archivos del router.
El sistema de archivos flash del switch Cisco 2960 admite los archivos
de configuracin, copia y archiva (carga y descarga) las imgenes del
software.
Para ver los sistemas de archivos,
se usa el mismo comando que en
el router: show file systems
Creacin de copias de respaldo de la Restauracin de la configuracin
configuracin
Una configuracin se puede copiar de un
Los archivos de configuracin se pueden archivo a un dispositivo.
guardar o archivar en un archivo de texto.
IOS ejecuta como comando cualquier texto
Con Tera Term, los pasos son los siguientes: que se haya pegado en la ventana de una
terminal.
Paso 1. En el men File (Archivo), haga clic en
Log (Registro). Se debe establecer el dispositivo en el modo
de configuracin global.
Paso 2. Elija la ubicacin para guardar el archivo.
Tera Term comenzar a capturar texto. Con Tera Term, los pasos son los siguientes:
Paso 3. Cualquier texto que aparezca en la Paso 1. En el men File (Archivo), haga clic en
ventana de la terminal se colocar en el archivo Send file (Enviar archivo).
elegido.
Paso 2. Ubique el archivo que debe copiar en el
Paso 4. Cuando la captura haya finalizado, dispositivo y haga clic en Open (Abrir).
seleccione Close (Cerrar) en la ventana Log
(Registro) de Tera Term. Paso 3. Tera Term pegar el archivo en el
dispositivo. El texto en el archivo se aplicar en
Paso 5. Observe el archivo para verificar que no forma de comandos en la CLI y pasar a ser la
est daado. configuracin en ejecucin en el dispositivo.
Creacin de una copia de respaldo de la Restauracin de la configuracin en
configuracin en ejecucin ejecucin
Paso 1. Introduzca el comando copy Paso 1. Introduzca el comando copy tftp

running-config tftp. running-config.
Paso 2. Introduzca la direccin IP del host Paso 2. Introduzca la direccin IP del host
en el cual se almacenar el archivo de en el que est almacenado el archivo de
configuracin. configuracin.
Paso 3. Introduzca el nombre que se Paso 3. Introduzca el nombre que se

asignar al archivo de configuracin. asignar al archivo de configuracin.
Paso 4. Presione Entrar para confirmar Paso 4. Presione Entrar para confirmar
cada eleccin. cada eleccin.
Puerto USB del router Cisco de la serie 1941
Algunos modelos de routers Cisco admiten unidades flash USB.
La caracterstica flash USB proporciona una capacidad de

almacenamiento secundario optativa y un dispositivo de arranque
adicional.
Puede contener imgenes, configuraciones y otros archivos.
La memoria flash USB puede contener

varias copias de las configuraciones
de Cisco IOS y del router.
Utilice el comando dir para ver el
contenido de la unidad flash USB
como se muestra en la ilustracin.
Creacin de copias de respaldo de las configuraciones con una unidad flash
USB
Utilice el comando show file systems para confirmar que la unidad est
presente.
Utilice el comando copy run usbflash0:/
para copiar el archivo de configuracin en la
unidad flash USB.
El IOS le solicitar el nombre de archivo.
Utilice el comando dir para ver el archivo en
la unidad USB.
Restauracin de configuraciones con una
unidad flash USB
Suponiendo que el nombre del archivo es R1-Config,
utilice el comando copy usbflash0:/R1-Config running-config
para restaurar la configuracin en ejecucin.
Utilizar el resultado del comando ping para establecer el rendimiento relativo de
la red.
Utilizar el resultado del comando tracert para establecer el rendimiento relativo
de la red.
Utilizar los comandos show para verificar la configuracin y el estado de los
dispositivos de red.
Utilizar los comandos del host y del IOS para obtener informacin sobre los
dispositivos de red.
Indicadores de ping IOS
Una forma eficaz de probar la conectividad es utilizar el comando ping.
Utilice el protocolo de mensajes de control de Internet (ICMP) para

verificar la conectividad de capa 3.
El comando ping puede ser til para identificar el origen de un problema.
Un ping emitido desde el IOS tiene como resultado una de varias

indicaciones para cada solicitud de eco ICMP enviada. Los indicadores
ms comunes son los siguientes:
o ! : indica la recepcin de un mensaje de respuesta de eco ICMP.
o . : indica que se agot el tiempo mientras se esperaba un mensaje de

respuesta de eco ICMP.
o U: indica que se recibi un mensaje ICMP inalcanzable.
Indicadores de ping IOS
El "." (punto) puede sealar que se produjo un problema de conectividad en
alguna parte de la ruta. Este indicador puede deberse a varios motivos:
o Alguno de los routers en la ruta no tena una ruta hacia el destino.
o La seguridad del dispositivo bloque el ping.
o Se agot el tiempo de espera del ping
antes de recibir la respuesta de otro
protocolo (por ejemplo, ARP).
La "U" seala que un router en la ruta

respondi con un mensaje ICMP
de destino inalcanzable. El router
no tena una ruta hacia la direccin de
destino, o se bloque la
solicitud de ping.
Cisco IOS ofrece un modo "extendido" del comando ping.
Se ingresa a este modo escribiendo ping en el modo EXEC

privilegiado, sin una direccin
IP de destino.
En ese momento, aparece
una serie de peticiones de
entrada.
Al presionar Entrar, se
aceptan los valores predetermi
nados indicados.
La lnea de base de red es una herramienta muy importante.
La creacin de una lnea de base de rendimiento de la red eficaz se logra con el tiempo.
El resultado derivado de los comandos network puede aportar datos a la lnea de base de
red.
Se puede crear una lnea de base al copiar y

pegar en un archivo de texto los resultados de la
ejecucin de un comando ping, trace u otros
comandos relevantes.
Estos archivos de texto pueden tener marcas de

tiempo para su posterior comparacin.
Entre los elementos que se deben tener en cuenta,

se encuentran los mensajes de error y los tiempos
de respuesta de host a host.
Si se observa un aumento considerable de los

tiempos de respuesta, es posible que exista un
problema de latencia que se debe solucionar.
Un rastreo proporciona una lista de saltos cuando un paquete se enruta
a travs de una red.
La forma del comando depende de la plataforma.
Utilice el comando tracert para sistemas basados en Windows y el

comando traceroute para los sistemas basados en UNIX y Cisco IOS.
Rastreo de la ruta del host 1 al host 2
Prueba de la ruta hacia un mdulo remoto

de E/S
Los comandos show de la CLI de Cisco IOS son
herramientas potentes para la solucin de
problemas.
Los comandos show muestran los archivos de
configuracin, controlan el estado de las interfaces y
los procesos de dispositivos, y verifican el estado
operativo.
Se puede mostrar el estado de casi todos los
procesos o funciones del router mediante un
comando show.
Algunos de los comandos show ms conocidos son
los siguientes:
o show running-config
o show interfaces
o show arp
o show ip route
o show protocols
o show version
ipconfig
El comando ipconfig se usa para

mostrar la informacin de IP en una
computadora con Windows.
El comando ipconfig muestra el host
y las direcciones IP de su gateway
predeterminado.
Utilice el comando ipconfig /all para ipconfig /all
obtener ms detalles de la
configuracin IP del host, incluida la
direccin MAC.
El comando ipconfig /displaydns
muestra todas las entradas DNS en
cach en un sistema de computacin
Windows.
ipconfig /displaydns
El comando arp a genera una lista de todos los dispositivos que se
encuentran actualmente en la cach ARP del host.
Tambin incluye las direcciones
IPv4, las direcciones fsicas y el
tipo de direccionamiento
(esttico/dinmico) de
cada dispositivo.
Se puede borrar la memoria
cach con el comando arp -d.
CDP es un protocolo exclusivo de Cisco que se ejecuta en la capa de
enlace de datos.
Dos o ms dispositivos de red Cisco pueden obtener informacin de
cada uno incluso sin conectividad de capa 3.
Cuando se arranca un dispositivo Cisco, CDP se inicia de manera
predeterminada.
CDP intercambia informacin del hardware y software del dispositivo
con sus vecinos CDP conectados directamente.
CDP proporciona lo siguiente:
o Identificadores de dispositivos
o Lista de direcciones
o Identificacin de puertos
o Lista de funcionalidades
o Plataforma
El comando show cdp neighbors detail muestra las direcciones IP de
los dispositivos vecinos.
CDP muestra las direcciones IP de los dispositivos vecinos sin importar
si puede hacerles ping.
El comando show cdp neighbors detail contribuye a determinar si uno
de los vecinos CDP tiene un error de configuracin IP.
CDP puede suponer un riesgo para la seguridad.
Para deshabilitar CDP globalmente, utilice el comando de configuracin

no cdp run.
Para deshabilitar CDP en una interfaz, utilice el comando de interfaz no
cdp enable.
El comando show ip interface brief muestra un resumen de la
informacin clave para todas las interfaces de red de un router.
El comando show ip interface brief tambin se puede utilizar para
verificar el estado
de las interfaces
del switch.
Objetivos del captulo:
Explicar la forma en que una red pequea se puede extender a una red ms
grande.
Configurar switches y routers con caractersticas de proteccin de dispositivos
para mejorar la seguridad.
Usar utilidades y comandos show comunes para establecer una lnea de base
de rendimiento relativo para la red.
Explicar la forma en que se crea, se configura y se verifica una red pequea de
segmentos conectados directamente.
Gracias.

ITNv51 InstructorPPT CH11

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ITNv51 InstructorPPT CH11

Uploaded by

Copyright:

Available Formats

Captulo 11:

Armado de una red pequea

Introduccin a redes v5.1

Identificar los protocolos utilizados en una red pequea.

Todos los dispositivos conectados a la red deben tener una direccin.

Se debe planificar, registrar y mantener el esquema de direcciones.

El registro de direcciones tambin es muy importante para controlar el acceso a los

Las fallas en las redes suelen ser muy costosas

La redundancia aumenta la confiabilidad,

Servicios de la capa de aplicacin

Cmo se envan los mensajes y la respuesta esperada

Los tipos de mensajes

La sintaxis de los mensajes

El significado de los campos informativos

La interaccin con la capa inferior siguiente

Un administrador de redes puede generar instantneas de TI en

En general, no se consideran un ataque en s mismo.

El objetivo es reunir la suficiente informacin sobre el sistema o la red

Ataques contra vulnerabilidades y

Ataque Smurf DDos

o Inspeccin de paquetes con

Se debe capacitar a los empleados sobre el uso correcto de la red.

En general, estas polticas incluyen el uso de software antivirus y la

Los routers Cisco admiten el uso

Se recomienda especialmente usar SSH para el protocolo de shell remoto.

Ahora se puede acceder al router de manera

El sistema de archivos Cisco IOS (IFS) permite que el sistema

Utilice el comando show file systems para obtener una lista

Este curso se centra en los sistemas

El sistema de archivos flash

El sistema de archivos NVRAM

Paso 1. Introduzca el comando copy Paso 1. Introduzca el comando copy tftp

Paso 3. Introduzca el nombre que se Paso 3. Introduzca el nombre que se

La caracterstica flash USB proporciona una capacidad de

La memoria flash USB puede contener

Utilice el protocolo de mensajes de control de Internet (ICMP) para

Un ping emitido desde el IOS tiene como resultado una de varias

o . : indica que se agot el tiempo mientras se esperaba un mensaje de

La "U" seala que un router en la ruta

Se ingresa a este modo escribiendo ping en el modo EXEC

Se puede crear una lnea de base al copiar y

Estos archivos de texto pueden tener marcas de

Entre los elementos que se deben tener en cuenta,

Si se observa un aumento considerable de los

Utilice el comando tracert para sistemas basados en Windows y el

Prueba de la ruta hacia un mdulo remoto

El comando ipconfig se usa para

Para deshabilitar CDP globalmente, utilice el comando de configuracin

You might also like