CCNA_ITN_Chp11 Clase -IRD-13.pdf
Capítulo 11: Desarrollo de una red pequeña CCNA routing y switching Introducción a redes v6.0 Instructora: Dra. P. Norma
Views 72 Downloads 2 File size 4MB
Recommend stories
- Author / Uploaded
- Nestor Pedraza
Citation preview
Capítulo 11: Desarrollo de una red pequeña CCNA routing y switching Introducción a redes v6.0 Instructora: Dra. P. Norma Maya Pérez
Capítulo 11: Secciones y objetivos 11.1 Diseño de la red
• Explicar la forma en que se crea, se configura y se verifica una red pequeña de segmentos conectados directamente.
•
Identificar los dispositivos utilizados en una red pequeña.
•
Identificar los protocolos utilizados en una red pequeña.
•
Explicar la forma en que una red pequeña sirve como base de redes más grandes.
11.2 Seguridad de la red • Configurar switches y routers con características de protección de dispositivos para mejorar la seguridad. •
Explicar por qué son necesarias las medidas básicas de seguridad en los dispositivos de red.
•
Identificar las vulnerabilidades de seguridad.
•
Identificar las técnicas generales de mitigación.
•
Configurar los dispositivos de red con características de protección de dispositivos a fin de mitigar las amenazas de seguridad. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
2
Capítulo 11: Secciones y objetivos (continuación) 11.3 Rendimiento básico de la red
• Usar utilidades y comandos show comunes para establecer una línea de base de rendimiento relativo para la red. • Utilizar el resultado del comando ping para establecer el rendimiento relativo de la red. • Utilizar el resultado del comando tracert para establecer el rendimiento relativo de la red. • Utilizar los comandos show para verificar la configuración y el estado de los dispositivos de red. • Utilizar los comandos del host y del IOS para obtener información sobre los dispositivos en una red.
11.4 Solución de problemas de red
• Solucionar problemas de una red. • Describir las metodologías de solución de problemas de la red común. • Solucionar problemas con el cable y los problemas de interfaz. • Solucionar problemas de los dispositivos de la red. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
3
Actividades a realizar IRD-13 Actividad Previa
Actividad a Desarrollar
Fecha en que se desarrolla la actividad
Entrega de actividad o Reporte en formato solicitado
-
-
Revisión de Mapa Conceptual
- 29 Nov 2018
- 29 Nov 2018
-
Entregar evidencia en formato digital requisito de entrada en clase
- 3 y 4 de Diciembre’2018
-Reporte de práctica 15 en el formato solicitado plan de práctica Fecha máxima 9 Dic ’2018 -Enviar por Google Drive
-
Mapa Conceptual (entregar en forma manual e impreso) capítulo 11 Práctica de términos y conceptos del capítulo 11 y prueba de capítulo 11
- Descargar archivo pk tracer de la plataforma de Netacad (práctica 15) 11.5.1.2 Packet Tracer - Skills Integration Challenge
- Se realiza y entrega en clase en archivo packet tracer
Estudiar practicas y revisar Mapa conceptual, Practica de términos y conceptos y prueba de capítulo 11
Realizar examen capítulo 11 de la plataforma de Netacad.
Del 30 Nov al 03 de Diciembre
No se entrega ningún reporte
- Ninguno
Realizar feedback en la plataforma de Netacad (evaluación de curso CCNA1)
4 dic 2018
- Ninguno
- Estudiar prácticas y revisar Mapa conceptual, Practica de términos y conceptos y prueba de capítulo 1 al 11
Realizar examen final en la plataforma de Netacad.
5 y 6 diciembre en horario asignado
- Ninguno
- Estudiar prácticas capítulo 1 al 11
Realizar evaluación práctica asignada. 6 y 10 Dic 2018 - Ninguno © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
de laboratorio
del
5
11.1 Diseño de la red
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
6
Dispositivos de una red pequeña
Topologías de redes pequeñas
La mayor parte de las empresas son
pequeñas y, en general, requieren redes pequeñas que consten de un solo router con uno o más switches y posiblemente uno o más puntos de acceso inalámbricos. La empresa también podría tener teléfonos IP. • Para la conexión a Internet, el router en general tiene una sola conexión WAN mediante una conexión DSL, cable o Ethernet. La administración de una red pequeña es
similar a la de una red grande: • mantenimiento y solución de problemas de equipos existentes; • protección de dispositivos e información en la red. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
7
Dispositivos de una red pequeña
Selección de dispositivos para redes pequeñas Sin importar el tamaño, todas las redes requieren
planificación y diseño para asegurar que se tienen en cuenta todos los requisitos, factores de costo y opciones de implementación: •
Costo: el costo de un switch o un router se determina sobre la base de su capacidad y sus características.
•
Velocidad y tipos de puertos/interfaces: elegir la cantidad y el tipo de puertos en un router o un switch es una decisión importante.
•
Capacidad de expansión: los dispositivos de red incluyen configuraciones físicas modulares y fijas a efectos de la capacidad de expansión y de la flexibilidad.
•
Características y servicios de los sistemas operativos: las características y los servicios deben analizarse en función de la seguridad, la QoS, el VoIP, el switching de capa 3, la NAT y el DHCP.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
8
Dispositivos de una red pequeña
Asignación de direcciones IP para redes pequeñas El espacio de asignación de direcciones IP debe
planificarse cuando se implementa una red pequeña. Todos los hosts dentro de una internetwork deben
tener una dirección exclusiva. Los diferentes tipos de dispositivos afectan el diseño
de IP: •
Dispositivos finales para usuarios
•
Servidores y periféricos
•
Hosts a los que se accede desde Internet
•
Dispositivos intermediarios
La planificación y el registro del esquema de
direccionamiento IP ayudan a los administradores a realizar un seguimiento de los tipos de dispositivos. Por ejemplo, si se asigna una dirección de host en el rango 50 a 100 a todos los servidores, sería más fácil identificar el tráfico de servidores por su dirección IP. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
9
Dispositivos de una red pequeña
Redundancia en redes pequeñas La confiabilidad es otro elemento importante del
diseño de red; una falla de red puede ser costosa En la figura a la izquierda, se representa la red del
centro de datos. Se observan 4 tipos de redundancia en esta figura:
• Servidores redundantes • Enlaces redundantes
• Switches redundantes • Routers redundantes Un servidor, un enlace, un switch o un router podría
fallar y la red seguiría en funcionamiento.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
10
Dispositivos de una red pequeña
Administración de tráfico Los tipos de tráfico y la forma de
administrarlos deben analizarse y priorizarse en el diseño de la red. Los routers y los switches en una red
pequeña se deben configurar para admitir el tráfico en tiempo real, como voz y video. Por ejemplo: •
Voz Prioridad alta
•
Video Prioridad alta
•
SMTP Prioridad media
•
Mensajería instantánea prioridad Normal
•
FTP Prioridad baja
El tráfico de red debe clasificarse en función
de la prioridad con el fin de mejorar la productividad de los empleados y minimizar el tiempo de inactividad de la red. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
11
Aplicaciones y protocolos de redes pequeñas
Aplicaciones comunes Existen dos formas de procesos o programas de
software que proporcionan acceso a la red: •
Aplicaciones de red: los programas de software que se utilizan para comunicarse a través de la red. Algunas aplicaciones de usuario final reconocen la red y pueden comunicarse directamente con las capas inferiores de la pila de protocolos. Entre los ejemplos, se incluyen los navegadores web y los clientes de correo electrónico.
•
Servicios de la capa de aplicación: otros programas pueden necesitar la ayuda de los servicios de la capa de aplicación para utilizar los recursos de la red, como transferencia de archivos o cola de impresión en red.
Cada servicio de red o aplicación utiliza protocolos
que definen los estándares y formatos de datos que deben utilizarse para formatear y dirigir datos.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
12
Aplicaciones y protocolos de redes pequeñas
Protocolos comunes
La mayor parte de los profesionales de
redes trabajan con protocolos de red que admiten las aplicaciones y los servicios utilizados por los empleados en una red. En la figura de la izquierda, se enumeran
algunos protocolos de red comunes que se utilizan en la mayor parte de las redes, incluidas las redes pequeñas. Cada uno de estos protocolos de red define
lo siguiente:
DNS: servicio que proporciona la dirección IP de un sitio web o
nombre de dominio para que un host pueda conectarse a él sin utilizar la dirección IP numérica. Servidor DHCP: servicio que asigna una dirección IP, máscara
de subred, gateway predeterminado y otra información a los clientes para que no tengan que ingresarlos manualmente.
•
Los procesos en cualquier extremo de una sesión de comunicación
•
Los tipos de mensajes
•
La sintaxis de los mensajes
•
El significado de los campos de información
•
Cómo se envían los mensajes y la respuesta esperada
•
Interacción con la capa inferior siguiente
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
13
Aplicaciones y protocolos de redes pequeñas
Aplicaciones de voz y vídeo
En la actualidad, las empresas utilizan
cada vez más la telefonía IP y la transmisión de medios para comunicarse con sus clientes y partners comerciales. Un administrador de redes debe
garantizar que la red pueda admitir estas aplicaciones y servicios, incluida una infraestructura de apoyo con los switches y el cableado adecuados. Los dispositivos VoIP convierten la
señal analógica en paquetes IP digitales. Una vez que las señales se convierten en paquetes IP, el router envía dichos paquetes entre las ubicaciones correspondientes. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
14
Aplicaciones y protocolos de redes pequeñas
Aplicaciones de voz y vídeo (continuación) En la telefonía IP, el teléfono IP propiamente
dicho realiza la conversión de voz a IP. En las redes con solución de telefonía IP integrada, no se requieren routers con capacidades de voz. Los teléfonos IP utilizan un servidor dedicado para el control y la señalización de llamadas. Aplicaciones en tiempo real: la red debe ser
capaz de admitir aplicaciones que requieran entrega dependiente del factor tiempo. El Protocolo de transporte en tiempo real (RTP, Real-Time Transport Protocol) y el Protocolo de control de transporte en tiempo real (RTCP, Real-Time Transport Control Protocol) admiten este requisito. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
15
Crecimiento hacia redes más grandes
Crecimiento de redes pequeñas El administrador de redes debe posibilitar el
crecimiento de las pequeñas empresas y sus redes. En forma ideal, el administrador de redes tiene un
tiempo de respuesta suficiente para permitir el crecimiento de la red en forma coherente con el crecimiento de la empresa. Para escalar una red, se requieren los siguientes: •
Documentación de la red: topología física y lógica.
•
Inventario de dispositivos: lista de dispositivos que utilizan o conforman la red.
•
Presupuesto: presupuesto de TI detallado, incluido el presupuesto de adquisición de equipos para el año fiscal.
•
Análisis de tráfico: se deben registrar los protocolos, las aplicaciones, los servicios y sus requisitos de tráfico. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
16
Crecimiento hacia redes más grandes
Análisis de protocolos
A medida que crece una red, es muy
importante entender el tipo de tráfico que atraviesa la red así como el flujo de tráfico. Un analizador de protocolos es la herramienta
principal utilizada para esto. También puede ayudar a identificar cualquier tráfico desconocido y su fuente. Para determinar los patrones de flujo de
tráfico: •
Capturar tráfico durante tiempos de utilización pico.
•
Realizar la captura en diferentes segmentos de red porque parte del tráfico será específico de segmentos en particular.
Este análisis de patrones de tráfico puede
utilizarse para tomar decisiones acerca de cómo administrar el tráfico de manera eficiente. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
17
Crecimiento hacia redes más grandes
Uso de la red por parte de los empleados Ejemplos de procesos en ejecución en el sistema operativo
Windows
Además de comprender las tendencias cambiantes
del tráfico, los administradores de red también deben ser conscientes de cómo cambia el uso de la red. Un administrador de redes tiene la a capacidad de
obtener “instantáneas” de TI en persona del uso de aplicaciones por parte de los empleados a través del tiempo. Esta información puede ayudar a que el administrador de redes ajuste recursos de red según sea necesario. Estas instantáneas en general incluyen lo siguiente: •
SO y versión del SO
•
Aplicaciones Non-Network
•
Aplicaciones de red
•
Uso de CPU
•
Utilización de unidades
•
Utilización de RAM
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
18
11.2 Seguridad de la red
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
19
Amenazas y vulnerabilidades de seguridad
Tipos de amenazas Las redes informáticas son vitales para las
actividades cotidianas. Tanto las personas como las organizaciones dependen de las computadoras y de las redes. Las intrusiones de personas no autorizadas
pueden causar interrupciones costosas en la red y pérdidas de trabajo. Los ataques en una red pueden ser
devastadores y pueden causar pérdida de tiempo y de dinero. Los intrusos pueden obtener acceso a una
red a través de vulnerabilidades de software, ataques de hardware o algo tan simple como descifrar contraseñas; estos intrusos se llaman hackers. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
20
Amenazas y vulnerabilidades de seguridad
Tipos de amenazas (continuación) Pueden ocurrir cuatro tipos de amenazas: •
Robo de información: ocurre cuando una persona irrumpe en una computadora con el fin de robar información confidencial.
•
Pérdida o manipulación de datos: irrumpir en una computadora para destruir o alterar registros de datos. Ejemplo de pérdida de datos: un virus que altera el formato del disco duro de alguien. Ejemplo de manipulación de datos: irrumpir en un sistema para cambiar el precio de un artículo.
•
Robo de identidad: tipo de robo de información que consiste en robar datos personales para hacerse pasar por otra persona.
•
Interrupción del servicio: es impedir que los usuarios legítimos puedan acceder a servicios que deberían poder utilizar.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
21
Amenazas y vulnerabilidades de seguridad
Seguridad física
La seguridad física de los dispositivos de red
es una vulnerabilidad en la seguridad de igual importancia que debe administrarse. Existen cuatro clases de amenazas físicas
que deben tratarse: •
Amenazas de hardware: daño físico a servidores, routers, switches, planta de cableado y estaciones de trabajo.
•
Amenazas ambientales: extremos de temperatura (demasiado calor o demasiado frío) o extremos de humedad.
•
Amenazas eléctricas: picos de voltaje, suministro de voltaje insuficiente (apagones parciales), alimentación sin acondicionamiento e interrupciones de la alimentación.
•
Amenazas de mantenimiento: manejo deficiente de componentes eléctricos clave (descarga electrostática), falta de repuestos críticos y etiquetado deficiente.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
22
Amenazas y vulnerabilidades de seguridad
Tipos de vulnerabilidades
La vulnerabilidad es el grado de debilidad que
es inherente a toda red y dispositivo e incluye routers, switches, computadoras de escritorio, servidores y dispositivos de seguridad. En general, los servidores y las computadoras
de escritorio son los dispositivos atacados. Existen tres vulnerabilidades principales que
pueden resultar en diversos ataques. Estos son algunos ejemplos •
Tecnológica: las debilidades dentro de protocolos inseguros, del sistema operativo y del equipo para redes.
•
Configuración: cuentas de usuario no seguras, cuentas de sistema con contraseñas fácilmente predecibles, equipo para redes mal configurado.
•
Política de seguridad: falta de una política de seguridad escrita, monitoreo y auditoría inadecuados de la red y de los recursos.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
23
Ataques a la red
Tipos de malware
Malware o código malicioso es el diminutivo de
software malicioso: software o código que está diseñado para dañar, alterar, robar o infligir daños en datos, hosts o redes. Los virus, los gusanos y los Trojan Horse son
ejemplos de malware. •
Virus: tipo de malware (archivo ejecutable) que se propaga mediante la inserción de una copia de sí mismo en otro programa, del que pasa a formar parte. Se propaga de computadora a computadora.
•
Gusanos: muy similar a los virus, pero no requieren un programa host. Los gusanos son programas de software independientes que aprovechan las características del sistema para viajar a través de la red.
•
Trojan Horse: los usuarios suelen ser engañados para cargar y ejecutar este malware en sus sistemas. En general, crean puertas traseras para que los usuarios maliciosos puedan acceder al sistema.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
24
Ataques de red
Ataques de reconocimiento
Además de los ataques de código malicioso, es
posible que las redes sean presa de diversos ataques a la red. Existen tres categorías principales de ataque a la red: •
Ataques de reconocimiento: detección y esquematización de sistemas, servicios o vulnerabilidades.
•
Ataques de acceso: manipulación no autorizada de datos, de acceso al sistema o de privilegios de usuario.
•
Denegación de servicio: consisten en desactivar o dañar redes, sistemas o servicios.
En el caso de los ataques de reconocimiento, el
hacker podría utilizar nslookup o whois para determinar las direcciones IP asignadas a una entidad. Una vez que obtiene la dirección IP, puede utilizar fping para hacer ping a diversas direcciones IP para ver quién responde. Cuando sabe qué direcciones IP responden, podría utilizar nmap para saber qué puertos escuchan. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
25
Ataques de red
Ataques de acceso
Los ataques de acceso explotan las vulnerabilidades
conocidas de los servicios de autenticación, los servicios FTP y los servicios web para obtener acceso a las cuentas web, a las bases de datos confidenciales o a otros recursos. Existen cuatro clases de ataques de acceso: •
Ataques de contraseña: los hackers pueden utilizar varios métodos, incluidos ataque de fuerza bruta, programas del tipo Trojan Horse y analizador de protocolos de paquetes.
•
Explotación de confianza: un atacante puede acceder a un sistema objetivo aprovechando una relación de confianza entre el sistema objetivo y uno que está afectado.
•
Redireccionamiento de puertos: el hacker instala software en un host afectado y utiliza ese host para acceder a un host objetivo en un puerto distinto.
•
Man-in-the-middle: un atacante se inserta en el medio de una conversación. Una forma común es un correo electrónico de suplantación de identidad con un enlace en el que la víctima hace clic. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
26
Ataques a la red
Ataques por denegación de servicio
Los ataques de denegación de servicio (DoS)
impiden que las personas autorizadas usen un servicio mediante el agotamiento de los recursos del sistema como espacio en disco, ancho de banda y búfers. El ataque puede ser una sobrecarga de recursos o datos con formato incorrecto. Los ataques de denegación de servicio son
los más conocidos y los más difíciles de eliminar. A continuación, encontrará algunos ejemplos de ataques de denegación de servicio: •
Ping de la muerte: un atacante envía un paquete de ping muy grande o con formato incorrecto.
•
Saturación SYN: un atacante envía varias peticiones SYN a un servidor web. El servidor web espera a completar el protocolo TCP de enlace de tres vías. Un usuario válido trata de enviar una solicitud SYN al servidor web, pero el servidor web no está disponible.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
27
Ataques a la red
Ataques por denegación de servicio (continuación) • DDoS: el atacante utiliza muchos hosts intermediarios, denominados “zombies”, para iniciar el ataque al servidor o al host de la víctima. Los hosts intermediarios utilizados para lanzar el ataque en general están infectados con malware, lo que da control al atacante. • Ataque Smurf: un ataque basado en el protocolo de mensajes de control de Internet (ICMP), en el que el atacante emite una gran cantidad de paquetes ICMP con la dirección IP de origen de la víctima. Los hosts zombie responden a la víctima objetivo con el objetivo de desbordar el enlace de la red WAN con el destino. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
28
Ataques a la red
Práctica de laboratorio: Investigación de amenazas de seguridad de red • Para la defensa contra los ataques de red, un administrador debe ser capaz de identificar las amenazas externas que podrían plantear un peligro para la red. • Esta práctica de laboratorio le permitirá investigar las amenazas de seguridad de red, ya que explorará un sitio web muy importante relacionado con la seguridad, investigará amenazas recientes y detallará una amenaza de seguridad de red específica. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
29
Mitigación de ataques de red
Copias de respaldo, actualizaciones y parches •
Mantenerse actualizado con los últimos desarrollos es una parte crítica de la seguridad de la red y de la defensa contra ataques a la red.
•
A medida que se publican nuevos tipos de malware, las empresas deben mantenerse al día con actualizaciones a las versiones más recientes de los softwares antivirus.
•
La manera más eficaz de mitigar un ataque de gusanos u otros ataques consiste en descargar las actualizaciones de seguridad del proveedor del sistema operativo e instalar parches en todos los sistemas vulnerables.
•
El uso de un servidor central de parches para instalar automáticamente los parches críticos es una solución muy útil para este problema.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
30
Mitigación de ataques de red
Autenticación, autorización y auditoría • Los servicios de seguridad de red de autenticación, autorización y auditoría (AAA) proporcionan el marco de trabajo para configurar el control de acceso en dispositivos de red. • AAA se utiliza para controlar quién tiene permitido acceder a una red (autenticación), controlar qué pueden hacer las personas mientras se encuentran allí (autorizar) y qué hicieron mientras accedieron a la red (auditar).
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
31
Mitigación de ataques de red
Firewalls
•
Los firewalls son una de las herramientas de seguridad más eficaces disponibles para la protección de los usuarios contra amenazas externas.
•
Los firewalls de red residen entre dos o más redes, controlan el tráfico entre ellas y evitan el acceso no autorizado. Los firewalls basados en el host, o firewalls personales, se instalan en los sistemas finales.
•
Los firewalls usan diferentes técnicas para determinar qué está permitido o denegado: • Filtrado de paquetes: evita o permite el acceso según las direcciones IP o MAC.
• Filtrado de aplicaciones: evita o permite el acceso de tipos específicos de aplicaciones según los números de puerto. • Filtrado de URL: evita o permite el acceso a sitios web según palabras clave o URL específicos. • Inspección activa de estado de paquetes (SPI): los paquetes entrantes deben constituir respuestas legítimas a solicitudes de los hosts externos. El tráfico que entra a través del firewall desde el exterior debe proceder del interior de la red salvo que esté específicamente permitido. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
32
Mitigación de ataques de red
Seguridad de terminales • Una terminal, o un host, es un sistema informático o un dispositivo individual que actúa como cliente de red. • Las terminales comunes incluyen computadoras portátiles, computadoras de escritorio, servidores, smartphones y tablets. • Las empresas deben aplicar políticas bien documentadas que los empleados deben seguir, dado que la protección de los dispositivos de terminales es una de las tareas más desafiantes de un administrador de redes. • La política debe incluir uso de software antivirus y prevención de intrusiones de host. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
33
Seguridad de dispositivos
Descripción general de la seguridad de dispositivos •
•
Cuando se instala un nuevo sistema operativo en un dispositivo, la configuración de seguridad está establecida en los valores predeterminados.
•
Esto en general ocasiona amenazas a la seguridad y la configuración predeterminada, incluidas las contraseñas, debería cambiarse.
•
Deben instalarse actualizaciones del sistema y parches de seguridad.
•
En el caso de routers Cisco, se puede utilizar la característica Cisco AutoSecure para ayudar a proteger el sistema.
•
Estos son algunos pasos simples que se deben aplicar en la mayor parte de los sistemas operativos:
Restringir función del router:
• Se deben cambiar de inmediato los nombres de usuario y las contraseñas predeterminados. • Se debe restringir el acceso a los recursos del sistema solamente a las personas que necesitan utilizar dichos recursos. • Siempre que sea posible, se deben desactivar, deshabilitar y desinstalar todos los servicios y las aplicaciones innecesarios.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
34
Seguridad de dispositivos
Contraseñas
•
Las contraseñas fuertes son esenciales en la protección de dispositivos de red.
•
Las pautas de contraseña que se deben seguir son las siguientes: • Utilice una contraseña de, al menos, entre 8 y 10 caracteres, preferentemente de 10 caracteres o más. Mientras más larga, mejor. • La contraseña debe ser compleja. Incluya una combinación de letras mayúsculas y minúsculas, números, símbolos y espacios, si están permitidos. • No utilice contraseñas basadas en repetición, palabras comunes de diccionario, secuencias de letras o números, nombres de usuario, nombres de parientes o mascotas, información biográfica u otra información fácilmente identificable. • Escriba las contraseñas con errores de ortografía en forma voluntaria. • Cambie las contraseñas con frecuencia. • Nunca anote las contraseñas y deje la anotación donde cualquiera puede encontrarla. • Utilice frases de contraseña siempre que sea posible.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
35
Seguridad de dispositivos
Prácticas de seguridad básicas •
Utilice el comando de configuración global service passwordencryption para encriptar contraseñas en el archivo de configuración y evitar que individuos no autorizados vean las contraseñas de texto sin formato.
•
Para asegurar que todas las contraseñas configuradas tengan una longitud mínima, utilice el comando security passwords minlength del modo de configuración global.
•
Los hackers suelen utilizar un ataque de fuerza bruta para desencriptar contraseñas encriptadas. Bloquee los intentos excesivos de inicio de sesión en un dispositivo si una cantidad determinada de errores ocurre en un lapso específico de tiempo con el comando login block-for 120 attempts 3 within 60. • Este comando bloquea los intentos de inicio de sesión durante 120 segundos si hay tres intentos de inicio de sesión fallidos en 60 segundos.
•
Si ajusta el tiempo de espera de ejecución en un router, se desconecta automáticamente a los usuarios si han estado inactivos durante el tiempo del valor de tiempo de espera.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
36
Seguridad de dispositivos
Habilitación de SSH
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
37
11.3 Rendimiento básico de la red
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
38
El comando ping
Interpretación de los resultados del comando ping El uso del comando ping es un método muy eficaz
para comprobar la conectividad de red a un host, servidor o dispositivo en particular; es un primer paso muy importante en la solución de una falla de red. El comando ping utiliza el protocolo de mensajería
de control de Internet y verifica la conectividad de la capa 3. Un ping emitido desde el IOS, como un router Cisco,
tiene como resultado varias indicaciones. Las más comunes son las siguientes: •
! : indica la recepción de un mensaje de eco ICMP. Esto es lo que desea ver.
•
. : indica que se agotó el tiempo mientras se esperaba un mensaje de respuesta de eco ICMP.
•
U: se recibió un mensaje ICMP inalcanzable.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
39
El comando ping
Ping extendido El Cisco IOS ofrece un modo
"extendido" del comando ping que le dará más opciones como se muestra en la figura a la izquierda. Para ingresar a este modo, escriba
ping en el modo EXEC con privilegios, sin una dirección IP de destino. Solo escriba ping y presione ENTER (Introducir). El ejemplo de la figura a la izquierda
demuestra cómo forzar o cambiar la dirección IP de origen. Esto es muy útil cuando soluciona problemas.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
40
El comando ping
Línea de base de red La creación de una línea de base de red es
una de las herramientas más eficaces para el monitoreo y la solución de problemas del desempeño de la red. Para crear una base eficaz, se debe medir
el desempeño en varias ocasiones durante un período de tiempo. Un método que puede utilizar es copiar y
pegar en un archivo de texto con un marca de tiempo los resultados de los comandos ping, trace u otros comandos relevantes. Las redes corporativas deben tener líneas
de base extensas, que utilicen herramientas de software a nivel profesional. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
41
Los comandos traceroute y tracert
Interpretación de mensajes de rastreo Un rastreo proporciona una lista de saltos
cuando un paquete se enruta a través de una red. Cada router es un salto. Cuando utilice Windows, use el comando
tracert. Cuando lleve a cabo el rastreo desde la
interfaz de línea de comando (CLI) de un router, utilice traceroute. La respuesta “Request timed out” (Tiempo
de espera agotado) indica que el router no respondió. Es posible que exista una falla de red o que los routers se hayan configurado para no responder a solicitudes echo en el rastreo.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
42
Los comandos traceroute y tracert
Comando traceroute extendido
El comando traceroute extendido es una
variación que permitirá al administrador de redes ajustar los parámetros relacionados con el comando. Este comando es muy útil para solucionar
problemas de bucles de routing, determinar el router de siguiente salto adecuado o determinar dónde los paquetes son descartados por un router o denegados por un firewall. El comando traceroute extendido puede ser
útil para encontrar el problema. Para utilizar el comando, escriba traceroute y presione ENTER (Introducir). Mientras que ping envía paquetes de icmp,
traceroute envía paquetes IP con un valor TTL (30 en forma predeterminada). © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
43
Los comandos traceroute y tracert
Packet Tracer: Prueba de la conectividad con traceroute Esta actividad de Packet
Tracer le permitirá solucionar problemas de conectividad de red mediante los comandos de rastreo. Deberá analizar el resultado
de los comandos tracert y traceroute para identificar el problema. Una vez que se corrija el
problema, deberá comprobar que todo funciona mediante los mismos comandos. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
44
Los comandos traceroute y tracert
Práctica de laboratorio: Prueba de la latencia de la red con ping y traceroute Esta práctica de
laboratorio le permitirá probar la latencia de la red utilizando los comandos ping y traceroute en una red activa. Se debe utilizar una red
activa para obtener estadísticas realistas de latencia de la red.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
45
Comandos show
Repaso de comandos show comunes Los técnicos de red utilizan
comandos show con frecuencia para verificar la configuración y la operación de un dispositivo o para solucionar problemas. Entre los comandos show
comunes, se incluyen los siguientes: • show running-config • show interfaces • show arp
• show ip route • show protocols • show version © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
46
Comandos show
Demostración en video: El comando show version Esta demostración en video
describe el resultado del comando show version cuando los emite el router Cisco 1941. La versión del software IOS se
destaca en la figura a la izquierda. Se incluyen detalles del resultado,
incluidos los siguientes: • período durante el cual el router ha estado encendido,
• información sobre la versión, • detalles de interfaz y memoria.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
47
Comandos show
Packet Tracer: Uso de los comandos show Esta actividad de Packet Tracer
le permitirá practicar diversos comandos show y examinar sus resultados.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
48
Comandos de host y de IOS
El comando ipconfig En una computadora con Windows, la
dirección IP del gateway predeterminado puede visualizarse mediante el uso del comando ipconfig. El comando ipconfig /all puede
utilizarse para visualizar la dirección MAC, así como otros detalles importantes sobre el direccionamiento de capa 3 del dispositivo. El comando ipconfig /displaydns
muestra todas las entradas DNS en caché en un sistema de computación Windows. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
49
Comandos de host y de IOS
El comando arp En una computadora con Windows, el
comando arp -a enumera todos los dispositivos actualmente almacenados en la caché ARP de un host en particular. Se enumeran las direcciones IPv4, las
direcciones físicas y el tipo de direccionamiento (estático/dinámico) de cada dispositivo. La caché arp puede borrarse con el
comando arp-d.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
50
Comandos de host y de IOS
El comando show cdp neighbors
El Cisco Discovery Protocol (CDP) es un
protocolo de propiedad de Cisco que se ejecuta en la capa de enlace de datos que permite a los dispositivos adyacentes de Cisco obtener información unos de otros, incluso sin conectividad de capa 3. Cuando se arranca un dispositivo Cisco,
CDP se inicia de manera predeterminada. CDP descubre automáticamente los dispositivos vecinos que ejecutan CDP. CDP proporciona la siguiente información
sobre cada vecino CDP: identificadores de dispositivo, lista de direcciones, identificador de puerto, lista de funcionalidades y plataforma. El comando show cdp neighbors detail
le mostrará la dirección IP de un dispositivo vecino. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
51
Comandos de host y de IOS
El comando show ip interface brief Uno de los comandos utilizados con
mayor frecuencia para verificar la configuración de la interfaz y el estado de todas las interfaces es el comando show ip interface brief. Este comando proporciona un
resultado más abreviado que el show ip interface y proporciona un resumen de la información clave de todas las interfaces de red en un router. El comando muestra diversa
información, incluida la dirección IP asignada a cada interfaz y el estado de funcionamiento de la interfaz. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
52
Comandos de host y de IOS
Práctica de laboratorio: Uso de la CLI para reunir información sobre dispositivos de red La documentación de una red es
una de las tareas más importantes de un profesional de red. En esta práctica de laboratorio,
armará una red pequeña, configurará los dispositivos, implementará seguridad básica y documentará las configuraciones mediante el uso de diversos comandos en el router, el switch y la PC.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
53
Depuración
El comando debug Los procesos, protocolos, mecanismos y
eventos de IOS generan mensajes para comunicar su estado. Estos mensajes pueden proporcionar
información valiosa cuando hay que solucionar problemas o verificar las operaciones del sistema. Cuando se ingresa el comando debug de
IOS en modo EXEC con privilegios, el administrador puede mostrar estos mensajes en tiempo real para su análisis. Es posible reducir el resultado del
comando debug para incluir solamente la característica o subcaracterística que se necesita. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
54
Depuración
El comando terminal monitor Las conexiones para otorgar acceso a la
interfaz de línea de comandos de IOS se pueden establecer de forma local o remota. •
Las conexiones locales requieren acceso físico al router o switch a través de un cable.
•
Las conexiones remotas que utilizan SSH o Telnet se realizan a través de la red y requieren que se configure un protocolo de red como IP.
La depuración de mensajes largos se envía a
la consola de forma predeterminada y no a las líneas virtuales. Para mostrar mensajes de registro en un
terminal o en una consola virtual, utilice el comando EXEC con privilegios terminal monitor y terminal no monitor para desactivarlo. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
55
11.4 Solución de problemas de red
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
56
Metodologías de solución de problemas
Enfoques para la solución de problemas básicos Los técnicos deben ser capaces de analizar la
causa del problema de red antes de que puedan resolver el problema. Este proceso se denomina “solución de
problemas”. Un método común y eficaz se basa en el
método científico, que puede dividirse en los seis pasos que se muestran en la ilustración a la izquierda. ¿Cuántos dispositivos de la red experimentan
el problema? •
Si es un dispositivo, comience la solución de problemas en el dispositivo.
•
Si son todos los dispositivos, comience la solución de problemas en el dispositivo al que se conectan todos los dispositivos.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
57
Metodologías de solución de problemas
¿Solucionar o escalar? En algunos casos, puede que no
sea posible resolver el problema de red inmediatamente y puede que sea necesario escalarlo si para su solución se requiere la decisión de un administrador. Por ejemplo, después de
solucionar problemas, el técnico descubre que un módulo de router debe reemplazarse. Este problema se debe escalar para recibir la aprobación del administrador puesto que podría requerir un compromiso financiero.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
58
Metodologías de solución de problemas
Verificación y supervisión de la solución Cisco IOS incluye herramientas
eficaces para la solución de problemas y la verificación. Entre ellas, las siguientes: ping: se utiliza para verificar si la
conectividad de la red es satisfactoria. traceroute: muestra la ruta que
los paquetes utilizan para llegar a un destino y puede mostrar donde el paquete se detuvo en el camino. comandos show, incluidos show
ip int brief, que mostrará una vista resumida de las interfaces en un dispositivo. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
59
Solución de problemas en cables e interfaces
Operación en dúplex
En comunicaciones de datos, dúplex se
refiere a la dirección de la transmisión de datos entre dos dispositivos como un router y un switch. •
Semidúplex: los datos están restringidos a una dirección por vez.
•
Dúplex completo: los datos pueden ir en ambas direcciones al mismo tiempo.
Para el mejor desempeño de la comunicación,
dos interfaces de red Ethernet conectadas deben tener la misma configuración de dúplex. •
Ambas deben estar configuradas como dúplex completo o semidúplex.
•
La negociación automática de Ethernet se diseñó para facilitar la configuración, pero podría ocasionar problemas si en una parte está configurada como automática y en la otra no. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
60
Solución de problemas en cables e interfaces
Diferencia entre dúplex
Los problemas de diferencia entre
dúplex son difíciles de solucionar ya que la comunicación entre dispositivos todavía ocurre, pero es generalmente mucho más lenta. • ping podría no detectar el problema. • Un ping podría ser exitoso a pesar de que existe una diferencia. El Cisco Discovery Protocol (CDP)
puede detectar una diferencia entre dúplex entre dos dispositivos Cisco como se muestra en la figura a la izquierda. Estos mensajes de registro solo
aparecen en una consola o en una conexión remota si el comando terminal monitor está habilitado. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
61
Situaciones posibles para la solución de problemas
Problemas de asignación de direcciones IP en dispositivos IOS Es probable que los problemas relacionados con
la dirección IP causen inconvenientes de conectividad. Debido a que las direcciones IP son jerárquicas,
cualquier dirección IP asignada a un dispositivo de red debe adaptarse al rango de direcciones de esa red.
Dos causas comunes de asignación incorrecta de IPv4 son los errores manuales de configuración o los problemas relacionados con DHCP.
Si se genera un error durante la asignación, es
muy probable que ocurran problemas de comunicación con el dispositivo. Utilice el comando show ip interface brief para
verificar qué direcciones IPv4 se asignan a interfaces de red. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
62
Situaciones posibles para la solución de problemas
Problemas de asignación de direcciones IP en terminales En un equipo basado en Windows, cuando el
dispositivo no puede ponerse en contacto con un servidor DHCP, Windows asigna automáticamente el dispositivo al rango 169.254.0.0/16 para permitirle comunicarse dentro de la red local. En general, esto indica un problema y un
dispositivo asignado con esta dirección/rango no podrá comunicarse con otros dispositivos en la red. La mayor parte de los terminales se configura
con DHCP para la asignación automática de direcciones IPv4. Utilice el comando ipconfig para verificar la
dirección IP asignada a un equipo basado en Windows.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
63
Situaciones posibles para la solución de problemas
Problemas con el gateway predeterminado El gateway predeterminado para un terminal es el
dispositivo de red más cercano que puede reenviar tráfico a otras redes, en general un router. Sin una dirección válida del gateway
predeterminado, el host no podrá comunicarse con dispositivos fuera de su red local. •
El gateway predeterminado para un host debe pertenecer a la misma red que el terminal.
•
El gateway predeterminado se puede configurar u obtener manualmente de un servidor DHCP.
Utilice el comando ipconfig para verificar el
gateway predeterminado en una computadora basada en Windows. Utilice el comando show ip route para verificar
que se ha establecido la ruta predeterminada.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
64
Situaciones posibles para la solución de problemas
Solución de problemas de DNS Utilice ipconfig /all para obtener información del servidor DNS
en una PC con Windows.
El Servicio de Nombres de Dominio (DNS) se
utiliza para hacer coincidir los nombres, como www.cisco.com, con direcciones IP numéricas. Esto permite a un usuario ingresar
www.cisco.com en su navegador web en lugar de ingresar la dirección IP de Cisco para su servidor web. Si DNS está inactivo, algunos usuarios podrían
pensar que la "red está inactiva", cuando, en realidad, solo podría ser que el servidor DNS sea inalcanzable. Las direcciones del servidor DNS pueden
asignarse de manera manual o automática mediante DHCP.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
65
Situaciones posibles para la solución de problemas
Práctica de laboratorio: Solución de problemas de conectividad Esta práctica de laboratorio
le permitirá solucionar y resolver problemas de red con las habilidades y las herramientas que ha aprendido en este capítulo. Se conectará a dispositivos
y utilizará herramientas para identificar problemas de red, establecer una teoría de causa probable, poner a prueba esa teoría y resolver el problema.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
66
Situaciones posibles para la solución de problemas
Packet Tracer: Solución de problemas de conectividad +0.5 – IRD13 Esta actividad de Packet
Tracer le permitirá solucionar y resolver problemas de conectividad de red si es posible, o escalarlos de ser necesario. También será necesario
documentar claramente los problemas y las soluciones.
Práctica opcional 11.4.3.6
+0.5 © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
67
Conclusión
11.5.1.2 Packet Tracer: Desafío de integración de habilidades En esta actividad de Packet
Tracer, deberá crear un nuevo esquema de direccionamiento de IPv4 para 4 subredes con la red 192.168.0.0/24. Asimismo, deberá completar
las configuraciones básicas de seguridad y las configuraciones de la interfaz de R1. Además, configurará la
interfaz SVI y la configuración de seguridad básica en S1, S2 y S3. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco.
68