5.

Infraestructura de la red

Raul Bareño Gutierrez

MATERIA: Seguridad Informatica.

 Secciones y objetivos
▪ Dispositivos de comunicación por redes
• Explicar cómo los dispositivos de red permiten la comunicación por redes cableadas e inalámbricas.
• Explicar cómo los dispositivos de red permiten la comunicación por redes.
• Explicar cómo los dispositivos de red inalámbrica permiten la comunicación por redes.

▪ Infraestructura de seguridad de redes

• Explicar cómo se emplean los dispositivos y servicios para reforzar la seguridad de las redes.
• Explicar cómo se emplean los dispositivos para reforzar la seguridad de las redes.
• Explicar cómo los servicios de red mejoran la seguridad de las redes.

▪ Representaciones de redes
• Explicar cómo se representan las redes y sus topologías.
• Explicar cómo se representan los diseños de la red mediante símbolos interconectados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 2
 Dispositivos de
comunicación de red

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 3
 Dispositivos de red
Dispositivos finales e intermediarios
▪ Terminales:
• Computadoras, computadoras portátiles, servidores, impresoras, dispositivos inteligentes y dispositivos móviles.
• Los dispositivos finales individuales se conectan a las redes mediante dispositivos intermediarios.

▪ Dispositivos intermediarios:
• Conectan los dispositivos finales individuales a la red y también conectan varias redes individuales para formar
una internetwork.
• Brindan conectividad y garantizan el flujo de los datos por toda la red.

Dispositivos intermediarios

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 4
 Dispositivos de red
Routers
▪ Función de un router:
• determina rutas y reenvía paquetes.
• Es responsable de encapsular y desencapsular
paquetes.
• Emplea una tabla de routing para determinar la
mejor ruta para enviar paquetes a una red
específica.
▪ Tabla de routing:
• incluye rutas de conexión directa y rutas
remotas.
• El router busca en su tabla una dirección de red
que coincida con la dirección IP de destino del
paquete.
• Utiliza la puerta de enlace de último recurso si
fue memorizada o configurada; de lo contrario,
el paquete se elimina.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 5
 Dispositivos de red
Routers
▪ El router ejecuta tres pasos principales:

1. Desencapsula el encabezado y la cola de la

trama de la capa 2 para exponer el paquete de la
capa 3.
2. Examina la IP de destino del paquete IP para
encontrar la mejor ruta en la tabla de enrutamiento.
3. Si el router encuentra una ruta hacia el destino,
encapsula el paquete de la capa 3 en una nueva
trama de la capa 2 y lo reenvía por la interfaz de
salida.

▪ Los dispositivos tienen IPv4 de capa 3, mientras que

las interfaces Ethernet tienen direcciones de enlace
de datos de capa 2.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 6
 Dispositivos de red
Funcionamiento del router
▪ Una de las funciones principales de los routers es determinar la mejor ruta para enviar paquetes a
cada subred. Para determinar la mejor ruta, el router busca en su tabla de enrutamiento una dirección
de red que coincida con la IP de destino del paquete.
▪ La tabla de enrutamiento busca resultados en una de tres determinaciones de ruta:
• Red conectada directamente
• Red remota
• No hay ruta determinada

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 7
 Dispositivos de red
Información de enrutamiento
▪ La tabla de enrutamiento de un router almacena
información sobre lo siguiente:
• Rutas conectadas directamente
• Rutas remotas
▪ Las entradas de la red de destino en la tabla de
enrutamiento se pueden agregar de varias maneras:
• Interfaces de ruta local: se agregan cuando
una interfaz está configurada y activa.
• Interfaces conectadas directamente: se
agregan a la tabla de enrutamiento cuando una
interfaz está configurada y activa.
• Rutas estáticas: se agregan cuando una ruta se
configura manualmente y la interfaz de salida
está activa.
• Protocolo de enrutamiento dinámico: se
agrega cuando se implementan protocolos de
enrutamiento que detectan la red de manera
dinámica (como EIGRP u OSPF) y cuando se
identifican las redes.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 8
 Dispositivos de red
Concentradores, puentes y switches de LAN

▪ Un hub de Ethernet actúa como un repetidor multipuerto que recibe

una señal eléctrica entrante (datos) en un puerto. Luego, reenvía
inmediatamente una señal regenerada a todos los demás puertos.
Los concentradores utilizan procesamiento de capa física para
reenviar datos.
▪ Los puentes tienen dos interfaces y están conectados entre
concentradores para dividir la red en varios dominios de colisión.
Cada dominio de colisión puede tener solamente un remitente en un
momento dado.
▪ Los switches de LAN son, en definitiva, puentes multipuerto que
conectan dispositivos en una topología de estrella. Al igual que los
puentes, los switches segmentan una red LAN en dominios de
colisión separados, uno para cada puerto del switch. Un switch toma
decisiones de reenvío sobre la base de direcciones MAC.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 9
 Dispositivos de red
Operación de cambio

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 10
 Dispositivos de red
VLAN
▪ Segmentan las redes a partir de varios
factores (la función, el equipo del proyecto
o la aplicación) independientemente de la
ubicación física.

▪ Crean un dominio de difusión lógico que

puede abarcar varios segmentos LAN
físicos.

▪ Mejoran el rendimiento de la red mediante

la división de grandes dominios de difusión
en otros más pequeños.
▪ Evitan que los usuarios en VLAN diferentes
espíen el tráfico de los demás.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 11
 Dispositivos de red
STP
▪ Protocolo de árbol de expansión (STP)
• Garantiza que haya una sola ruta lógica entre todos los destinos de la red al bloquear las rutas
redundantes.
• Impide los bucles mediante el uso de puertos de "estado de bloqueo" estratégica colocados.
• Utiliza tramas de unidad de datos de protocolo puente (BPDU) para evitar bucles.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 12
 Dispositivos de red
Switches de multicapa
▪ Los switches de multicapa admiten puertos con routing e interfaces virtuales de switches (SVI)
para reenviar tramas a partir de la información de la capa 3.
• Puertos enrutados: puerto físico que actúa como una interfaz en un router, no asociado a cualquier VLAN.
• SVI: interfaz virtual que puede configurarse para cualquier VLAN dentro de un switch multicapa.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 13
 Comunicaciones inalámbricas
Comunicaciones inalámbricas
▪ Controlador de LAN
inalámbrica:

• Ofrece configuración de
administración centralizada e
implementación sobre los
puntos de acceso ligeros.

• Controla los puntos de

acceso ligeros usando el
protocolo de puntos de
acceso ligeros.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 14
 Comunicaciones inalámbricas
Protocolos y funciones
▪ LAN inalámbricas (WLAN):
• Usan radiofrecuencias (RF) en lugar de cables en la capa física y la subcapa MAC de la capa de enlace
de datos.

• Conectan clientes a la red mediante un punto de acceso (AP) inalámbrico o un router inalámbrico, en
lugar de hacerlo mediante un switch Ethernet.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 15
 Comunicaciones inalámbricas
Operaciones de red inalámbrica
▪ El proceso de asociaciones de clientes inalámbricos con el AP incluye descubrir un nuevo punto de acceso inalámbrico,
autenticar con ese punto de acceso y, a continuación, asociar con ese punto de acceso.

▪ Los parámetros inalámbricos configurables comunes incluyen lo

siguiente:
• Modo de red, SSID, Configuración de canal, Modo de seguridad
• Cifrado, Contraseña
▪ Los dispositivos inalámbricos deben detectar un AP o un router
inalámbrico y se deben conectar a este. Este proceso puede ser pasivo o activo.

▪ Pasivo: el AP anuncia abiertamente su servicio enviando periódicamente tramas de señal de difusión que contienen el
SSID, los estándares admitidos y la configuración de seguridad. Activo: los clientes inalámbricos deben conocer el nombre
del SSID

▪ El estándar 802.11 originalmente se ha desarrollado con dos mecanismos de autenticación: autenticación abierta, que
proporciona conectividad inalámbrica a cualquier dispositivo inalámbrico,

▪ Autenticación de clave compartida, se basa en una clave precompartida entre el cliente y el punto de acceso.

▪ Portal cautivo
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 16
 Comunicación inalámbrica
El proceso de asociación de cliente y AP
▪ Para asociarse con un AP, un cliente inalámbrico atraviesa un proceso de tres
etapas.

▪ Detección: un clientes inalámbrico localiza el AP para asociar.

▪ Autenticación:

• El cliente inalámbrico envía una trama de autenticación al AP.

• El AP responde con un desafío de texto.
• El cliente cifra el mensaje mediante la clave compartida y devuelve el texto
cifrado al AP.
• A continuación, el AP descifra el texto cifrado mediante la clave compartida.
• Si el texto descifrado coincide con el texto de desafío, el AP autentica el cliente.

▪ Asociación:

• El cliente inalámbrico reenvía una trama de solicitud de asociación que incluye

su dirección MAC.
• El AP envía una respuesta de asociación que incluye su dirección MAC.
• El AP asigna un puerto lógico al cliente inalámbrico.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 17
 Comunicaciones inalámbricas
Dispositivos inalámbricos: AP, LWAP, WLC
▪ Punto de acceso (AP):
• Red pequeña: normalmente un router inalámbrico que integra las funciones de un router.
• Red grande: puede ser muchos puntos de acceso.

▪ Controlador LAN inalámbrico (WLC):

• Controla y administra las funciones de los puntos de acceso en una red.
• Simplifica la configuración y supervisión de numerosos puntos de acceso.

▪ Punto de acceso liviano (LWAP):

• Administración centralizada por WLC.
• Ya no funciona de manera autónoma.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 18
5.2 Infraestructura de
seguridad de la red

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 19
 Dispositivos de seguridad
Dispositivos de seguridad
▪ Capa de acceso: Seguridad de puerto, inspección dinámica de ARP y detección DHCP.

▪ Capa de distribución:

• Listas de acceso de un firewall de capa 3

• Firewall con detección de estado de capa 4
• Permite y rechaza el tráfico basado en la asignación de direcciones IP, y puertos TCP y UDP.

▪ Capa de núcleo central

• Firewall proxy: inspecciona el tráfico

• Firewall proxy web: inspecciona el tráfico web
• Firewall proxy de correo electrónico: detecta el correo spam
• Dispositivo de seguridad SSL: descifra el tráfico HTTPS
• IDS: escanea sin conexión contra firmas de ataque a la red

▪ Red inalámbrica

• Encriptación y autenticación WPA2

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 20
 Firewalls
▪ Algunas propiedades comunes de firewalls:

• Resisten ataques de red.

• Todo el tráfico fluye a través del firewall.
• Aplican la política de control de acceso.

▪ Algunos beneficios de usar un firewall en una red:

• Previene la exposición de hosts, recursos y aplicaciones confidenciales,

• y aplicaciones a usuarios no confiables.
• Limpia el flujo del protocolo.
• Bloquea los datos maliciosos de servidores y clientes.
• Reduce la complejidad de la administración de la seguridad.

▪ Los firewalls también tienen algunas limitaciones:

• Un firewall mal configurado puede tener graves consecuencias para la red. Una mala política o regla.
• Los datos de muchas aplicaciones no se pueden transmitir con seguridad mediante firewalls.
• Los usuarios buscan formas alrededor del firewall para recibir material bloqueado.
• Puede reducirse la velocidad de la red. Mucha latencia.
• El tráfico no autorizado se puede tunelizar como tráfico legítimo a través© 2016
delCisco
firewall. Por
y/o sus filiales. HTTPS
Todos yareservados.
los derechos lo vulneran.
InformaciónOjo con deeste.
confidencial Cisco. 21
 Descripciones de tipos de firewall
▪ Los firewalls de filtrado de paquetes (sin estado) formar parte de un firewall de router, que
autoriza o rechaza el tráfico a partir de la información de las capas 3 y 4. con las ACL.

▪ Firewall con estado: Permiten o bloquean el tráfico según el estado, el puerto y el protocolo.
• Monitorea toda la actividad desde la apertura hasta el cierre de una conexión. Solo permiten entrar lo
que salió previamente.
▪ Firewall de puerta de enlace de la aplicación (proxy de firewall): filtra la información en las
capas 3, 4, 5 y 7 de OSI. Tienen cache. Y ahorran recursos. Muy bueno el proxi squid

▪ Firewall basado en host (servidor y personal): un PC o servidor con software de firewall.

Importante porque es la ultima línea de defensa.

▪ Firewall transparente: filtra el tráfico de IP entre un par de interfaces conectadas con puente. IPS

▪ Firewall híbrido: una combinación de los distintos tipos de firewall.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 22
 Dispositivos de seguridad
Firewalls de filtrado de paquetes sin estado
▪ Suelen formar parte de un firewall de
router, que autoriza o rechaza el tráfico
a partir de la información de las capas
3 y 4.

▪ Sin firewalls independientes del estado

que emplean una búsqueda simple en
la tabla de políticas para filtrar el tráfico
a partir de criterios específicos.

▪ Son de primera generación.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 23
 Dispositivos de seguridad
Firewalls con estado
▪ La tecnología de firewalls más versátil y común
actualmente.
▪ Ofrecen filtrado de paquetes utilizando la información de
conexiones indicada en una tabla de estados.

▪ Clasifican en la capa de red, pero también analizan el

tráfico en las capas 4 y 5 de OSI.

▪ Permiten colocar reglas

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 24
 Firewalls de última generación
▪ Ofrecen recursos de firewall estándar como inspección activa.

▪ Contienen prevención de intrusiones integrada. Tienen antivirus, antispam. Entre otros.

▪ Emplean control y reconocimiento de aplicaciones para ver y bloquear las aplicaciones

riesgosas.

▪ Actualizan las rutas para incluir futuros datos de información.

▪ Implementan técnicas para las amenazas de seguridad en constante evolución. Sandbox

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 25
 Dispositivos de seguridad
Dispositivos de detección y prevención de intrusiones

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 26
 Dispositivos de seguridad
Ventajas y desventajas de IDS e IPS

IPS puros: Los tipping point, cisco Fortinet, palo alto.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 27
 Dispositivos de seguridad
Tipos de IPS
▪ IPS basado en host (HIPS): Software instalado en un host individual que se usa para controlar y analizar
actividades sospechosas.
• Monitorea y protege el sistema operativo y los procesos fundamentales del sistema que son específicos de ese
host.
• Combina software antivirus, software antimalware y firewall.
▪ IPS basado en la red: Implementado utilizando un dispositivo IPS exclusivo o no exclusivo.
• Son un componente fundamental de la prevención de intrusiones.
• Los sensores detectan actividad maliciosa y no autorizada en tiempo real y pueden tomar medidas cuando es
necesario.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 28
 Dispositivos de seguridad
Dispositivos de seguridad especializados
▪ Cisco Advanced Malware Protection (AMP): Es una solución integrada de protección y análisis de malware de clase empresarial.

• Brinda protección integral contra malware para las organizaciones antes, durante y después de un ataque.

▪ Aplicación de seguridad web (WSA) de Cisco / Cisco Cloud Web Security (CWS):

• WSA protege la red bloqueando automáticamente sitios peligrosos y probando sitios desconocidos antes de permitir que los usuarios tengan
acceso a ellos.
• WSA ofrece protección contra malware, visibilidad y control de las aplicaciones, controles de políticas de uso aceptable, informes detallados y
movilidad segura.
• CWS garantiza una comunicación segura a y desde Internet.
• CWS proporciona a los trabajadores remotos el mismo nivel de seguridad que los empleados in situ.

▪ Cisco Email Security Appliance (ESA): defiende sistemas de correo electrónico fundamentales.

• Detecta y correlacionada amenazas utilizando un sistema de monitoreo con base de datos de

todo el mundo.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 29
 Servicios de seguridad
Dispositivos de seguridad
▪ El sistema de detección de intrusiones (IDS) explora paquetes contra las firmas de seguridad en
busca de ataques de red.

▪ Autenticación, autorización y auditoría (AAA) es un servidor que está configurado para gestionar toda la
autenticación de cuenta de usuario en la red.

▪ NetFlow recopila información en los encabezados de los paquetes, tal como dirección IP, números de
puerto TCP UDP, tipo de campo de servicio e información de protocolo en el tráfico de ingreso y egreso.

▪ El protocolo simple de administración de redes (SNMP) puede leer información y monitorear

dispositivos en la red que se configuraron como agentes SNMP.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 30
 Servicios de seguridad
Control del tráfico con ACL
▪ Una (ACL) es una serie de comandos que controla si un dispositivo reenvía o descarta paquetes
según la información que se encuentra en el encabezado del paquete. Funcionales a nivel local.
• Limita el tráfico de la red para aumentar su
rendimiento.

• Proporcionan control del flujo de tráfico.

• Proporcionan un nivel básico de seguridad

para el acceso a la red.

• Filtran el tráfico según el tipo de tráfico.

• Filtran a los hosts para permitirles o

denegarles el acceso a los servicios de red.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 31
 Servicios de seguridad
ACL: características importantes
▪ Los dos tipos de ACL de IPv4 son estándar y extendida.

▪ Las ACL estándar se pueden utilizar para permitir o denegar el tráfico de direcciones IPv4 de origen
únicamente. Las ACL extendidas filtran paquetes IPv4 según varios
atributos, como los siguientes:
• Tipo de protocolo
• Dirección IPv4 de origen
• Dirección IPv4 de destino
• Puertos TCP o UDP de origen
• Puertos TCP o UDP de destino
• Información optativa de tipo de protocolo para un control más preciso
▪ Las ACL estándar y extendidas se pueden crear con un número o un nombre para identificar la ACL y su
lista de instrucciones.

▪ Se puede generar y registrar un mensaje de ACL cuando el tráfico cumpla con los criterios de permiso o
denegación definidos en la ACL.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 32
 Servicios de seguridad
SNMP
▪ permite a los administradores administrar dispositivos finales, como servidores, estaciones de
trabajo, routers, switches y dispositivos de seguridad.
▪ El sistema SNMP consta de tres elementos:
• Un administrador que ejecuta el software de administración de SNMP. Conocidos como NMS

• Agentes que son los nodos monitoreados y administrados.

• Base de información de administración (MIB):

una base de datos del agente donde se guardan
datos y estadísticas operativas sobre el dispositivo.
• Hoy versión 3.
• Permite monitoreo de interfaz y el consumo de recursos
• Solo ve los flujos. No cantidades

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 33
 Servicios de seguridad
NetFlow
▪ Tecnología de Cisco IOS que proporciona estadísticas sobre los paquetes que pasan por un
router o switch de multicapa de Cisco.

▪ Ofrece datos para monitoreo de redes y seguridad, planificación de redes, análisis de tráfico
y contabilidad de IP con fines de facturación. Flujos de trafico capacidad de trafico en
porcentajes, visualiza valores.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 34
 Servicios de seguridad
Replicación de puertos
▪ Recurso para que el switch pueda hacer copias del tráfico que pasa y luego enviarlas a un puerto
con un monitor de redes conectado.
▪ El tráfico original se reenvía de la manera habitual.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 35
 Servicios de seguridad
Servidores Syslog
▪ Es el método más común de acceder a los mensajes del sistema.

▪ Permite que los dispositivos de red envíen los mensajes del sistema a servidores syslog a través
de la red.

▪ El servicio de registro de syslog proporciona tres funciones principales:

• Recopila información de registros para el monitoreo y la solución de problemas.
• Selecciona el tipo de información de registros que se captura.
• Especifica el destino de los mensajes de syslog
capturados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 36
 Servicios de seguridad
NTP
▪ Permite que los routers de la red sincronicen su configuración horaria con un servidor NTP y
empleen niveles de estratos.

▪ Se puede sincronizar con un reloj maestro privado o con un servidor NTP disponible públicamente
en Internet.

▪ Los servidores NTP están dispuestos en niveles, conocidos como estratos:

• Estrato 0: dispositivos de cronometraje de alta precisión
que suponen ser precisos y tener poco o ningún retraso.
• Estrato 1: conectados a las fuentes horarias válidas.
Actúan como el estándar horario de la red principal.
• Estrato 2 e inferiores: conectados a dispositivos del
estrato 1 mediante conexiones de red. sincronizan su horario con los paquetes NTP
desde servidores del estrato 1. Podrían también actuar
como servidores para dispositivos del estrato 3.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 37
 Servicios de seguridad
Servicios AAA
▪ Servicios AAA es un conjunto de tres funciones de seguridad independiente: autenticación,
autorización y auditoría/contabilidad.

• Autenticación: los usuarios y administradores deben probar que son quienes dicen ser. Lo que se
(contraseña). Lo que tengo (la tarjeta). Lo que somos (biometría)
• Combinaciones de nombre de usuario y contraseña, preguntas, desafíos, tarjetas token y otros métodos.
• La autenticación AAA ofrece un método centralizado para controlar el acceso a las redes.

• Autorización: tras la autenticación, se determina a qué recursos puede acceder el usuario y qué
operaciones tiene permitido realizar.

• Contabilidad y auditoría: se registra qué hace el usuario, a qué se accede, cuánto tiempo se
permanece en el recurso y qué cambios se hacen. La Auditoría realiza un seguimiento de la forma en la
que se utilizan los recursos de red.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 38
 Servicios de seguridad
Protocolos de autenticación AAA

RADIUS

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 39
 Servicios de seguridad
VPN
• Es una red privada que se crea sobre una red pública.
• Una VPN es privada porque el tráfico se encripta para preservar la confidencialidad de los datos
mientras se los transporta por la red pública.
• Los servicios de IPSec permiten la autenticación, la integridad, el control de acceso y la confidencialidad.

Red privada virtual VPN de IPsec

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 40
5.3 Representaciones de redes

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 41
 Topologías de la red
Descripción general de los componentes de red
▪ La infraestructura de las redes incluye tres categorías de componentes:
• Dispositivos Dispositivos
• Medios
• Servicios

Servicios

Medios

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 42
 Topologías de la red
Topologías física
▪ La topología física hace referencia a
las conexiones físicas e identifica
las interconexiones entre los
dispositivos finales y los de la
infraestructura.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 43
 Topologías de la red
Topologías lógica
▪ La topología lógica refiere
a la forma en que una red
transfiere tramas de un
nodo al siguiente.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 44
 Topologías de la red
Topologías de WAN
▪ Punto a punto: consiste de un enlace permanente entre dos terminales.

▪ Hub-and-spoke: topología en estrella, en la que un sitio central interconecta sitios de sucursal

mediante enlaces punto a punto.

▪ Malla: proporciona alta disponibilidad, pero requiere que cada sistema final esté interconectado
con todos los demás sistemas. costosa

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 45
 Topologías de la red
Topologías de LAN

▪ Estrella: los terminales se conectan a un dispositivo

intermediario central.

▪ Estrella extendida o híbrida: en una topología en

estrella extendida, dispositivos intermediarios centrales
interconectan otras topologías en estrella.

▪ Bus: todos los sistemas finales se encadenan entre sí y

terminan de algún modo en cada extremo. En desuso

▪ Anillo: sistemas finales se conectan con su vecino y

forman un anillo. no necesita tener una terminación.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 46
 Topologías de la red
El modelo de diseño de red de tres capas
Modelo jerárquico de tres capas
• Capa de acceso:
• ofrece a los terminales y usuarios acceso directo a la red.
• El tráfico de usuario se inicia en esta capa.
• Capa de distribución
• La capa que agrega capas de acceso.
• Proporciona conectividad a los servicios.
• Capa principal
• Proporciona conectividad entre las capas de distribución.
▪ Núcleo contraído
• Las capas de núcleo y de distribución se combinan en una
sola capa.
• Reducen los costos y la complejidad.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 47
 Topologías de red
Arquitecturas de seguridad comunes
▪ El diseño de firewall tiene por objetivo permitir o denegar el tráfico según el origen, el
destino y el tipo de tráfico. diseños simples y solo consisten en diseñar una red externa y una
interna. Un firewall con dos interfaces se configura del siguiente modo:
• El tráfico procedente de la red privada se autoriza e inspecciona mientras viaja hacia la red pública.
También se autoriza el tráfico inspeccionado que regresa de la red pública y está relacionado con el
tráfico que se originó en la red privada.

• se bloquea el tráfico procedente de la red pública que viaja hacia la red privada.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 48
 Arquitecturas de seguridad comunes
▪ Una zona perimetral (DMZ, Demilitarized Zone) es un diseño de firewall hay una interfaz interna
conectada a la red privada, una externa conectada a la red pública y una interfaz de DMZ.
• El tráfico procedente de la red privada se inspecciona mientras
viaja hacia la red pública o la DMZ. El tráfico se permite casi
sin restricciones. Normalmente se permite el tráfico de retorno.
• Con frecuencia, se bloquea el tráfico procedente de la DMZ que
viaja hacia la red privada.
• El tráfico procedente de la DMZ y que viaja hacia la red pública
se permite, siempre y cuando cumpla con los requisitos de
servicio.
• El tráfico procedente de la red pública que viaja hacia la DMZ se
permite de manera selectiva y se inspecciona. Dinámicamente
se permite el tráfico de retorno.
• Se bloquea el tráfico procedente de la red pública que viaja
hacia la red privada.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 49
 Arquitecturas de seguridad comunes
▪ En los firewalls de políticas
basadas en zonas (ZPF) se utiliza
el concepto de zonas para
ofrecer mayor flexibilidad. Con
ASA

▪ Una zona es un grupo de al menos

una interfaz con funciones o
características similares.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 50
5.4 Resumen del capítulo

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 51
 Resumen
▪ Los dispositivos intermedios conectan los terminales individuales a la red y conectan varias redes individuales
para formar una internetwork.

▪ Los routers determinan rutas y reenvían paquetes.

▪ La búsqueda de la tabla de enrutamiento da como resultado una red conectada directamente, una red remota o
ninguna ruta determinada.
▪ Las entradas de la red de destino en la tabla de enrutamiento pueden añadirse a las interfaces de ruta local,
interfaces conectadas directamente, rutas estáticas o a través de un protocolo de enrutamiento dinámico.

▪ Un concentrador Ethernet actúa como un repetidor multipuerto, los puentes tienen dos interfaces y están
conectados entre concentradores y los conmutadores LAN conectan los dispositivos en una topología de estrella.

▪ Los switches LAN determinan cómo manejar las tramas de datos entrantes mediante una tabla de direcciones
MAC.

▪ Los dispositivos dentro de una VLAN funcionan como si estuvieran en su propia red independiente, aunque
compartan una misma infraestructura con otras VLAN.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 52
 Resumen
▪ STP asegura que exista sólo una ruta lógica entre todos los destinos de la red, al realizar un bloqueo de
forma intencional a aquellas rutas redundantes que puedan ocasionar un bucle.

▪ Los switches multicapa (switches de Capa 3) no solo tienen a su cargo el switching de Capa 2 sino que
también reenvían tramas en función de la información de las capas 3 y 4.

▪ Las redes LAN inalámbricas (WLAN) usan radiofrecuencias (RF) en lugar de cables en la capa física y la
subcapa MAC de la capa de enlace de datos.

▪ Los dispositivos inalámbricos utilizan marcos de gestión para completar el proceso de tres fases de
descubrimiento, autenticación y asociación del punto de acceso (AP).

▪ Cuando se utiliza un controlador LAN inalámbrico (WLC), los AP ya no actúan de manera autónoma, sino
que actúan como AP ligeros (LWAP).

▪ Un firewall es un sistema o grupo de sistemas que impone una política de control de acceso entre redes.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 53
 Resumen
▪ Existen diferentes tipos de firewalls: filtrado de paquetes (sin estado), firewall con estado, firewall de puerta de
enlace de aplicación (firewall de proxy), firewall basado en host (servidor y personal), firewall transparente y
firewall híbrido.

▪ Los firewalls de filtrado de paquetes suelen formar parte de un firewall de router, que autoriza o rechaza el tráfico
a partir de la información de las capas 3 y 4.

▪ Los firewalls con estado proporcionan un filtrado de paquetes utilizando la información de conexión que se
mantiene en una tabla de estados.

▪ Los firewalls de última generación van más allá de los firewalls con estado, ya que proporcionan las capacidades
de firewall estándar, prevención de intrusiones integrada, conocimiento de las aplicaciones, actualización de rutas
para incluir las fuentes de información del futuro y técnicas para abordar las amenazas de seguridad cambiantes.

▪ Al implementar IDS o IPS, es importante conocer los tipos de sistemas disponibles, los enfoques basados en host
y basados en la red, la implementación de estos sistemas, el papel que desempeñan las categorías de firma y las
posibles acciones que puede adoptar un router de Cisco IOS cuando se detecta un ataque.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 54
 Resumen
▪ Decidir qué implementación de IDS e IPS aplicar depende de los objetivos de seguridad de la organización, como
se definen en su política de seguridad de la red.

▪ Existen dos tipos primarios de IPS: basados en hosts y con base en la red.

▪ Los dispositivos de seguridad especializados, como dispositivos de seguridad web, dispositivos de seguridad de
correo electrónico y firewalls de última generación proporcionan una protección integral frente a malware y ayudan
a mitigar amenazas de correo electrónico.

▪ Una lista de control de acceso (ACL, Access Control List) es una serie de comandos que controla si un dispositivo
reenvía o descarta paquetes según la información que se encuentra en el encabezado del paquete.

▪ Las ACL estándar se pueden utilizar para permitir o denegar el tráfico solo de direcciones IPv4 de origen, mientras
que las ACL extendidas filtran paquetes de IPv4 en función de los diferentes atributos.

▪ Un protocolo simple de administración de redes (SNMP) permite a los administradores gestionar terminales en
una red IP y permite a los administradores de redes supervisar y gestionar el rendimiento de la red, buscar y
resolver problemas de red y planificar el crecimiento de red.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 55
 Resumen
▪ NetFlow proporciona datos para habilitar el monitoreo de red y de seguridad, la planificación de
red, el análisis de tráfico para incluir la identificación de los cuellos de botella de la red y la
contabilidad de IP para fines de facturación.

▪ La replicación de puertos es una característica que le permite al switch hacer copias del tráfico que
pasa y, luego, enviarlas a un puerto con un supervisor de redes conectado.

▪ El protocolo syslog permite que los dispositivos de red envíen los mensajes del sistema a
servidores de syslog a través de la red.

▪ El protocolo de tiempo de red (NTP) permite que los routers de la red sincronicen sus ajustes de
hora con un servidor NTP.

▪ AAA es un marco arquitectónico para configurar la autenticación, autorización y auditoría.

▪ Una VPN conecta dos terminales (por ejemplo, una oficina remota con una central) usando una red
pública para formar una conexión lógica.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 56
 Resumen
▪ La infraestructura de red contiene tres categorías de componentes de red: dispositivos, medios y
servicios.

▪ Las topologías de LAN y de red de área extensa (WAN) se pueden ver de dos maneras: topología
física o topología lógica.

▪ En general, las redes WAN se interconectan mediante topologías físicas punto a punto, hub-and-
spoke o de malla.
▪ Los terminales se pueden interconectar mediante las topologías físicas en estrella, de estrella
extendida, de bus o de anillo.
▪ Un diseño de la red LAN jerárquica incluye acceso, distribución y capas principales.

▪ Principalmente, el diseño de firewall tiene por objetivo permitir o denegar el tráfico según el origen,
el destino y el tipo de tráfico.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 57