Informe Final Proyecto CCDA
Informe Final Proyecto CCDA
Informe Final Proyecto CCDA
Redes
Resumen............................................................................................................................................................... 2
Índice .................................................................................................................................................................... 3
Introducción ......................................................................................................................................................... 5
Requerimientos del Diseño de Red ..................................................................................................................... 6
Infraestructura de Red Existente......................................................................................................................... 7
Topología de Red Actual ................................................................................................................................... 7
Auditoria de Red ............................................................................................................................................... 9
Aplicaciones Usadas en la Red ....................................................................................................................... 10
Análisis del Estado de la Red .......................................................................................................................... 11
Recomendaciones y Cambios a la Red Existente ........................................................................................... 13
Evaluación del Proyecto .................................................................................................................................... 16
Cotización de Equipamiento ........................................................................................................................... 17
Carta Gantt del Proyecto ................................................................................................................................ 20
Diseño de Red .................................................................................................................................................... 20
Resumen del Diseño Propuesto ..................................................................................................................... 21
Topología de Red Propuesta .......................................................................................................................... 22
Diseño de Direccionamiento IPv4/IPv6 .......................................................................................................... 24
Implementación Protocolo de Enrutamiento................................................................................................. 26
Diseño de Seguridad de Red ........................................................................................................................... 26
Servicios .......................................................................................................................................................... 33
Conectividad Inalámbrica ............................................................................................................................... 33
Telefonía IP ..................................................................................................................................................... 33
Conectividad del Proyecto ................................................................................................................................. 34
Evaluación de Conectividad WAN .................................................................................................................. 34
Implementación de BGP ................................................................................................................................. 35
Implementación de VPN ................................................................................................................................. 35
Implementación del Proyecto ........................................................................................................................... 36
Implementación del Proyecto por Etapas ...................................................................................................... 36
Resultados ...................................................................................................................................................... 44
Conclusión .......................................................................................................................................................... 46
Referencia Bibliográficas ................................................................................................................................... 47
Apéndices ........................................................................................................................................................... 48
Listado de los Equipos de Red Existentes y a Utilizar ..................................................................................... 48
Configuración de Equipos de Red................................................................................................................... 49
Seguridad por capa.………….…………………………………………………………………………………………….…………………………92
Acrónimos .......................................................................................................................................................... 99
Introducción
La empresa DDR S.A., perteneciente al rubro comercial, ha tenido un gran éxito de ventas y
negocios, lo que permitió una gran expansión, creando 2 sucursales, una en Santiago y otra
en Valparaíso. Sin embargo, su red de datos, no ha sido un gran éxito, es por esto que, la
empresa busca renovar su equipamiento TI, ordenar su red y evolucionar a un status TI
según la vanguardia de la tecnología.
En base a lo anteriormente mencionado, se analizarán las topologías actuales de ambas
sucursales, realizando un rediseño de estas, con el fin de mejorarlas, brindando un diseño
de red jerárquico, capaz de soportar todos los servicios que se integrarán a la red, además
permite una mejor administración y recuperación de los dispositivos en caso de fallas.
También se centralizarán sus servicios, ya que actualmente los mantienen separados,
impidiendo una mejor calidad de la red; se mejorará significativamente su equipamiento,
integrando equipos que están a la vanguardia en tecnología y seguridad.
En cuanto a la red existente, tecnologías y equipos utilizados, serán analizados o auditados,
con el fin de conocer las falencias que contienen en la red, si es conveniente su reemplazo
u su reutilización, considerando sus respectivas recomendaciones.
Todos los equipos que se requieran para mejorar la red existente, serán incorporados en una
cotización, brindando conocimiento de las marcas, modelos, precios y unidades que se
necesiten para este proyecto.
En síntesis, la organización busca mejorar a gran escala, principalmente mejorando su
tecnología TI, en esta incluye: diseño de red, cableado, servicios, seguridad tanto física como
lógica, tecnologías y equipos utilizados, entre otras.
Requerimientos del Diseño de Red
Los requerimientos que la empresa DDR S.A ha solicitado para aspirar a un status TI elevado
y conforme a la vanguardia de las tecnologías son los siguientes:
Valparaíso
Auditoria Física
Auditoria Lógica
Valparaíso
Router con firewall: El uso de un equipo que debe enrutar la red hacia sus ISP y además
debe filtrar paquetes y/o tráfico dentro de la red, podría generar problemas si el hardware del
equipo no es suficiente en relación a la cantidad de tráfico que abunda en la red.
Tecnología ADSL: Esta sucursal cuenta con enlaces ADSL para conectarse a sus
Proveedores de Servicio, los cuales son limitados y solo permiten conexiones entre 40 y 100
Mbps.
Seguridad capa 2: Las configuraciones aplicadas en este aspecto, son insuficientes para
proteger de buena manera la red, ya que están los troncales por defecto y la seguridad de
puerto dinámica, a pesar de existir mecanismos de seguridad más sofisticados que
mejorarían en gran parte la seguridad de la red.
Sucursal Valparaíso
Seguridad inalámbrica: Utilizar cifrado WPA2 o superior, porque brinda una mayor seguridad
en relación a WEP, ya que WPA2 emplea el cifrado de clave dinámico, lo que significa que
la clave está cambiando constantemente y hace más difícil que algún usuario
malintencionado logre ingresar sin autorización a la red, además WPA2 utiliza Estándar
avanzado de cifrado (AES), que es mucho más seguro y confiable que TKIP, usado en WEP.
Administrar de mejor manera el router inalámbrico permitiendo un máximo de hasta 30
personas y no 50 como en la actualidad, así no se colapsa la red inalámbrica.
Conexión WAN single-homed: Cambiar de tecnología ADSL a fibra óptica, dado que esta
última posee un ancho de banda muy superior, llegando incluso a enlaces de 1Gb,
obviamente a un costo mayor que ADSL, pero sin problemas ante las interferencias,
distancias, clima, entre otras. Es por esto que el uso de fibra óptica ha tomado tanta fuerza
en los últimos años, dado a los grandes beneficios que otorga este medio de transmisión.
También se recomienda que en vez de usar una conexión WAN single-homed, se mejore a
WAN dual-homed, tipo de conexión más fuerte y segura. Además, integrar algún protocolo
de redundancia en routers, como HSRP o VRRP, los cuales permiten tener un Backup ante
posibles caídas de la red, permitiendo mantener la red estable y siempre activa.
Sucursal Santiago:
Cableado horizontal: Se recomienda el uso de una categoría superior a la 5e, ya sea cat.6,
6a, 7, por el motivo que estas operan con frecuencias superiores a los 250 MHz en cada par
y proveen transferencias desde 1 Gbps en el caso de la categoría 6, permitiendo a la empresa
manejar tecnologías de datos, voz y video, y/o VoIP sin inconvenientes por posible lentitud
de la transmisión por el medio.
Tecnología ADSL: Cambiar de ADSL a medio de transmisión de fibra óptica, por la razón que
esta puede transmitir datos superiores a 1Gbps. Además de integrar algún protocolo de
redundancia en routers, como por ejemplo HSRP o VRRP.
Sala de servidores: Mantener un control más profundo de esta sala, mediante mecanismos
de seguridad avanzados, ya sea con lector biométrico o acceso con credencial solo para
personal autorizado, además de mantener las condiciones mínimas para una sala de
servidores, temperatura, humedad entre otras. Considerar la identificación de los cables que
se encuentren aquí, así se mantiene un orden del cableado.
Ante posibles cortes eléctricos, se recomienda el uso de una UPS, que es una fuente de
suministro eléctrico que cuenta con una batería la que brinda energía eléctrica por varios
minutos si se generan cortes eléctricos.
Seguridad inalámbrica: Utilizar WPA2 con Estándar de cifrado avanzado (AES), porque
permite una clave de seguridad dinámica y casi imposible de descifrar.
Cotización Valparaíso
Cotización Santiago
Presupuesto general
Carta Gantt del Proyecto
Diseño de Red
Resumen del Diseño Propuesto
Se propone un modelo de red jerárquico de 3 capas, donde se tiene una capa de núcleo o
core, distribución y acceso. Cada capa de este modelo posee características diferentes a las
otras, por ejemplo, la capa de acceso es la encargada de proporcionar un medio de conexión
a los dispositivos finales en la red, aquí comúnmente se encuentran switch y/o AP. En cuanto
a la capa de distribución, se caracteriza por controlar el flujo de tráfico de la red mediante el
uso de políticas y realizar enrutamiento entre vlan, y por último la capa de núcleo es el
backbone de alta velocidad de la red, es por eso que debe ser sumamente redundante y
disponible, además de ser la capa en la cual se dirige el trafico al servicio requerido y es la
última capa antes de llegar a Internet.
Mencionadas estas características, y analizando el tipo de topologías que tiene actualmente
la empresa, se sugiere el modelo de red jerárquico, el cual simplifica el mantenimiento de la
red, permitiendo detectar falencias fácilmente, ya que como divide la red en 3 niveles, se
aísla el problema en la capa especifica permitiendo identificarlo más rápido, también, otorga
escalabilidad brindando a la organización integrar nuevos equipos sin afectar en gran parte
su red, además es gran medida de integración de enlaces redundantes, asegurando la
disponibilidad de la ruta e incrementa la seguridad de la red, ya sea en la capa de distribución
con políticas de seguridad o en capa de acceso realizando seguridad de puerto, entre otras
medidas.
Además, se incorporan equipos de seguridad potentes, como los son lo firewall, quienes se
encargarán de filtrar el tráfico de la red, ya sea de entrada, salida y/o la DMZ (Zona
Desmilitarizada) en donde se alojarán los servidores de la red.
Topología de Red Propuesta
Sucursal Santiago
IPv4
159 IP disponibles
IPv4
70 IP disponibles
IPv6
128 redes rango de direccionamiento 2001:a1b2:3c4d:::/128
Ipv6
50 SERVIDORES 2001:a1b2:c3d4:50 64
60 ADMINISTRATIVA 2001:a1b2:c3d4:60 64
80 VOZ
90 NATIVA
Implementación Protocolo de Enrutamiento
El éxito que ha tenido la empresa les permitió expandirse en todos los ámbitos incluyendo el
de las redes, pero estas sin mucho éxito ya que crecieron de manera desordenada y sin un
orden definido, por esto motivo se implementara un protocolo de enrutamiento estado de
enlace, el mismo para ambas sucursales tanto a nivel de IPV4 y IPV6 para así poder
establecer un orden a las redes de las sucursales. Este protocolo será OSPF (Open Short
Path First versión 2 y versión 3 respectivamente).
La elección de este beneficiara a la empresa, puesto que tendrá un mejor control de las
redes, ya que, al ser un protocolo por estado de enlace, entre sus características esta
conocer toda la red. Como OSPF es un protocolo de enrutamiento open source no necesita
que todos los equipos de capa 2 y 3 sean de la marca Cisco como lo es EIGRP, permitiendo
en el futuro al personal de TI, insertar un equipo de otra marca a la red sin inconvenientes,
solo tendrá que actualizar su base datos. Este protocolo además, beneficiara a los tiempos
de respuesta, puesto que converge rápidamente, soporta diseño jerárquico, lo que lo hace
muy escalable por si a futuro siguen creciendo como empresa y como medida de seguridad,
este protocolo soporta autenticación, tanto para las interfaces como a nivel de área, la que
se implementará.
Para generar el diseño de seguridad de red nos dimos cuenta que ambas sucursales poseían
falencias muy importantes en cuanto a seguridad lógica y física, el poseer una red sin
administración remota hoy por hoy es un problema grave, ya que no es posible monitorear
sucesos en la red, otro gravísimo problema encontrado fue que en la sala de servidores
estaba abierta al público en general sin ningún tipo de restricciones, otra falencia fue darse
cuenta que la topología de red no se encontraba bien diseñada provocando los
inconvenientes que presentaban sus trabajadores lo cual se encontraba con diseños poco
óptimos para el uso que generaban.
Políticas de Gobierno.
1. Cualquier persona que tenga acceso a las instalaciones la empresa DDR S.A, deberá
registrarse en el Sistema de Ingreso, para así tener identificado al personal, ya sea
interno de la empresa o externo y tener un registro por si ocurre alguna violación de
política de seguridad y sea más fácil ubicar a posibles responsables.
3. No está permitido el uso de celular para labores ajenas al cargo del usuario, ni
cámaras fotográficas, ya sea en horario de trabajo o simplemente en la empresa, ya
que puede comprometer información confidencial de la empresa o el simple hecho de
que podría verse afectada la productividad del empleado.
12. Para la frecuencia y tipo de respaldo, los encargados TI deberán definir los tipos de
respaldos a utilizar como estándar para la empresa. Cada estándar debe considerar
la frecuencia del respaldo, los medios de almacenamiento, tipo de contenido, tiempo
de almacenamiento y borrado de esta información. La periodicidad de los respaldos
de los computadores personales o estaciones de trabajo asignados a usuarios no
podrá ser menor a 1 respaldo anual. Mientras que la periodicidad que se realizaran
los respaldos de los sistemas informáticos y los equipos considerados críticos para la
empresa, no podrá ser menor a 1 respaldo mensual.
Políticas técnicas
1. Todo acceso a las bases de datos de la empresa deberá contar con los mecanismos
adecuados y controlados, que garanticen su seguridad, su integridad y la
confidencialidad de la información almacenada.
4. Toda modificación que se ejecute en las bases de datos, dejará las pistas adecuadas
de auditoría, para poder ejercer un control adecuado que se hagan en éstas mediante
el uso de bitácoras.
9. Los usuarios accederán a la red de datos por medio de un código de acceso que les
asignará el administrador de la red.
10. El código de acceso a redes que se asigne será único y exclusivo para cada usuario,
el cual será responsable por su uso.
13. No es permitido a ningún funcionario, excepto a los técnicos de redes, manipular los
componentes activos de la red (switches, routers, firewalls, dispositivos inalámbricos,
cableado, etc.).
14. Es responsabilidad del Departamento de TI valorar la necesidad de sustituir algún
equipo cuando ya éste no garantice la funcionalidad y operatividad adecuada.
3. Con respecto a las contraseñas de los usuarios, se deben seguir las siguientes
medidas:
No deben contener números consecutivos.
Deben estar compuestos de al menos 6 caracteres y máximo 10. Estos caracteres
deben ser alfanuméricos.
Deben ser difíciles de adivinar, o sea que no deben relacionarse con el trabajo o la
vida personal del usuario.
Deben ser diferentes a las contraseñas que se hayan usado previamente.
4. El usuario tiene la obligación de proteger los CD-ROM, DVDs, memorias USB, tarjetas
de memoria, discos externos, computadoras y dispositivos portátiles que se
encuentren bajo su administración, aun cuando no se utilicen y contengan información
reservada o confidencial.
5. Los trabajadores de la empresa DDR S.A deben mantener bajo su resguardo las
tarjetas de identificación, ya que están son personales e intransferibles.
6. Mientras se operan los laptops o equipos de computación, no se deberán consumir
alimentos o ingerir líquidos, a menos que sea en botellas de plástico, además evitar
colocar objetos encima del equipo o cubrir los orificios de ventilación del monitor o del
gabinete, también se debe mantener el equipo informático en un entorno limpio y sin
humedad.
10. Para prevenir infecciones por virus, gusanos o troyanos informáticos, los usuarios de
la red, deben evitar hacer uso de cualquier clase de software que no haya sido
proporcionado y validado por el área TI.
11. El usuario debe verificar mediante el software de antivirus autorizado por la Empresa
que estén libres de virus todos los archivos de computadora, bases de datos,
documentos u hojas de cálculo, etc. que sean proporcionados por personal externo o
interno.
12. El acceso a internet provisto a los usuarios de DDR S.A es exclusivamente para las
actividades relacionadas con las necesidades del puesto y función que desempeña.
Esta estrictamente prohibido visitar páginas con contenido pornográfico.
Para difundir y/o concientizar las políticas de seguridad que se deben seguir en este
proyecto, se realizaran:
-En primer lugar, una reunión con los jefes o encargados de cada departamento, junto con
el departamento de TI responsable de la realización y redacción de estas políticas, bajo la
autorización del gerente general de la compañía. Esta reunión tiene como fin entregar el
documento a los encargados y revisar en detalle cada uno de los puntos mencionados en él,
además de recalcar la importancia que tiene este documento por parte de todos los usuarios
de DDR S.A
-En segundo lugar, se efectuará una charla de inducción por parte del personal del área TI o
Informática hacia cada uno de los trabajadores de los diferentes departamentos con que
cuente la empresa, en donde se revisara el documento en general, pero con mayor énfasis
en los aspectos que a estos les conciernen, o sea las “Políticas de seguridad de usuario”.
Además, se concientizará a los usuarios en profundidad, ya que son estos uno de los factores
de mayor riesgo dentro de una empresa en relación a la seguridad informática, si los usuarios
están entrenados, conocen y respetan las normas, el nivel de seguridad dentro de la
compañía será óptimo y su grado de seguridad aumentará. Finalizada esta charla, los
participantes deben firmar un documento el que indica que se toma constancia de lo expuesto
en ella.
-En tercer lugar, se difundirá dentro de las instalaciones de la empresa, tanto en la sucursal
de Santiago y Valparaiso, afiches o posters, que contengan recordatorios de las medidas de
seguridad básicas, por ejemplo: “Recuerda cambiar tu clave semanalmente” o “No
descargues archivos de páginas desconocidas”, entre otras. Tambien, los fondos de pantalla
de los computadores de la empresa, contendrán recordatorios y en el escritorio se encontrará
el archivo completo de las políticas de seguridad, así los usuarios pueden leerlo cuando ellos
quieran.
-En cuarto lugar, en forma de medir que tan informados o concientizados se encuentran los
usuarios, se llevaran a cabo test sobre los aspectos relevantes de la seguridad de la
información, y a los trabajadores con mejores resultados se les otorgara beneficios y/o
premios para incentivar a los demás empleados.
Sanciones
Servicios
Los servicios que disponían ambas sucursales eran correo, servicios web y telefónicos entre
los más importantes, los cuales se encontraban con poco énfasis, ya que no existe un
encargado o responsable de mantener dichos servicios, aparte de solucionar
sustancialmente los equipamientos de estos servicios se les dio un orden y seguridad.
Conectividad Inalámbrica
Un inconveniente en la empresa, son los problemas que poseen las sucursales para lograr
establecer una comunicación mediante telefonía. Esto se debe al uso de diferentes
tecnologías IP, ya que, en la sucursal de Valparaíso, mediante tecnología RDSI en una
central telefónica Meridian, la cual está casi obsoleta en estos días, se controla la telefonía
de la sucursal, en cambio en Santiago se ejecuta a través de tecnología IP, lo que indica el
uso de tecnologías inoperantes, lo que conlleva a la modificación de la central telefónica
Meridian por un servidor Elastix, el cual brindará telefonía IP a Valparaíso. De esta manera
ambas sucursales no tendrán problemas de alcanzar comunicaciones entre ellas, además
de las múltiples configuraciones adicionales que se pueden integrar a un server Elastix,
funciones como por ejemplo: IVR (Interactive Voice Response) o un Correo de Voz,
videoconferencias, por nombrar algunas, también mediante el uso de esta tecnología, las
llamadas hacia la otra sucursal, se enrutaran por la red IP, lo que disminuye el costo de las
comunicaciones, y se contara con el uso de un servidor IP en el proveedor, para que este se
encargue de contener los trunks de las llamadas y así enrutarlas al destino correspondiente.
Actualmente la empresa cuenta con enlaces ADSL, los cuales fluctúan entre los 40 y 100
Mbps, si bien la velocidad no es gran problema para este caso, si lo es la variabilidad de la
conexión utilizada como ADSL, que al ser una tecnología que trabaja en base a la red
telefónica, no es confiable en relación a la señal que obtiene el cliente final, ya que está
expuesta a interferencias electromagnéticas, además de la reducción de las velocidades
según las distancias que posea con el ISP, o simplemente por el clima que exista, todos
estos factores influyen directamente con la velocidad final que se otorga al suscriptor.
En relación a lo anterior, se ha decidido cambiar el tipo de enlace de ADSL a fibra óptica, ya
que esta última es uno de los medios de transmisión más confiables y efectivo en la
actualidad, por ser insensible a la interferencia electromagnética no sufre las
contraindicaciones de ADSL, además de manejar velocidades superiores a 1 Gbps, siendo
la mejor opción para un enlace empresarial que abarca diferentes tipos de servicios.
Implementación de BGP
IBGP-EBGP
STGO
Router 1
R1(config)#router bgp 100
R1(config-router)#bgp router-id 1.1.1.1
R1(config-router)#neighbor 20.20.20.1 remote-as 100
R1(config-router)#neighbor 20.20.20.1 update-source loopback 1
R1(config-router)#neighbor 209.30.30.1 remote-as 200
R1(config-router)#neighbor 219.40.40.1 remote-as 200
Router 2
R1(config)#router bgp 100
R1(config-router)#bgp router-id 2.2.2.2
R1(config-router)#neighbor 10.10.10.1 remote-as 100
R1(config-router)#neighbor 10.10.10.1 update-source loopback 2
R1(config-router)#neighbor 209.30.30.1 remote-as 200
R1(config-router)#neighbor 219.40.40.1 remote-as 200
IBGP-EBGP
VALPO
Router B
RB(config)#router bgp 200
RB(config-router)#bgp router-id 1.1.1.1
RB(config-router)#neighbor 209.10.10.1 remote-as 100
RB(config-router)#neighbor 219.20.20.1 remote-as 100
Implementación de VPN
DDR S.A implementará una conexión VPN del tipo IPsec Site-to-Site, para permitir
interconectar las redes de las dos sucursales que posee la empresa (Valparaíso y Santiago),
ya que sus redes LAN están geográficamente separadas. Esta red privada virtual será
efectuada a través de Internet, utilizando protocolos de seguridad y encriptación de datos
para mantener la confidencialidad y autenticidad de los mismos.
Este método es ideal, porque permite interconectar sucursales de una compañía que tiene
distintos ISPs para salir a internet, esto permitirá que los empleados de las dos sucursales
estén sincronizados y brindara, además, más seguridad con este túnel VPN, ya que el trafico
pasara cifrado y previniendo problemas de interceptación de datos, transacciones,
información importante, entre otras.
Esta VPN funciona bajo IPsec (un estándar de la industria), por lo cual no solo funciona con
routers Cisco, por si a futuro se integran equipos de otra marca. Uno de los componentes de
IPsec es IKE (Internet Key Exchange), este intercambia la información entre los peers
involucrados, ya sea llaves pre compartidas, tipo de algoritmo de hash y el cifrado a utilizar
(AES, DES, 3DES, MD5, SHA). Además, integra ISAKMP que se encarga de establecer el
túnel entre las dos LAN remotas. Los paquetes cifrados con IPsec pueden utilizar AH o ESP,
siendo este último el más completo, cifrando el paquete IP en su totalidad.
Por otra parte, se configurarán VPN de tipo acceso remoto en ambas sucursales, con el fin
de permitir a los usuarios o trabajadores acceder a la red interna desde ubicaciones externa
a esta, ya sea en sus hogares o en locaciones de clientes. Mediante la implementación de
este tipo de VPN, los usuarios podrán tener acceso a los recursos internos y aplicaciones
relacionadas al área de la empresa, en este caso en particular el rubro comercial, que
además genera ingresos en ventas por internet, por lo que el uso de VPN acceso remoto es
de gran importancia para DDR S.A.
Finalmente, mencionar que en ambos tipos de VPN, ya sea Site-to-Site y acceso remoto, se
realizara la configuración de un Tunel GRE, mecanismo de tunneling que utiliza IP como
protocolo transporte y pueden ser transportados protocolos de Gateway interior (IGP) a
través del túnel VPN.
Etapa 2
Estructura organizacional
La empresa DDR S.A pertenece al rubro comercial, el cual tiene más de 50 años de presencia
en el país. En la sucursal de Santiago posee una topología de tipo cascada lo que propone
un riesgo, en la sucursal de Valparaíso propone una topología de tipo jerárquica pero mal
organizada.
Sucursal Valparaíso:
Actualmente esta sucursal cuenta con un diseño de red aceptable para la cantidad de
usuarios, pero el tipo de tecnologías, ya sea equipos y medidas de seguridad utilizadas son
paupérrimas, ya que son antiguas, poco modernas y deficientes, lo que impide que la
empresa evolucione a un status TI requerido en la actualidad. En cuanto a lo anterior, se han
detectado las siguientes falencias con sus respectivas recomendaciones.
Tecnología inalámbrica: El cifrado utilizado es WEP de 128 bits, la cual es una tecnología
posiblemente hackeable, ya que, si el administrador de red mantiene una clave estática, sin
cambios frecuentemente, permitiría a cualquier usuario que ingrese en la red, con un simple
software, conocer la clave, acceder a archivos privados y realizar cambios sin consentimiento
de la empresa. Además, el router inalámbrico permite la conexión simultánea de 50 host,
siendo que solo se utiliza en la vlan 200 la que abarca 20 host.
Mejora recomendada
Utilizar cifrado WPA2 o superior, porque brinda una mayor seguridad en relación a WEP, ya
que WPA2 emplea el cifrado de clave dinámico, lo que significa que la clave está cambiando
constantemente y hace más difícil que algún usuario malintencionado logre ingresar sin
autorización a la red, además WPA2 utiliza Estándar avanzado de cifrado (AES), que es
mucho más seguro y confiable que TKIP, usado en WEP. Administrar de mejor manera el
router inalámbrico permitiendo un máximo de hasta 30 personas y no 50 como en la
actualidad, así no se colapsa la red inalámbrica
Mejora recomendada
Cambiar de tecnología ADSL a fibra óptica, dado que esta última posee un ancho de banda
muy superior, llegando incluso a enlaces de 1Gb, obviamente a un costo mayor que ADSL,
pero sin problemas antes las interferencias, distancias, clima, entre otras. Es por esto que el
uso de fibra óptica ha tomado tanta fuerza en los últimos años, dado a los grandes beneficios
que otorga este medio de transmisión. También se recomienda que en vez de usar una
conexión WAN single-homed, se mejore a WAN dual-homed, tipo de conexión más fuerte y
segura. Además, integrar algún protocolo de redundancia en routers, como HSRP o VRRP,
los cuales permiten tener un Backup ante posibles caídas de la red, permitiendo mantener la
red estable y siempre activa.
Tecnología RDSI: En la actualidad, la empresa utiliza una central telefónica Meridian en base
a la tecnología RDSI, la cual está casi obsoleta en estos días y quizás es la razón por la cual
no pueden contactarse con la sucursal de Santiago, porque allí utilizan tecnología IP basada
en Elastix.
Mejora recomendada
Sala servidores: La oficina de servidores ubicada en el cuarto piso del edificio, se encuentra
sin ninguna medida de seguridad para el ingreso a esta, siendo que aquí están los servidores
de la empresa, en los cuales pasan gran cantidad de activos de información. Tampoco se
observa ningún sistema de alimentación ante posibles cortes eléctricos, con el fin de seguir
dando energía a los dispositivos.
Mejora recomendada
Implementar medidas de seguridad para acceder a la sala de servidores, por ejemplo, control
con credencial solo para personas autorizadas o sistema de acceso control biométrico, de
esta manera se tiene un control de los equipos y las personas que ingresan aquí.
Ante posibles cortes eléctricos, se recomienda el uso de una UPS, que es una fuente de
suministro eléctrico que cuenta con una batería la que brinda energía eléctrica por varios
minutos si se generan cortes eléctricos.
Página web: No posee ningún administrador o encargado de mantener la seguridad de la
página web o simplemente actualizar la información.
Mejora recomendada
Determinar algún administrador para la página web, con el objetivo que este sea el
encargado de mantener actualizada y segura la página web.
Mejora recomendada
Incrementar la seguridad de los switches mediante configuraciones más sofisticadas, como
reemplazar la seguridad de puerto dinámica la que es inconsistente, ya que si el equipo se
reinicia esta configuración se pierde, en cambio la seguridad de puerto estática es mejor
porque es permanente si se guarda al momento de su configuración y se pueden incrementar
su seguridad asignando valores como, direcciones MAC máximas permitidas y si estas
superan el numero permitido, se puede dejar el puerto inhabilitado. Otra recomendación es
definir manualmente los puertos que quedaran troncales, y solo habilitar las puertas
utilizadas, en tanto a los no usadas, asignarlas a una Vlan que solo cumpla la función de
contener estas interfaces y mantenerlas apagadas/desactivadas. Por último, y como gran
medida de seguridad de capa 2, se recomienda el uso de listas de acceso o ACL, para
restringir el paso libre de equipos pertenecientes a otras vlan, por ejemplo, un equipo que se
encuentre en la vlan 100 recepción, no tenga posibilidades de hacer un simple ping o
traceroute a equipos de una vlan diferente, así se evita que cualquier intruso que se conecte
a un puerto “x” logre ingresar a la red.
Sucursal Santiago:
Hoy en día, la sucursal cuenta con un diseño de red ineficiente, en forma de “cascada” la que
en caso de falla cualquier switch de la red, afectaría directamente a los demás, ya que están
conectados entre sí.
Se recomienda el uso de un modelo de red jerárquico divido en capas, (acceso, distribución
y núcleo), de esta manera se pueden realizar configuraciones específicas y asignarle una
función en particular a cada capa. Este modelo ofrece beneficios tales como: mantenimiento,
seguridad, escalabilidad, redundancia y relación precio/costo.
A continuación, se mencionan las falencias encontradas con su respectiva mejora.
Mejora recomendada
Se recomienda el uso de una categoría superior a la 5e, ya sea cat.6, 6a, 7, por el motivo
que estas operan con frecuencias superiores a los 250 MHz en cada par y proveen
transferencias desde 1 Gbps en el caso de la categoría 6, permitiendo a la empresa manejar
tecnologías de datos, voz y video, y/o VoIP sin inconvenientes por posibles interferencias
producto del cable.
Tecnología ADSL: Esta sucursal cuenta con conexiones ADSL, que son limitadas y solo
permiten enlaces entre 40 y 100 Mbps.
Mejora recomendada
Cambiar de ADSL a medio de transmisión de fibra óptica, por la razón que esta puede
transmitir datos superiores a 1Gbps. Además de integrar algún protocolo de redundancia en
routers, como por ejemplo HSRP o VRRP.
Sala de servidores: Al igual que la sucursal de Valparaíso, esta sala no cuenta con ningún
método de seguridad vigente, siendo que en esta se encuentran los servidores que
almacenan archivos de la empresa, ni tampoco ningún sistema de alimentación ante posibles
cortes eléctricos.
Mejora recomendada:
Se recomienda seguir las mismas mejoras mencionadas para la sala de servidores de la
sucursal de Valparaíso.
Tecnología inalámbrica: Utiliza cifrado WPA con TKIP.
Mejora recomendada
Utilizar WPA2 con Estándar de cifrado avanzado (AES), porque permite una clave de
seguridad dinámica y casi imposible de descifrar.
Seguridad capa 2: Posee las mismas configuraciones que los switch de la sucursal de
Valparaíso, por lo tanto, se recomiendan las mismas mejoras.
Y por último mencionar, que, en la sucursal de Valparaíso y Santiago, no se posee ningún
plan de mantenimiento y soporte, por lo que se recomienda integrar alguno con el fin de
mitigar las interrupciones al mínimo posible y mantener un nivel de servicio aceptable. Esto
permite una reacción rápida ante fallas que se produzcan en la red.
Modificación de equipamiento.
Etapa 3
Resultados
Sucursal Valparaíso
Mejoras Futuras
Ambas sucursales están aptas para un crecimiento del 50% más en comparación al diseño
anterior que poseían, en cuanto a equipamiento y velocidad de enlaces LAN y WAN.
La gran mejora que se puede ver es el orden jerárquico de la red y su seguridad robusta en
cuanto a lógico y físico.
El modelo de red jerárquico elegido para rediseñar la topología de la empresa, es sin lugar a
duda un punto de avance importante en comparación a su diseño anterior, el cual no cumplía
con los estándares de la industria, era propenso a cualquier cambio en la red, no contaba
con características de alta disponibilidad y redundancia, en cambio el nuevo diseño de red
implementado para ambas sucursales, cubre las características antes mencionadas y más.
La utilización de equipos poco modernos, con configuraciones básicas, pone en riesgo la
seguridad de los dispositivos; en este caso se busca incrementar la seguridad mediante el
uso de tecnologías superiores a las que se utilizaban, además se incorporaron equipos
capaces de administrar y filtrar tráfico para impedir el ingreso de trafico malintencionado
dentro de la red, los llamados firewall o cortafuegos, quienes protegerán la red y los
servidores de la DMZ.
Tomando en cuenta el tipo de cableado de las sucursales, se consideró optimo el reemplazo
del cableado en Santiago, de categoría 5e a 6, con el fin de poder obtener un servicio de
telefonía IP estable, obviamente ante el cambio de cableado es necesario nuevos equipos
de ruteo y conmutación.
En cuanto al tipo de enrutamiento que se usará, se decidió por el protocolo de enrutamiento
OSPF, estándar abierto, de alta convergencia e ideal para soportar diseños jerárquicos, esto
posibilitaría a la empresa incorporar equipos no tan solo de la marca CISCO, sino de
diferentes marcas, sin tener problemas de operatividad.
La empresa busca ser reconocida no tan solo en sus ventas, sino que también en su área
de TI, por lo tanto, el uso de equipos de alta gama, y enlaces de alta capacidad son
necesarios para cumplir con este requisito, tomando en cuenta que estos posean las
cualidades necesarias para integrar más dispositivos en un futuro y no verse afectados por
su integración dentro de la red.
En síntesis, las medidas tomadas por esta empresa son impecables, en el sentido que hoy
en día, las organizaciones, independiente de sus áreas de trabajo, invierten bastante capital
en el uso de redes modernas, que estén siempre activas, que, ante cualquier fallo, su tiempo
de recuperación sea lo más rápido posible. Estas características, son incorporadas en el
rediseño de la red de la empresa, cubriendo las necesidades requeridas.
Referencia Bibliográficas
https://es.scribd.com/doc/36900556/Auditoria-de-Redes
http://www.cisco.com/
https://www.cdw.com/shop/products/Cisco-Catalyst-2960XR-48TD-I-switch-48-ports-managed-rack-
mountable/3078833.aspx
https://www.amazon.com/Cisco-ASA-5525-X-Firewall-ASA5525-K9/dp/B007J3BW8U
http://www.apc.com/shop/py/es/products/APC-Smart-UPS-RT-6000VA-230V/P-SURT6000XLI
https://dono.discapnet.es/node/1402
Apéndices
Sucursal Valparaíso
Equipos existentes Modelo Reutilizar Reemplazar
1 Router Cisco 1841 no si
4 Switch Layer2 Cisco 2950 No si
1 Switch Layer3 Cisco 3560 No si
1 Router inalámbrico TP-Link TL- si no
MR3220
1 Central telefónica Meridian - no si
Sucursal Santiago
Equipos existentes Modelo Reutilizar Reemplazar
2 Router Cisco 1841 no si
4 Switch Layer2 Cisco 2950 No si
2 Switch Layer3 Cisco 3560 No si
1 Router inalámbrico TP-Link TL- No si
MR3220
Equipo reemplazado Equipo(s) reemplazante(s) Modelo
Switch3-l2#sh run
Building configuration...
Switch(config-if-range)#
----------------------------------------------
piso 2
Switch4-l2(config-vlan)#do sh run
Building configuration...
Switch(config-vlan)#
---------------------------------------
piso 1
Switch5-l2(config)#do sh run
Building configuration...
Switch(config)#
------------------------------
core 1 sw l3
swl1(config-if-range)#do sh run
Building configuration...
!
interface GigabitEthernet0/22
switchport access vlan 90
shutdown
!
interface GigabitEthernet0/23
switchport access vlan 90
shutdown
!
interface FastEthernet0/24
switchport access vlan 90
shutdown
!
interface Vlan1
no ip address
shutdown
!
interface Vlan100
mac-address 0010.1151.2d01
ip address 192.168.400.51 255.255.255.0
!
ip classless
!
ip flow-export version 9
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
end
--------------------------------
core 2 swl3
Switch#show run
Switch#show running-config
Building configuration...
interface GigabitEthernet0/14
switchport access vlan 90
shutdown
!
interface GigabitEthernet0/15
switchport access vlan 90
shutdown
!
interface GigabitEthernet0/16
switchport access vlan 90
shutdown
!
interface GigabitEthernet0/17
switchport access vlan 90
shutdown
!
interface GigabitEthernet0/18
switchport access vlan 90
shutdown
!
interface GigabitEthernet0/19
switchport access vlan 90
shutdown
!
interface GigabitEthernet0/20
switchport access vlan 90
shutdown
!
interface GigabitEthernet0/21
switchport access vlan 90
shutdown
!
interface GigabitEthernet0/22
switchport access vlan 90
shutdown
!
interface GigabitEthernet0/23
switchport access vlan 90
shutdown
!
interface GigabitEthernet0/24
switchport access vlan 90
shutdown
!
interface Vlan1
no ip address
shutdown
!
interface Vlan100
mac-address 0000.0c12.d301
ip address 192.168.400.52 255.255.255.0
!
ip classless
!
ip flow-export version 9
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
end
Switch#
-------------------------------------
sw 1 l2
sw3(config-if)#do sh run
Building configuration...
!
!
interface Vlan1
no ip address
shutdown
!
!
interface Vlan100
mac-address 00e0.8f52.4001
ip address 192.168.400.53 255.255.255.0
!
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
end
sw3(config-if)#
--------------------
sw 2 l2
Switch(config-if-range)#do sh run
Building configuration...
!
interface Vlan1
no ip address
shutdown
!
!
interface Vlan100
mac-address 0004.9a0c.7101
ip address 192.168.400.54 255.255.255.0
!
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
end
Switch(config-if-range)#
--------------
sw 6 l2
Switch(config-if-range)#do sh run
Building configuration...
Switch(config)#do sh vlan
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
20 enet 100020 1500 - - - - - 0 0
30 enet 100030 1500 - - - - - 0 0
40 enet 100040 1500 - - - - - 0 0
50 enet 100050 1500 - - - - - 0 0
60 enet 100060 1500 - - - - - 0 0
70 enet 100070 1500 - - - - - 0 0
80 enet 100080 1500 - - - - - 0 0
90 enet 100090 1500 - - - - - 0 0
100 enet 100100 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
core 1
Switch#show vtp status
VTP Version :3
Configuration Revision : 23
Maximum VLANs supported locally : 1005
Number of existing VLANs : 15
VTP Operating Mode : Server
VTP Domain Name : cisco
VTP Pruning Mode : Disabled
VTP V2 Mode : Enabled
VTP Traps Generation : Disabled
MD5 digest : 0x20 0x7B 0x38 0x60 0xFE 0xD6 0xB1 0x60
Configuration last modified by 0.0.0.0 at 3-1-93 00:20:45
Local updater ID is 0.0.0.0 (no valid interface found)
Switch#
core 2
ASA1#show run
: Saved
:
ASA Version 8.4(2)
!
hostname ASA1
domain-name www.cisco.cl
passwd 4IncP7vTjpaba2aF encrypted
names
!
interface GigabitEthernet0/0
switchport access vlan 2
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
switchport access vlan 70
!
interface GigabitEthernet0/3
!
Interface GigabitEthernet0/4
!
interface GigabitEthernet0/5
!
interface GigabitEthernet0/6
!
interface GigabitEthernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.128.0
!
interface Vlan2
nameif outside
security-level 0
ip address 209.10.10.2 255.255.255.0
!
interface Vlan70
no forward interface Vlan1
nameif dmz
security-level 0
ip address 192.168.70.1 255.255.255.0
!
!
route outside 0.0.0.0 0.0.0.0 192.168.10.2 1
!
!
!
object network PAT
nat (inside,outside) dynamic interface
!
aaa authentication ssh console LOCAL
!
!
!
class-map inspection_default
match default-inspection-traffic
!
policy-map global_policy
class inspection_default
inspect icmp
!
service-policy global_policy global
!
telnet timeout 5
ssh timeout 5
!
dhcpd auto_config outside
!
!
dhcpd address 192.168.1.5-192.168.1.36 inside
dhcpd enable inside
!
!
!
!
!
ASA1#
------------------------------------------------
asa 2
ASA1#show run
: Saved
:
ASA Version 8.4(2)
!
hostname ASA2
domain-name www.cisco.cl
passwd 3JmdQ8xOipaba3aG encrypted
names
!
interface GigabitEthernet0/0
switchport access vlan 2
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
switchport access vlan 70
!
interface GigabitEthernet0/3
!
interface GigabitEthernet0/4
!
interface GigabitEthernet0/5
!
interface GigabitEthernet0/6
!
interface GigabitEthernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.128.0
!
interface Vlan2
nameif outside
security-level 0
ip address 219.20.20.2 255.255.255.0
!
interface Vlan70
no forward interface Vlan1
nameif dmz
security-level 0
ip address 192.168.70.1 255.255.255.0
!
!
route outside 0.0.0.0 0.0.0.0 192.168.10.2 1
!
!
!
object network PAT
nat (inside,outside) dynamic interface
!
aaa authentication ssh console LOCAL
!
class-map inspection_default
match default-inspection-traffic
!
policy-map global_policy
class inspection_default
inspect icmp
!
service-policy global_policy global
!
telnet timeout 5
ssh timeout 5
!
dhcpd auto_config outside
!
!
dhcpd address 192.168.1.5-192.168.1.36 inside
dhcpd enable inside
!
!
RA(config)#crypto isakmp policy 100
RA(config-isakmp)#authentication pre-share
RA(config-isakmp)#encryption 3des
RA(config-isakmp)#group 1
RA(config-isakmp)#lifetime 43200
RA(config-isakmp)#exit
SW1
Switch(config)#Hostname SWITCH1
SWITCH1(config)#enable password VALPARAISO10
SWITCH1(config)#enable secret VALPARAISO10
SWITCH1(config)#line vty 0 2
SWITCH1(config-line)#password VTYVALPO
SWITCH1(config-line)#login
SWITCH1(config-line)#exit
SWITCH1(config)#vlan 100
SWITCH1(config-vlan)#name RECEPCION
SWITCH1(config-vlan)#vlan 80
SWITCH1(config-vlan)#name VOZ
SWITCH1(config-vlan)#vlan 60
SWITCH1(config-vlan)#name ADMINISTRATIVA
SWITCH1(config-vlan)#vlan 90
SWITCH1(config-vlan)#name NATIVA
SWITCH1(config-vlan)#exit
--------------------------------------------------------------
--------------------------------------------------------------
SW2
Switch(config)#Hostname SWITCH2
SWITCH2(config)#enable password VALPARAISO10
SWITCH2(config)#enable secret VALPARAISO10
SWITCH2(config)#line vty 0 2
SWITCH2(config-line)#password VTYVALPO
SWITCH2(config-line)#login
SWITCH2(config-line)#exit
SWITCH2(config)#vlan 200
SWITCH2(config-vlan)#name VENTAS
SWITCH2(config-vlan)#vlan 80
SWITCH2(config-vlan)#name VOZ
SWITCH2(config-vlan)#vlan 60
SWITCH2(config-vlan)#name ADMINISTRATIVA
SWITCH2(config-vlan)#vlan 90
SWITCH2(config-vlan)#name NATIVA
SWITCH2(config-vlan)#exit
---------------------------------------------------------------
---------------------------------------------------------------
SW3
Switch(config)#Hostname SWITCH3
SWITCH3(config)#enable password VALPARAISO10
SWITCH3(config)#enable secret VALPARAISO10
SWITCH3(config)#line vty 0 2
SWITCH3(config-line)#password VTYVALPO
SWITCH3(config-line)#login
SWITCH3(config-line)#exit
SWITCH3(config)#vlan 300
SWITCH3(config-vlan)#name DESARROLLO
SWITCH3(config-vlan)#vlan 80
SWITCH3(config-vlan)#name VOZ
SWITCH3(config-vlan)#vlan 60
SWITCH3(config-vlan)#name ADMINISTRATIVA
SWITCH3(config-vlan)#vlan 90
SWITCH3(config-vlan)#name NATIVA
SWITCH3(config-vlan)#exit
----------------------------------------------------------------
----------------------------------------------------------------
CORE-1
CORE-1(config)#vlan 100
CORE-1(config-vlan)#name RECEPCION
CORE-1(config-vlan)#vlan 200
CORE-1(config-vlan)#name VENTAS
CORE-1(config-vlan)#vlan 300
CORE-1(config-vlan)#name DESARROLLO
CORE-1(config-vlan)#vlan 400
CORE-1(config-vlan)#name SERVIDORES
CORE-1(config-vlan)#vlan 80
CORE-1(config-vlan)#name VOZ
CORE-1(config-vlan)#vlan 90
CORE-1(config-vlan)#name NATIVA
CORE-1(config-vlan)#vlan 60
CORE-1(config-vlan)#name ADMINISTRATIVA
CORE-1(config-vlan)#do wr
CORE-1(config-vlan)#exit
CORE-1(config)#interface port-channel 2
CORE-1(config-if)#switchport mode trunk
CORE-1(config-if)#switchport trunk allowed vlan 100,200,300,400,60,80
CORE-1(config-if)#switchport trunk native vlan 90
CORE-1(config)#interface port-channel 3
CORE-1(config-if)#switchport mode trunk
CORE-1(config-if)#switchport trunk allowed vlan 100,200,300,400,60,80
CORE-1(config-if)#switchport trunk native vlan 90
----------------------------------------------------------------
----------------------------------------------------------------
CORE-2
CORE-1
CORE-2(config)#vlan 100
CORE-2(config-vlan)#name RECEPCION
CORE-2(config-vlan)#vlan 200
CORE-2(config-vlan)#name VENTAS
CORE-2(config-vlan)#vlan 300
CORE-2(config-vlan)#name DESARROLLO
CORE-2(config-vlan)#vlan 400
CORE-2(config-vlan)#name SERVIDORES
CORE-2(config-vlan)#vlan 80
CORE-2(config-vlan)#name VOZ
CORE-2(config-vlan)#vlan 90
CORE-2(config-vlan)#name NATIVA
CORE-2(config-vlan)#vlan 60
CORE-2(config-vlan)#name ADMINISTRATIVA
CORE-2(config-vlan)#do wr
CORE-2(config-vlan)#exit
CORE-2(config)#interface port-channel 3
CORE-2(config-if)#switchport mode trunk
CORE-2(config-if)#switchport trunk allowed vlan 100,200,300,400,60,80
CORE-2(config-if)#switchport trunk native vlan 90
CORE-2(config)#interface port-channel 4
CORE-2(config-if)#switchport mode trunk
CORE-2(config-if)#switchport trunk allowed vlan 100,200,300,400,60,80
CORE-2(config-if)#switchport trunk native vlan 90
---------------------------------------------------------------
---------------------------------------------------------------
FIREWALL-1
FIREWALL-1(config)#vlan 100
FIREWALL-1(config-vlan)#name RECEPCION
FIREWALL-1(config-vlan)#vlan 200
FIREWALL-1(config-vlan)#name VENTAS
FIREWALL-1(config-vlan)#vlan 300
FIREWALL-1(config-vlan)#name DESARROLLO
FIREWALL-1(config-vlan)#vlan 400
FIREWALL-1(config-vlan)#name SERVIDORES
FIREWALL-1(config-vlan)#vlan 80
FIREWALL-1(config-vlan)#name VOZ
FIREWALL-1(config-vlan)#vlan 90
FIREWALL-1(config-vlan)#name NATIVA
FIREWALL-1(config-vlan)#vlan 60
FIREWALL-1(config-vlan)#name ADMINISTRATIVA
FIREWALL-1(config-vlan)#do wr
FIREWALL-1(config)#interface Port-channel 1
FIREWALL-1(config-if-range)#switchport mode trunk
FIREWALL-1(config-if-range)#switchport trunk allowed vlan 100,200,300,400,60,80
FIREWALL-1(config-if-range)#switchport trunk native vlan 90
FIREWALL-2(config)#interface Port-channel 2
FIREWALL-2(config-if-range)#switchport mode trunk
FIREWALL-2(config-if-range)#switchport trunk allowed vlan 100,200,300,400,60,80
FIREWALL-2(config-if-range)#switchport trunk native vlan 90
----------------------------------------------------------------------
----------------------------------------------------------------------
FIREWALL-2
FIREWALL-2(config)#vlan 100
FIREWALL-2(config-vlan)#name RECEPCION
FIREWALL-2(config-vlan)#vlan 200
FIREWALL-2(config-vlan)#name VENTAS
FIREWALL-2(config-vlan)#vlan 300
FIREWALL-2(config-vlan)#name DESARROLLO
FIREWALL-2(config-vlan)#vlan 400
FIREWALL-2(config-vlan)#name SERVIDORES
FIREWALL-2(config-vlan)#vlan 80
FIREWALL-2(config-vlan)#name VOZ
FIREWALL-2(config-vlan)#vlan 90
FIREWALL-2(config-vlan)#name NATIVA
FIREWALL-2(config-vlan)#vlan 60
FIREWALL-2(config-vlan)#name ADMINISTRATIVA
FIREWALL-2(config-vlan)#do wr
FIREWALL-2(config)#interface Port-channel 1
FIREWALL-2(config-if-range)#switchport mode trunk
FIREWALL-2(config-if-range)#switchport trunk allowed vlan 100,200,300,400,60,80
FIREWALL-2(config-if-range)#switchport trunk native vlan 90
FIREWALL-2(config)#interface Port-channel 4
FIREWALL-2(config-if-range)#switchport mode trunk
FIREWALL-2(config-if-range)#switchport trunk allowed vlan 100,200,300,400,60,80
FIREWALL-2(config-if-range)#switchport trunk native vlan 90
--------------------------------------------------------
--------------------------------------------------------
router RB
RB(config)#enable secret Valpo10
Router>enable
Router#configure terminal
Router(config)#tftp-server flash:P00307020300.bin
Router(config)#telephony-service
Router(config-telephony)#max-ephones 45 (por sucursal)
Router(config-telephony)#max-dn 500
Router(config-telephony)#no auto-reg-ephone
Router(config-telephony)#load 7960 P0030700300
Router(config-telephony)#ip source-address 192.168.16.1 (dependiendo de cada sucursal)
Router(config-telephony)#create cnf-files
Router(config-telephony)#transfer-system full-consultant
Router(config-telephony)#secondary-dialtone 9
Router(config-telephony)#end
Seguridad por capas
Capa 2
-Santiago y Valparaíso
Puertos de acceso
Se protegerá los puertos o interfaces de los switch de la capa de acceso, que conecten con equipos finales,
ya sea PC o teléfonos IP. Esta configuración será seguridad de puerto por aprendizaje, y que permita un
máximo de 1 dirección MAC por equipo y si supera este número, se deshabilitará la puerta.
Nota: Se modificarán las interfaces dependiendo del equipo.
Puertos troncales
En los switch de acceso que tengan sus interfaces conectadas a switches de distribución se configuraron en
modo troncal, permitiendo el paso de solo las vlan creadas, y además dejando las interfaces que no estén en
uso en la vlan nativa previamente creada.
Nota: Se modificarán las interfaces dependiendo del equipo, y numero de VLAN según sucursal.
interface range “rango interfaces troncales”
switchport mode trunk
switchport trunk allowed vlan “x”
switchport trunk native vlan 90
exit
BPDU Filter
BPDU Filter es la funcionalidad que nos permite filtrar el envío y la recepción de BPDUs en una interface.
Nota: Se modificarán las interfaces dependiendo del equipo.
Interface fastethernet “x”
Spanning-tree bpdu filter enable
BPDU-Guard
Nota: Se modificarán las interfaces dependiendo del equipo.
Interface “x”
Spanning-tree port-fast
Spanning-tree bpdu guard enable
Configuración Storm-control
Una tormenta de broadcast significa que la red está siendo saturada con la emisión constante de paquetes o
el tráfico de multidifusión.
Capa 3
Dhcp snooping
El DHCP Snooping es una característica de seguridad que provee seguridad filtrando los mensajes DHCP "no
confiables" y construyendo y manteniendo una tabla de asociaciones DHCP Snooping.
Como configurarlo
Autenticación de protocolos
Ospf
OSPF admite la autenticación de protocolos de routing mediante MD5. La autenticación MD5 se puede
habilitar globalmente para todas las interfaces o para cada interfaz deseada.
Este método impone la autenticación en todas las interfaces con OSPF habilitado. Si una interfaz no está
configurada con el comando ip ospf message-digest-key, no podrá establecer adyacencias con otros vecinos
OSPF.
ip ospf message-digest-key key md5 password (comando del modo de configuración de interfaz)
Los métodos de autenticación MD5 de OSPF global y por interfaz pueden usarse en el mismo router. Sin
embargo, la configuración por interfaz reemplaza la configuración global
BGP
Configuración básica
Configuración telnet
line vty 0 1
password >nombre de la pass<
login
Configuración consola
line console 0
password >nombre de la pass
login
Se debe prestar especial atención pues por defecto viene habilitada sin restricciones, y si se tiene acceso
físico al router, se obtiene el control total del mismo. Siempre hay que tener presente que un usuario
avanzado, si tiene acceso físico puede iniciar la secuencia de recuperación de contraseña e iniciar el router
con una contraseña nueva.
-Equipos donde se aplicarán estas configuraciones:
Santiago: Todos los switch y routers.
Valparaíso: Todos los switch y routers.
VPN
Una VPN (Virtual Private Network) es una tecnología de red que se utiliza para conectar una o más
computadoras a una red privada utilizando Internet.
Para cifrar los datos que viajan a través de internet ocuparemos el siguiente protocolo:
IPsec (Internet Protocol Security): permite mejorar la seguridad a través de algoritmos de cifrado robustos y
un sistema de autentificación más exhaustivo soporta encriptado de 56 bit y 168 bit (triple DES).
Como configurar una vpn:
Otro tipo de vpn a utilizar es de tipo remota y las configuraciones pertinentes para la formulación o
configuración de esta es:
VPN Remota...
Firewall ASA
Para ambas sucursales se implementó la tecnología de un firewall cisco asa 5525 con el fin de restringir o
bloquear trafico malicioso hacia el interior de nuestra red.
asa 1
ASA1#show run
: Saved
ASA Version 8.4(2)
!
hostname ASA1
domain-name www.cisco.cl
passwd 4IncP7vTjpaba2aF encrypted
names
!
interface GigabitEthernet0/0
switchport access vlan 2
!
interface GigabitEthernet0/1
switchport access vlan 70
!
interface GigabitEthernet0/2
!
interface GigabitEthernet0/2.10
description INSIDE1
vlan 10
nameif INSIDE1
security-level 90
ip address 192.168.10.1 255.255.255.0
!
interface GigabitEthernet0/2.20
description INSIDE1
vlan 20
nameif INSIDE1
security-level 90
ip address 192.168.20.1 255.255.255.0
!
interface GigabitEthernet0/2.30
description INSIDE1
vlan 30
nameif INSIDE1
security-level 90
ip address 192.168.30.1 255.255.255.0
!
interface GigabitEthernet0/2.40
description INSIDE1
vlan 40
nameif INSIDE1
security-level 90
ip address 192.168.40.1 255.255.255.0
!
interface GigabitEthernet0/2.50
description INSIDE1
vlan 50
nameif INSIDE1
security-level 90
ip address 192.168.50.1 255.255.255.0
!
interface GigabitEthernet0/2.60
description INSIDE1
vlan 60
nameif INSIDE1
security-level 90
ip address 192.168.60.1 255.255.255.0
!
interface GigabitEthernet0/3
!
interface GigabitEthernet0/3.10
description INSIDE1
vlan 10
nameif INSIDE1
security-level 80
ip address 192.168.10.2 255.255.255.0
!
interface GigabitEthernet0/3.10
description INSIDE1
vlan 10
nameif INSIDE1
security-level 80
ip address 192.168.10.2 255.255.255.0
!
interface GigabitEthernet0/3.20
description INSIDE1
vlan 20
nameif INSIDE1
security-level 80
ip address 192.168.20.2 255.255.255.0
!
interface GigabitEthernet0/3.30
description INSIDE1
vlan 30
nameif INSIDE1
security-level 80
ip address 192.168.30.2 255.255.255.0
!
interface GigabitEthernet0/3.40
description INSIDE1
vlan 40
nameif INSIDE1
security-level 80
ip address 192.168.40.2 255.255.255.0
!
interface GigabitEthernet0/3.50
description INSIDE1
vlan 50
nameif INSIDE1
security-level 80
ip address 192.168.50.2 255.255.255.0
!
interface GigabitEthernet0/3.60
description INSIDE1
vlan 60
nameif INSIDE1
security-level 80
ip address 192.168.60.2 255.255.255.0
!
interface GigabitEthernet0/4
nameif management
security-level 50
ip address 192.168.15.2 255.255.255.0
ipv6 address 2001:A1B2:3C4D:A::2/64
interface Vlan1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.128.0
interface Vlan2
nameif outside
security-level 0
ip address 209.10.10.2 255.255.255.0
interface Vlan70
no forward interface Vlan1
nameif dmz
security-level 0
ip address 192.168.70.1 255.255.255.0
route outside 0.0.0.0 0.0.0.0 192.168.10.2 1
object network PAT
nat (inside,outside) dynamic interface
!
aaa authentication ssh console LOCAL
class-map inspection_default
match default-inspection-traffic
!
policy-map global_policy
class inspection_default
inspect icmp
service-policy global_policy global
telnet timeout 5
ssh timeout 5
dhcpd auto_config outside
dhcpd address 192.168.1.5-192.168.1.36 inside
dhcpd enable inside
Acrónimos
*Modelo o diseño de red jerárquico: este consiste en separar la red en 3 niveles: acceso,
distribución y núcleo para que sea más fácil diseñar, implementar, mantener y escalar la red.
*TI: Tecnología de la Información es la aplicación de ordenadores y equipos de
telecomunicaciones para almacenar, recuperar, transmitir y manipular datos.
*RDSI: es la Red Digital de Servicios Integrados, esta procede a la Red de Telefonía Básica
(RTB) o Red Telefónica Conmutada (RTC), que facilita conexiones digitales extremo a
extremo.
*Telefonía IP: es una tecnología que permite integrar en una misma red (basada en protocolo
IP) las comunicaciones de datos y voz.
*ISP: (Internet Service Provider) Es el proveedor de servicios de internet, la empresa que
brinda conexión a internet a sus clientes.
*Topología: En redes se define como el mapa físico o lógico de una red para intercambiar
datos. Es como está diseñada la red.
*Router: Es un dispositivo de hardware que permite la interconexión de ordenadores en red,
este trabaja en capa tres. Así que permite que varias redes u ordenadores se conecten entre
si y, por ejemplo, compartan una misma conexión de internet.
*Switch: Es un dispositivo con el propósito de resolver problemas de rendimiento en la red,
debido a anchos de bandas pequeños y embotellamientos.
*WEP:(Wired Equivalent Privacy o "Privacidad Equivalente a Cableado") Fue el primer
estándar para redes WI-FI es un sistema de cifrado incluido en el estándar IEEE 802.11 como
protocolo para redes Wireless que permite cifrar la información que se transmite. Este
sistema es débil y más vulnerable si se compara con otros.
*ADSL: (Asymetmetric Digital Subscriber Line o Línea de Abonado Digital Asimétrica) es una
tecnología que permite la conexión a internet mediante el uso de una línea telefónica
tradicional, transmite la información digital de modo analógico. El Problema de esta es que
no garantiza una buena velocidad constantemente.
*Backup: Esta es una palabra inglesa que en el ámbito de la tecnología y de la información,
es una copia de seguridad o el proceso de copia de copia de seguridad. en pocas palabras
sería una copia de la información de la empresa.
*Elastix: Es un software de servidor de comunicaciones unificadas que reúne PBX IP, correo
electrónico, mensajería instantánea, fax y funciones colaborativas. Cuenta con una interfaz
Web e incluye capacidades como un software de centro de llamadas con marcación
predictiva.
*LAN: (Local Area Network o Red de Área Local). una LAN es una red que conecta los
ordenadores en una área relativamente pequeña y predeterminada (como un edificio,
conjunto de edificios, o un campus).
*WAN: (Wide Area Network o Red de Area Amplia) este concepto de utiliza para nombrar a
la red de computadoras que se extiende en una gran franja de territorio, ya sea a través de
una ciudad, un país o, incluso, a nivel mundial. Un ejemplo de red WAN es la propia Internet.
*Categoría 5: El cable categoría 5 (CAT 5) es un cale de par trenzado cuya categoría es uno
de los grados de cableado UTP descritos en el estándar EIA/TIA 568B el cual se utiliza para
ejecutar CDDI y puede transmitir datos a velocidades de hasta 100 Mbps a frecuencias de
hasta 100 MHz.
Categoría 6: El Cable de categoría 6 (Cat 6) (ANSI/TIA/EIA-568-B.2-1) es un estándar de
cables para Gigabit Ethernet y otros protocolos de redes que es retro compatible con los
estándares de categoría 5/5e y categoría 3. La categoría 6 posee características y
especificaciones para evitar la diafonía y el ruido.
*WPA: (Wi-Fi Protected Access o llamado Acceso Wi-Fi protegido) es un sistema para
proteger las redes inalámbricas (Wi-Fi); creado para corregir las deficiencias del sistema
previo, Wired Equivalent Privacy (WEP).
*WPA2: (Wi-Fi Protected Access 2 o Acceso Protegido Wi-Fi 2) es un sistema para proteger
las redes inalámbricas (Wi-Fi) que fue creado para corregir la vulnerabilidad detectada en el
cifrado WPA.
*TKIP: (Temporal Key Integrity Protocol) es también llamado hashing de clave WEP WPA,
incluye mecanismos del estándar emergente 802.11i para mejorar el cifrado de datos
inalámbricos. WPA tiene TKIP, que utiliza el mismo algoritmo que WEP, pero construye
claves en una forma diferente.
*AES: (Advanced Encryption Standard) también conocido como Rijndael, es un esquema de
cifrado por bloques adoptado como un estándar de cifrado por el gobierno de los Estados
Unidos.
*HSRP: (El Hot Standby Router Protocol) es un protocolo propiedad de CISCO que permite
el despliegue de routers redundantes tolerantes a fallos en una red. Este protocolo evita la
existencia de puntos de fallo únicos en la red mediante técnicas de redundancia y
comprobación del estado de los routers.
*VRRP: (Virtual Router Redundancy Protocol) es un protocolo de penetración no propietario
definido en el RFC 3768 diseñado para aumentar la disponibilidad de la puerta de enlace por
defecto dando servicio a máquinas en la misma subred.
*MAC: (Media Access Control) Una dirección MAC es el identificador único asignado por el
fabricante a una pieza de hardware de red (como una tarjeta inalámbrica o una tarjeta
Ethernet. Cada código tiene la intención de ser único para un dispositivo en particular.
*ACL: Una lista de control de acceso o ACL (del inglés, access control list) es un concepto
de seguridad informática usado para fomentar la separación de privilegios. Es una forma de
determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de
ciertos aspectos del proceso que hace el pedido.
*VLAN: (Red de área local virtual o LAN virtual) es una red de área local que agrupa un
conjunto de equipos de manera lógica y no física. Efectivamente, la comunicación entre los
diferentes equipos en una red de área local está regida por la arquitectura física.
*Ping: Como programa, ping es una utilidad diagnóstica en redes de computadoras que
comprueba el estado de la comunicación del host local con uno o varios equipos remotos de
una red IP por medio del envío de paquetes ICMP de solicitud (ICMP Echo Request) y de
respuesta (ICMP Echo Reply).
*VoIP: (voice over IP) Voz sobre protocolo de internet o Voz por protocolo de internet,
también llamado voz sobre IP, es un conjunto de recursos que hacen posible que la señal de
voz viaje a través de Internet empleando el protocolo IP (Protocolo de Internet).
*UPS: (Uninterruptible Power Sistem) Sistema de alimentación ininterrumpida, es un
dispositivo que, gracias a sus baterías u otros elementos almacenadores de energía, puede
proporcionar energía eléctrica por un tiempo limitado y durante un apagón eléctrico a todos
los dispositivos que tenga conectados.
*AP: (Wireless access point) punto de acceso inalámbrico, en una red de computadoras, es
un dispositivo de red que interconecta equipos de comunicación inalámbricos, para formar
una red inalámbrica que interconecta dispositivos móviles o tarjetas de red inalámbricas.
*IPv4: es la versión actual del protocolo de Internet, el sistema de identificación que utiliza
Internet para enviar información entre dispositivos.
*IPv6: es la nueva versión del protocolo de Internet y amplía el número de direcciones
disponibles a una cantidad prácticamente ilimitada de 340 sextillones de direcciones
*IP: (Internet Protocol) es un número que identifica un dispositivo en una red (un ordenador,
una impresora, un router, etc…). Estos dispositivos al formar parte de una red serán
identificados mediante un número IP único en esa red.
*OSPF: (Open Shortest Path First o Primer Camino Más Corto), es un protocolo de red para
encaminamiento jerárquico de pasarela interior o Interior Gateway Protocol (IGP), que usa el
algoritmo SmoothWall Dijkstra enlace-estado (Link State Advertisement, LSA) para calcular
la ruta idónea entre dos nodos
*Claves dinámicas: La clave dinámica es una clave de seguridad complementaria a Digipass
o Digicard utilizado para máxima seguridad como. por ejemplo, en bancos.
*Hosts o anfitrión: es un ordenador que funciona como el punto de inicio y final de las
transferencias de datos. Comúnmente descrito como el lugar donde reside un sitio web. Un
anfitrión de Internet tiene una dirección de Internet única (dirección IP) y un nombre de
dominio único o nombre de anfitrión (hostname).
*WPA2-PSK: que es un protocolo de encriptación más robusto que WEP. soporta una clave
de hasta 63 caracteres alfanuméricos, y, además, a partir de la pre-shared key que le
introducimos, el sistema va generando nuevas claves
*PSK: (Pre Shared Key o clave compartida previamente), es decir, la seguridad de la red Wifi
se basa en un secreto compartido (la contraseña de la red Wifi), que conocen sus usuarios
y el punto de acceso.
*IVR: (Interactive Voice Response o la respuesta de voz interactiva), consiste en un sistema
telefónico que es capaz de recibir una llamada e interactuar con el humano a través de
grabaciones de voz y el reconocimiento de respuestas simples, como «sí», «no» u otras.
*BGP: El protocolo de Gateway fronterizo (BGP) es un ejemplo de protocolo de Gateway
exterior (EGP). BGP intercambia información de encaminamiento entre sistemas autónomos
a la vez que garantiza una elección de rutas libres de bucles. Principal función el
enrutamiento intrautónomo.
*VPN: (Virtual Private Network) es una tecnología de red que se utiliza para conectar una o
más computadoras a una red privada utilizando Internet. Las empresas suelen utilizar una
VPN para que sus empleados desde sus casas, hoteles, etc., puedan acceder a recursos
corporativos que, de otro modo, no podrían.
*software: Conjunto de programas y rutinas que permiten a la computadora realizar
determinadas tareas.
*hardware: Conjunto de elementos físicos o materiales que constituyen una computadora o
un sistema informático.
*U: Una unidad rack o simplemente U es una unidad de medida usada para describir la altura
del equipamiento preparado para ser montado en un rack
*rack: Un Rack es un bastidor destinado a alojar equipamiento electrónico, informático y de
comunicaciones. Tambien conocidos como bastidores, cabinets o armarios, son simples
armazón metálico con un ancho interno normalizado de distintos tamaños y medidas para
adaptarse a las distintas necesidades.
*rackeable: Rackeable es un switch (o cualquier otro equipo), que tiene el ancho standard (o
viene con las guías correspondientes), para ser montado en un rack de informática.