INGENIERO EN COMPUTACION INGENIERO EN …

Instituto Politécnico Nacional. Escuela Superior de Ingeniería Mecánica y Eléctrica.

Unidad Culhuacán.

TESINA.

IMPLEMENTACIÓN DE SEGURIDAD LÓGICA (CAPA 3) EN EL ENLACE INTERNO DE LA EMPRESA INMEX.

QUE PARA OBTENER EL TITULO.

INGENIERO EN COMPUTACION INGENIERO EN COMUNICACIONES Y ELECTRÓNICA

PRESENTAN.

I.C. Beatriz Alba Selene Cortes Nieto I.C.E. Joel Ortega Hernández

I.C. José Filiberto González Cruz I.C. Rosario Rosales Hernández

ASESOR. M. en C. Raymundo Santana Alquicira.

México Distrito Federal. 2008.

INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA

UNIDAD CULHUACAN

T E S I N A

QUE PRESENTAN LOS CC.

I.C. CORTES NIETO BEATRIZ ALBA SELENE I.C. GONZÁLEZ CRUZ JOSÉ FILIBERTO I.C.E. ORTEGA HERNÁNDEZ JOEL I.C. ROSALES HERNÁNDEZ ROSARIO

QUE PARA OBTENER EL TITULO DE

INGENIERO EN COMPUTACIÓN INGENIERO EN COMUNICACIONES Y ELECTRÓNICA

POR LA OPCIÓN DE SEMINARIO

INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD.

NO. DE REG. FNS 5052005/09/2007

“IMPLEMENTACIÓN DE SEGURIDAD LÓGICA (CAPA 3) EN EL ENLACE INTERNO DE LA EMPRESA INMEX.”

OBJETIVO: Implementar la seguridad lógica en los servicios de comunicación entre el “servidor de FTP” y la PC “RH1” de la empresa “INMEX”. RESUMEN: De esta manera se establecen las restricciones necesarias para que solo entre el servidor FTP y el host RH1 puedan tener conectividad, denegando el acceso a los demás host. PLANTEAMIENTO DEL PROBLEMA: Existe el riesgo que todos los usuarios pueden acceder a información crítica. Es decir que algún usuario de cualquier gerencia, por equivocación o con toda la intención pueda llegar a tener acceso a algún otro punto de la red, donde pudiera haber información sensitiva de importancia relevante para “INMEX”. CAPITULO 1 INTRODUCCIÓN A LAS REDES CAPITULO 2 PROTOCOLO TCP/IP CAPITULO 3 RUTEO CAPITULO 4 ACCESS CONTROL LIST (ACL’S) CAPITULO 5 IMPLEMENTACIÓN DE SEGURIDAD LÓGICA EN LA COMUNICACIÓN ENTRE RH1 Y SERVIDOR FTP

MÉXICO, D.F. ENERO DEL 2008

IMPLEMENTACIÓN DE SEGURIDAD LÓGICA (CAPA 3) EN EL ENLACE INTERNO DE LA EMPRESA INMEX

IMPLEMENTACIÓN DE SEGURIDAD LÓGICA (CAPA 3) EN EL ENLACE INTERNO DE LA

EMPRESA INMEX

I


I. OBJETIVO Implementar la seguridad lógica en los servicios de comunicación entre el “servidor de FTP” y la PC “RH1” de la empresa “INMEX”.

II. PROBLEMA Existe el riesgo que todos los usuarios pueden acceder a información crítica. Es decir que algún usuario de cualquier gerencia, por equivocación o con toda la intención pueda llegar a tener acceso a algún otro punto de la red, donde pudiera haber información sensitiva de importancia relevante para “INMEX”.

III. ALCANCE. El trabajo solo proporcionara las configuraciones y pruebas de ACL’s en los routers del enlace correspondiente.

IV. JUSTIFICACIÓN Las ACL’s nos permiten comunicar únicamente los servidores de servidor FTP de la gerencia de sistemas y el host RH1 de la gerencia administrativa y finanzas que son los únicos relacionados y requeridos en el enlace, detal forma que podremos controlar el flujo de trafico entre las dos redes empresariales, dando como causa, menor trafico y proporcionaremos un nivel de seguridad básico pero eficaz.

II


Índice

I. OBJETIVO.............................................................................................................II II. PROBLEMA .........................................................................................................II III. ALCANCE. ..........................................................................................................II IV. JUSTIFICACIÓN.................................................................................................II

1. INTRODUCCIÓN A LAS REDES ............................................................................ 1 1.1. Introducción .............................................................................................1 1.2. Historia......................................................................................................1 1.3. Clasificación .............................................................................................3 1.3.1. Por Su Topología .....................................................................................3 1.3.2. Por su Escalabilidad ................................................................................5 1.3.3. Por su Tecnología de Transmisión.........................................................6 1.4. Modelo de Referencia OSI .......................................................................6 1.4.1. Capa Física. ..............................................................................................7 1.4.2. Capa de Enlace.........................................................................................7 1.4.3. Capa de Red .............................................................................................8 1.4.4. Capa de Transporte .................................................................................8 1.4.5. Capa de Sesión ........................................................................................9 1.4.6. Capa de Presentación..............................................................................9 1.4.7. Capa de Aplicación ..................................................................................9 1.5. Comparación entre el modelo OSI Y TCP/IP..........................................9 1.5.1. Similitudes ................................................................................................9 1.5.2. Diferencias..............................................................................................10

2. PROTOCOLO TCP/IP ........................................................................................... 11 2.1. Introducción ...........................................................................................11 2.2. El modelo TCP/IP ...................................................................................11 2.2.1. Arquitectura de TCP/IP ..........................................................................12 2.2.2. Nivel de Aplicación ................................................................................13 2.2.3. Nivel de Transporte................................................................................14 2.2.3.1. El protocolo TCP ....................................................................................14 2.2.3.2. UDP..........................................................................................................15 2.2.4. Nivel de Internet .....................................................................................16 2.2.5. Nivel de Acceso a Red...........................................................................16 2.3. Direccionamiento ...................................................................................17 2.3.1. Direccionamiento IPv4...........................................................................18 2.3.2. Clasificación de las direcciones IP ......................................................19 2.4. Introducción a la División de Subredes...............................................21 2.5. Asignación de direcciones IP ...............................................................22 2.5.1. IP Dinámica.............................................................................................22 2.5.2. IP Estática ...............................................................................................23 2.6. El Servidor DNS......................................................................................23 2.6.1. El Sistema DNS ......................................................................................23

3. ACCES CONTROL LIST (ACL’S)......................................................................... 25 3.1. Introducción. ..........................................................................................25 3.2. Listas de control de acceso. .................................................................25 3.2.1. Funcionamiento de las Listas de Control de Acceso. ........................27 3.2.2. Creación de Listas de Control de Acceso ...........................................29

III


3.2.3. Agrupación de Listas de Control de Acceso en Interfaces................30 3.2.4. Asignación de un número único a cada Lista de Control de Acceso ..30 3.3. Máscara Wildcard...................................................................................30 3.3.1. Funcionamiento de la Máscara Wildcard.............................................31 3.3.2. Any Wildcard. .........................................................................................33 3.4. Listas de Control de Acceso Estándar.................................................34 3.5. Lista de Control de Acceso Extendida.................................................34 3.6. Listas de Control de Acceso Nombradas ............................................35

4. RUTEO .................................................................................................................. 36 4.1. Introducción. ..........................................................................................36 4.2. Enrutado y Enrutamiento ......................................................................36 4.3. Tipos de Ruteo .......................................................................................37 4.3.1. Enrutamiento Estático ...........................................................................37 4.3.2. Enrutamiento Dinámico.........................................................................37 4.4. Algoritmos de Ruteo..............................................................................37 4.5. Protocolos De Ruteo..............................................................................38 4.5.1. RIP ...........................................................................................................40 4.5.1.1. RIP v1 ......................................................................................................40 4.5.1.2. RIP v2 ......................................................................................................40 4.5.1.3. Configuración de RIP.............................................................................41 4.5.2. OSPF (Open Shortest Path First)..........................................................42 4.5.2.1. Terminología...........................................................................................43 4.5.2.2. Operación de OSPF ...............................................................................43 4.5.2.3. Configuración de OSPF.........................................................................45

5. IMPLEMENTACIÓN DE LA SEGURIDAD LÓGICA EN EL ENLACE ENTRE RH1 Y SERVIDOR FTP............................................................................................................. 46

5.1. Situación Actual de la Empresa............................................................46 5.1.1. Empresa INMEX......................................................................................46 5.2. Configuración actual de la red..............................................................47 5.3. .Referencia al Estudio Previo................................................................48 5.4. Solución al problema.............................................................................49 5.5. Configuración del Enlace Serial ...........................................................50 5.6. Configuración del router SUR...............................................................50 5.7. Configuración de router NORTE...........................................................52 5.8. Listas de Control de Acceso (ACL) ......................................................52 5.9. Descripción de la red después de la Solución Implementada...........53 5.10. Prueba de Validación.............................................................................54

6. ANEXO A............................................................................................................... 56 7. ANEXO B............................................................................................................... 58 8. ANEXO C............................................................................................................... 66 9. ÍNDICE DE TABLAS Y FIGURAS......................................................................... 67 10. GLOSARIO............................................................................................................ 69 11. BIBLIOGRAFÍA ..................................................................................................... 75

IV


1. INTRODUCCIÓN A LAS REDES

1.1. Introducción En la actualidad las redes de datos son una herramienta indispensable para el desarrollo de una organización. Mediante una adecuada interconexión es posible compartir recursos de manera segura y en tiempo real, dando como resultado una ventaja competitiva. Sin embargo, los servidores o equipos al estar conectados a una red se ven expuestos a ser blanco de posibles usuarios no autorizados (internos o externos a la organización) quienes pueden hacer un uso inadecuado de los recursos y de la información. La importancia de los datos manejados en la red hace que una de sus principales características sea la implementación de niveles de seguridad, los cuales consisten en controlar el flujo de información, aceptar o denegar el acceso al medio y/o administrar recursos. Las herramientas más usuales para implementar dichos niveles son las listas de acceso (ACL’S), corta fuegos (firewall), pasarelas (proxies), cifrado (protocolos seguros), detención de intrusos y antivirus. Estas herramientas pueden ser implementadas mediante software, hardware o ambas. Una red de datos es un sistema de múltiples dispositivos tales como computadoras, impresoras, copiadoras, teléfonos, etc. Conectados entre sí, con el objetivo de compartir recursos, dichos equipos pueden estar a escasos metros de distancia o en polos opuestos del planeta, unidos entre sí por medios guiados (señales eléctricas) o no guiados (señales electromagnéticas). Para comprender mejor el concepto realizaremos una analogía con otras redes tales como el sistema nervioso en nuestro organismo o la red de agua potable en nuestra casa o ciudad.

1.2. Historia Internet la red de redes como actualmente la conocemos tiene sus inicios en la década de los 60 cuando por cuestiones de seguridad y ante el riesgo de un atentado nuclear por nuestro vecino país del norte, se plantea el siguiente problema, la eliminación de cualquier autoridad central, ya que en caso de un atentado este sería el primer blanco, crear una red descentralizada que pudiera operar en un ambiente difícil, Cada máquina conectada debería tener el mismo status y la misma capacidad para mandar y recibir información. Si la red sufriera daño en alguno de sus sectores, debería de tener la capacidad para seguir operando. Es por esa razón que se acordó que los mensajes deberían de viajar en forma de pequeños paquetes, los cuales contendrían un encabezado con la dirección destino de esta manera serian capaces de elegir rutas alternas

1


para alcanzar su objetivo y lo cual también les permitiría hacerlo por múltiples caminos. Los primero experimentos fueron desarrollados en los años de 1968 en el Laboratorio Nacional de Física de la Gran Bretaña, un año mas tarde en 1969 el pentágono inicia su propio proyecto, a finales del mismo año se establece la primera red en la Universidad de California (UCLA) y poco después aparecen tres redes adicionales. Nacía así ARPANET (Advanced Research Projects Agency Network), antecedente de la actual Internet. ARPANET creció y ya para 1972 agrupaba a 37 redes. Viéndose limitada por la poca velocidad con la que operaban las computadoras en esos tiempos. El Protocolo utilizado en ese entonces por las máquinas conectadas a ARPANET se llamaba NCP (Network Control Protocol ó Protocolo de Control de Red), pero con el tiempo dio paso a un protocolo más sofisticado: TCP/IP, que de hecho está formado no por uno, sino por varios protocolos, siendo los más importantes el protocolo TCP (Transmission Control Protocol ó Protocolo de Control de Transmisión) y el Protocolo IP (Internet Protocol ó Protocolo de Internet). TCP convierte los mensajes en paquetes en la maquina emisora, y los reensambla en la máquina destino para obtener el mensaje original, mientras que IP es el encargado de encontrar la ruta al destino. En 1984 la Fundación Nacional para la Ciencia inicia una nueva "red de redes" permitiendo no solo la conexión de supercomputadoras sino también las computadoras de universidades y escuelas y cualquiera que para ese entonces pudiera tener una computadora, este año es un punto crucial pues marca la desaparición de ARPANET y el nacimiento de INTERNET (NSFNET) lo novedoso de esta red era que concentraba todo el trafico de información en seis centrales distribuidas en toda la unión americana, en México la primer computadora conectada a INTERNET (NSFNET) fue a través del Instituto Tecnológico de Estudios Superiores de Monterrey, el cual utilizó una línea privada analógica de 4 hilos para conectarse a la Universidad de Texas a una velocidad de 9600 bits por segundo. Asta este momento existían varias redes aunque se conocían ya los principios del modelo TCP/IP, Estas redes no podían comunicarse entre si ya que no contaban con un lenguaje (protocolo) en común para realizar dicha comunicación esto dio paso al surgimiento de el modelo de referencia OSI el cual fue publicado en 1984 por ISO, teniendo sus inicios en 1977, lo mas notable de dicho modelo es que agrupa las funciones de red en capaz en un modelo jerárquico, en la que cada una del las capas sustenta a capa inmediatamente inferior y proporciona sus servicios a la capa inmediatamente superior. El establecimiento de una normativa por medio de un protocolo para el intercambio de información a través de Internet, fue lo que permitió el crecimiento exponencial asta llegar a lo que ahora conocemos como la red de redes Internet.

2


1.3. Clasificación Las redes pueden clasificarse de muchas maneras siendo la más importante por su topología, su escala y tecnología de transmisor.

1.3.1. Por Su Topología Podremos clasificarlas en anillo, Bus, estrella, malla y árbol, hay que considerar que pueden existir topologías hibridas.

• La topología de Bus utiliza un único segmento backbone (longitud del cable) al que todos los hosts se conectan de forma directa.

Figura 1.1 Topología de Bus.

• La topología de Anillo conecta a un host con el siguiente host y al último host con el primero. Esto crea un anillo físico de cable.

Figura 1.2 Topología de Anillo.

• La topología de Estrella conecta todos los cables con un punto central de

concentración. Por lo general, este punto es un hub o un switch.

3


Figura 1.3 Topología de Estrella.

• La topología en Estrella Extendida se desarrolla a partir de la topología en

estrella, esta topología conecta estrellas individuales conectando los hubs/switches. Esto permite extender la longitud y el tamaño de la red.

Figura 1.4 Topología de Estrella Extendida.

• La topología Jerárquica se desarrolla de forma similar a la topología en estrella extendida, pero, en lugar de conectar los hubs/switches entre sí, el sistema se conecta con un computador que controla el tráfico de la topología.

4


Figura 1.5 Topología de Estrella.

• La topología en Malla se utiliza cuando no puede existir absolutamente

ninguna interrupción en las comunicaciones, cada host tiene sus propias conexiones con los demás hosts.

1.3.2. Por su Escalabilidad

• LAN (Local Area Network) • MAN (Metropolitan Area Network) • GAN (Global Area Network) • WAN (Wide Area Network) • PAN (Personal Area Network)

5


6

Figura 1.6 Clasificación de las redes por su escalabilidad.

1.3.3. Por su Tecnología de Transmisión

• Punto a punto • Punto multipunto (broadcast)

1.4. Modelo de Referencia OSI El modelo de referencia OSI no se impone pero sirve de referencia, para la comunicación el modelo de referencia OSI reglamenta el formato del los mensajes a intercambiar y la regla del intercambio de dichos mensajes de manera que no importe la tecnología con la se cuente para tener acceso a la información (recursos).


El modelo de referencia OSI se divide en siete capaz, aplicación, presentación, sesión, transporte red, enlace de datos y física. Cada una de estas se detallan a continuación.

1.4.1. Capa Física. Es la encargada de transmitir los bits de información por la línea o medio utilizado para la transmisión. Se ocupa de las propiedades físicas y características eléctricas de los diversos componentes, de la velocidad de transmisión, si esta es unidireccional o bidireccional (simplex, duplex o full-duplex). También de aspectos mecánicos de las conexiones y terminales, incluyendo la interpretación de las señales eléctricas. Cuando actúa en modo recepción el trabajo es inverso, se encarga de transformar estos impulsos en paquetes de datos binarios que serán entregados a la capa de enlace. Los dispositivos que trabajan en esta capa son los transceivers, repetidores y hubs.

1.4.2. Capa de Enlace Puede decirse que esta capa traslada los mensajes hacia y desde la capa física a la capa de red. Especifica como se organizan los datos cuando se transmiten en un medio particular. Esta capa define como son los cuadros, las direcciones y las sumas de control de los paquetes Ethernet. Además del direccionamiento local, se ocupa de la detección y control de errores ocurridos en la capa física, del control del acceso a dicha capa y de la integridad de los datos y fiabilidad de la transmisión. Para esto agrupa la información a transmitir en bloques, e incluye a cada uno una suma de control que permitirá al receptor comprobar su integridad. Los datagramas recibidos son comprobados por el receptor. Si algún datagrama se ha corrompido se envía un mensaje de control al remitente solicitando su reenvío. La capa de enlace puede considerarse dividida en dos subcapas:

• Control lógico de enlace LLC: define la forma en que los datos son transferidos sobre el medio físico, proporcionando servicio a las capas superiores.

• Control de acceso al medio MAC: Esta subcapa actúa como controladora

del hardware subyacente (el adaptador de red). De hecho el controlador de la tarjeta de red es denominado a veces "MAC driver", y la dirección física contenida en el hardware de la tarjeta es conocida como dirección. Su principal función consiste en arbitrar la utilización del medio físico para facilitar que varios equipos puedan competir simultáneamente por la

7

http://www.monografias.com/trabajos13/cinemat/cinemat2.shtml#TEORICO

http://www.monografias.com/trabajos37/interpretacion/interpretacion.shtml

http://www.monografias.com/trabajos36/signos-simbolos/signos-simbolos.shtml

http://www.monografias.com/trabajos/fintrabajo/fintrabajo.shtml

http://www.monografias.com/trabajos/fintrabajo/fintrabajo.shtml

http://www.monografias.com/trabajos12/giga/giga.shtml

http://www.monografias.com/trabajos12/trdecom/trdecom.shtml

http://www.monografias.com/trabajos15/direccion/direccion.shtml


utilización de un mismo medio de transporte. El mecanismo CSMA/CD ("Carrier Sense Multiple Access with Collision Detection") utilizado en Ethernet es un típico ejemplo de esta subcapa.

Los dispositivos que trabajan en esta capa son, las tarjetas NIC, el puente, el switch.

1.4.3. Capa de Red Esta capa se ocupa de la transmisión de los data gramas (paquetes) y de encaminar cada uno en la dirección adecuada tarea esta que puede ser complicada en redes grandes como Internet, pero no se ocupa para nada de los errores o pérdidas de paquetes. Define la estructura de direcciones y rutas de Internet. A este nivel se utilizan dos tipos de paquetes: paquetes de datos y paquetes de actualización de ruta. Como consecuencia esta capa puede considerarse subdividida en dos:

• Transporte: Encargada de encapsular los datos a transmitir (de usuario). Utiliza los paquetes de datos. En esta categoría se encuentra el protocolo IP.

• Conmutación: Esta parte es la encargada de intercambiar información de

conectividad específica de la red. Los routers son dispositivos que trabajan en este nivel y se benefician de estos paquetes de actualización de ruta. En esta categoría se encuentra el protocolo ICMP responsable de generar mensajes cuando ocurren errores en la transmisión y de un modo especial de eco que puede comprobarse mediante ping.

El dispositivo que opera en esta capa es el router.

1.4.4. Capa de Transporte Esta capa se ocupa de garantizar la fiabilidad del servicio, describe la calidad y naturaleza del envío de datos. Esta capa define cuando y como debe utilizarse la retransmisión para asegurar su llegada. Para ello divide el mensaje recibido de la capa de sesión en trozos (data gramas), los numera correlativamente y los entrega a la capa de red para su envío. Durante la recepción, si la capa de Red utiliza el protocolo IP, la capa de Transporte es responsable de reordenar los paquetes recibidos fuera de secuencia. También puede funcionar en sentido inverso multiplexado una conexión de transporte entre diversas conexiones de datos. Este permite que los datos provenientes de diversas aplicaciones compartan el mismo flujo hacia la capa de red.

8

http://www.monografias.com/trabajos34/microsoft-access/microsoft-access.shtml


1.4.5. Capa de Sesión Administra el diálogo y sincronización, podría considerarse una extensión de la capa de transporte.

1.4.6. Capa de Presentación Esta capa se ocupa de garantizar la fiabilidad del servicio, describe la calidad y naturaleza del envío de datos. Esta capa define cuando y como debe utilizarse la retransmisión para asegurar su llegada. Para ello divide el mensaje recibido de la capa de sesión en trozos (datagramas), los numera correlativamente y los entrega a la capa de red para su envío. Durante la recepción, si la capa de Red utiliza el protocolo IP, la capa de Transporte es responsable de reordenar los paquetes recibidos fuera de secuencia. También puede funcionar en sentido inverso multiplexando una conexión de transporte entre diversas conexiones de datos. Este permite que los datos provenientes de diversas aplicaciones compartan el mismo flujo hacia la capa de red. Esta capa se ocupa de los aspectos significado e interpretación de la comunicación, estableciendo los arreglos necesarios para que puedan comunicar máquinas que utilicen diversa representación interna para los datos. Describe como pueden transferirse números de coma flotante entre equipos que utilizan distintos formatos matemáticos.

1.4.7. Capa de Aplicación

Esta capa implementa la operación con ficheros del sistema. Por un lado interactúan con la capa de presentación y por otro representan la interfaz con el usuario.

1.5. Comparación entre el modelo OSI Y TCP/IP

1.5.1. Similitudes

• Ambos se dividen en capas o niveles. • Se supone que la tecnología es de conmutación de paquetes. • Como administradores de redes debemos conocer tanto, OSI como modelo;

TCP/IP como arquitectura real.

9


1.5.2. Diferencias

• OSI distingue de forma clara los servicios, las interfaces y los protocolos. TCP/IP no lo hace así, no establece una diferencia clara

• El tiempo de creación fue distinto mientras que OSI es solo un modelo a seguir, TCP/IP se amolda perfectamente a problemas reales

• TCP/IP al contar con menos capas es mucho más sencillo. • La capa de transporte ejecuta dos funciones • La capa Internet de TCP/IP corresponde a la capa de red del modelo OSI.

Figura 1.7 Capas del modelo OSI y del modelo TCP/IP.

10


2. PROTOCOLO TCP/IP

2.1. Introducción El Protocolo de Internet está diseñado para utilizarse en sistemas interconectados en las redes de comunicaciones entre computadoras. El protocolo de internet provee bloques de transmisión llamados también datagramas desde las fuentes hacia los destinos, donde las fuentes u origen, son hosts identificados por direcciones con longitudes establecidas.

2.2. El modelo TCP/IP El modelo TCP/IP junto con el modelo OSI es una arquitectura de protocolos que ha sido determinante y básica para el desarrollo de los estándares de comunicación. El modelo TCP/IP es la arquitectura más adoptada para interconectar sistemas.

FIGURA 2.1 El modelo TCP/IP permite que millones de computadora se comuniquen a nivel mundial a través del

Internet. Una de las características de éste modelo, es la de facilitar el intercambio de información sin importar la tecnología que se está utilizando y el tipo de subredes a atravesar, lo que proporciona una comunicación transparente a través de sistemas heterogéneos. Por lo anterior, TCP/IP no define una capa física no de enlace. Este protocolo define solamente tres capas que funcionarán en los niveles superiores a las capas físicas y de enlace para hacerlo así un modelo independiente del hardware en el que se implemente.

11


TCP/IP no es un único protocolo, por el contrario, es en realidad un conjunto de comandos que cubren los distintos niveles del modelo OSI. En el capítulo I se abordaron las similitudes entre el modelo OSI y el modelo TCP/IP. Los dos protocolos más importantes que utiliza, son los que precisamente le dan su nombre; TCP ó Transmission Control Protocol (Protocolo de Control de Transmisión) y el IP ó Internet Protocol (Protocolo de Internet). De manera opuesta a lo que ocurre con el modelo OSI, el modelo TCP/IP es un software, lo que significa que es un modelo que debe ser implementado en cualquier tipo de red.

2.2.1. Arquitectura de TCP/IP TCP/IP es el protocolo común que es utilizado por todas las computadoras que están conectadas a Internet, esto permite que se puedan comunicarse entre sí. Como ya se había mencionado, las computadoras que están conectadas a internet son de clases diferentes y en muchos casos con hardware y software incompatibles. Es aquí donde se encuentra una de las grandes ventajas del modelo TCP/IP, ya que éste es el responsable de que la comunicación entre todos los hosts sea posible. Se dice que TCP/IP es compatible con cualquier sistema operativo y con cualquier tipo de hardware. La arquitectura del TCP/IP consta de cuatro niveles o capas en las que se agrupan los protocolos de la siguiente manera:

FIGURA 2.2. Arquitectura de TCP/IP. De manera similar que en el modelo OSI, los niveles más altos son los más cercanos al usuario, mientras que los que están más hacia abajo están más cercanos a la transmisión física de los datos. Como se puede ver en la figura 2.2, cada nivel tiene un nivel superior y un nivel inferior que, o bien utilizan un servicio del nivel o prevén un nivel de servicio, exceptuando a los niveles 1 y 4 por razones obvias.

12


Una analogía de este modelo es observar a los niveles como proveedores o consumidores de servicios. Ejemplo: TCP en el nivel de transporte requiere un protocolo del nivel de internet, como sería IPv4, el cual a su vez requiere de un protocolo del nivel de acceso a red, siendo TCP un proveedor de servicios para los protocolos de nivel de aplicación.

2.2.2. Nivel de Aplicación Los programas de red más comunes utilizan este nivel para comunicarse a través de una red. La comunicación que se presenta en este nivel es específica de las aplicaciones y los datos transportados desde el programa están en el formato utilizado por la aplicación y van encapsulados en un protocolo del Nivel de Transporte. Puesto que el modelo TCP/IP no tiene niveles intermedios, como en el modelo OSI, el nivel de Aplicación debe incluir cualquier protocolo que actúe del mismo modo que los protocolos del nivel de Presentación y Nivel de Sesión. Aunque los routers y switches no utilizan este nivel, las aplicaciones que controlan el ancho de banda si lo utilizan. Se compone de diversos protocolos de servicios como:

• DNS (Domain Name System) • TLS/SSL (Transport Layer Security) • TFTP (Trivial File Transfer Protocol) • FTP (File Transfer Protocol) • HTTP (Hyper Text Transfer Protocol) • IMAP (Internet Messsage Access Protocol) • IRC (Internet Relay Chat) • NNTP (Network News Transfer Protocol) • POP3 (Post Office Protocol) • SIP (Session Iniciation Protocol) • SMTP (Simple Mail Transfer Protocol) • SNMP (Simple Network Management Protocol) • SSH (Secure Shell) • TELNET • BitTorrent • RTP (Real-time Transport Protocol) • RLOGIN • ENRP (Endpoint Handlespace Redundancy Protocol)

Los protocolos de encaminamiento como BGP (Border Gateway Protocol) y RIP (Routing Information Protocol) que utilizan transporte por TCP y UDP respectivamente pueden ser considerados como parte de esta capa.

13


2.2.3. Nivel de Transporte Provee lo necesario para conectar aplicaciones entre sí a través de puertos. Mientras que IP del nivel de Internet, provee solamente la mejor forma de entrega, el nivel de Transporte es el primer nivel que se encarga de la fiabilidad. Dentro de los protocolos de este nivel, TCP y UDP son utilizados para transportar un gran número de aplicaciones de alto nivel. Las aplicaciones en cualquier nivel se distinguen a través de los puertos TCO o UDP que utilicen. Se compone de diversos protocolos de servicios como:

• TCP (Transmission Control Protocol) • UDP (User Datagram Protocol), • DCCP (Datagram Congestion Control Protocol) • SCTP (Stream Control Transmission Protocol) • IL (Internet Link Protocol, similar a TCP pero más simple) • RUDP (Reliable User Datagram Protocol), etc.

Los protocolos como OSPF (Open Shortest Path First), que trabajan sobre IP, pueden ser también considerados como parte de esta capa.

2.2.3.1. El protocolo TCP TCP es un buen ejemplo de los protocolos que trabajan en la capa de transporte, éste es un protocolo que está orientado hacia la conexión de bytes de una manera fiable, ya que se encarga de que los datos lleguen en orden, tengan un mínimo de correcciones de errores, además descarta datos duplicados y vuelve a enviar los paquetes perdidos o descartados incluyendo un control de congestión de tráfico. Las conexiones a través de TCP tienen tres pasos o fases:

I. Establecimiento de la conexión: Antes de que el cliente intente conectarse con el servidor, éste debe primero conectarse hacia el puerto abriéndolo a las conexiones, es decir, realizar una apertura pasiva. Una vez establecida la conexión el cliente puede iniciar la apertura activa, para lo cual se requiere un saludo de tres etapas:

1. La apertura activa se realiza enviando un paquete SYN (sincronización) hacia el servidor. 2. El servidor entonces responde con un paquete SYN-ACK (Confirmación de Sincronización). 3. Finalmente, el cliente envía un paquete ACK de regreso al servidor.

En este punto tanto cliente como servidor han recibido una conformación de la conexión.

14


II. Transferencia de Datos. Las funciones que diferencian a TCP de UDP son las siguientes:

• Transferencia de datos libre de errores. • Transferencia de datos ordenada. • Retransmisión de paquetes perdidos. • Descartado de paquetes duplicados. • Ajuste en la congestión de la transmisión de datos.

III. Terminación de la conexión. Esta etapa utiliza en saludo conocido como tres

vías, con cada extremo de la conexión terminando independientemente. Si uno de los extremos desea detener su parte de la conexión, envía un paquete FIN, que la otra confirma con un paquete ACK. Entonces una interrupción de la conexión requiere un par de paquetes FIN y ACK desde cada uno de los extremos de la conexión.

Una conexión puede quedar abierta a la mitad de la comunicación, cuando uno de los extremos ha terminado la conexión desde su lado, pero el otro extremo no. El extremo que ha terminado la conexión ya no podría enviar datos en la conexión, pero el otro extremo sí.

El método más común, es utilizar un saludo de tres etapas, donde un anfitrión A envía un paquete FIN y el anfitrión B responde con un paquete FIN y un ACK (en el mismo paso) y el anfitrión A responde con un paquete ACK.

2.2.3.2. UDP Es un protocolo no orientado a conexión y no confiable (Unreliable Datagram Protocol). UDP es un protocolo de datagrama sin corrección; no provee las garantías de fiabilidad y ordenamiento de TCP, lo que quiere decir que los datagramas pueden llegar en desorden o perderse sin notificación. La ventaja de UDP es la velocidad. Como UDP no suministra acuses de recibo, se envía menos cantidad de tráfico a través de la red, lo que agiliza la transferencia. De la misma manera que IP y a diferencia de TCP, UDP es un protocolo de mejor esfuerzo o no-confiable. El único problema de fiabilidad que se resuelve es la corrección de errores en la cabecera y datos transmitidos a través de un campo de 16 bits para suma de verificación (checksum), una forma de control de redundancia con la fiabilidad de proteger la integridad de datos verificando que no hayan sido corrompidos.

• La estructura de paquetes UDP consiste de 4 campos, que son los siguientes:

15


• Puerto de origen. Encargado de identificar el puerto que envía y que se asume será el puerto hacia donde se envía la respuesta si se necesita. Este campo es opcional: si no se utiliza, el valor del campo debe ser 0.

• Puerto de destino. Identifica el puerto de destino. Es obligatorio.

• Longitud. Un campo de 16 bits que especifica la longitud del datagrama

completo: cabecera y datos. La longitud mínima es de 8 bytes ya que es la longitud misma de la cabecera.

• Suma de verificación. Un campo de 16 bits que se utiliza para verificar

errores en cabecera y datos. Las aplicaciones más comunes que hacen uso de este tipo de protocolo son DNS, aplicaciones de transmisión de medios, voz sobre IP (VoIP), TFTP y juegos en línea.

2.2.4. Nivel de Internet En este nivel se resuelve el problema de capturar los datos a través de una red única. IP (Internet Protocol) tiene como tarea básica de capturar los paquetes de datos desde una fuente hacia un destino, además puede transportar datos para una gran cantidad de protocolos del nivel superior (Nivel de Transporte). Otro ejemplo de protocolo de este nivel es X.25, el cual es un conjunto de protocolos para redes WAN utilizando líneas telefónicas o sistema ISDN. Esta capa se compone además de diversos protocolos de servicios como IP (incluyendo IPv4 e IPv6). Protocolos como ARP (Address Resolution Protocol) y RARP (Reverse Address Resolution Protocol) operan por debajo de IP, pero arriba del Nivel de enlace, de modo que pertenecen a un punto intermedio entre el Nivel de Internet y el Nivel de Acceso de Red.

2.2.5. Nivel de Acceso a Red Este nivel no es realmente parte del Conjunto de Protocolos TCP/IP, sino que es un método utilizado para pasar paquetes desde el Nivel de Internet sobre dos diferentes anfitriones. Este proceso puede ser controlado a través de la programación utilizada como controlador del dispositivo para una tarjeta de red así como también sobre la Programación en firme (Firmware) o circuitos integrados auxiliares. Estos procesos realizarán funciones de enlace de datos tales como añadir una cabecera de paquete para preparar la transmisión, y entonces transmitir el todo a través de un medio físico. En este nivel es donde los paquetes son interceptados y enviados hacia una Red Privada Virtual (VPN). Cuando esto se lleva a acabo, los datos del Nivel de Acceso a Red se consideran como los datos de la aplicación y procede

16


descendiendo por la pila del modelo TCP/IP para realizar la verdadera transmisión. En el extremo receptor, los datos suben por la pila del modelo TCP/IP dos veces, una para la VPN y otra para el enrutamiento. Esta compuesto de protocolos como:

• Ethernet • Wi-Fi • Token ring • PPP (Point-to-Point Protocol) • SLIP (Serial Line Internet Protocol) • FDDI (Fiber Distributed Data Interface) • ATM (Asynchronous Transfer Protocol) • Frame Relay • SMDS (Switched Multi-megabit Data Services)

2.3. Direccionamiento Para que dos sistemas o redes de computadoras se puedan comunicar, es necesario que se puedan identificar y localizarse entre sí. En la siguiente figura se muestra una forma de solucionar éstos dos requerimientos. Si bien no es la forma en que las computadoras se comunican, es una forma sencilla para entender el concepto de agrupamiento de las direcciones.

Figura 2.3 Las direcciones mostradas en la figura de arriba, no son direcciones de redes reales, representan y muestran el concepto de agrupación de direcciones. Se utiliza la letra A y B para identificar la secuencia de red y de números para identificar al host individual. Una dirección única para cada dispositivo conectado a la red, se forma de la combinación de letras (dirección de red) y el número (dirección de host). Cada interfaz de un dispositivo (usualmente una computadora) conectada a una red TCP/IP debe recibir un identificador exclusivo o una dirección IP. La dirección IP permite que un computador localice a otro en la red, ésta dirección opera en la Capa 3 del modelo OSI.

17


Se puede definir entonces una dirección IP como el número que identifica de manera lógica y jerárquica a una interfaz de un dispositivo dentro de una red que utilice el protocolo IP (Internet Protocol), que corresponde a la capa 3 del modelo de referencia OSI. Se sabe también que todas las computadoras cuentan con una dirección física exclusiva, llamada dirección MAC. Las direcciones MAC son designadas por el fabricante de la tarjeta de interfaz de la red. Otra diferencia entre las direcciones IP y MAC es que las direcciones MAC operan en la Capa 2 del modelo OSI. Una dirección IP es una secuencia de unos y ceros de 32 bits. La siguiente figura muestra un número de 32 bits.

Figura 2.4. Una dirección IP es un número de 32 bits.

Como se puede observar en la figura 3.4, el manejo de un número de 32 bits, puede ser complicado. Para que el uso de la dirección IP sea más sencillo, generalmente, la dirección aparece escrita en forma de cuatro números decimales, separados por puntos, como se muestra en la siguiente figura. Esta forma de escribir se conoce como formato decimal punteado. La notación binaria es otra forma de escribir una dirección IP, en la cual la dirección IP se escribe en cuatro partes separadas por puntos, al igual que en la notación decimal. Cada parte de la dirección se conoce como octeto, porque se compone de ocho dígitos binarios.

192.168.1.2 1100 0000.1010 1000.0000 0001.0000 0010

Figura 2.5. Notación decimal y binaria de una dirección IP.

Con la notación decimal se evita que se produzcan una gran cantidad de errores por transposición, que si se producirían su sólo se utilizaran números binarios.

2.3.1. Direccionamiento IPv4 Una red envía los paquetes desde la red origen a la red destino utilizando el protocolo IP. Para que el envío y la recepción de paquetes sean eficientes los paquetes deben incluir un identificador tanto para la red origen como para la red destino. Utilizando la dirección IP de una red destino, un Router puede enviar un paquete a la red correcta. Cuando un paquete llega a un router conectado a la red destino, éste utiliza la dirección IP para localizar el computador en particular conectado a la red.

18


Una dirección IP consta de dos partes. Una parte identifica la red donde se conecta el sistema y la segunda identifica el sistema en particular de esa red.

Red Host 1 1

2 3

2 1 3 1

Figura 2.6. Direcciones de red y de host. Cada octeto varía de 0 a 255 y cada uno de ellos se divide en 256 subgrupos y éstos a su vez, se dividen en 256 subgrupos de 256 direcciones cada uno.

Figura 2.7. División Jerárquica.

Al tipo de direccionamiento que contiene diferentes niveles se le conoce con el nombre de dirección jerárquica porque contiene diferentes niveles. Una dirección IP combina estos dos identificadores (red y host) en un solo número. La primera parte identifica la dirección de la red del sistema. La segunda parte, la que se refiere al host, identifica el número de host dentro de la red. Este número debe ser un número exclusivo, porque las direcciones repetidas harían imposible el enrutamiento.

2.3.2. Clasificación de las direcciones IP Para definir las redes de acuerdo a su tamaño las direcciones IP se pueden dividir en clases, por lo que se tienen redes de tamaño pequeño, mediano y grande. La ICANN (Internet Corporation for Assigned Names and Numbers) clasifica a las direcciones IP en clase A, clase B y clase C principalmente. Las direcciones de clase A son reservadas para los gobiernos de todo el mundo y las direcciones de clase B para las medianas empresas. Se otorgaron direcciones de clase C para todos los demás solicitantes. Cada clase de red permite que una cantidad fija de equipos (hosts).

19


Clase de dirección IP Bits de Mayor Peso Primer intervalo de dirección de octeto Número de bits en la dirección de red

Clase de dirección IP

Bits de Mayor Peso

Primer intervalo de dirección de

octeto

Número de bits en la dirección de

red Clase A 0 0 – 127* 8 Clase B 10 128 – 191 16 Clase C 110 192 – 223 24

Tabla 2.1. Ejemplo de división en subredes.

• En una red de clase A, se asigna el primer octeto para identificar la red, un

total de 1271 redes, reservando los tres últimos octetos (24 bits) para que sean asignados a los hosts, de modo que la cantidad máxima de hosts es 224 (menos dos: las direcciones reservadas de broadcast y de red), es decir 16 777 214 hosts.

• En una red de clase B, se asignan los dos primeros octetos para identificar

las red, 16 384 redes, reservando los dos últimos octetos (de 16 bits) para que sean asignados a los hosts, de modo que la cantidad máxima de hosts es 216 (menos dos), o 65 534 hosts.

• En una red de clase C, se asignan los tres primeros octetos para identificar

la red, 2 097 152 redes, reservando el octeto final (8 bits) para que sea asignado a los hosts, de modo que la cantidad máxima de hosts es 28 (menos dos), o 254 hosts.

En la siguiente tabla se muestran los datos antes mencionados: Clase de Dirección Cantidad de redes Cantidad de Hosts por red

Clase de Dirección

Cantidad de redes

Cantidad de Hosts por red

A 1262 16 777 216 B 16 384 65 534 C 2 097 152 254

Tabla 2.2 Tabla comparativa de número de redes y host de las diferentes clases de direcciones IP.

1 El intervalo de direcciones 127.x.x.x está reservado como dirección de loopback, con propósitos de prueba y diagnóstico. 2 El intervalo de direcciones 127.x.x.x está reservado como dirección de loopback, con propósitos de prueba y diagnóstico.

20


• La dirección 0.0.0.0 es utilizada por las máquinas cuando están arrancando o no se les ha asignado dirección.

• La dirección que tiene en su parte de host con unos, sirve para definir la red

a la que se ubica. Se denomina dirección de red.

• La dirección de red que tiene su parte de host a unos sirve para comunicar con todos los hosts en las que se ubica. Se denomina dirección de broadcast.

• Las direcciones 127.x.x.x se reservan para pruebas de retroalimentación.

Se denomina dirección de bucle local o loopback. Algunas direcciones IP no están asignadas en cada una de las clases, a éste tipo de direcciones se les denomina direcciones privadas. Las direcciones privadas pueden ser utilizadas por los hosts que usan traducción de dirección de red (NAT) para conectarse a la red pública o por los hosts que no se conectan a internet. En general, una misma red no puede tener dos direcciones iguales, pero sí se pueden repetir en dos redes privadas que no tengan conexión entre sí. Las direcciones privadas son:

• Clase A: 10.0.0.0 a 10.255.255.255 (8 bits de red, 24 bits de host) • Clase B: 172.16.0.0 a 176.31.255.255 (16 bits de red, 16 de host) • Clase C: 192.168.0.0 a 192.168.255.255 (24 bits de red, 8 bits de host)

Ante una previsible futura escasez de direcciones IPv4 debido a que el crecimiento exponencial de host en internet estaba teniendo, a partir de 1993, se empezó a introducir el sistema CIDR, que pretende en general, establecer una distribución de direcciones más ordenada. Calculando las direcciones necesarias y “desperdiciando” las mínimas posibles, para rodear el problema que las distribuciones por clases habían generado. Este sistema es, de hecho, el empleado actualmente para la delegación de direcciones.

2.4. Introducción a la División de Subredes Otro método para administrar las direcciones IP es la división en subredes. Este método, consiste en dividir las clases de direcciones de red completas en partes de menor tamaño, ha evitado el completo agotamiento de las direcciones IP. La división en subredes constituye un medio para dividir e identificar las redes individuales en toda la LAN. La división de una red en subredes consiste en utilizar una máscara de subred para dividir la red, convirtiendo así una gran red en segmentos más pequeños, lo que se traduce en mayor eficiencia y los hace más administrables.

21


Un factor importante a la hora de dividir una red en subredes es saber cuántas subredes o redes son necesarias y cuántos hosts se requerirán en cada red. Con la división de subredes, la red no está limitada a las máscaras de red por defecto (Clase A, B o C) y se da una mayor flexibilidad en el diseño de la red.

Router A Máscara Subred E0: 168.10.2.1 255.255.255.0/24 168.10.2.0 S0: 168.10.1.1 255.255.255.0/24 168.10.1.0 Router B Máscara Subred E0:168.20.2.1 255.255.255.0/24 168.10.2.0 S0:168.10.1.2 255.255.255.0/24 168.10.1.0 Figura 2.8. Ejemplo de división en subredes.

Las direcciones de subredes se componen con la porción de red más el campo de subred y el campo de host. El campo de subred y el campo de host se crean a partir de la porción de host original de la red entera. Para crear una dirección de subred, se “piden prestados” bits del campo de host y se les designa como campo de subred.

Número de Bits para el campo

de red

Notación decimal para el octeto de host

Números de Subredes

Número de Hosts por

subred 25 .128 2 126 26 .192 4 62 27 .224 8 30 28 .240 16 14 29 .248 32 6 30 .252 64 2

Tabla 2.3. Tabla representativa de subneteo en una dirección IP.

2.5. Asignación de direcciones IP Para asignar direcciones IP existen dos métodos, la asignación de direcciones de manera dinámica y la asignación de direcciones de manera estática.

2.5.1. IP Dinámica Se le conoce como una dirección IP dinámica a la dirección IP que es asignada mediante un servidor DHCP ó Dynamic Host Configuration Protocol (Protocolo

22


Dinámico de Configuración de Host al usuario. La IP que se obtiene tiene una duración máxima determinada. Las IP’s dinámicas son las que actualmente ofrecen la mayoría de los proveedores de servicios de internet. Éstas suelen cambiar cada vez que el usuario se reconecta al servicio por cualquier causa. La ventaja que ofrece este tipo de direccionamiento es la reducción de costos de operación a los proveedores de servicios de internet (ISP). Las desventajas, por otro lado, son que se obliga a depender de servicios que redirigen un host a una IP, también que es ilocalizable, puesto que puede haber cambios de IP en un intervalo de tiempo.

2.5.2. IP Estática Una dirección IP fija es una IP la cual es asignada por el usuario, o bien dada por el proveedor ISP en la primera conexión. Esto permite al usuario montar servidores web, correo, FTP, etc. Y dirigir un nombre de dominio a esta IP sin tener que mantener actualizado el servidor DNS cada vez que cambie la IP como ocurre con las IP’s dinámicas. Las ventajas que presenta el direccionamiento estático es que permite tener servicios dirigidos directamente a la IP, pero son más vulnerables al ataque, puesto que el usuario no puede conseguir otra IP.

2.6. El Servidor DNS Todos los equipos o computadoras que utilizan el protocolo IP tienen al menos una dirección IP, que debe ser única dentro de la red a la que pertenecen. A cada dirección IP se le puede asignar un nombre, que también debe ser único. Al mecanismo para obtener la dirección IP a partir del nombre se llama “resolución del nombre”. Además a cada dirección IP se le puede asignar otros nombres, conocidos como alias.

2.6.1. El Sistema DNS El sistema DNS es en esencia una base de datos distribuida. Esta base de datos es jerárquica. La raíz de la base de datos está representada por el nodo “.” y cada uno de los nodos que descienden de ella reciben el nombre de dominios. En el sistema DNS cada domino se hace cargo de la base de datos que depende de él. El sistema de nombres de dominio (DNS) se utiliza en redes de Protocolo de Control de Transporte/Protocolo Internet (TCP/IP), como Internet, para Buscar equipos y servicios mediante nombres descriptivos. Cuando un usuario escribe un nombre DNS en una aplicación, el servicio DNS puede traducir el nombre a otra información asociada con el mismo, como una dirección IP. Si la red es homogénea (todos los hosts utilizan el mismo sistema operativo) y emplea otro método de resolución de nombres distinto de DNS, puede seguir utilizando ese

23


método sin necesidad de DNS. Si la red es heterogénea (los hosts utilizan sistemas operativos distintos) o se conecta a Internet, tendrá que implementar DNS, ya que Internet consta de protocolos que requieren DNS. En cada dominio puede haber a su vez servidores y otros dominios. Cada nombre de dominio se construye escribiendo los sucesivos nombres de dominio a los que pertenece el dominio hasta llegar al dominio raíz. Cada nombre se separa del siguiente mediante un punto y se escriben colocando a la izquierda los nodos inferiores. El punto raíz no se pone. A un nombre de dominio que incluye todos los nodos hasta el raíz se le denomina nombre de dominio completamente cualificado. En internet por debajo del dominio raíz los primeros nodos corresponden normalmente a países u organizaciones internacionales. Cada país tiene su propio dominio y además existen otros para otro tipo de organizaciones. En el caso de los Estados Unidos, la mayoría de los dominios pertenecen por razones históricas a los dominios edu, com, mil y gov.

24


3. ACCES CONTROL LIST (ACL’s)

3.1. Introducción. Debido al gran crecimiento que las redes tuvieron desde su implementación con el principal objetivo de compartir recursos y a su vez reducir costos en las empresas, fue entonces que también nació la necesidad de mantener la confidencialidad y privacidad de la información en ciertas áreas de alguna empresa, se había vuelto un requisito critico controlar el acceso a la misma, quien tenia autorización para acceder a ella y quien no. Es por esto que la seguridad es punto importante en los sistemas que comparten información con otros, especialmente si una empresa compartirá información con otras redes externas, como empresas asociadas o la misma Internet. El administrador de una red puede restringir el acceso a determinados servicios, rango de direcciones, segmentos de red tomando en cuenta diversos criterios para realizarlo, debe de determinar quien tiene privilegios para acceder a esa información y quien no esta autorizado para ello. Las listas de control de acceso se definen como permisos que se aplican a direcciones o protocolos de capa superior, son eficientes herramientas administrativas que ayudan a filtrar el tráfico entrante y saliente ya sea bloqueando el tránsito no deseado en los puertos del router e identificando el transito que pasa por el para aplicar alguna política de acceso, pero no filtran el trafico originado por el mismo router. El uso de las listas de control de acceso no se limita solamente al de la seguridad en una red si no también son usadas para filtrar tráfico en aplicaciones diversas como NAT (Network Address Translation) o en BGP (Border Gateway Protocol) para filtrar caminos al momento de crear políticas de enrutamiento.

3.2. Listas de control de acceso. Las listas de control de acceso son un conjunto de instrucciones que le indican al router que paquetes debe de rechazar y que paquetes se deben aceptar, el rechazar y aceptar se basa en ciertos parámetros como es el numero de puerto, la dirección origen y la dirección destino, permiten controlar el trafico y examinar paquetes específicos, usando la listas de control de acceso en la interfaz del router. Cuando se crea una lista de control de acceso y se aplica en la interfaz del router se está creando una secuencia de instrucciones que son verificadas cada vez que un paquete sale o entra por esa interfaz.

25


Las listas de control de acceso se pueden crear para todos los protocolos enrutados de red como son el protocolo de intercambio de paquetes de internetwork (IPX), el protocolo de Internet (IP), para los propósitos de este trabajo, se hablara fundamentalmente de la lista de control de acceso para el protocolo TCP/IP. Las listas de control de acceso se deben definir por protocolo, si se desea control el flujo de trafico para una interfaz es indispensable definir una lista de control de acceso para cada protocolo habilitado en esa interfaz.

Figura 3.1 Implementación de Listas de Control de Acceso.

Es importante hacer mención de ciertas características de las listas de control de acceso como son:

I. Una lista de control de acceso se aplica en la interfaz ya sea de entrada o de salida, se puede crear una lista de control de acceso para la interfaz de entrada y otra distinta para esa interfaz de entrada.

II. Las listas de control de acceso son secuencias que son verificadas contra

el paquete, el orden de las instrucciones es de suma importancia debido a que cuando una línea de una secuencia se considera como verdadera en la verificación, se realiza una acción y se sale de la lista de control de acceso, no se continua verificando para comprobar que haya otra línea en la secuencia que también resulta cierta.

Hay diversas razones por las cuales crear una lista de control de acceso:

• Para limitar el tráfico en la red y mejorar el desempeño de la misma. • Controlar el flujo de tráfico.

26


• Proporcionar seguridad básica para el acceso a red. • Se debe de decidir que tráfico se bloquea en las interfaces del router.

3.2.1. Funcionamiento de las Listas de Control de Acceso. Una lista de control de acceso se describe como un grupo de sentencias que define los paquetes como:

• Llegan a las interfaces de entrada • Se reenvían por medio del router • Se van por las interfaces de salida del router

El fundamento del proceso de comunicación es el mismo se usen listas de control de acceso o no. Cuando un paquete entra en una interfaz, el router realiza una verificación si un paquete es enrutable o puenteable, una vez que se realizo la comprobación el router determina si la interfaz de entrada tiene una lista de control de acceso, si tiene una lista verifica que cumpla con las condiciones de la misma, si se permite el acceso del paquete se compara con la tabla de enrutamiento para asignarle la interfaz de salida. Una vez asignada la interfaz de salida el router comprueba si en la interfaz destino hay una lista de control de acceso, si no la hay, el paquete es enrutado directamente a la interfaz de destino. La operación de las listas de acceso es de manera secuencial, si una condición logra cumplirse, el paquete se permite o se deniega y las demás sentencias de la lista de control de acceso no se verifican, si esto sucede se impone una sentencia implícita de “denegar cualquiera”, a pesar de que esta sentencia no sea explicita en la ultima línea de una lista de control de acceso, esta ahí.

27


28

Figura 3.2 Diagrama de flujo de Lista de Control de Acceso.

Cuando la primera prueba indica que se ha cumplido con una condición, al paquete se le deniega el acceso al destino, es descartado y se elimina en la papelera de bits y no se le aplican las demás pruebas de lista de control de acceso. Las listas de control de acceso controlan lo que los clientes pueden acceder en la red. Las condiciones de un archivo de listas de control de acceso pueden.

• Descartar hosts para denegar o permitir acceso a ciertas partes de la red. • Denegar u Otorgar permisos a los usuarios de la red para acceder a ciertos

tipos de archivos.


Figura 3.3 Diagrama de flujo de Lista de Control de Acceso

3.2.2. Creación de Listas de Control de Acceso

Los comandos para la creación de listas de control de acceso pueden ser largas cadenas de caracteres. Para la creación de listas de control de acceso se hace mención de algunos puntos clave.

• Las listas de control de acceso se crean usando el modo de configuración global.

• Si se especifica un número de lista de control de acceso del 1 al 99, el

router debe aceptar las sentencias de las listas de control de acceso estándar.

• Al especificar un numero entre el rango del 100 al 199, el router debe

aceptar las sentencias de lista de control de acceso extendidas.

29


• Las listas de control de acceso se deben seleccionar y ordenar lógicamente de forma cuidadosa, se debe especificar los protocolos IP permitidos, los demás protocolos se deben de negar.

• Los protocolos IP que se verificaran se deben de seleccionar, los demás protocolos no se verifican.

3.2.3. Agrupación de Listas de Control de Acceso en Interfaces Cada protocolo tiene su conjunto de reglas especificas que se requiere para proporcionar filtrado de trafico, de manera general la mayoría de los protocolos requieren dos pasos básicos.

I. Crear la definición de control de lista de acceso. II. Aplicar el control de lista de acceso a la interfaz.

Las listas de control de acceso se pueden asignar a una o a varias interfaces y pueden filtrar los paquetes entrantes o salientes, dependiendo de la configuración. Debido a que una lista de control de acceso saliente generalmente son mas eficientes que las entrantes, siempre se prefieren, debido a que un router con una lista de control de acceso entrante debe verificar cada paquete para determinar si cumple con la condición de la lista de acceso antes de conmutar el paquete a una interfaz saliente.

3.2.4. Asignación de un número único a cada Lista de Control de Acceso

Cuando se configura una lista de control de acceso en un router, cada lista de control de acceso se debe identificar de forma exclusiva, asignando un número a lista de control de acceso del protocolo. El número usado para identificar la lista debe de estar dentro del intervalo específico de números validos para el protocolo. Una vez creada la lista de control de acceso numerada, se debe asignar a una interfaz para poder usarla.

3.3. Máscara Wildcard Una máscara Wildcard se define como una cantidad de 32 bits que se divide en cuatro octetos de 8 bits cada uno, se utilizan para generar filtros de direcciones IP. Se utilizan en combinación con una dirección IP En las mascaras Wildcard el bit 0 indica una posición que debe de ser verificada mientras que un bit 1, indica que una posición debe de ser ignorada.

30


La máscara Wildcard se aplica a una dirección IP, los bits ceros y unos se usan para identificar como tratar los bits de la dirección IP correspondientes. Las listas de control de acceso usan mascaras Wildcard para identificar una sola o diversas direcciones para la comprobación de aprobar y denegar, el termino Wildcard significa comodín. Aunque las direcciones IP y las mascaras de subred son cantidades de 32 bits, ambas operan de manera diferente, en las direcciones IP los bits ceros y unos determinan la porción de red, subredes y hosts mientras que en la máscara Wildcard los unos y cero determinan si los bits de la dirección IP correspondiente se deben de verificar o ignorar para los objetivos de la lista de control de acceso.

3.3.1. Funcionamiento de la Máscara Wildcard Para una dirección de clase C ,193.168.100.20, se desea seleccionar únicamente la IP declarada, lo cual quedaría expresada como sigue:

Dirección IP 193.168.100.20 Mascara Wildcard 0.0.0.0

Tabla 3.1 Dirección de clase C Para entender mejor el proceso de selección de la máscara Wildcard es recomendable convertir la dirección IP de formato decimal a binario.

Dirección IP Decimal 193 168 100 20 Binario 11000001 10101000 01100100 00010100

Tabla 3.2 Conversión de dirección IP a binario

Tomando en cuenta que en una máscara Wildcard, el bit 0 implica que se debe verificar el valor de bit que corresponde, el bit 1 significa que esa posición de bit no es tomada en cuenta. En el ejemplo se requiere que se deje pasar solamente la dirección IP 193.168.100.20.

Dirección IP

Decimal 193 168 100 20 Binario 11000001 10101000 01100100 00010100 Mascara

Wildcard

00000000

00000000

00000000

00000000

Tabla 3.3 Máscara Wildcard para la dirección 193.168.100.20

31


La máscara Wildcard en formato decimal quedaría: 0.0.0.0 Dirección IP 193.168.100.20 Mascara Wildcard. 0.0.0.0

Tabla 3.4 Máscara Wildcard formato decimal.

En el siguiente ejemplo se desea restringir a un determinado grupo de hosts con el rango de direcciones IP siguientes. Rango de direcciones Formato Decimal Formato Binario 10.5.21.2 00001010.00000101.00010101.00000010 10.5.21.3 00001010.00000101.00010101.00000011 10.5.21.4 00001010.00000101.00010101.00000100 10.5.21.5 00001010.00000101.00010101.00000101 10.5.21.6 00001010.00000101.00010101.00000110 10.5.21.7 00001010.00000101.00010101.00000111 10.5.21.8 00001010.00000101.00010101.00001000 10.5.21.9 00001010.00000101.00010101.00001001 10.5.21.10 00001010.00000101.00010101.00001010 10.5.21.11 00001010.00000101.00010101.00001011 10.5.21.12 00001010.00000101.00010101.00001100 10.5.21.13 00001010.00000101.00010101.00001101 10.5.21.14 00001010.00000101.00010101.00001110 10.5.21.15 00001010.00000101.00010101.00001111

Tabla 3.5 Direcciones IP en formato decimal y binario.

En el ejemplo se debe usar una máscara Wildcard para permitir el trafico de un determinado grupo de hosts con direcciones IP iniciando en la 10.5.21.2 hasta la 10.5.21.15 cualquier otra IP que no cumpla con las condiciones debe de ser descartada. La máscara Wildcard verifica los 3 primeros octetos, 10.5.21, para el ejemplo, el ultimo octeto debe de cumplir con las condiciones de la máscara Wildcard, para este caso los tres primeros números de la máscara Wildcard son, 0.0.0, significa que forzosamente los tres primeros números de la dirección IP tienen que ser 10.5.21, se observa en la tabla anterior, que para cumplir con la condición de seleccionar un rango determinado de hosts y basándose en el concepto de que un bit cero significa que se debe de verificar el bit correspondiente, un bit 1, significa que se debe ignorar ese bit, usando esta definición, la máscara Wildcard para el ultimo octeto seria 00001111, los cuatro primeros bits pueden formar cualquier combinación, los últimos 4 bits,0000 son relevantes y tienen que ser verificados. La máscara Wildcard para este ejemplo es 0.0.0.15 Se procede a verificar lo anterior tomando una IP dentro del rango.

32


Dirección IP Decimal

10 5 21 11

Mascara Wildcard

0 0 0 15

Dirección IP Binario

00001010 00000101 00010101 00001011

Mascara Wildcard

00000000 00000000 00000000 00001111

Tabla 3.6 Ejemplo de máscara Wildcard.

Se observa que se cumple con la condición establecida por lo tanto es una dirección IP valida. Si se elige una dirección IP fuera del rango como por ejemplo 10.5.21.20. Dirección IP Decimal

10 5 21 20

Mascara Wildcard

0 0 0 15

Dirección IP Binario

00001010 00000101 00010101 00010100

Mascara Wildcard

00000000 00000000 00000000 00001111

Tabla 3.7 Comprobación al ejemplo de máscara Wildcard.

Se puede observar en el ultimo octeto en la máscara Wildcard el bit numero 5 tiene un cero, lo cual dice que es un bit que debe ser verificado y se debe de comparar con el bit correspondiente de la dirección IP, no se cumple la condición.

3.3.2. Any Wildcard. Se pueden usar abreviaturas al trabajar con representaciones decimales de bits Wildcard binarios debido a que tiende a ser una tarea laboriosa. Estas abreviaturas reducen la cantidad de texto que hay que escribir cuando se configuran condiciones de prueba de direcciones, si se desea especificar que una prueba de lista de control de acceso debe permitir cualquier dirección destino, para indicar cualquier dirección IP se debe de introducir 0.0.0.0, luego se debe de indicar que la lista de control de acceso debe ignorar cualquier valor la máscara Wildcard correspondiente para esta dirección debe de ser todos unos, se puede usar la abreviatura any para comunicar la misma condición de prueba, en lugar de escribir 0.0.0.0 255.255.255.255 se puede usar la abreviatura any.

33


3.4. Listas de Control de Acceso Estándar. Las listas de control de acceso estándar se usan cuando se desea bloquear todo el tráfico de una red, permitir el tráfico desde una red específica o denegar conjuntos de protocolo. Las listas de control de acceso estándar comprueban la dirección origen de los paquetes que se deben de enrutar, el resultado permite o deniega el resultado para todo un conjunto de protocolos. Si se permiten los paquetes sale a través de la interfaz, si no se permite se descarta.

Figura 3.4 Procesos de Lista de Acceso Estándar

3.5. Lista de Control de Acceso Extendida Las listas de control de acceso extendida se usan con mas frecuencia para verificar condiciones, ofrecen una cantidad mayor de opciones de control que las listas de control de acceso estándar, las listas de control de acceso extendida comprueban las direcciones origen y destino de los paquetes, verifican protocolos, números de puerto y otros parámetros específicos. Se puede usar una lista de control extendida para permitir el tráfico de la web, pero denegar el protocolo de transferencia de archivos. Como consecuencia esto ofrece mayor facilidad al momento de describir las verificaciones que deberá realizar la lista de control de acceso extendida. Se puede permitir o denegar paquetes dependiendo de su origen o destino. Una lista de control de acceso extendida puede permitir el tráfico de correo electrónico desde una interfaz E0 a destinos S0 específicos y al mismo tiempo denegar conexiones remotas. Una sola lista de control de acceso extendida puede tener múltiples sentencias, cada una de ella debe hacer referencia al mismo nombre o numero de

34


identificación, para dar relación a las sentencias a la misma lista de control de acceso. Se puede establecer cualquier cantidad de sentencias de condición, con la única limitante de la memoria disponible, cuanto mayor sea la cantidad de sentencias establecidas, mayor será la dificultad para administrar la lista de control de acceso, es importante tener una documentación de las listas de control de acceso para evitar confusiones. La lista de control de acceso estándar no ofrece el control del filtrado de tráfico requerido, filtran el tráfico según una dirección y mascara origen, pueden permitir o denegar todo el conjunto de protocolos de Internet, se requiere una forma mas precisa de control de tráfico y acceso. Las listas de control de acceso extendidas se usan para un control mas preciso del trafico, verifican la dirección origen y destino, se obtiene una precisión adicional con un campo que especifica el numero de puerto de protocolo opcional TCP o del protocolo UDP , estos pueden ser números de puertos conocidos para TCP/IP. Las listas de control de acceso extendido usan un número dentro del intervalo del 100 al 199.

3.6. Listas de Control de Acceso Nombradas Las listas de control de acceso nombradas permiten que las listas estándar y extendidas se identifiquen con una cadena alfanumérica en lugar de representación numérica, se usan para eliminar entradas individuales de una lista de control de acceso específica. De esta manera se pueden usar para eliminar entradas individuales de una lista de control de acceso específica, así se facilita modificar una lista de control de acceso sin eliminarlas y luego reconfigurarlas. Las listas de control de acceso nombrado se usan cuando se desea identificar una lista de control de acceso usando un nombre alfanumérico. Hay más de 99 listas de control de acceso simples y 100 extendidas que se deben de configurar en el router para algún protocolo determinado. Antes de implementar una lista de acceso nombrada hay que tener en cuenta que no se puede usar el mismo nombre para múltiples listas de control de acceso.

35


4. RUTEO

4.1. Introducción. En redes, ruteo, es dirigir la información que se quiere transmitir a través de una red desde su origen hasta su destino, eligiendo el mejor camino o la mejor ruta a través de las redes que las separan. Los componentes que conforman el ruteo son las dos partes que se están comunicando, es decir, un equipo origen y uno destino. Para que la comunicación se lleve a cabo, es necesario, que ambas partes tengan los protocolos (reglas de transmisión por red) compatibles entre si para poder crear el vinculo necesario para intercambiar información. El ruteo es una de las funciones más importantes de la capa de red, y consiste en la conducción de paquetes datos desde un host origen a un host destino, el dispositivo físico encargado de hacer este trabajo se llama ruteador, el cual se encarga específicamente en seleccionar y emplear el mejor trayecto o camino para la trasmisión de paquetes dentro de la red.

4.2. Enrutado y Enrutamiento A menudo se produce una confusión entre los términos “protocolo enrutado” y “protocolo de enrutamiento”. Protocolo Enrutado se refiere al protocolo de red que proporciona la información suficiente en su dirección de capa de red para permitir que un paquete se envíe desde un host a otro host, tomando como base el esquema de direccionamiento. Los protocolos enrutados son protocolos que se mueven por la red. Ejemplos de este tipo de protocolos son el TCP/IP (Protocolo para el control de la Transmisión/Protocolo Internet) y el protocolo IPX (Intercambio de paquetes entre redes). Los protocolos de Enrutamiento enrutan protocolos enrutados por una red, es decir, soportan un protocolo enrutado proporcionando mecanismos para compartir la información de enrutamiento. Los mensajes de los protocolos de enrutamiento se desplazan entre los routers. Un protocolo de enrutamiento permite que los routers se comuniquen con otros routers con el objetivo de mantener y actualizar sus tablas de enrutamiento. Ejemplos de protocolos de enrutamiento:

• Protocolo de Información de Enrutamiento (RIP, Router Information Protocol)

• Protocolo de Enrutamiento de Gateway Interior (IGRP, Interior Gateway Routing Protocol)

36


• Protocolo de Enrutamiento de Gateway Interior Mejorado (EIGRP, Enhanced Interior Gateway Routing Protocol)

• Primero la Ruta Libre mas Corta (OSPF, Open Shortest Path First) • Sistema Intermedio a Sistema Intermedio (IS-IS)

4.3. Tipos de Ruteo

4.3.1. Enrutamiento Estático Los protocolos de enrutamiento estático, se refieren, como su nombre lo dice, son conexiones que el administrador de red establece asignaciones de tablas de enrutamiento. Estas asignaciones no cambian a menos que el administrador de red las cambie. Los protocolos que utilizan rutas estáticas son sencillos de diseñar y funcionan bien en entornos donde el tráfico de red es predecible y el diseño de red es sencillo.

4.3.2. Enrutamiento Dinámico Los protocolos de enrutamiento dinámico se ajustan a las circunstancias o necesidades cambiantes de cada red. Esto se logra analizando mensajes de actualización de enrutamiento, significa que el router va averiguando las rutas para llegar al destino por medio de actualizaciones periódicas enviadas desde otros routers.

4.4. Algoritmos de Ruteo Muchos protocolos de ruteo implementan un algoritmo de camino mas corto entre los ruteadores en base a una métrica, como pueden ser “saltos” o nodos atravesados hasta alcanzar el destino, o algún tipo de costo asignado a cada interfaz de red. Según el método usado para calcular el camino más corto o el camino de menor costo, y según la forma de intercambiar la información entre los ruteadores, se distinguen dos tipos de protocolos:

• Vector-Distancia • Enlace de Datos

En los protocolos de Vector-Distancia los enrutadores vecinos intercambian todo el contenido de sus tablas de ruteo periódicamente, actualizando las tablas de cada uno de los ruteadores en base a la información recibida. Ejemplos de protocolos que utilizan este tipo de algoritmos son:

• RIPv1 • RIPv2 • IGRP

37


En los protocolos de Estado de Enlace, cada ruteador informa los costos de cada una de sus interfaces a todos los ruteadores de la red. De esta manera, todos los ruteadores tienen un conocimiento completo de la topología de la red, y pueden poner en marcha localmente un algoritmo de camino más corto o de menor costo para determinar el contenido de sus propias tablas de ruteo. Ejemplos de protocolos que utilizan este tipo de algoritmos son:

• OSPF • IS-IS

En la tabla 6.1 se puede observar una comparación entre los protocolos Vector-Distancia y Enlace de Datos.

Vector-Distancia Enlace de Datos Visualiza la topología de red des de la

perspectiva del vecino. Obtiene una visión común de toda la

topología de la red. Agrega vectores de distancia de router

a router. Calcula la ruta mas corta hacia los otros

routers. Sus actualizaciones frecuentes y periódicas, por consiguiente convergencia lenta.

Sus actualizaciones son activadas por eventos. Convergencia más rápida.

Usa el número de saltos como métrica. Usa la ruta mas corta. Envía copias de las tablas de enrutamiento hacia los routers vecinos.

Envía actualizaciones de enrutamiento de estado de enlace hacia los otros routers.

Es susceptible a bucles de enrutamiento.

No es susceptible a bucles de enrutamiento.

Fácil de configurar y administrar. Más difícil de configurar. Consume gran ancho de banda. Consume menos ancho de banda.

Requiere más memoria y potencia de procesamiento.

Tabla 4.1 Comparación de enrutamientos Vector-Distancia y Enlace de Datos.

4.5. Protocolos De Ruteo Las tareas de un protocolo de ruteo son la creación de la tabla de ruteo (usando un algoritmo de ruteo), el mantenimiento y actualización de esas tablas y la selección del siguiente ruteador el cual el cual envía el paquete de datos. Para esta tarea se requiere que los ruteadores intercambien información acerca del estado de la red. En el ambiente TCP/IP se utilizan los siguientes protocolos de ruteo:

• RIPv1 y RIPv2 (Routing Information Protocol) • OSPF(Open Shortest Path First) • IGRP (Interior Gateway Routing Protocol)

38


• EIGRP (Enhanced Interior Gateway Routing Protocol) • EGP (Exterior Gateway Protocol)

RIP (Routing Information Protocol) RIP es un protocolo que utiliza algoritmos de Vector-Distancia, con métrica de “saltos”, cantidad de routers que se encuentra en el camino hasta alcanzar la red destino. El protocolo de información de routers mantienen una tabla de ruteo para cada destino vecino, estas tablas contienen el próximo salto y la distancia. Periódicamente se envían actualizaciones de rutas a sus routers vecinos con toda la información de destinos y distancias que conoce. Cuando recibe una actualización de un router vecino, para cada destino que aparezca en la actualización, suma el costo recibido con el costo del enlace hacia el router vecino, si obtiene una distancia menor o igual a la que ya tenia para ese destino, retiene la nueva distancia. Para representar una distancia infinita utiliza 16 saltos, cuando una entrada llega a tener una distancia de 16 el destino se considera inaccesible y se descarta. Esto limita el tamaño de una red a 15 saltos. Si no se reciben actualizaciones de una determinada ruta por un cierto tiempo, normalmente es de 120 segundos también conocido como tiempo de “recolección de basura” (garbage collection), se da de baja la ruta. Cuando un ruteador recibe una actualización y descubre una mejor ruta para un determinado destino, actualiza su tabla de ruteo y envía un paquete de actualización. Con RIP los ruteadores solamente mantienen la mejor ruta para un determinado destino. Además también utiliza el mecanismo “horizonte dividido” para evitar los bucles de enrutamiento. RIP utiliza temporizadores de espera para evitar los bucles de enrutamiento, la opción por defecto es de 180 segundos. El tiempo de actualización de las tablas de ruteo es de 30 segundos. RIP utiliza el algoritmo Bellman-Ford para calcular la mejor ruta. RIP determina como la mejor ruta o trayectoria a aquella que tiene el menor número de saltos para alcanzar al host destino, aun si el canal de transmisión no es el mas idóneo o apropiado para esta trayectoria.

39


Figura 4.1 Ejemplo de la forma de trabajar del protocolo RIP.

Por lo tanto RIP siempre elegirá la ruta Router A – Router B para conectar el host del router A con el host del router B, en lugar de tomar la ruta Router A–Router C–Router B, la cual es mejor debido a su ancho de banda de 2.048 Mbps.

4.5.1. RIP

4.5.1.1. RIP v1 Versión 1 del protocolo de información de ruteo, no soporta mascaras de subred de longitud variable (VLSM) o sin clase (CIDR). Esta versión envía las actualizaciones en broadcast a 255.255.255.255. Para cada destino se almacena al menos la siguiente información:

• La dirección de red destino. • La métrica (cantidad de saltos) para llegar a él. • La dirección de red del próximo salto. • Banderas para indicar el estado de actualización. • Temporizadores.

El router conoce las subredes que están conectadas directamente a el, es decir que estas rutas se publican a los routers que están conectados directamente.

4.5.1.2. RIP v2 El protocolo de información de enrutamiento versión 2, es una versión mejorada de RIPv1. Esta versión es capaz de transmitir la mascara de subred junto con la ruta, esto para poder habilitar VLSM, proporciona autenticación, es decir, puede usar texto sin cifrar y también cifrado MD5. Un router puede publicar una ruta y dirigir a cualquier oyente aun router que tenga una ruta mejor en la misma subred. Puede pasar la información sobre rutas

40


aprendidas desde una fuente externa y redistribuirlas a RIP, esto se usa para separar las rutas RIP de las rutas aprendidas externamente. Proporciona actualizaciones de enrutamiento multicast, es decir, envía las actualizaciones a la dirección clase D 224.0.0.9, esto reduce el procesamiento, lo que lo hace más eficiente. Por compatibilidad, si recibe un mensaje RIPv1 responde con el mismo formato (RIPv1), a menos que se configure específicamente “no responder mensajes RIPv1”.

RIP v1 RIP v2

Fácil de configurar. Fácil de configurar.

Admite protocolos de enrutamiento con clase.

Admite el uso de enrutamiento sin clase.

No incluye información de subred en la actualización de enrutamiento.

Envía información de mascara de subred con las actualizaciones de enrutamiento.

No admite el enrutamiento por prefijo, de manera que todos los dispositivos en al misma red deben tener la misma mascara de subred.

Admite el enrutamiento por prefijo con VLSM, de manera que las distintas subredes dentro de la misma red pueden tener diferentes mascaras de subred.

No permite la autenticación en actualizaciones.

Ofrece autenticación en las actualizaciones.

Envía broadcast usando la dirección 255.255.255.255

Envía las actualizaciones por medio de una dirección multicast clase D 224.0.0.9, lo que lo hace más eficiente.

Tabla 4.2 Comparación entre los protocolos RIPv1 y RIPv2.

4.5.1.3. Configuración de RIP. Este comando define el protocolo de enrutamiento a utilizar, en este caso nos referimos al protocolo RIP.

Router (config) # router rip

Al habilitar el ruteo RIP, por defecto utiliza la versión 1, para indicar que se va a utilizar otra versión, se usa el siguiente comando.

41


Router (config) # versión 2 Con este comando indicamos que redes se encuentran conectadas físicamente, a las que se les envía las actualizaciones.

Router (config-router) # network <network-number>

4.5.2. OSPF (Open Shortest Path First) Primero la ruta más Corta (versión abierta) es un protocolo de enrutamiento interior, en la actualidad es el mas usado, principalmente cuando se interconectan equipos de diferentes fabricantes. Es un protocolo que surgió para emplearse en los sistemas autónomos de Internet. OSPF es un protocolo de estado de enlace, adecuado para ruteo interno en redes chicas, pero se puede utilizar en redes de mayor tamaño si se divide en áreas y así utilizar ruteo jerárquico. Los protocolos por enlace de datos manejan tres tablas por separado:

• Información de los vecinos con los cuales se intercambia información. • Información de toda la red, sobre esta tabla se corre un algoritmo de

Dijkstra de camino mas corto, para obtener la tabla de ruteo. • Tabla de ruteo.

A diferencia de los protocolos por Vector-Distancia las actualizaciones se envían solamente cuando se modifica el estado de un enlace. OSPF tiene las ventajas de tener una mayor estabilidad, mejor velocidad de convergencia, etc. OSPF comienza por obtener la topología de redes, ruteadores y líneas en una base de datos dirigida por costos asignados teniendo en cuenta la distancia, retardo, costo en dinero, calculando los caminos de menor costo entre todos los ruteadores. Los costos se determinan administrativamente, si no se los fija, OSPF determina el costo según la velocidad del enlace. Tipos de ruta para operar:

• Rutas Intra-área: el ruteador conoce los caminos más cortos a todos los otros ruteadores del área.

• Rutas Inter-área: impuestas por una topología en estrella con centro en el backbone.

• Rutas Inter-AS: rutas para pasar de un sistema autónomo a otro. Tipos de ruteadores

42


• Ruteadores Internos: operan dentro de un área. • Ruteadores de Borde: conectan dos o más áreas. • Ruteadores de Backbone: operan dentro del backbone. • Ruteadores de Borde de AS: conectan ruteadores en otros sistemas

autónomos. Un ruteador puede pertenecer a más de una categoría, todos los ruteadores de borde pertenecen al backbone, un ruteador de backbone puede ser interno al backbone.

4.5.2.1. Terminología. Anuncio de estado de enlace (LSA, Link State Advertisement): paquete que contiene información del estado de enlace e información de ruteo, intercambiada entre ruteadores OSPF.

Área: una colección de redes y routers que tienen la misma identificación de área, cada router dentro de un área tienen la misma información de estado de enlace.

Router Designado (DR, Designated Router): cuando un ruteador OSPF está en una red, para evitar tomar adyacencias todos contra todos se elige un DR y un BDR (Back Designated Router, Router Designado de Respaldo) y se forman adyacencias solo con estos routers designados.

Enlace (Link): sinónimo de interfaz.

Base de Datos Topológica: una lista de información acerca de todos los demás routers en una red.

Costo: valor designado a un enlace, asignado en base al ancho de banda del enlace o la velocidad de transmisión.

Tabla de Enrutamiento: también se denomina base de datos de envió, se genera cuando un algoritmo se ejecuta en una base de datos de estado de enlace. Es único.

Base de Datos de Adyacencia: lista de todos los routers vecinos con los que un router ha establecido comunicación bidireccional. Exclusivo en cada router.

4.5.2.2. Operación de OSPF La forma normal de operación de los router es inundando la red con mensajes “Link State Update”, actualización de estado del enlace, indicando su propio estado y los costos de enlaces existentes en su base de datos topológica. Estos

43


mensajes son confirmados por mensajes “Link State Ack”, confirmación de estado del enlace, estos mensajes usan números de secuencia para saber si aportan información nueva. Los router envían información cuando ocurre un evento, por ejemplo cuando se cambian los costos o se levanta una línea. Los mensajes “Database Description” informan todos los números de secuencia de las entradas disponibles en el emisor, permite saber al receptor saber quien tiene la información mas reciente. Cualquier ruteador puede pedir información de estado de enlace a sus socios emitiendo mensajes “Link State Request”.

Tipos de Mensaje Descripción Hello Para descubrir quienes son

vecinos. Link State Update Provee los costos desde el

emisor hacia sus vecinos. Link State Ack Confirma actualización de

estado de enlace. Database Description Anuncia actualizaciones

disponibles en el emisor. Link State Request Pedido de información a un

socio.

Tabla 4.3 Tipos de mensajes utilizados por OSPF. En la capa de red del modelo OSI los paquetes hello del protocolo OSPF se transmiten utilizando la dirección multicast clase D 224.0.0.5, a esta misma dirección va información acerca de los DR y BDR seleccionados. El intercambio de información mediante LSA’s se hace utilizando la dirección multicast 224.0.0.6. En redes multiacceso de broadcast y punto a punto por defecto los paquetes hello se transmiten cada 10 segundos, en redes multiacceso sin broadcast el intervalo es de 30 segundos. Los paquetes dead, por defecto, son cuatro veces el valor del intervalo de tiempo de los paquetes hello.

44


Ventajas Desventajas • Tiempos de convergencia

rápidos, dado que el origen afectado anuncia los cambios inmediatamente.

• Ofrece solidez contra los bucles de enrutamiento.

• Los routers conocen la topología.• Los paquetes de estado de

enlace se secuencian y se calcula su tiempo de existencia.

• La base de datos de estado de enlace se puede minimizar al diseñar la red con cuidado.

• Impone demandas significativas sobre los recursos de memoria y procesamiento.

• Requiere un diseño de red muy estricto.

• Requiere un administrador de red experto.

• La inundación inicial puede reducir el desempeño de la red.

Tabla 4.4 Ventajas y desventajas del enrutamiento de estado de enlace.

4.5.2.3. Configuración de OSPF Este comando habilita el ruteo por medio del protocolo OSPF, el ID de proceso es un número que se utiliza para identificar un proceso de enrutamiento, el número de proceso puede ser de 1-65535.

Router (config) # router ospf <process-id>

Con este comando se indica la red conectada, cada red se debe identificar con un área a la cual pertenece, puede ser una red, subred o interfaz. La máscara Wildcard representa el conjunto de direcciones de host que admite el segmento.

Router (config-router) # network <address wildcard-mask> area <area-id>

45


5. IMPLEMENTACIÓN DE LA SEGURIDAD LÓGICA EN EL ENLACE ENTRE RH1 Y SERVIDOR FTP.

5.1. Situación Actual de la Empresa.

5.1.1. Empresa INMEX INMEX: Dedicada a prestar servicios de la construcción, creación de los planos, preparación de terrenos y asesoramiento en la compra-venta de bienes y raíces. La empresa INMEX cuenta con tres servidores de servicios y aplicaciones los cuales son SERVIDOR WEB, FTP, SISTEMAS estos brindan los servicios y aplicaciones que la empresa determina para cada departamento. INMEX cuenta con cuatro gerencias como son:

• Gerencia general. • Gerencia técnica. • Gerencia comercial. • Gerencia administrativa y finanzas.

Estas a su vez se encuentran divididas en sub áreas. Gerencia técnica:

• Planificación. • Mantenimiento. • Operaciones.

Gerencia comercial:

• Cartera y cobranzas. • Servicio al cliente.

Gerencia administrativa y finanzas.

• Recursos humanos. • Liquidación. • Contabilidad. • Presupuesto. • Almacén.

El organigrama de la empresa INMEX se encuentra en el anexo A, figura 1.

46


En la empresa denominada INMEX, la gerencia general es el departamento responsable de la determinación de los objetivos a alcanzar, así como la estrategia a seguir y de los medios necesarios para lograrlos. Establece las pautas para obtener y usar los recursos de la empresa conforme a un plan, coordina y controla las operaciones de acuerdo al plan previsto. Gerencia administrativa y de finanzas La gerencia administrativa y de finanzas tiene a su cargo los departamentos de recursos humanos, liquidación, contabilidad, presupuesto y almacén, es en esta área donde se consigue y se conserva el grupo humano cuyas características vayan de a acuerdo con los objetivos de la empresa a través de programas de reclutamiento, selección, capacitación, donde se obtienen los recursos y fondos que se utilizan para el funcionamiento de la empresa, procurando disponer de medios económicos para cada uno de los departamentos, con el objetivo de que puedan funcionar adecuadamente. Gerencia técnica. La gerencia técnica se encuentra formada por los siguientes departamentos: planificación, mantenimiento y operaciones. Planea y dirige las actividades de servicio al cliente, orientadas a lograr la plena satisfacción del mismo, vigilando la observancia de políticas y normas establecidas. Gerencia comercial La gerencia comercial se encarga de los nuevos desafíos comerciales que enfrentan las empresas, brinda un conjunto de herramientas que permiten a los ejecutivos sistematizar sus procesos de toma de decisiones comerciales. Desarrollan habilidades para cuantificar las oportunidades comerciales y tomar decisiones fundadas relacionadas con los nuevos rumbos de la organización Genera actitud positiva al cambio y explora oportunidades de innovación aplicadas a su propia realidad. Permite identificar nuevos caminos de desarrollo comercial para la empresa y sus directivos.

5.2. Configuración actual de la red En este momento, se cuenta con una red mediante la cual se comparten los recursos de hardware y software con los que cuenta la empresa, tales como impresoras, faxes, escáneres e información entre usuarios. Esta red está conformada por diez computadoras, de las cuales, tres funcionan como servidores uno de web, ftp, sistemas, dos destinadas ala gerencia de administrativa y de finanzas, dos ala gerencia técnica y tres a la gerencia comercial, ver anexo B figura 1. Cada gerencia esta distribuida en diferentes áreas se cuenta con tres edificios los cuales están interconectados por medio de redes MAN.

47


En una de las oficinas tenemos ubicada la gerencia general en donde esta ubicado el director, gerente general, tenemos ubicados los servidores de acceso WEB, FTP y SISTEMAS, el cual se encuentra ubicado en la zona sur. En la zona oriente de la republica se encuentran ubicadas dos oficinas mas, de donde la primer oficina se ubicada la gerencia administrativa y finanzas, y la gerencia técnica, la cual cuenta cada una con dos computadoras por medio de las cuales van a poder acceder a los servicios y aplicaciones que son permitidos para cada gerencia. Finalmente en la segunda oficina tenemos ubicada la gerencia comercial que cuenta con tres computadoras las cuales van a tener acceso únicamente al servidor WEB. La gerencia Administrativa y Finanzas, la cual es la responsable de calcular el pago de la nómina a los trabajadores, necesita de las funciones proporcionadas por el servidor, como es el acceso a la base de datos con la plantilla de los trabajadores. Es aquí donde se encuentra toda la información necesaria para determinar el monto del pago de cada trabajador. El tipo de red actualmente utilizados es interna, además, todas las computadoras están conectadas a un switch central, lo que les permite tener conectividad entre los diferentes departamentos y con el servidor. Para la empresa INMEX, una de las operaciones más significativas que se tienen que llevar a cabo es el pago de nómina, como se había mencionado anteriormente, el cual actualmente es realizado por personal de la empresa. Esta tarea requiere de un tiempo considerable de ejecución con el total de trabajadores con los que cuenta la empresa actualmente. Para la propuesta de solución al problema planteado en la empresa INMEX, solamente se considerarán Las tres principales gerencias, ya que en estas se realizan las operaciones más importantes dentro de la misma.

5.3. .Referencia al Estudio Previo Como resultado de un estudio realizado en la empresa, se determinó que la manera más factible para procesar la información necesaria en el cálculo del pago de la nómina, es la implementación de un acceso restringido ala base de datos en el servidor de ftp por medio del cual se pueden obtener los datos necesarios para llevar a cabo el calculo y pago de la nomina de la misma, una de las soluciones es la contratación de una empresa consultora externa que programe el acceso restringido a los servidores que proporcione los servicios y aplicaciones que cada una de las gerencias necesite.

48


La consultora proporcionará la programación de las instrucciones necesarias para restringir el acceso de algunos de los usuarios a los servidores porque alguno de los empleados puede utilizar información de la empresa para beneficio personal.

5.4. Solución al problema Para llevar a cabo la conexión de las gerencias con los servidores de INMEX, es necesario contar con un router, se sugiere un router CISCO de la serie 2600, ver anexo B figura 2, mismo que tendrá que ser adquirido por la empresa. El objetivo del router es permitir utilizar una ruta determinada, para llevar a cabo la conexión entre los tres servidores y las tres gerencias. Otras de las ventajas de utilizar routers es la seguridad, ya que permite el aislamiento del tráfico. El flujo de datos entre las gerencias de la empresa estará aislado del flujo de datos entre el servidor utilizado para procesar la información de pago de la nómina. La flexibilidad proporcionada por el uso del router, permitirá que ante un crecimiento futuro o cambio de la topología de la red, esta no se vea afectada en su funcionamiento. Los routers permiten utilizar algoritmos de encaminamiento, ayudando a descongestionar el tráfico encaminando el flujo de información hacia las rutas menos congestionadas. La nueva distribución de la red de la empresa INMEX, se describe a continuación: El router que esta conectado a un switch pricipal que tiene conectados los tres servidores, será nombrado ”SW SERVICIOS”, un router que nos proporciona el enlace entre las tres gerencias será nombrado “NORTE”, el cual a su vez esta conectado a dos switches, uno para el segundo edificio y otro al tercer edificio, cada edificio cuenta con un switch especifico que les proporciona la conexión de las gerencias. Como requerimiento de seguridad se debe establecer una contraseña al router, de esta manera se garantizará que el router no podrá sufrir modificaciones por parte de un usuario no autorizado. La red actual entre las gerencias no sufrirá cambio alguno, el switch utilizado es un CISCO CATALYST 2950-24, ver anexo B figura 3. El switch a su vez quedara conectado a la interfaz F1/0 del router, con la dirección 192.10.50.1 con una máscara de 24 bits, se decidió utilizar la máscara de 24 bits previendo un crecimiento futuro de la red. Las direcciones asignadas a los hosts de las diferentes gerencias son las siguientes:

• General: 192.10.10.0/24 • Técnica: 192.10.50.0/24 • Comercial: 192.10.100.0/24 • Administrativa y Finanzas: 192.10.50.0/24

La dirección de red conformada por la red entre el switch y los hosts de los departamentos es: 192.10.50.0/24 y 192.10.100.0/24, se decidió utilizar la máscara de 24 bits previendo un crecimiento futuro de la red.

49


El servidor utilizado para almacenar la información de la nómina de los trabajadores, será accesible por la red interna únicamente, limitando que la red interna no sea accesible a través del servidor de la empresa externa. Este servidor será identificado con el nombre de “SW SERVICIOS”, el cual estará conectado a la interfaz F0/0 a través de la red 192.10.10.0/24, con la dirección de la interfaz F0/0 es 192.10.10.1.

5.5. Configuración del Enlace Serial Para realizar el enlace serial se determinó la dirección de red 192.168.40.0/24 con una máscara de 24 bits, debido a que se está estableciendo un enlace entre dos puntos, con la finalidad de no desperdiciar direcciones posibles. Se estableció el router SUR como el DCE del enlace, otorgándole un clock rate de 125000 bits por segundo. La dirección de la interfaz S0/0 es 192.168.40.2/30. El router utilizado será un CISCO de la serie 2600. El nombre asignado a este router es “NORTE”. Dado que el router SUR fue configurado como DCE, queda implícito que este router le corresponde ser DTE del enlace. Para lograr la conexión entre los servidores WEB, FTP y SISTEMAS, es necesario utilizar ruteo rip y mediante listas de control de acceso limitar el acceso entre las pc’s y los servidores. La transferencia de la información entre el servidor FTP que proporciona información de la base de datos para llevar acabo el calculo de la nomina es por medio del protocolo de transferencia FTP. El protocolo FTP es recomendable para transferir archivos de un tamaño considerable o para subir un gran número de archivos. Se podrán arrastrar grupos de archivos o incluso carpetas, si el proceso de carga se interrumpe en un momento dado, FTP permite retomarlo hasta donde se había quedado.

5.6. Configuración del router SUR Accesando al modo de usuario privilegiado con el comando enable, y mediante el comando hostname se le asigna el nombre de SUR al router de la empresa INMEX. Se establece la contraseña “******” para restringir el acceso de usuarios no autorizados y de esta manera evitar un cambio no deseado en la configuración del mismo. El establecimiento de la contraseña se realiza mediante el comando enable secret. Refiérase al Anexo B, figura 4.

Posteriormente se asignan direcciones IP’s a las interfaces del router que serán utilizadas. Para la interfaz F0/1, que es la interfaz a la cual estará conectada la red donde se encuentran los servidores se le asigna la dirección 192.10.10.1/24, como ya se había mencionado anteriormente. Esta asignación se realiza por medio de la sentencia ip address, dentro de la interfaz F0/1. De ser necesario se “levanta” la

50


interfaz mediante el comando no shutdown. Refiérase al Anexo B, figura 5. La interfaz F0/1 del switch será conectada esta interfaz. Las direcciones para las computadoras de las gerencias fueron mencionadas anteriormente. Para conocer la configuración de cada computadora refiérase al Anexo C, tabla 1. Las interfaces del switch que fueron utilizadas para la conexión de las computadoras fueron:

• Fasthethernet 1/1, 2/1: para la Gerencia Administración y finanzas. • Fasthethernet 3/1,9/1: para la Gerencia Tecnica. • Fasthethernet 1/1,2/1,3/1: para la Gerencia Comercial.

La configuración de las direcciones IP de las computadoras se muestra en el anexo C, tabla 1. El SERVIDOR FTP está conectado a la interfaz F0/0. La dirección asignada es 192.10.10.1/24, como fue mencionado anteriormente. Para asignar dicha dirección es necesario entrar a la interfaz mediante el comando interface fastethernet 0/0, configurar la dirección IP mediante el comando ip address y una vez mas, de ser necesario, levantar la interfaz por medio de la sentencia no shutdown. Refiérase al anexo B, figura 5 La configuración de la dirección IP, máscara de subred y default Gateway es de manera similar a la configuración de las computadoras de las gerencias. Diríjase al Anexo B, figura 6. La configuración del enlace serial se describe de la siguiente manera. Entrar al modo de configuración para poder accesar a la interfaz S2/0 con el comando interface serial 2/0. Asignar la dirección 192.168.40.2/24 a esta interfaz y para establecer la interfaz como DCE es necesario configurar el clock rate de 125000 bps, mediante la instrucción clock rate 125000. ver Anexo B, figura7. Una vez que se han configurado las interfaces del router, se procede a establecer el tipo de ruteo a utilizar. Para nuestro caso, se utilizará el protocolo de ruteo RIP ya que este protocolo permite el subneteo. La sentencia utilizada para este propósito, en el modo de configuración, es router rip y dentro de la configuración del router. A continuación se establece cada una de las redes conectadas directamente a cada una de las interfaces del router SUR, las direcciones de red son:

• Serial: 192.168.40.2 • F0/0: 192.10.10.1

Esto se realiza mediante la instrucción network a.b.c.d., donde las letras representan cada uno de los octetos que componen a la red. Refiérase al Anexo B, figura 8.

51


5.7. Configuración de router NORTE De la misma forma en que se realizo la configuración inicial del router SUR, se configura el nombre y la contraseña del router NORTE, por medio de las sentencias mencionadas anteriormente. Ver Anexo B, figura 9. También se configura la interfaz S2/0 del router NORTE. Entrar a la interfaz S2/0 y asignarle la dirección 192.168.40.1, automáticamente se “levanta” esta interfaz y la interfaz S0 del router SUR estableciendo el enlace entre los routers. Ver Anexo B, figura 10. Se continúa con la configuración del switch de las gerencias. Entrar a la interfaz F0/0 del router asignándole la dirección 192.10.100.1/24, de ser necesario “levantar” la interfaz, ver Anexo B, figura 11. También para la interfaz F1/0 asignándole la dirección 192.10.50.1/24 y “levantar” la interfaz, ver Anexo B, figura 12 Para la configuración de las pcs con los switches se deben de asignar dos subnets que son 192.10.50.0/24 y 192.10.100.0/24, establecer la máscara de 24 bits y el default-Gateway determinado. Ver Anexo B figuras 13 y 14. De igual manera, ya teniendo las interfaces del router configuradas, es necesario establecer el protocolo de ruteo en el router, el cual será el mismo que en el router SUR, rip. Ver Anexo B, figura 15. Para las redes siguientes:

• S2/0: 192.168.40.1 • F0/0: 192.10.100.1 • F0/1: 192.10.50.1

Hasta este punto todas las computadoras pueden “verse”, es decir, no existen restricciones de conectividad, por lo que es necesario establecer una lista de acceso que permita tener limitaciones entre los usuarios y los servidores. Ver anexo B, figura 16.

5.8. Listas de Control de Acceso (ACL) Esta claro que la restricción de conectividad será establecida en el router SUR, debido a que se requiere proteger la red de la empresa INMEX, limitando la conexión entre los servidores y las pcs de los empleados. Se utilizarán listas de acceso; una extendida para controlar el tráfico proveniente de NORTE, permitiendo la comunicación mediante el protocolo FTP únicamente entre SERVIDOR FTP y la pc RH1. El tipo de lista de acceso extendida permite controlar el origen y el destino de los paquetes de información. Para crear la lista de acceso, es necesario ingresar al modo de configuración. La sentencia utilizada es access-list 100(esto nos indica que se refiere a una lista de acceso extendida) permit tcp (se está permitiendo el uso del protocolo TCP) host de origen (192.10.50.1) host destino (192.10.10.3) y se hace referencia al puerto que se desea permitir, en este caso, sería el puerto 21, que es el protocolo FTP. De esta manera, se permite el tráfico de información entre la Gerencia de Administración y finanzas y el SERVIDOR FTP, denegando el acceso desde

52


cualquier otra gerencia. Por default se deniegan los tipos de conexión que no sean admitidos por las sentencias utilizadas (deny any any). En este caso también se permitió el uso de WEB únicamente de las demás gerencias para que puedan tener acceso a una intranet en la cual se levantan pedidos, incidencias, facturas. El establecimiento de la lista de acceso extendida tendrá lugar en la interfaz serial 2/0 del router SUR debido a que es aquí donde se desea controlar el tráfico hacia SERVIDOR DE FTP. La forma de configurar lo anterior se describe a continuación. Entrar a la interfaz Serial S 2/0 del router SUR y escribir ip access-group 100 in. Refiérase al anexo B, figura 17. Es importante hacer hincapié en utilizar la lista de acceso como salida, ya que esto nos permitirá controlar el tráfico proveniente del router NORTE y de las gerencias. De esta manera se establecen las restricciones necesarias para que solo entre el servidor FTP y el host RH1 puedan tener conectividad, denegando el acceso a los demás host.

5.9. Descripción de la red después de la Solución Implementada A continuación se presenta la descripción de la distribución física de la red, con la nueva configuración como consecuencia del establecimiento de la acl extendida. La red interna de la empresa INMEX, representada por las computadoras de las gerencias, quedan conectadas a las interfaces de dos switches, con los que contaba la empresa. Las direcciones de las computadoras son: 192.168.50.2, 192.168.50.3, 192.168.50.4, 192.168.50.5, 192.10.100.2, 192.10.100.3 y 192.168.100.4 con máscara de 24 bits. Este a su vez, se encuentra conectada a la interfaz F0 y F1 del router NORTE, lo que permite tener un acceso controlado hacia la misma. De esta manera se aísla el flujo de datos, reduciendo el tráfico en la red, puesto que la el mayor flujo de información se procesará ahora desde el enlace de los servidores. El SERVIDOR DE FTP, tiene asignada la dirección 192.10.10.3 con máscara de 24 bits, conectado a la interfaz F0/0. del router SUR puede ser accesado desde cualquier computadora de la red de la empresa. Se estableció un enlace con serial entre ambos routers. Al serial del router SUR, se le asignó la dirección 192.168.40.2 con máscara de 24 bits, esto con el propósito de no desperdiciar direcciones IP en este enlace, ya que solamente se trata de una conexión punto a punto. Al serial del router NORTE, se le asignó la dirección 192.168.40.1 con máscara de 24 bits, por la misma razón mencionada. El ruteo implementado en ambos routers, fue RIP, ya que este protocolo permite el conocer diferentes redes conectadas a cada uno de los routers. Las redes conectadas directamente a las interfaces del router SUR son:

• 192.168.40.2 • 192.10.10.1

Las redes conectadas directamente a las interfaces del router NORTE son: • 192.168.40.1 • 192.10.100.1

53


• 192.10.50.1 Las listas de accesos permiten tener un filtro entre los hosts que se desea tengan acceso a los servidores. La lista de acceso utilizada es una extendida. La lista extendida permite tener un control entre la dirección origen y la dirección destino. La lista estándar permite tener control en el tráfico de origen. El protocolo utilizado para la comunicación entre los servidores, es FTP, habilitando el puerto 21, debido a que nos permite tener un mejor manejo de la información. En la sección de anexos se presenta el esquema que representa el enlace entre los dos routers y la forma en que se distribuyen las computadoras conectadas a cada servidor, ver Anexo B, figura 18.

5.10. Prueba de Validación La validación de la configuración de las listas de acceso, en el router SUR. Las pruebas de validación en el router SUR se llevaron a cabo con el propósito de comprobar que la configuración de la lista de acceso operan de manera correcta, según la configuración establecida. Primero se comprobó la conectividad entre las gerencias y los servidores, por medio de paquetes FTP, que es el objetivo principal de las listas de acceso. Para ello, primero se comprobó que hubiera conectividad del SERVIDOR DE FTP al host RH1, de la misma manera se comprobó que la conectividad existiera en sentido contrario, es decir, de RH1 al SERVIDOR DE FTP, en ambos sentidos se logró la conectividad, como se puede observar en la figura 19 del Anexo B. Para estar seguros de la efectividad de las listas de acceso, se hicieron otras pruebas con paquetes FTP, según los comandos la conectividad solo debe existir entre estos hosts, por ello, se trató de obtener conexión entre el HOST PC5 y el SERVIDOR FTP, como se puede ver en la figura 19, Anexo B. estas conexiones no se pudieron llevar a cabo. Por último se debe comprobar la existencia de conectividad entre SERVIDOR DE FTP y el host RH1 de la gerencia de Administración y Finanzas solamente, esto es, que ningún otro departamento se pueda conectar con SERVIDOR DE FTP, la conectividad se comprobó a través de paquetes ICMP. También se comprobó que ninguna otra maquina que forme parte de la red, pueda tener acceso a cualquier maquina de la red de la empresa INMEX. Estas últimas pruebas se muestran en la figura 19, Anexo B.

5.11. Conclusión Como resultado de un estudio previo se determinó que para la empresa INMEX, la mejor opción que podía adquirir era únicamente contratando una consultoría que le proporcionara las configuraciones necesarias en sus equipos con los que contaba.

54


Y por lo tanto, poder restringir el acceso a la información que es valiosa para la empresa. Ya que no fue necesaria la adquisición de equipo de computo muy sofisticado ni costoso únicamente con la propia restricción lógica del flujo de información por medio de una ACL. Con la ACL se logro implementar procedimientos de seguridad y acceso lógico en la red de la empresa INMEX, además de lograr controlar e implementar el tráfico hacia la red de los servidores.

55


6. ANEXO A

Tabla A.1 Direcciones IP

Clase Formato (r=red, h=host)

Número de redes

Número de hosts por red

Rango de direcciones de redes

Máscara de subred

A r.h.h.h 128 16.777.214 0.0.0.0 - 127.0.0.0 255.0.0.0

B r.r.h.h 16.384 65.534 128.0.0.0 - 191.255.0.0 255.255.0.0

C r.r.r.h 2.097.152 254 192.0.0.0 - 223.255.255.0

255.255.255.0

D grupo - - 224.0.0.0 - 239.255.255.255

-

E no válidas - - 240.0.0.0 - 255.255.255.255

-

Clase Rango de direcciones reservadas de redes A 10.0.0.0

B 172.16.0.0 - 172.31.0.0

C 192.168.0.0 - 192.168.255.0

Figura A.2 Direcciones Reservadas

Máscara de subred

Binario Número de subredes

Núm. de hosts por subred

Ejemplos de subredes (x=a.b.c por ejemplo, 192.168.1)

255.255.255.0 00000000 1 254 x.0

255.255.255.128 10000000 2 126 x.0, x.128

255.255.255.192 11000000 4 62 x.0, x.64, x.128, x.192

255.255.255.224 11100000 8 30 x.0, x.32, x.64, x.96, x.128, ...

255.255.255.240 11110000 16 14 x.0, x.16, x.32, x.48, x.64, ...

255.255.255.248 11111000 32 6 x.0, x.8, x.16, x.24, x.32, x.40, ...

255.255.255.252 11111100 64 2 x.0, x.4, x.8, x.12, x.16, x.20, ...

255.255.255.254 11111110 128 0 ninguna posible

255.255.255.255 11111111 256 0 ninguna posible

Tabla A.3 División Clase C

56


57

Dirección

Gerencia General

Gerencia Técnica

Gerencia Comercial

Gerencia Administrativa y

Finanzas

Planificación Cartera y Cobranzas

Recursos Humanos

Mantenimiento Liquidación Servicio al Cliente

Operaciones Contabilidad

Presupuesto

Almacén

Figura.1 Organigrama de la Empresa INMEX


7. Anexo B

Tabla. B.1 Acls más comunes

Tabla B.2 Tabla de Puertos Comunes

58


59

Tabla B.3 Parámetros de Acls Extendidas


Figura 1. Configuración Inicial de la Empresa INMEX

Figura 2. Imagen del Router CISCO 2621

Figura 3. Imagen del Switch CISCO 2950-24

60


61

Figura 4. Configuración inicial del router SUR.

Figura 5. Configuración de la interfaz fa 0/0

Figura 6. Configuración de la computadora Servidor FTP de la Gerencia General.

Figura 7. Configuración de la interfaz Serial Ser 2/0 del Router SUR.


Figura 8. Configuración del protocolo de ruteo ripv2

Figura 9. Configuración inicial del router NORTE

Figura 10. Configuración de la interfaz Serial Ser 2/0 del Router NORTE

Figura 11. Configuración de la interfaz Fa 0/0 del Router NORTE

62


63

Figura 12. Configuración de la interfaz Fa 1/0 del Router NORTE

Figura 13. Configuración de la computadora RH1 de la Gerencia de Administración y finanzas.

Figura 14. Configuración de la computadora PC5 de la Gerencia Comercial.


Figura 15. Configuración del protocolo de ruteo ripv2

Figura 16. Comprobación del ruteo entre todos los usuarios de ambas gerencias.

Figura 17. Configuración de la lista de acceso extendida en el router SUR.

64


Figura 18. Configuración Final de la Red.

Figura 19. Validación de la configuración de las listas de acceso hacia el Servidor FTP.

65


8. Anexo C

GERENCIA HOST DIRECCION IP MASCARA DEFAULT GATEWAY

Sistemas 192.10.10.2 255.255.255.0 192.10.10.1 Servidor FTP 192.10.10.3 255.255.255.0 192.10.10.1 General Servidor WEB 192.10.10.4 255.255.255.0 192.10.10.1

RH1 192.10.50.2 255.255.255.0 192.10.50.1 Administrativa Y Finanzas RH2 192.10.50.3 255.255.255.0 192.10.50.1

PC8 192.10.50.4 255.255.255.0 192.10.50.1 Técnica PC9 192.10.50.5 255.255.255.0 192.10.50.1 PC5 192.10.100.2 255.255.255.0 192.10.100.1 PC4 192.10.100.3 255.255.255.0 192.10.100.1 Comercial PC3 192.10.100.4 255.255.255.0 192.10.100.1

Tabla 1. Asignación de dirección IP, máscara y default Gateway de las computadoras para cada gerencia.

66


9. ÍNDICE DE TABLAS Y FIGURAS Capitulo 1: Introducción a las Redes Figura 1.1. Topología de Bus. 6 Figura 1.2. Topología de Anillo. 7 Figura 1.3. Topología de Estrella. 7 Figura 1.4. Topología de Estrella Extendida. 7 Figura 1.5. Topología de Estrella. 8 Figura 1.6 Clasificación de las redes por su escalabilidad. 9 Figura 1.7 Capas del modelo OSI y del TCP/IP. 13 Capitulo 2: TCP/IP Figura 2.1 El modelo TCP/IP permite que millones de computadora se comuniquen a nivel mundial a través del Internet. 14

Figura 2.2. Arquitectura de TCP/IP. 15 Figura 2.3. Las direcciones representan y muestran el concepto de agrupación de direcciones. Se utiliza la letra A y B para identificar la secuencia de red y de números para identificar al host individual.

20

Figura 2.4. Una dirección IP es un número de 32 bits. 21 Figura 2.5. Notación decimal y binaria de una dirección IP. 21 Figura 2.6. Direcciones de red y de host. 22 Figura 2.7. División Jerárquica. 22 Tabla 2.1. Tabla de Ejemplo de división en subredes. 23 Tabla 2.2. Tabla comparativa de número de redes y host de las diferentes clases de direcciones IP. 24

Figura 2.8. Ejemplo de división en subredes. 25 Tabla 2.3. Tabla representativa de subneteo en una dirección IP. 26 Capítulo 3: Listas de Control de Acceso Figura 3.1 Implementación de Listas de Control de Acceso 29 Figura 3.2 Diagrama de flujo de Lista de Control de Acceso 31 Figura 3.3 Diagrama de flujo de Lista de Control de Acceso 32 Tabla 3.1 Dirección de clase C 34 Tabla 3.2 Conversión de dirección IP a binario 34 Tabla 3.3 Máscara Wildcard para la dirección 193.168.100.20 34 Tabla 4.4 Máscara Wildcard formato decimal 35 Tabla 3.5 Direcciones IP en formato decimal y binario. 35 Tabla 3.6 Ejemplo de máscara wildcard 36 Tabla 3.7 Comprobación al ejemplo de máscara wildcard 36 Figura 3.4 Procesos de Lista de Acceso Estándar 37

Capitulo 4: Ruteo Tabla 4.1 Comparación de enrutamientos Vector-Distancia y Enlace de Datos 41

67


Figura 4.1 Ejemplo de la forma de trabajar del protocolo RIP. 43 Tabla 4.2 Comparación entre los protocolos RIPv1 y RIPv2 44 Tabla 4.3 Tipos de mensajes utilizados por OSPF 47 Tabla 4.4 Ventajas y desventajas del enrutamiento de estado de enlace 48

Tablas e Imágenes de los Anexos Tabla A.1 Direcciones IP 59 Figura A.2 Direcciones Reservadas 59 Tabla A.3 Division de Clase C 59 Figura 1. Organigrama de la empresa INMEX. 60 Tabla B.1 ACLS mas comunes 61 Tabla B.2 Tabla de puertos comunes 61 Tabla B.3 Parametros de Acls Extendidas 62 Figura 1. Configuración inicial de la red de la empresa INMEX. 63 Figura 2. Imagen del router CISCO2621 63 Figura 3. Imagen del switch CISCO2950-24 63 Figura 4. Configuración inicial del router SUR. 64 Figura 5. Configuración de la interfaz Fa 0/0. 64 Figura 6. Configuración de la computadora Servidor FTP de la Gerencia General. 64

Figura 7. Configuración de la interfaz Serial Ser 2/0 del router SUR. 64 Figura 8. Configuración del protocolo de ruteo ripv2 65 Figura 9. Configuración inicial del router NORTE 65 Figura 10. Configuración de la interfaz Serial Ser 2/0 del router NORTE 65 Figura 11. Configuración de la interfaz Fa 0/0 del router NORTE 65 Figura 12. Configuración de la interfaz Fa 1/0 del router NORTE 66 Figura 13. Configuración de la computadora RH1 de la Gerencia de Administración y Finanzas 66

Figura 14. Configuración de la computadora PC5 de la gerencia comercial 66 Figura 15. Configuración del protocolo de ruteo ripv2, en el router NORTE 67 Figura 16. Comprobación de ruteo entre los usuarios de ambas gerencias 67 Figura 17. configuración de la lista de Acceso Extendida en el router SUR 67 Figura 18. Configuración Final de la Red. 68 Figura 19. Validación de la configuración de las listas de acceso hacia el Servidor FTP. 68

Tabla 1. Asignación de dirección IP, máscara y default Gateway de las computadoras para cada gerencia. 69

68


10. GLOSARIO ACK Acknowledgement, Acuse de recibo, es una técnica que garantiza la entrega confiable de corrientes de datos, requiere un receptor que se comunica con el origen, enviando un mensaje de acuse de recibo una vez que recibe los datos. ACL Access Control List, Lista de control de acceso, colección secuencial de sentencias de permiso o rechazo que se aplican a direcciones o protocolos de capa superior, las hay estándar y extendida. ARP Address Resolution Protocol. Protocolo de resolución de direcciones, es un protocolo de nivel de red responsable de encontrar la dirección hardware que corresponde a una determinada dirección IP. ATM Asynchronous Transfer Mode, Modo de Transferencia Asíncrona, tecnología de telecomunicación desarrollada para hacer frente a la gran demanda de capacidad de transmisión para servicios y aplicaciones. BACKBONE Enlace de gran caudal o una serie de nodos de conexión que forman un eje de conexión principal. Es la columna vertebral de una red. BGP Border Gateway Protocol, Protocolo de Gateway Fronterizo, intercambia información de enrutamiento entre sistemas autónomos a la vez que garantiza una elección de rutas libres de loops, toma decisiones de enrutamiento basándose en políticas de la red. BRIDGE Puente Dispositivo de interconexión de redes de computadoras que opera en la cada 2 del modelo OSI, trabaja en base a la dirección física del destino de cada paquete. BROADCAST Difusión, modo de transmisión de información en donde una computadora emisora envía información a una multitud de nodos receptores al mismo tiempo. CHECKSUM Suma de Verificación, es una forma simple de proteger la integridad de datos, verificando que no hayan sido corrompidos, consiste en sumar cada uno de los componentes básicos de un sistema almacenar el valor del resultado, posteriormente se realiza el mismo procedimiento y se compara el resultado con el valor almacenado, si ambas sumas concuerdan se asume que los datos probablemente no han sido corrompidos. CIDR Classless Inter-Domain Routing, Encaminamiento Inter-Dominios sin Clases, representa la última mejora en el modo como se interpretan las direcciones IP. Su

69


introducción permitió una mayor flexibilidad al dividir rangos de direcciones IP en redes separadas. CLOCK RATE Frecuencia de reloj es la frecuencia de la señal de reloj que es enviada a todos los dispositivos para sincronizar la operación de los mismos. CSMA/CD Carrier Sense Multiple Access/Carrier Detection, Acceso Múltiple con Escucha de Portadora y Detección de Colisiones, significa que se utiliza un medio de acceso múltiple y que la estación que desea emitir previamente escucha el canal antes de emitir. DATAGRAMA Fragmento de paquete que es enviado con la suficiente información como para que la red pueda simplemente encaminar el fragmento hacia el DTE receptor, de manera independiente a los fragmentos restantes. DCE Data circuit-terminating equipment, Equipo para comunicación de datos o de terminación de circuitos. Por lo general un modem, es un dispositivo que establece una sesión en una red. DHCP Dynamic Host Configuration Protocol, es un protocolo de red que permite a los nodos de una red IP obtener sus parámetros de configuración automáticamente. DNS Domain Name System, es una base de datos distribuida y jerárquica que almacena información asociada a nombres de dominio en redes como Internet. DTE Data Terminal Equipment, Equipo Terminal de datos, componente del circuito de datos que hace de fuente o destino de la información. EGP Exterior Gateway Protocol, Protocolo de Gateway Exterior, protocolo que emplea vecinos exteriores para difundir la información de accesibilidad a otros sistemas autónomos. FIREWALL Router o servidor de acceso, o varios routers o servidores de acceso, designados para funcionar como búfer entre redes de conexión pública y una red privada. Un router de firewall utiliza listas de acceso y otros métodos para garantizar la seguridad de la red privada. FIRMWARE Instrucciones de software establecidas de forma permanente o semipermanente en la ROM. FLOODINGTécnica de transmisión de tráfico utilizada por switches y puentes, en la cual el tráfico recibido por una interfaz se envía a todas las interfaces de ese dispositivo, salvo a la interfaz desde la cual se recibió originalmente la información. FTP

70


File Transfer Protocol, Protocolo de transferencia de archivos, utilizado para transferir archivos entre nodos de red. GATEWAY En la comunidad IP, término antiguo que se refiere a un dispositivo de enrutamiento. Actualmente, el término router se utiliza para describir nodos que desempeñan esta función, y gateway se refiere a un dispositivo especial que realiza conversión de capa de aplicación de la información de una pila de protocolo a otro. GATEWAY DE ÚLTIMO RECURSO Router al cual se envían todos los paquetes no enrutables. HUB En general, dispositivo que sirve como centro de una topología en estrella. También denominado repetidor multipuerto. ICMP Internet Control Message Protocol, Protocolo de mensajes de control en Internet, Protocolo Internet de capa de red que informa errores y brinda información relativa al procesamiento de paquetes IP. IGP Interior Gateway Protocol , protocolo de pasarela interno, hace referencia a los protocolos usados dentro de un sistema autónomo. IMAP Internet Message Access Protocol, es un protocolo de red de acceso a mensajes electrónicos almacenados en un servidor. Mediante IMAP se puede tener acceso al correo electrónico desde cualquier equipo que tenga una conexión a Internet. IP Internet Protocol,Es un número que identifica de manera lógica y jerárquica a una interfaz de un dispositivo IP V6 La función de la dirección IPv6 es exactamente la misma a su predecesor IPv4, pero dentro del protocolo IPv6. Está compuesta por 8 segmentos de 2 bytes cada uno, que suman un total de 128 bits, el equivalente a unos 3.4x1038 hosts direccionables. La ventaja con respecto a la dirección IPv4 es obvia en cuanto a su capacidad de direccionamiento. IPX Internetwork Packet Exchange, Intercambio de paquetes internet, protocolo de nivel de red de Netware. Se utiliza para transferir datos entre el servidor y los programas de las estaciones de trabajo. Los datos se transmiten en datagramas. ISDN Red Digital de Servicios Integrados, una red que procede por evolución de la Red Digital Integrada (RDI) y que facilita conexiones digitales extremo a extremo para proporcionar una amplia gama de servicios, tanto de voz como de otros tipos, y a la que los usuarios acceden a través de un conjunto de interfaces normalizados. ISP Internet Service Provider, Proveedor de servicios de Internet, empresa dedicada a conectar a Internet a los usuarios o las distintas redes que tengan, y dar el

71


mantenimiento necesario para que el acceso funcione correctamente. También ofrecen servicios relacionados, como alojamiento web o registro de dominios entre otros. LATENCIA Retardo entre el momento en que un dispositivo solicita acceso a una red y el momento en que se le concede el permiso para transmitir. MÁSCARA DE DIRECCIÓN Combinación de bits utilizada para describir cuál es la porción de una dirección que se refiere a la red o subred y cuál es la que se refiere al host. A veces se llama simplemente máscara MÁSCARA DE SUBRED Máscara utilizada para extraer información de red y subred de la dirección IP. MÁSCARA WILDCARD Cantidad de 32 bits que se utiliza junto con una dirección IP para determinar qué bits en una dirección IP deben ser ignorados cuando se compara dicha dirección con otra dirección IP. Una máscara wildcard se especifica al configurar una ACL. MÉTRICA DE ENRUTAMIENTO Método mediante el cual un protocolo de enrutamiento determina que una ruta es mejor que otra. NOS Sistema operativo de red, sistema operativo utilizado para hacer funcionar una red, como, por ejemplo, NetWare de Novell y Windows NT. NÚMERO DE SALTOS Métrica de enrutamiento utilizada para medir la distancia entre un origen y un destino. RIP utiliza el número de saltos como su métrica exclusiva. NVRAM RAM no volátil, memoria RAM que conserva su contenido cuando se apaga una unidad. PAP Protocolo de Autenticación de Contraseña , protocolo de autenticación que permite que los PPP iguales se autentiquen entre sí. PAPELERA DE BITS Destino de los bits descartados, según lo determine el router. PBX Central telefónica privada, conmutador de un teléfono analógico o digital ubicado en las instalaciones del suscriptor y que se usa para conectar redes telefónicas privadas y públicas. PDU

érmino OSI equivalente a paquete. Unidad de datos de protocolo, tPING Mensaje de eco ICMP y su respuesta. A menudo se usa en redes IP para probar el alcance de un dispositivo de red.POP

72


Punto de presencia, punto de interconexión entre las instalaciones de comunicación suministradas por la compañía telefónica y el servicio de distribución principal del edificio. PPP Protocolo Punto a Punto, sucesor del SLIP, un protocolo que suministra conexiones router a router y host a red a través de circuitos síncronos y asíncronos. RARP Protocolo de Resolución Inversa de Dirección, protocolo en la pila TCP/ IP que brinda un método para encontrar direcciones IP con base en las direcciones MAC. RIP Routing Information Protocol, Protocolo de información de encaminamiento) Es un protocolo de puerta de enlace interna o IGP utilizado por los routers, aunque también pueden actuar en equipos, para intercambiar información acerca de redes IP hay RIP version 1 y RIP version 2 ROUTER Dispositivo de hardware para interconexión de redes de las computadoras que opera en la capa tres. SERVIDOR DE EMPRESA Servidor que soporta a todos los usuarios en una red, ofreciendo servicios como correo electrónico o Sistema de Denominación de Dominio (DNS). Comparar con servidor de grupo de trabajo. SERVIDOR DE GRUPO DE TRABAJO Servidor que soporta un conjunto específico de usuarios y ofrece servicios tales como procesamiento de texto y compartir archivos, que son servicios que sólo algunos grupos de personas necesitan. Comparar con servidor de empresa. SERVIDOR DE NOMBRE Servidor conectado a una red que resuelve nombres de red en direcciones de red. TCP Protocolo de Control de Transmisión, Protocolo de capa de transporte orientado a conexión que provee una transmisión confiable de datos de dúplex completo. TCP es parte de la pila de protocolo TCP/IP. TCP/IP Protocolo de Control de Transmisión /Protocolo Internet Nombre común para el conjunto de protocolos desarrollados por el DoD de EE.UU. en los años ’70 para promover el desarrollo de internetwork de redes a nivel mundial. TCP e IP son los dos protocolos más conocidos del conjunto. TELNET Protocolo de emulación de terminal estándar de la pila de protocolo TCP/IP. Telnet se usa para la conexión de terminales remotas, permitiendo que los usuarios se registren en sistemas remotos y utilicen los recursos como si estuvieran conectados a un sistema local. TFTP Protocolo de Transferencia de Archivos Trivial, versión simplificada de FTP que permite la transferencia de archivos de un computador a otro a través de una red.

73


TIEMPO DE CONEXIÓN DE LLAMADA Tiempo requerido para establecer una llamada conmutada entre dispositivos DTE. UDP Protocolo de Datagrama de Usuario, protocolo no orientado a conexión de la capa de transporte de la pila de protocolo TCP/IP. UDP es un protocolo simple que intercambia datagramas sin confirmación o garantía de entrega y que requiere que el procesamiento de errores y las retransmisiones sean manejados por otros protocolos. UDP se define en la RFC 768 X.25 Estándar UIT-T que define la manera en que las conexiones entre los DTE y DCE se mantienen para el acceso a la terminal remota y las comunicaciones en computadores en las redes de datos públicas. Frame Relay ha reemplazado en cierta medida a X.25.

74


11. BIBLIOGRAFÍA

• Academia de Networking de Cisco Systems. Guía del segundo año. Segunda Edición, Pearson Educación 2002.

• Alonso, José Miguel. Protocolos de comunicaciones para sistemas abiertos.

Argentina, Addison-Wesley Iberoamericana, 1996.

• Freer, John. Introducción a la tecnología y diseño de sistemas de comunicaciones y redes de ordenadores. Madrid: Anaya Multimedia, S.A., 1995.

• Tanenbaum, Andrew S: Redes de Computadoras, 3ª Ed. Prentice-Hall.

• Semestres del CCNA (Cisco Certified Network Associate) V. 2.1.2

• CCNA (Cisco Certified Network Associate): Principios básicos de conmutación y enrutamiento intermedio V. 3.1

75

INGENIERO EN COMPUTACION INGENIERO EN …

Documents