Colegio
Nacional de Educación Profesional.
|
Alumnas: Joselyne Esquivel Carmona
Maria Hortensia Munguia Romero
Diana Laura Piña Cruz
Módulo: Manejo de Redes
Profesora: Enedina Hernandez Rodriguez
Especialidad: P.T.B Informática
Grupo: 6206
MANEJO
DE REDES
UNIDAD I
Implementación de dispositivos de redes
inalámbricas
A)
identificación de la infraestructura de redes inalámbricas
1.- Estándares
de LAN inalámbricas
·
802.11a
·
802.11b
·
802.11g
·
802.11n
2.- Componentes
de las LAN inalámbricas
·
no
inalámbricas
·
antenas
·
punto
de acceso (Access Point)
·
router
inalámbrico
·
cliente
inalámbrico
·
bridge
inalámbrico
3.- Topologías
inalámbricas
·
Ad-Hoc
·
infraestructura
B) Configuración
de acceso a una WLAN
1.- Configuración de punto de acceso
1.- Configuración de punto de acceso
·
descripción
general
·
configuración
de parámetros inalámbricos
·
buscando
los SSID
2.- Configuración de las NIC
inalámbricas en los host
3.- Configuración de los clientes inalámbrico
4.- Configuración de Ad-Hoc de un cliente
5. Configuración de modo infraestructura
1.2.- Configuración de parámetros en los dispositivos de redes inalámbricas
A) Identificación de amenazas comunes a la seguridad inalámbrica
1.- Acceso no autorizado
2.- Puntos de acceso no autorizados
3.- Ataques man-in-the-middle
4.- De negación de servicio
B) Configuracion de parámetros para el establecimiento de la seguridad y protección de los dispositivos inalambricos
1.- Descripción general
2.- Autentificación
3.- Encriptación
4.- Control de acceso
C) Identificación de procedimientos para la resolución de problemas relacionados con las redes inalámbricas.
1.- Problemas con el radio de acceso.
2.- Problemas con el Firmware del ap.
3.- Problemas con la autentificación y la encriptación.
3.- Configuración de los clientes inalámbrico
4.- Configuración de Ad-Hoc de un cliente
5. Configuración de modo infraestructura
1.2.- Configuración de parámetros en los dispositivos de redes inalámbricas
A) Identificación de amenazas comunes a la seguridad inalámbrica
1.- Acceso no autorizado
2.- Puntos de acceso no autorizados
3.- Ataques man-in-the-middle
4.- De negación de servicio
B) Configuracion de parámetros para el establecimiento de la seguridad y protección de los dispositivos inalambricos
1.- Descripción general
2.- Autentificación
3.- Encriptación
4.- Control de acceso
C) Identificación de procedimientos para la resolución de problemas relacionados con las redes inalámbricas.
1.- Problemas con el radio de acceso.
2.- Problemas con el Firmware del ap.
3.- Problemas con la autentificación y la encriptación.
UNIDAD II
Implementación de dispositivos de ruteo y
conmutación de red
2.1.- Configurar los servicios de conectividad en los dispositivos de ruteo y conmutación de una red LAN Ethernet
A) Ejecución de comandos del IOS
B) Configuración básica de dispositivos de red
C) Verificación de la conectividad
2.2.1.- Configurar los servicion integrados en dispositivos de ruteo y conmutación basados en el IOS
A) Configuración de un router
B) Configuración de un switch
UNIDAD III
Administracion de redes de área local virtual
3.1.- Creacion de la VLAN
A) Identificacion de elementos de la VLAN
B) Configuracion de la VLAN
C) Administración de VLAN
3.2.- Protocolos de enlaces troncales
A) Identificación de conceptos VTP
3.3.- Conectividad de las VLAN2"S
UNIDAD I
IDENTIFICACIÓN DE LA INFRAESTRUCTURA DE
REDES INALÁMBRICAS
Estándares
de las redes inalámbricas
802.11ª
Fue ratificada en 1999. El estándar 802.11a utiliza el mismo juego de
protocolos de base que el estándar original, opera en la banda de 5Ghz y
utiliza 52 subportadoras (OFDM) con una velocidad máxima de 54 Mbit/s, lo que
lo hace un estándar práctico para redes inalámbricas con velocidades reales de
aproximadamente 20 Mbit/s. La velocidad de datos se reduce a 1000, 48, 36, 24,
18, 12, 9 o 6 Mbit/s en caso necesario. 802.11a tiene 12 canales sin solapa, 8
para red inalámbrica y 4 para conexiones punto a punto. No puede interoperar
con equipos del estándar 802.11b, excepto si se dispone de equipos que
implementen ambos estándares.
Dado que la banda de 2.4 Ghz tiene gran uso (pues es la misma banda usada por los teléfonos inalámbricos y los hornos de microondas, entre otros aparatos), el utilizar la banda de 5 GHz representa una ventaja del estándar 802.11a, dado que se presentan menos interferencias. Sin embargo, la utilización de esta banda también tiene sus desventajas, dado que restringe el uso de los equipos 802.11a a únicamente puntos en línea de vista, con lo que se hace necesario la instalación de un mayor número de puntos de acceso; Esto significa también que los equipos que trabajan con este estándar no pueden penetrar tan lejos como los del estándar 802.11b dado que sus ondas son más fácilmente absorbidas
Dado que la banda de 2.4 Ghz tiene gran uso (pues es la misma banda usada por los teléfonos inalámbricos y los hornos de microondas, entre otros aparatos), el utilizar la banda de 5 GHz representa una ventaja del estándar 802.11a, dado que se presentan menos interferencias. Sin embargo, la utilización de esta banda también tiene sus desventajas, dado que restringe el uso de los equipos 802.11a a únicamente puntos en línea de vista, con lo que se hace necesario la instalación de un mayor número de puntos de acceso; Esto significa también que los equipos que trabajan con este estándar no pueden penetrar tan lejos como los del estándar 802.11b dado que sus ondas son más fácilmente absorbidas
802.11b.
Del estándar original fue ratificada en 1999. 802.11b tiene una velocidad máxima de transmisión de 11
Mbit/s y utiliza el mismo método de acceso definido en el estándar original CSMA/CA. El estándar 802.11b funciona en la banda de 2.4 GHz.
Debido al espacio ocupado por la codificación del protocolo CSMA/CA, en la
práctica, la velocidad máxima de transmisión con este estándar es de
aproximadamente 5.9 Mbit/s sobre TCP y 7.1 Mbit/s sobre UDP.
802.11g
En junio de 2003, se
ratificó un tercer estándar de modulación: 802.11g. Que es la evolución del
estándar 802.11b, Este utiliza la banda de 2.4 Ghz (al igual que el estándar
802.11b) pero opera a una velocidad teórica máxima de 54 Mbit/s, que en
promedio es de 22.0 Mbit/s de velocidad real de transferencia, similar a la del
estándar 802.11a. Es compatible con el estándar b y utiliza las mismas frecuencias.
Buena parte del proceso de diseño del estándar lo tomó el hacer compatibles los
dos estándares. Sin embargo, en redes bajo el estándar g la presencia de nodos
bajo el estándar b reduce significativamente la velocidad de transmisión. Los
equipos que trabajan bajo el estándar 802.11g llegaron al mercado muy
rápidamente, incluso antes de su ratificación que fue dada aprox. el 20 de
junio del 2003. Esto se debió en parte a que para construir equipos bajo este
nuevo estándar se podían adaptar los ya diseñados para el estándar b.
802.11n
En enero de 2004, el IEEE anunció la formación de un grupo de trabajo 802.11 (Tgn)
para desarrollar una nueva revisión del estándar 802.11. La velocidad real de
transmisión podría llegar a los 600 Mbps (lo que significa que las velocidades
teóricas de transmisión serían aún mayores), y debería ser hasta 10 veces más
rápida que una red bajo los estándares 802.11a y 802.11g, y unas 40 veces más
rápida que una red bajo el estándar 802.11b. También se espera que el alcance
de operación de las redes sea mayor con este nuevo estándar gracias a la
tecnología MIMO
Múltiple Input – Múltiple Output, que permite utilizar
varios canales a la vez para enviar y recibir datos gracias a la incorporación
de varias antenas (3). Existen también otras propuestas alternativas que podrán
ser consideradas. El estándar ya está redactado, y se viene implantando desde
2008. A principios de 2007 se aprobó el segundo boceto del estándar.
Anteriormente ya había dispositivos adelantados al protocolo y que ofrecían de
forma no oficial este estándar (con la promesa de actualizaciones para cumplir
el estándar cuando el definitivo estuviera implantado). Ha sufrido una serie de
retrasos y el último lo lleva hasta noviembre de 2009. Habiéndose aprobado en
enero de 2009 el proyecto 7.0 y que va por buen camino para cumplir las fechas
señaladas.2 A
diferencia de las otras versiones de Wi-Fi, 802.11n puede trabajar en dos
bandas de frecuencias: 2,4 GHz (la que emplean 802.11b y 802.11g) y 5 GHz (la
que usa 802.11a). Gracias a ello, 802.11n es compatible con dispositivos
basados en todas las ediciones anteriores de Wi-Fi. Además, es útil que trabaje
en la banda de 5 GHz, ya que está menos congestionada y en 802.11n permite
alcanzar un mayor rendimiento.
ANTENA
Dispositivo que sirve para transmitir y
recibir ondas de radio, este convierte la onda guiada por la línea de transmisión
(el cable o guía de onda) en ondas electromagnéticas que se pueden transmitir
por el espacio libre.
Así mismo dependiendo de su forma de orientación, pueden
captar diferentes frecuencias, así; como niveles de intensidad.
Sus generalidades son:
Convertir los datos en ondas EM (electro Magnéticas).
Posiblemente el dispositivo más importante de la red.
Sus tipos son:
Omnidireccionales que son las que se encargan de un lugar grande disparciendose por pareja en 360° para ambos y estas sean iguales.
Omnidireccionales que son las que se encargan de un lugar grande disparciendose por pareja en 360° para ambos y estas sean iguales.
Las Direccionales donde su conexión es punto a punto.
Sectoriales en esta hacen la mezcla de las dos primeras
antenas las Direccionales y las Omnidireccionales. Estas antenas son más
costosas.
Access Point
Es un punto de acceso inalámbrico en redes (WAP o AP)
Wireless Access Points de computadoras.
Dispositivo que interconecta dispositivos de comunicación inalámbrica para formar una red inalámbrica. Tienen direcciones IP asignadas para poder configurarse. Además son los encargados de crear una red.
Dispositivo que interconecta dispositivos de comunicación inalámbrica para formar una red inalámbrica. Tienen direcciones IP asignadas para poder configurarse. Además son los encargados de crear una red.
El punto de acceso recibe la información la almacena y la
transmite entre WLAN (wireless LAN) y la LAN cableada a 30Mts.
Su velocidad máxima de transferencia es de 11Mbps.
Sus
tipos son: modo Bridge, modo Root y modo Repeate.
Router Inalámbrico
Dispositivo de hardware para interconexión de red de ordenadores. (Cable o ADSL).
Direccionador, ruteador o encaminador. Opera en la capa de tres (nivel de RED) del modelo OSI. Es un dispositivo para la interconexión de redes informáticas permite asegurar el enrutamiento de paquetes entre redes o determinar la mejor ruta que debe tomar este paquete de datos. La tecnología que cuenta es basada en ondas de radio y sus tipos son alambrico e Inalámbrico.
Bridge Inalámbrico
(Puente Inalámbrico) Componente de hardware utilizado
para conectar 2 o más segmentos de red.
Conecta dos tipos de protocolos diferentes y los modos de
repetidor retransmiten el mismo tipo de protocolo. Conecta los dos segmentos en
red como una sola red usando el mismo protocolo de establecimiento de la red.
Este es compatible con el estándar 802.11g.
Sus tipos son:
Locales estos se encargan de enlazar directamente las dos
redes físicamente cercanas.
Remotos estas son conectadas en pareja enlazando dos o más
redes locales formando una red de área extensa.
Cliente Inalámbrico
Sistema que se comunica con un punto de acceso.
Esta tiene un dispositivo que permite interconectarse a un periférico central. Tarjeta de Red Inalámbrica.
Aquí se muestra el mapa conceptual de la información recabada.
TOPOLOGÍA INALÁMBRICA
Ad-hoc:
También conocida como "MANET (Mobile Ad_hoc
Networks)"; el propósito de Ad-hoc es proporcionar flexibilidad y
autonomía aprovechando los principios de auto-organización.
Una red móvil Ad-hoc es una red formada sin ninguna
administración central o no hay un nodo central, sino que cuenta de nodos
móviles que utilizan una interface inalámbrica para enviar paquetes de datos.
Los dispositivos Ad-hoc pueden también retransmitir tráfico
entre dispositivos (computadoras) que estén fura de su alcance.
Dispone de un identificador único para cada uno de esas
conversaciones con una dirección "MAC" de 48 bits.
En el caso de estas redes este número "MAC" es
generado por el adaptador inalámbrico; Cuando es activado el adaptador
inalámbrico o "wireless " primero pasa a un estado de
"escucha" en el cual durante unos 6segundos está buscando por todos
los canales para encuentra alguna "conversación" activa.
Topología inalámbrica e infraestructura:
Infraestructura (BSS). Contrario al modo Ad-hoc donde no hay un
elemento central, en el modo infraestructura hay un elemento de de
"coordinación"; un punto de acceso o estación base. Si el punto de
acceso se conecta a una red Ethernet cableado los clientes inalámbricos pueden
acceder a la red fija a través del punto de acceso. Para interconectar muchos
puntos de acceso y clientes inalámbricos, todos deben configurarse con el mismo
SSID.
En redes IEEE 802.11 el modo de infraestructura es conocido como
conjunto de servicios básicos (BSS "BAsi Service Set") o maestro y
cliente.
CONFIGURACIÓN DE ACCESO WLAN.
Configuración del Punto de Acceso
Conecte su
computadora directamente usando un cable de red al dispositivo
Ubiquiti para configurarlo como un Punto de Acceso, para hacer esto primero
debe ingresar a la interfaz de usuario Web.
Nota: Necesita tener su computadora
configurada con una dirección IP de la misma sub-red del dispositivo AirOS para
acceder a este. Por defecto, los dispositivos AirOS tienen la dirección
IP/máscara de sub-red: 192.168.1.20/255.255.255.0, puede asignarle a su
computadora una dirección IP como esta:192.168.1.1/255.255.255.0.
Consulte esta guía para más información.
- Vaya a la pestaña de Configuraciones inalámbricas (Wireless en AirOS v5 o superior)
- Fije los siguientes parámetros:
Modo inalámbrico
(Wireless Mode): Access Point
v SSID: su
SSID (o cualquier otro nombre para identificar su red inalámbrica)
v Código
de país (Country Code): Seleccione su país en la lista
v Modo
IEEE 802.11 (IEEE 802.11 Mode): B/G mixed (si su AP es un dispositivo
Ubiquiti 802.11bg operando en la banda 2.4GHz) o B/G/N mixed (Si su
dispositivo AP es de la serie M).
Ancho del canal (Channel Width): 20MHz
v Canal
(Channel): 1 - 2412MHz (o algún otro canal libre que desee utilizar)
v Potencia
de salida (Output Power): 17dBm (o la potencia de salida que estime
conveniente. Le sugerimos activar la función de Obey Regulatory
Power para no exceder la potencia máxima permitida por las autoridades de
su país).
v Tasa de
datos (Data Rate), Mbps: MCS-7 65 (Si tiene un dispositivo Ubiquiti
de la línea M 1x1) o 54 (si tiene un dispositivo 802.11A/BG). Y
active la opción de Auto.
v Seguridad
(Security): WPA (o algún otro método de seguridad soportando por sus
clientes de red. Es altamente recomendable no utilizar WEP, ya que es un
sistema muy débil).
v "Llave
WPA" (WPA Preshared Key): la contraseña de su red (esta es la
clave secreta para acceder a su red inalámbrica, como mínimo debe contener 8
caracteres ASCII y como máximo 63 caracteres).
v Presione
el botón Cambiar (Change)
v Presione el
botón Aplicar (Apply) para confirmar la nueva configuración (o
presione Descartar (Discard) para rechazar los cambios).
Nota: Le sugerimos fijar la seguridad
inalámbrica sólo después de que esté seguro que sus clientes inalámbricos
podrán conectarse a su punto de acceso.
Nota: Algunos clientes inalámbricos
antiguos no soportan seguridad inalámbrica WPA o WPA2.
v En la
pestaña de Red (Network), fije los siguientes parámetros:
v Modo de
red (Network Mode): Bridge
v Dirección
IP (IP Address): 10.10.10.253
v Máscara
de red (Netmask): 255.255.255.0
v Puerta
de enlace (Gateway IP): 10.10.10.254
v Servidor
DNS primario (Primary DNS IP): 10.10.10.254 (o el servidor DNS que le
provee su Proveedor de Internet, ISP)
v Servidor
DNS secundario (Secondary DNS IP): lo mismo que en servidor DNS primario .
v Presione Cambiar (Change).
v Presione
el botón Aplicar (Apply) para confirmar la nueva configuración (o
presione Descartar (Discard) para rechazar los cambios).
v Ahora
los dispositivos serán alcanzables en la nueva dirección IP10.10.10.254.
v Recuerda
asignarle su computadora una IP de la sub-red 10.10.10.x (por ejemplo:
10.10.10.200/255.255.255.0)
Descripción general de la configuración
del punto de acceso inalámbrico
Transmite a todos los dispositivos dentro del BSS. Por lo tanto todos
los dispositivos en el BSS saben que el canal solicitado está ahora en uso. Una
vez que la conversación se completa, el dispositivo que solicitó el canal envía
otro mensaje, conocido como acuse de recibo (ACK, Acknowledgement), a un AP. El
ACK indica al AP que el canal puede liberarse. Este mensaje se transmite a
todos los dispositivos dentro de la WLAN. Todos los dispositivos dentro del BSS
reciben ACK y saben que el canal está nuevamente disponible
1.- Colocarse dentro de rango de conectividad inalámbrica o Punto de Acceso (AP)
2.- Tener la tarjeta de res previamente instalada y configurada.
3.- Seleccionar la red a la cual se desee conectar e introducir la clave WEP o contraseña
1.- Colocarse dentro de rango de conectividad inalámbrica o Punto de Acceso (AP)
2.- Tener la tarjeta de res previamente instalada y configurada.
3.- Seleccionar la red a la cual se desee conectar e introducir la clave WEP o contraseña
Configuración de los parámetros
inalámbricos básicos
Configuración de los parámetros
inalámbricos del dispositivo WET610N
La administración de los parámetros
inalámbricos del dispositivo WET610N se puede llevar a cabo en la página de
configuración basada en web.
Una vez en la página de configuración
basada en web, haga clic en Wireless (Función inalámbrica) > Basic Wireless
Settings (Parámetros inalámbricos básicos).
Wireless (Función inalámbrica) > Basic Wireless Settings (Parámetros inalámbricos básicos)
La pantalla Basic Wireless Settings (Parámetros inalámbricos básicos) le permite definir la siguiente información.
Wireless (Función inalámbrica) > Basic Wireless Settings (Parámetros inalámbricos básicos)
La pantalla Basic Wireless Settings (Parámetros inalámbricos básicos) le permite definir la siguiente información.
SSID: EL SSID es un nombre de red que
comparten todos los puntos de una red inalámbrica. Debe ser el mismo para todos
los dispositivos de la red inalámbrica. El nombre distingue entre mayúsculas y
minúsculas y no debe tener una longitud superior a los 32 caracteres (se puede
utilizar cualquier carácter del teclado). Compruebe que este parámetro coincide
con el parámetro del router inalámbrico o el punto de acceso. Para una mayor
seguridad, debe cambiar el nombre predeterminado.
La sección Wireless Security (Seguridad
inalámbrica) le permite configurar la seguridad de la red inalámbrica.
Para activar la seguridad, seleccione
el tipo de seguridad que desea: WEP, WPA-Personal o WPA2 Personal. A
continuación, rellene todos los campos que aparezcan en la pantalla. Los campos
que aparecen varían en función del tipo de seguridad que seleccione y se
describen con detalle a continuación. Utilice la pantalla WEP para configurar
la encriptación WEP.
NOTA: La seguridad WEP no se recomienda
ahora debido a su limitada protección de la seguridad. Se recomienda
encarecidamente a los usuarios que migren a WPA o WPA2.
WEP
Encryption (Encriptación): Seleccione un nivel de encriptación WEP, 40/64 bits (10 hex digits) [40/64 bits (10 dígitos hexadecimales)] o 128 bits (26 hex digits) [128 bits (26 dígitos hexadecimales)]. El valor predeterminado es 40/64 bits (10 hex digits) [40/64 bits (10 dígitos hexadecimales)].
Key 1 (Clave 1): Introduzca la clave WEP de la red.
Tx Key (Clave de transmisión): Key 1 (Clave 1) es la clave de transmisión por el puente.
Authentication (Autenticación): El valor predeterminado es Auto (Automático), que permite utilizar la autenticación de sistema abierto o de clave compartida. Seleccione Open (Abierto) para utilizar la autenticación de sistema abierto, en la que el emisor y el receptor no utilizan una clave WEP para la autenticación. Seleccione Shared (Compartida) para utilizar la autenticación de clave compartida, en la que el emisor y el receptor utilizan una clave WEP para la autenticación.
Haga clic en Apply (Aplicar) para aplicar los cambios o haga clic en Cancel (Cancelar) para cancelarlos.
Encryption (Encriptación): Seleccione un nivel de encriptación WEP, 40/64 bits (10 hex digits) [40/64 bits (10 dígitos hexadecimales)] o 128 bits (26 hex digits) [128 bits (26 dígitos hexadecimales)]. El valor predeterminado es 40/64 bits (10 hex digits) [40/64 bits (10 dígitos hexadecimales)].
Key 1 (Clave 1): Introduzca la clave WEP de la red.
Tx Key (Clave de transmisión): Key 1 (Clave 1) es la clave de transmisión por el puente.
Authentication (Autenticación): El valor predeterminado es Auto (Automático), que permite utilizar la autenticación de sistema abierto o de clave compartida. Seleccione Open (Abierto) para utilizar la autenticación de sistema abierto, en la que el emisor y el receptor no utilizan una clave WEP para la autenticación. Seleccione Shared (Compartida) para utilizar la autenticación de clave compartida, en la que el emisor y el receptor utilizan una clave WEP para la autenticación.
Haga clic en Apply (Aplicar) para aplicar los cambios o haga clic en Cancel (Cancelar) para cancelarlos.
WPA Personal
Encryption (Encriptación): WPA admite el método de encriptación TKIP, con claves de encriptación dinámica.
Passphrase (Frase de paso): Introduzca la clave compartida por el puente y el router inalámbrico o el punto de acceso. Debe tener entre 8 y 63 caracteres.
Encryption (Encriptación): WPA admite el método de encriptación TKIP, con claves de encriptación dinámica.
Passphrase (Frase de paso): Introduzca la clave compartida por el puente y el router inalámbrico o el punto de acceso. Debe tener entre 8 y 63 caracteres.
Haga clic en Apply (Aplicar) para
aplicar los cambios o haga clic en Cancel (Cancelar) para cancelarlos.
WPA2 Personal
Encryption (Encriptación): WPA2 admite dos métodos de encriptación, TKIP y AES, con claves de encriptación dinámica. Seleccione el método de encriptación, AES o TKIP or AES (TKIP o AES). La selección predeterminada es AES. Shared Secret (Clave secreta compartida): Introduzca una clave secreta compartida de WPA de 8 a 63 caracteres.
Passphrase (Frase de paso): Introduzca la clave compartida por el puente y el router inalámbrico o el punto de acceso. Debe tener entre 8 y 63 caracteres.
Haga clic en Apply (Aplicar) para aplicar los cambios o haga clic en Cancel (Cancelar) para cancelarlos.
Encryption (Encriptación): WPA2 admite dos métodos de encriptación, TKIP y AES, con claves de encriptación dinámica. Seleccione el método de encriptación, AES o TKIP or AES (TKIP o AES). La selección predeterminada es AES. Shared Secret (Clave secreta compartida): Introduzca una clave secreta compartida de WPA de 8 a 63 caracteres.
Passphrase (Frase de paso): Introduzca la clave compartida por el puente y el router inalámbrico o el punto de acceso. Debe tener entre 8 y 63 caracteres.
Haga clic en Apply (Aplicar) para aplicar los cambios o haga clic en Cancel (Cancelar) para cancelarlos.
Buscando los SSID.
Si estás intentando conectar otro
dispositivo a tu red inalámbrica, puede que necesites proporcionar un SSID y
clave WEP antes de poder conectar. Si no recuerdas tu SSID o clave WEP y no los
has anotado, estos valores pueden ser obtenidos en el menú de configuración de
tu router o módem inalámbrico. Puedes conectarte a tu router o módem a través
del navegador web de tu computadora, pero antes debes saber la dirección IP del
dispositivo.
Nivel de dificultad: Moderadamente
fácil
Instrucciones
1.- Pulsa el menú "Inicio" y
elige la opción "Ejecutar". Introduce "ipconfig" (sin las
comillas) en la caja Ejecutar y haz clic en "Aceptar".
2.- Busca la línea que dice
"Puerta de enlace predeterminada". Esta será la dirección IP de tu
router o módem y aparecerá como cuatro conjuntos de números separados por un
punto (por ejemplo, 192.168.1.1). Anota este número.
3.- Abre tu navegador web e introduce
la dirección IP que anotaste en el campo de dirección. Pulsa Intro. Escribe el
nombre de usuario y contraseña que escogiste para tu router o módem. Si no lo
recuerdas, consulta el manual de usuario para obtener las instrucciones de tu
router o módem sobre cómo restaurar el dispositivo a sus valores de fábrica.
4.- Busca una pestaña o enlace que diga
"Inalámbrico" y púlsalo. Después, busca una pestaña o enlace que diga
"Seguridad". Cada dispositivo es distinto y tus botones puede que
tengan títulos ligeramente diferentes.
5.- Busca cualquier campo llamado SSID
o WEP. Estos son los valores que estás buscando. Anótalos y guárdalos en lugar
seguro por si necesitas el SSID o WEP en el futuro.
Configuración de las NIC inalámbricas
en los hosts.
El software de utilidad inalámbrica,
como el suministrado por la NIC inalámbrica, esta diseñado para funcionar con
esa NIC específica. Generalmente ofrece funcionalidad mejorada en comparación
con el software de utilidad inalámbrica de Windows XP e incluye las siguientes
características:
Información de enlace: Muestra la
potencia y la calidad actuales de una única red inalámbrica.
Perfiles: Permite opciones de
configuración, como el canal y el SSID que se especificarán para cada red
inalámbrica
Revelamiento de sitio: Permite la
detección de todas las redes inalámbricas cercanas.
No se permite al software de utilidad
inalámbrica y software de cliente de Windows XP administrar la condición
inalámbrica al mismo tiempo. Para la mayoría de las situaciones Windows SP no
es suficiente. Sin embargo si se deben de crear perfiles múltiples para cada
red inalámbrica, o si son necesarias configuraciones avanzadas, es mejor usar
la utilidad provista con la NIC. Una vez que se configure el software cliente,
verifique el enlace entre el cliente y el AP. Abra la pantalla de información
del enlace inalámbrico para mostrar datos como la velocidad de
transmisión de datos de la conexión, el estado de conexión y el canal
inalámbrico usado. Si está disponible, la característica Información de enlace
muestra la potencia de señal y la calidad de la señal inalámbricas actuales.
Además de verificar el estado de la
conexión inalámbrica, verifique que los datos puedan transmitirse. Una de las
pruebas mas comunes para verificar si la transmisión de datos se realizo
correctamente es la prueba de ping. Si el ping se realiza correctamente se
puede realizar la transmisión de datos.
Si el ping no se realiza correctamente
de origen a destine en el AP desde el cliente inalámbrico para garantizar la
conectividad inalámbrica esté disponible. Si esto también falla el problema se
encuentra entre el cliente inalámbrico y el AP. Controle la información de
configuración y pruebe restablecer la conectividad desde el AP hasta el
siguiente salto de la ruta hacia el destino. Si esto se realiza correctamente,
entonces el problema seguramente no esta en la configuración del AP, si no en
otro en otro dispositivo de la ruta hacia el destino o en el dispositivo del
destino.
Configuración de los clientes
inalámbricos.
Paso 1.- Conecte su computadora a
TL-WA501G/TL-WA601G e Inicie la sesión en la utilidad basada en Web, ingrese la
dirección IP 192.168.1.1 en el navegador Web.
Si no puede acceder a la utilidad
basada en web, por favor, siga las instrucciones ¿Cómo puedo acceder a la
utilidad basada en Web de TL-WA501G/TL-WA601G para una prueba?
Paso 2.- Cambiar la dirección IP
LAN del punto de acceso (TL-WA501G/TL-WA601G) para evitar conflicto de IP si es
necesario. Esto se debe a su propia red, consulte por qué y cómo puedo cambiar
la dirección IP de TL-WA501G/TL-WA601G por alguna información más detallada.
Después de cambiar la dirección
IP del punto de acceso, es necesario volver a ingresar en él con la nueva
dirección IP.
Paso 3.- Configurar el modo
inalámbrico con el cliente y conectarse a la red inalámbrica.
1. Haga clic en Wireless
(Inalámbrico) -> Modo inalámbrico en el cliente a la izquierda, seleccione.
Nota: Si el router inalámbrico o punto
de acceso que desea conectarse no es compatible con WDS, por favor, no habilite
la opción WDS.
CONFIGURACIÓN AD-HOC DE CLIENTES INALÁMBRICOS
Ir a conexiones de red.
seleccionar la conexión de red inalámbrica, der clic derecho en Propiedades.
Seleccionar la pestaña redes inalámbricas y seleccionar avanzado.
Seleccionar la tercera opción red ad-hoc y dar clic en cerrar.
Dar clic en agregar
Escribimos el SSID y si deseamos configurar una contraseña habilitamosla encriptación de datos y damos clic en aceptar.
Configuramos una ip fija y nos dirigimos a ver redes inalámbricas y nos conectamos a nuestra red ad-hoc creada
Notas:
* Al conectarnos a nuestra red Ad-Hoc otro equipo cliente deberá conectarse a la red para establecer una conexión este cliente deberá tener una ip fija del mismo rango que el equipo cliente que configuro la redad-hoc.
* El límite de equipos clientes de una red ad-hoc es de 6.
CONFIGURACIÓN EN MODO INFRAESTRUCTURA
En el modo de infraestructura, cada estación informática (abreviado EST) se conecta a un punto de acceso a través de un enlace inalámbrico. La configuración formada por el punto de acceso y las estaciones ubicadas dentro del área de cobertura se llama conjunto de servicio básico o BSS.Estos forman una célula. Cada BSS se identifica a través de un BSSID (identificador de BSS) que es un identificador de 6 bytes (48 bits). En el modo infraestructura el BSSID corresponde al punto de acceso de la dirección MAC.
Es posible vincular varios puntos de acceso juntos (o con más exactitud, varios BSS) con una conexión llamada sistema de distribución (o SD) para formar un conjunto deservicio extendido o ESS. El sistema de distribución también puede ser una red conectada, un cable entre dos puntos de acceso o incluso una red inalámbrica.
Un ESS se identifica a través de un ESSID(identificador del conjunto de servicio extendido), que es un identificador de 32 caracteres en formato ASCII que actúa como su nombre en la red. El ESSID, a menudo abreviado SSID.
Para
esta práctica usaremos el sistema operativo Windows XP, un adaptador USB
inalámbrico para conectar con la red WiFi y un punto de acceso con
conexión a internet de OvisLink.Una vez tengamos nuestro
dispositivo en la unidad USB debemos ir a
Conexiones de red
Para
comprobar que la red inalámbrica está activa.
Hacemos clic derecho sobre la conexión de red inalámbrica/ Propiedades En la pestaña general elegimos la opción
protocolo TCP/IP para comprobar que la asignación de la IP y las DNS está
automática.
Ahora, en la pantalla de Propiedades de la conexión
inalámbrica,
seleccionamos la pestaña. Redes
inalámbricas, aquí debemos
tener seleccionado. Usar
Windows para establecer mi configuración de red inalámbrica .Para
conectar a la red Ovislink de nuestro punto de acceso pinchamos en
ver redes inalámbricas
Seleccionamos la red
Ovislink y pinchamos en conectar. Podemos comprobar que está conectado y que nos
han asignado una IP viendo el estado de la red haciendo clic derecho sobre el
icono de la red inalámbrica de la barra de tareas
DESCRIPCIÓN GENERAL DEL
PROTOCOLO DE SEGURIDAD INALÁMBRICA.
La seguridad es muy importante en una red inalámbrica
debido a que es muy fácil acceder a la red simplemente estando en un lugar
cercano donde llegue la señal.
Para evitar este tipo de problemas podemos recurrir al protocolo
de seguridad informática 802.11 que presenta un mecanismo de seguridad
denominado WEP, pero debido a las modificaciones en la tecnología ha sido
clasificado como inservible.
Después el protocolo 802.11i desarrollo el mecanismo WPA basado
en este después creo el WPA2.
Estos mecanismos se basan en escribir contraseñas para que solo
los dispositivos que la tengan puedan acceder a ella.
Autenticación de una LAN inalámbrica
La autenticación de una LAN inalámbrica
sirve para verificar los datos o información que entra y viaja dentro de la red.
Añadir leyenda
|
Una red necesita de claves o
encriptaciones
que sirvan para verificar que la información que entra a la red es segura.
Así de este modo se muestra que es autentica o mejor dicho
que proviene de algún dispositivo de la red autorizado.
que sirvan para verificar que la información que entra a la red es segura.
Así de este modo se muestra que es autentica o mejor dicho
que proviene de algún dispositivo de la red autorizado.
Encriptación.
La encriptación se refiere a
proteger una red estableciendo una
clave o contraseña de acceso
A los dispositivos que se encuentren dentro de ella.
La encriptación se refiere a
proteger una red estableciendo una
clave o contraseña de acceso
A los dispositivos que se encuentren dentro de ella.
Algunos de los tipos de encriptación son
los siguientes:
— WEP (Wireless Equivalent Protocol )
— WPA (Wi-Fi Protected Access)
Estos son algoritmos para ofrecer
seguridad a una red inalámbrica
Activa en el Punto de Acceso la
encriptación WEP. Mejor de 128 bits que de 64 bits… cuanto mayor sea el número
de bits mejor.
Después de configurar el AP tendrás que
configurar los accesorios o dispositivos Wi-Fi de tu red. En éstos tendrás que
marcar la misma clave WEP.
Algunos Puntos de Acceso más recientes
soportan también encriptación WPA encriptación dinámica y más segura que
WEP.
Si activas WPA en el Punto de Acceso,
tanto los accesorios y dispositivos WLAN de tu red como tu sistema operativo
deben soportarlo.
Control de Acceso a la LAN inalámbrica.
Con el control de acceso puede especificar qué ordenadores
podrán intercambiar información.
Evita que aquellos ordenadores que no consten en la lista de
control de acceso puedan acceder a la red.
Bloquea dispositivos no autorizados
• Repara automáticamente dispositivos fuera de la norma
• Se basa en estándares
• Repara automáticamente dispositivos fuera de la norma
• Se basa en estándares
IDENTIFICACIÓN
DE AMENAZAS COMUNES A LA SEGURIDAD INALÁMBRICA
La seguridad inalámbrica es un aspecto esencial de
cualquier red inalámbrica. Es de gran preocupación porque las redes
inalámbricas son altamente propensas a amenazas de seguridad accidental. La
señal inalámbrica puede ser fácilmente detectada por alguien que está cerca de
la red inalámbrica y está equipado con el receptor de la derecha
Acceso no autorizado
Un problema de seguridad más persistente pero menos
publicitada que el fenómeno del ataque a las redes inalámbricas (War Driving)
es la práctica de los empleados de configurar sus propios puntos de acceso
inalámbrico y/o traer su propio equipo inalámbrico a la oficina.
Puntos de acceso no autorizado
Un punto de acceso no autorizado, y por tanto “vulnerable”,
puede poner en peligro la seguridad de la red inalámbrica y dejarla
completamente expuesta al mundo exterior. Para poder eliminar este amenaza, el responsable
de red debe primero detectar la presencia de un punto de acceso vulnerable y, a
continuación, localizarlo.
Un punto de acceso “vulnerable” puede poner en peligro
la seguridad de la red inalámbrica. Se dice que un punto de acceso es
vulnerable cuando éste es instalado por un usuario sin el conocimiento o aprobación
del responsable de la red.
Antiques man-in- the middle
En criptografía, un ataque man-in-the-middle (MitM
ointermediario, en español) es un ataque en el que elenemigo adquiere la
capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes
sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El
atacante debe ser capaz de observar e interceptar mensajes entre las dos
víctimas. El ataque MitM es particularmente significativo en el protocolo
original de intercambio de claves de Diffie-Hellman, cuando éste se empleasin
autenticación.
De negación de servicio
Es un ataque a un sistema de computadoras o red que causa
que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente
provoca la pérdida de la conectividad de la red por el consumo del ancho
de banda de
la red de la víctima o sobrecarga de los recursos computacionales del sistema
de la víctima.
Se genera mediante la saturación de los puertos
con flujo de información, haciendo que el servidor se sobrecargue y no pueda
seguir prestando servicios; por eso se le denomina "denegación", pues
hace que el servidor no dé abasto a la cantidad de solicitudes. Esta técnica es
usada por los llamados crackers para dejar fuera de
servicio servidores objetivos.
CONFIGURACIÓN DE PARÁMETROS PARA EL ESTABLECIMIENTO DE LA SEGURIDAD Y PROTECCIÓN DE LOS
DISPOSITIVOS INALÁMBRICOS.
Descripción general del protocolo de seguridad
inalámbrico:
La
seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes
inalámbricas. Para tener acceso a una red cableada es imprescindible una
conexión física al cable de la red. Sin embargo, en una red inalámbrica
desplegada en una oficina un tercero podría acceder a la red sin ni siquiera
estar ubicado en las dependencias de la empresa, bastaría con que estuviese en
un lugar próximo donde le llegase la señal. Es más, en el caso de un ataque
pasivo, donde sólo se escucha la información, ni siquiera se dejan huellas que
posibiliten una identificación posterior.
El
canal de las redes inalámbricas, al contrario que en las redes cableadas
privadas, debe considerarse inseguro. Cualquiera podría estar escuchando la
información transmitida. Y no sólo eso, sino que también se pueden inyectar
nuevos paquetes o modificar los ya existentes (ataques activos). Las mismas
precauciones que tenemos para enviar datos a través de Internet deben tenerse
también para las redes inalámbricas.
Conscientes
de este problema, el IEEE [1] publicó un mecanismo opcional de seguridad,
denominado WEP, en la norma de redes inalámbricas 802.11 [2]. Pero WEP,
desplegado en numerosas redes WLAN, ha sido roto de distintas formas, lo que lo
ha convertido en una protección inservible.
Para
solucionar sus deficiencias, el IEEE comenzó el desarrollo de una nueva norma
de seguridad, conocida como 802.11i [3], que permitiera dotar de suficiente
seguridad a las redes WLAN.
El
problema de 802.11i está siendo su tardanza en ver la luz. Su aprobación se
espera para junio de 2004. Algunas empresas en vistas de que WEP (de 1999) era
insuficiente y de que no existían alternativas estandarizadas mejores,
decidieron utilizar otro tipo de tecnologías como son las VPNs para asegurar
los extremos de la comunicación (por ejemplo, mediante IPSec). La idea de
proteger los datos de usuarios remotos conectados desde Internet a la red
corporativa se extendió, en algunos entornos, a las redes WLAN. De hecho, como
hemos comentado antes, ambos canales de transmisión deben considerarse
inseguros. Pero la tecnología VPN es quizás demasiado costosa en recursos para
su implementación en redes WLAN.
No
ajena a las necesidades de los usuarios, la asociación de empresas Wi-Fi [4]
decidió lanzar un mecanismo de seguridad intermedio de transición hasta que
estuviese disponible 802.11i, tomando aquellos aspectos que estaban
suficientemente avanzados del desarrollo de la norma. El resultado, en 2003,
fue WPA [5].
Este
artículo analiza las características de los mecanismos de seguridad WEP, WPA y
WPA2 (IEEE 802.11i). En el momento de escribir estas líneas, WPA2 todavía no ha
visto la luz por lo que la documentación relacionada es todavía muy escasa.
Autenticación
de una LAN inalámbrica
Hay varias formas de iniciar la configuración
de cuenta para una red LAN inalámbrica; por ejemplo:
·Seleccione Herramientas
> Panel de control > Conexiones > Cuentas de Internet y, a continuación, seleccione Cuenta
nueva > WLAN en
el menú Cuentas de Internet.
· Seleccione Herramientas
> Panel de control > Conexiones > WLAN y, a continuación, seleccione Cuenta
nueva en el menú WLAN.
·Conéctese
a una red para la que no exista una cuenta y se iniciará la configuración
automáticamente.
El menú
WLAN, mencionado anteriormente, también es donde se encuentra la dirección MAC
del teléfono.
La
configuración de cuenta incluye una serie de pasos, que se describen a
continuación.
Nota: el proveedor de la
red LAN inalámbrica debe proporcionar información sobre los métodos de
autenticación, el cifrado y otros ajustes de configuración de red.
Primer
paso: información básica
La
primera pantalla de configuración define información básica para la cuenta:
· Nombre
de cuenta: introduzca un nombre para la cuenta.
· Nombre
de red (SSID): a menos que la red ya esté rellenada, introduzca
un SSID o seleccione para
explorar redes y seleccionar una de ellas.
· Autenticación:
elija un modo de autenticación.
· Modo
de red: al conectar a un punto de acceso inalámbrico,
seleccioneInfraestructura.
· Canal
ad hoc: sólo para el modo de red Ad
hoc, cuando un teléfono se conecta directamente a otro
dispositivo.
Segundo
paso: autenticación y cifrado
El
siguiente paso depende del modo de autenticación seleccionado en el paso anterior.
Determinados modos requieren la definición de parámetros adicionales para
cifrado y autenticación.
Tercer
paso: configuración de la configuración y cambio de los ajustes avanzados
En la
última pantalla confirme los ajustes. Si es necesario, utilice el menú Configuración
WLAN para ver y
editar, por ejemplo, la dirección IP del teléfono y las direcciones DNS.
Seleccione Avanzado en el mismo menú para activar el
ahorro de energía y cambiar el valor de umbral RTS. Se recomienda activar el
ahorro de energía, pero en determinada ocasiones el punto de acceso a red LAN
inalámbrica disponible requiere que esté desactivado para garantizar un
rendimiento fiable.
Sugerencia: estos ajustes
avanzados están disponibles durante todo el proceso de configuración, no sólo desde
esta pantalla.
Edición
de una cuenta de red LAN inalámbrica
Para
modificar una cuenta de red LAN inalámbrica existente, seleccione Herramientas
> Panel de control > Conexión > Cuentas de Internet. A
continuación, seleccione la cuenta y realice los cambios.
Nota: si cambia la
autenticación, se tienen que configurar sus ajustes detallados.
Desconexión
de una red
Para
desconectarse de una red, pulse en
la barra de estado. Resalte la conexión y seleccione Cerrar
conexión en el
menú Gestor de conexiones.
Para ahorrar batería, elimine también la marca de Activar
WLAN en Herramientas
> Panel de control > Conexiones > WLAN.
Encriptación
El
acceso inalámbrico a internet puede ofrecerle conveniencia y movilidad. Pero
hay algunos pasos que usted debería seguir para proteger su red inalámbrica y
las computadoras conectadas a la misma.
o Use
encriptación para codificar o encriptar las comunicaciones en la red. Si tiene
la opción, use el Acceso Protegido para Transferencia Inalámbrica de Datos o
WPA (por su acrónimo del inglés Wi-Fi Protected Access) que es
un sistema de encriptación más potente que el sistema de Equivalencia de
Privacidad Inalámbrica o WEP (por su acrónimo del inglés Wired
Equivalent Privacy).
o Use
software antivirus y antiespía y también active el firewall.
o Casi
todos los enrutadores inalámbricos (wireless routers) tienen un
mecanismo llamado identificador de emisión (identifier broadcasting).
Desactive el mecanismo del identificador de emisión para que su computadora no
emita una señal a todas las terminales que estén en las cercanías anunciando su
presencia.
o Cambie
la configuración predeterminada del identificador de su enrutador asignado por
el fabricante del dispositivo (router's pre-set password for administration)
para que los hackers no
puedan utilizarlo para intentar acceder a su red.
o Cambie
la contraseña predeterminada de instalación del enrutador por una nueva
contraseña que solamente usted conozca. Cuanto más extensa sea la contraseña,
más difícil será descifrarla.
o Solamente
permita el acceso a su red inalámbrica a computadoras específicas.
o Apague
su red inalámbrica cuando sepa que no la va a utilizar.
No
dé por supuesto que los hot spots públicos
o puntos de acceso público a internet son seguros. Debería tener en cuenta que
otras personas pueden acceder a cualquier información que usted vea o envíe a
través de una red inalámbrica pública.
Control de acceso
· Acceso
Nómada
·Permite
un enlace no guiado entre un centro o servidor de LAN y un terminal de datos
móvil con antena (computadora portátil).
* El usuario se pueden desplazar con la computadora portátil y conectarse con servidores
de LAN Inalámbricos desde distintos lugares.
móvil con antena (computadora portátil).
* El usuario se pueden desplazar con la computadora portátil y conectarse con servidores
de LAN Inalámbricos desde distintos lugares.
·Tarjeta
para Notebook, la cual sirve para configurar a la Portátil para las LAN
Inalámbricas, tiene antena integrada y puede transmitir 11 Mbits/segundo
Tarjeta de LAN inalámbrica especial para potátiles
·Otra
de las grandes ventajas que se deriva del empleo del Punto de Acceso es la
posibilidad de enlazar una red inalámbrica con una red de cable Ethernet. Ambas
redes, inalámbrica y de cable, quedarían de este modo integradas en una única
red global, de manera que cualquier PC de la red de cable pueda comunicar con cualquier
PC de la red inalámbrica y viceversa.
LAN inalámbrica con infraestructura y Conexión a una Red cableada
· Teniendo
en cuenta que en la red de Infraestructura el PC que lleva el control de acceso
puede ser cualquier equipo de la red, el uso del Punto de Acceso permite
ampliar las actuales redes de cable Ethernet sólo en base a la instalación de
nuevos puntos con dispositivos inalámbricos, sin necesidad de seguir instalando
cables de red. * El uso del Punto de Acceso, en la ampliación de redes de cable
Ethernet existentes está especialmente indicado en enlaces entre plantas de un
mismo edificio, entre edificios cercanos y/o entre locales próximos pero sin
continuidad.
·Para
ello se usa el denominado Puente. El Puente o Bridge cumple el estándar IEEE802.11
y está compuesto por el software de protocolo para redes inalámbricas y una
tarjeta de redes inalámbricas.
·El
Puente tiene como finalidad la unión ( o puente ) entre dos redes de cables
tradicionales (Ethernet), separadas por un cierto espacio físico, que hagan
imposible o dificultosa su unión por cable.
·El
uso del Puente permite la facil interconexión entre dos redes de cables
situadas en locales cercanos, en pisos diferentes o hasta en edificios
separados, ahorrando al usuario las costosas obras de infraestructura ( zanjas,
cableados, etc.,).
·La
solución que aporta la utilización del Puente frente a enlaces punto a punto o
temporales, vía red telefónica conmutada, proporciona una muy superior
velocidad en la transferencia de datos ( hasta 60 veces más), sin más costes
que el uso del propio Puente
·
Interconexión de Redes Ethernet mediante Puente
Interconexión de Redes Ethernet mediante Puente
·Las
redes inalámbricas pueden ser configuradas en los siguientes entornos:
·<1.-
Red "ad-hoc":
·Es
aquella en la que todos los ordenadores (de sobremesa y/o portátiles) provistos
de tarjetas de red inalámbrica pueden comunicarse entre sí directamente. Es una
red igual (sin servidor central) establecida temporalmente para satisfacer una
necesidad inmediata, formando así una red temporal.
UNIDAD II
Identificación
de procedimientos para la resolución de problemas relacionados con las redes
inalámbricas.
·
Problemas con el radio de
acceso la solución consiste en utilizar un programa como netstumbler. Este
programa generará una lista de las redes inalámbricas wifi cercanas a la tuya y
de la cual podrás elegir el canal menos utilizado para que puedas mejorar la
velocidad de tu conexión inalámbrica.
·
Problemas con el firmware
del ap.
El firmware de un dispositivo hardware -como
puede ser un lector de cd-rom o un disco duro- consiste en un driver interno o
pequeño software que permite a los ordenadores detectar de qué dispositivo se
trata, así como sus prestaciones (capacidad de almacenamiento, velocidad de
lectura/escritura...etc) y características principales.
Este firmware es actualizable, y cada
fabricante optimiza estos drivers en busca de obtener más rendimiento del mismo
dispositivo hardware.
Total, que el firmware es un pequeño driver
que se descarga de la web del fabricante o de páginas de terceros, y se
"instala" en el dispositivo en cuestión, que en este caso es tu disco
duro.
Una vez consigas el firmware más reciente que
encuentres (suelen ir etiquetados con la fecha de su creación), has de proceder
a sobrescribir el firmware que ahora mismo tiene tu disco duro, con el nuevo
firmware.
·
Problemas con la
autenticación y encriptación
Autenticación
Hay ingresos no autorizados los cuales son
incapaces de autentificar o identificar. Existen redes que tienen nombres raros
y en ocasiones no tienen contraseña, así como tampoco pueden ser identificados.
Encriptación wpa
(wi-fi protected access)
Surgió como alternativa segura y eficaz al
web, se basa en el cifrado de la información mediante claves dinámicas, que se
calculan a partir de una contraseña. Es precisamente aquí donde está el punto
flaco, si no se emplea una contraseña suficientemente larga y compleja, es
posible que lleguen a desvelarla. En el router o punto de acceso: al igual que
anteriormente, hay que ir al apartado de wireless y seleccionar la opción wpa.
En este caso no tendremos una simple opción, pues habrá que escoger entre
wpa-radius o wpa-presharedkey (wpa-psk), como su propio nombre indica, su único
requerimiento es compartir una clave entre los diferentes clientes que se van a
autentificar en un determinado punto de acceso o router que también la conoce.
Este método no es tan seguro como el uso de un servidor de autentificación
central del tipo radius, pero es suficiente en entornos que necesiten conectar
de forma segura a unos pocos equipos. Por sencillez es recomendable el wpa-psk,
que simplemente pide escoger la encriptación (aes o tkip) y una clave de,
mínimo, 8 dígitos y de máximo 63. Tkip es el algoritmo aprobado y certificado
para wpa, algunos productos son compatibles con el cifrado avanzado (aes) pero
no han sido certificados porque no funcionan con el hardware de distintos
suministradores. Así que selecciona tkip para evitar que el router trabaje
innecesariamente o bien la combinación de los dos métodos disponibles
(tkip+aes), así no tendrás problemas de compatibilidad.¡ en el pc: vamos a la ventana de propiedades
de la red inalámbrica, pulsamos sobre el botón agregar, y configuramos los
mismos parámetros que introdujimos en el router/punto de acceso:¡ el único problema de este tipo de
encriptación es que no todos los adaptadores de red inalámbricos o
routers/puntos de acceso lo soportan, aunque la tendencia actual es que el
hardware sea compatible. En el caso de que no lo sea, comprueba si existen
actualizaciones disponibles, descárgalas e instálalas. También debes asegurarte
de que tu versión de Windows admite el cifrado wpa. Windows xp con service pack
2 (sp2) es compatible, las versiones anteriores no lo son. Si no tienes
instalado sp2, descarga el parche desde aquí. Aunque Windows xp también tiene
soporte completo para wpa2, la versión certificada final de wpa. Puedes
descargar el parche apropiado desde Microsoft.
ACCESO NO AUTORIZADO
En este tipo de amenaza un intruso puede introducirse en el sistema de una red WLAN, donde puede violar la confidencialidad e integridad del trafico de red haciendose pasar como un usuario autorizado, de manera que puede enviar, recibir, alterar, o falsificar mensajes.
Este es un ataque activo que necesita de equipamiento compatible y estar conectado a la red una forma de defensa frente a esta amenaza son los mecanismos de autentificacion los cuales aseguran el acceso a la red solo a usuarios autorizados.
Puede presentarse tambien el caso en que se instale un punto de acceso clandestino dentro de la red con suficiente potencia de modo que engañe a una estacion legal haciendola parte de la red del intruso y este pueda capturar las claves secretas y contraseñas de inicio de sesion.
PUNTOS DE ACCESO NO AUTORIZADO
Este se refiere a la encriptación de una red inalámbrica como todos conocemos en la actualidad se inscripta una red para evitar el ingreso de personas que no pertenecen a la comunidad de trabajo.
Se conoce que se le asigna una clave para tener seguridad en nuestra red y poder tener la certeza que solo está siendo utilizada por nuestro grupo de trabajo.
ATAQUES MAN-IN-THE-MIDDLE (INTERMEDIARIO)
En criptografía, un ataque man-in-the-middle (MitM o intermediario, es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado.
El atacante debe ser capaz de observar e interceptar mensajes entre dos víctimas el ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellma, cuando este se emplea sin autentificación. La mayoría de los ataques supervisan la red con una herramienta llamada rastreador de puertos.
POSIBLES ATAQUES:
Intercepción de la comunicación incluyendo análisis del tráfico y posiblemente un ataque a partir de textos planos.
- Ataques
a partir de textos cifrados escogidos, en función de lo que el receptor
haga con el mensaje descifrado.
- Ataques
de sustitución
- Ataques
de repetición
- Ataque
por denegación de servicio el atacante podría, por ejemplo, bloquear las
comunicaciones antes de atacar una de las partes. La defensa en ese caso
pasa por el envió periódico de mensajes de status autentificados.
DENEGACION DE SERVICIO
En general mediante la saturación de los puertos con flujo de información haciendo que el servidor sobrecargue y no pueda seguir prestando servicios por eso se le dice "denegación" pues hace que el servidor no de abasto a la cantidad de usuarios.
Esta técnica es usada por los llamados Crackers para dejar fuera de servicio a servidores objetivo.
Una ampliación del ataque Dos es el llamado ataque distribuido de denegación de servicio también llamado ataque DDoS (de las siglas en inglés Distributed Denial of Service) el cual lleva a cabo generando un gran flujo de información desde varios puntos de conexión.
CONFIGURACION DE PARAMETROS
PARA EL ESTABLECIMIENTO DE LA SEGURIDAD Y PROTECCION DE DISPOSITIVOS
INALAMBRICOS
DESCRIPCION GENERAL DE PROTOCOLO DE SEGURIDAD INALAMBRICO
La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalámbricas. Para tener acceso a un red cableada es imprescindible una conexión física al cable de red sin embargo es una red inalámbrica desplegada en una oficina un tercero podría acceder a la red sin ni siquiera estar ubicado en las dependencias de la empresa, bastaría con que estuviese es un lugar próximo donde le llegase la señal.
El canal de redes inalámbricas al contrario que en las redes cableadas privadas, debe considerarse inseguro. Y no solo eso sino que también se pueden inyectar nuevos paquetes o modificar los ya existentes (ataques activos).
Las mismas precauciones que tenemos para enviar datos a través de internet deben tenerse también para las redes inalámbricas.
AUTENTIFICACION DE UNA LAN INALAMBRICA
Hay varias formas de iniciar la configuración de cuenta para una red LAN inalámbrica; por ejemplo:
- Seleccione
herramientas>Panel de control>Conexiones>Cuentas de internet y a continuación,
seleccione cuenta nueva>WLAN en el menú Cuentas de internet.
- Seleccione
herramientas>Panel de control>Conexiones>WLAN y a continuación
seleccione Cuenta nueva en el menú WLAN.
- Conéctese
a una red para que no exista una cuenta y así iniciara la configuración automáticamente.
El menú WLAN, mencionado anteriormente también es donde se encuentra la dirección
MAC del teléfono.
LA PRIMERA PANTALLA DE CONFIGURACION DEFINE
INFORMACION BASICA PARA LA CUENTA:
- Nombre
de cuenta: Introduzca un nombre para la cuenta.
- Nombre
de red (SSID): A menos que la red ya está rellenada, introduzca un SSID o
seleccione para explorar redes y seleccionar una de ellas.
- Autentificación:
Elija un modo de autentificación.
- Modo
de red: Al conectar a un punto de acceso inalámbrico, seleccione
infraestructura.
- Canal
AD-HOC: Solo para el modo de red AD-HOC, cuando un teléfono se conecta
directamente a otro dispositivo.
ENCRIPTACION
La encriptación se hace a través de la aplicación de cierto tratamiento a los códigos ASCII de los mensajes de manera que el tratamiento inverso será el único camino práctico para decodificar el mensaje.
La encriptación tiene dos elementos: Un mensaje, y una clave privada de acceso entre el emisor y el receptor con la cual se puede descifrar el mensaje. El procedimiento de encriptación produce un mensaje o archivo cifrado.
EJEMPLO DE ENCRIPTACION:
Texto a codificar: ENCRYPTION
Caracteres del Texto: E
N C R Y P
T I O N
Códigos ASCII: 69
78 67 82 89 80
84 73 79 78
Contraseña KEY: K
E Y K E Y
K E Y K
Caracteres de KEY: 75
69 89 75 69 89
75 69 89 75
Suma de Códigos ASCII: 144 147 156 157 158 169 159 142 168 153
En caracteres:
“ œ ? © Ÿ ?
¨ ™
Texto codificado: “œ?©Ÿ?¨™
CONTROL DEL ACCESO A LA LAN INALAMBRICA
El concepto de profundidad significa que hay múltiples soluciones disponibles. Es como tener un sistema de seguridad en su casa pero, de todas maneras, cerrar las puertas y ventanas y pedirle a los vecinos que la vigilen por usted.
Los métodos de seguridad que ha visto especialmente el WPA2 son como tener un sistema de seguridad. Si quiere realizar algo extra para proteger el acceso a su WLAN puede agregar profundidad como se muestra en la figura y así implementar este enfoque de 3 pasos:
El concepto de profundidad significa que hay múltiples soluciones disponibles. Es como tener un sistema de seguridad en su casa pero, de todas maneras, cerrar las puertas y ventanas y pedirle a los vecinos que la vigilen por usted.
Los métodos de seguridad que ha visto especialmente el WPA2 son como tener un sistema de seguridad. Si quiere realizar algo extra para proteger el acceso a su WLAN puede agregar profundidad como se muestra en la figura y así implementar este enfoque de 3 pasos:
- Camuflaje
SSID: Deshabilite los broadcats SSID de los puntos de accesos.
- Filtrado
de direcciones MAC: Las tablas se construyen a mano en el punto de acceso
para permitir o impedir el acceso de clientes basado en su dirección de
hardware.
- Implementación
de seguridad WLAN: WPA o WPA2.
IDENTIFICACION DE
PROCEDIMIENTOS PARA LA RESOLUCION DE PROBLEMAS RELACIONADOS CON LAS REDES
INALAMBRICAS
PROBLEMAS CON EL RADIO DE ACCESO
La red de acceso radio proporciona la conexión entre los terminales móviles y el núcleo de red. En el caso de las UMTS recibe el nombre de UTRAN y se compone de una serie de nodos B dependientes de él.
PROBLEMAS CON EL FIRMWARE DEL AP
El firmware de un dispositivo hardware como puede ser un lector de CD-ROM o un disco duro consiste en un driver interno o pequeño software que permite a los ordenadores detectar de que dispositivo se trata así como sus presentaciones (Capacidad de almacenamiento, velocidad de lectura/escritura...etc.) y características principales.
Este firmware es actualizable y cada fabricante optimiza estos drivers en busca de obtener más rendimiento del mismo dispositivo hardware.
Total que el firmware es un pequeño driver que se descarga de la web del fabricante o de páginas de terceros y se "instala" en el dispositivo en cuestión que en este caso es un disco duro.
Una vez consigas el firmware más reciente que encuentres (Suelen ir etiquetados con la fecha de su creación) has de proceder a sobrescribir el firmware que ahora mismo tiene tu disco duro con el nuevo firmware.
PROBLEMAS CON LA AUTENTIFICACION Y ENCRIPTACION
AUTENTIFICACION: Hay ingresos no autorizados los cuales son incapaces de autentificar o identificar.
Existen redes que tienen nombres raros y a veces no tienen contraseña así como pueden ser identificados estas pueden ser de personas con fines de lucro.
Implementación de dispositivos de ruteo y conmutación de red.
A. Ejecución de comandos del Sistema
Operativo de Internetwork (IOS).Funciones del IOS: Localización permite que las
apps y sitios web basados en la localización (incluyendo Mapas, Cámara, Safari
y otras apps de Apple y de terceros) utilicen información de redes móviles,
Wi-Fi1, y el Sistema de posicionamiento global (GPS)2 para determinar tu
localización aproximada.
Por ejemplo, una app puede utilizar tus datos
de localización y consultas de búsqueda de localización para ayudarte a
encontrar cafeterías o cines cercanos, o tu dispositivo puede establecer su
franja horaria automáticamente según tu ubicación actual. Para utilizar
funciones como estas, debes activar Localización en tu dispositivo y dar tu
autorización para que cada app o sitio web pueda utilizar tus datos de
localización. Nota: Por motivos de seguridad, la información de localización de
tu iPhone puede utilizarse para llamadas de emergencia como ayuda a los
esfuerzos de respuesta, independientemente de si activas Localización. Acerca
de la precisión de la localización
• La configuración de inicio del dispositivo
de red.
• Procedimientos de recuperación de desastres
y resolución de problemas donde no es posible el acceso
<!--[if !supportLineBreakNewLine]-->
<!--[endif]-->Al igual que un
computador, un router o switch no puede funcionar sin un sistema operativo.
Cisco ha denominado a su sistema operativo el Sistema operativo de internetworking
Cisco, o Cisco IOS. Es la arquitectura de software incorporada en todos los
routers Cisco y también es el sistema operativo de los switches Catalyst. Sin
un sistema operativo, el hardware no puede hacer ninguna función. El Cisco IOS
brinda los siguientes servicios de red: · Funciones básicas de enrutamiento y
conmutación· Acceso confiable y
seguro a los recursos de la red·
Escalabilidad de la red
Métodos
de acceso.
Consolase puede tener acceso a la cli a
través de una sesión de consola, también denominada línea cty. La consola usa
una conexión serial de baja velocidad para conectar directamente un equipo o un
terminal al puerto de consola en el router o switch. El puerto de consola es un
puerto de administración que provee acceso al router fuera de banda.
Es
posible acceder al puerto de consola aunque no se hayan configurado servicios
de networking en el dispositivo. El puerto de consola a se suele utilizar para
tener acceso a un dispositivo cuando no se han iniciado o han fallado los
servicios de networking.
Telnet o SSH.
Un método que sirve para acceder en forma
remota a la sesión cli es hacer telnet al router. A diferencia de la conexión
de consola, las sesiones de telnet requieren servicios de networking activos en
el dispositivo. El dispositivo de red debe tener configurada por lo menos una
interfaz activa con una dirección de capa 3, como por ejemplo una dirección
ipv4. Los dispositivos cisco ios incluyen un proceso de servidor telnet que se
activa cuando se inicia el dispositivo. El ios también contiene un cliente
telnet. Un host con un cliente telnet puede acceder a las sesiones vty que se
ejecutan en el dispositivo cisco. Por razones de seguridad, el IOS requiere que
la sesión telnet use una contraseña, como método mínimo de autenticación. Los
métodos para establecer las conexiones y contraseñas se analizarán en una
sección posterior. Dependiendo del dispositivo y de los servicios disponibles,
Localización utiliza una combinación de datos móviles, Wi-Fi y GPS para
averiguar tu ubicación. Si no te encuentras dentro de la línea de visión de los
satélites GPS, tu dispositivo puede determinar tu ubicación utilizando
localizaciones masivas de Wi-Fi 3 y torres de telefonía móvil.
Tipos de archivos de configuración.
El archivo de configuración enejecución.
Se utiliza el show running-config para ver el
archivo de configuración en ejecución
switch # show
running-config
Edificio de
configuración ...
interfaz puerto-canal 98
interfaz fc1 / 1
interfaz fc1 / 2
Ø DE INICIO
Se utiliza el show startup-config para ver el
archivo de configuración inicial.
Switch # show
startup-config
Interfaz Puerto-canal
98
Interfaz fc1 / 1
Canal del grupo de fuerza de 98
No shutdown
Interfaz mgmt0
Dirección IP 172.22.95.112 255.255.255.0
Sistema de arranque del sistema-237, EP-41
De arranque de arranque kickstart-237 EP-41
IP de nombres de dominio cisco.com
El archivo de configuración de inicio
El módulo MAT permite medir en tiempo real:
-Contenido Espectral FFT, con resolución de
hasta 32 puntos por ocatava (tecla F10)
-Respuesta de Impulso, para localizar
"delay" (tecla F12)
-Respuesta de Frecuencia, por medio de Función
de Transferencia (tecla F11)
El generador se habilita con la tecla
"G"
El analizador se pone en pausa con la
"barra espaciadora"
La grafica se puede memorizar de forma
temporal con la tecla F5
La grafica se puede remover de la pantalla
con la tecla F6
La tecla "P" permite localizar el
valor pico de la Respuesta de Impulso
La tecla F3 permite introducir el valor de
"delay" del valor pico en el analizador
Modos de operación de IOS.– EXEC de usuario. Este
modo solo permite ver información limitada de la configuración del router y no
permite modificación alguna de ésta– EXEC privilegiado. Este modo permite ver
en detalle la configuración del router para hacer diagnósticos y pruebas.
También permite trabajar con los archivos de configuración del router (Flash -
NVRAM)
Configuración global. Este modo permite la
configuración básica de router y permite el acceso a submodos de configuración
específicos
Peticiones de entrada de comando.
Cuando se usa la cli, el modo se identifica
mediante la petición de entrada de línea de comandos que es exclusiva de ese
modo. La petición de entrada está compuesta por las palabras y los símbolos en
la línea a la izquierda del área de entrada. Se usa la frase petición de
entrada porque el sistema le solicita que ejecute una entrada. De manera predeterminada, cada petición de
entrada empieza con el nombre del dispositivo. Después del nombre, el resto de la petición de entrada indica el
modo. Por ejemplo: la petición de entrada por defecto para el modo de configuración global en un router sería: router (config)# como se utilizan comandos y
cambian los modos, la petición de entrada cambia para reflejar el contexto
actual, como se muestra en la figura.
Estructura básica de comandos IOS.
Formato: Switch>tracerouteDirección IP
Ejemplo con valores: Switch>traceroute192.168.254.254 El comando estraceroutey
el argumento es la Dirección IP. Los comandos se utilizan para ejecutar una
acción y las palabras clave se utilizan para identificar dónde o cuándo ejecutar
el comando. Por citar otro ejemplo, vuelva a examinar el comando description.
Formato: Router(config-if)#description cadena Ejemplo con valores:
Switch(config-if)#descriptionInterfaz para crear una LAN El comando es description
y el argumento aplicado a la interfaz es la cadena de texto, Interfaz para
crear una LAN. Una vez que se ejecuta el comando, esa descripción se aplicará a
la interfaz específica.
Uso de la ayuda de la CLI. Proporciona una
breve descripción de la función de ayuda en cualquier modo de comando
Ayuda sensible al contexto. – Verificación de
sintaxis de comando.
PRINT <destino>: Imprime una rutaADD
<destino> <máscara> <gateway> Metric <métrica> if
<interfaz>:Agregar una rutaDELETE <destino>: Elimina una ruta CHANGE
<destino> <máscara> <gateway> Metric <métrica> if
<interfaz>:Modifica una ruta existente - MASK <máscara>: Especifica
que el siguiente parámetro es el valor “máscara de red".- METRIC
<métrica>: Especifica la métrica, es decir, el costo para el destino.- if
<interfaz>: Especifica la dirección IP de la interfaz sobre la que es accesible
el destino.- máscara de red: Especifica un valor de máscara de subred para esta
entrada de ruta. Si no se especifica, el valor predeterminado
es255.255.255.255.- destino: Especifica el host.- puerta de acceso: Especifica
la puerta de acceso.- Interfaz: El número de interfaz para la ruta especificada
– Teclas de acceso rápido y métodos abreviados.
Teclas de método abreviado funcionan de forma
diferente dependiendo de la ubicación del acceso directo. Si el acceso directo
está en el escritorio o en la jerarquía de menús de inicio, puede utilizar la
tecla de método abreviado para iniciar el programa, o cambie al programa si ya
se está ejecutando.
Si el método abreviado es no en el escritorio
o en la jerarquía de menús de inicio, no puede utilizar la tecla de método
abreviado para iniciar el programa asignado, pero puede utilizar su tecla de
método abreviado para cambiar al programa asignado si ya se está ejecutando.
Comandos de análisis de IOS
comandos show en un router comandos show en
el modo usuario EXEC comandos show en el modo EXEC privilegiado comandos show
en un switch comandos show que son comunes con un router comandos show únicos
para el switchEsta actividad examinará los comandos show comunes desde el CLI
de un router y un switch que ya están configurados como parte de la topología
de práctica de laboratorio estándar. Modos de configuración de IOS.
Al arrancar el router podemos pasar al modo
SETUP, que permite dar una primera configuración al router cuando éste carece
de una configuración preestablecida, o bien pasar al modo USER EXEC, cuando el router
sí dispone de una configuración preestablecida. En modo USER EXEC podemos
consultar aspectos básicos de la configuración del router1. Para consultar aspectos
más críticos de la configuración del router debemos pasar a modo PRIVILEGED USER.
Para pasar de modo USER EXEC a modo PRIVILEGED EXEC es necesario usar un
password (que se conoce como “entable secret password” y se puede establecer
desde el modo CONFIGURE ejecutando enablesecret <passwd>) Desde los modos
USER EXEC y PRIVILEGED EXEC no podemos modificar la configuración del router. Para
hacerlo debemos pasar del modo PRIVILEGED EXEC al modo de configuración general
(CONFIGURE). Desde allí podemos configurar aspectos generales del
funcionamiento del router o pasar a modos de configuración específicos de cada
interfaz, algoritmo de encaminamiento, etc. Cuando estamos en modo USER EXEC el
prompt que nos muestra el router es “>”. Cuando estamos en PRIVILEGED EXEC
el prompt es “#” y en los modos de configuración el prompt es (config)# o(config-if)#Router>
enable pass: ******Router# config tRouter(config)# interf
ethernet0Router(config-if)# ip address 200.12.10.3 255.255.255.0
Configuración básica de dispositivos de red.
· Aplicación de nombres a dispositivos. Los dispositivos necesitan nombres
El nombre de host se usa en las peticiones de
entrada de la CLI. Si el nombre de host no está explícitamente configurado, el
router usa el nombre de host predeterminado, asignado de fábrica,
"Router". El switch tiene el nombre de host predeterminado, asignado
de fábrica, "Switch".
Limitación del acceso a dispositivos.
Configuración, contraseñas y uso de mensajes
La limitación física del acceso a los
dispositivos de red con armarios o bastidores con llave resulta una buena
práctica; sin embargo, las contraseñas son la principal defensa contra el
acceso no autorizado a los dispositivos de red. Cada dispositivo debe tener
contraseñas configuradas a nivel local para limitar el acceso. En un curso
futuro, analizaremos cómo reforzar la seguridad al exigir una ID de usuario
junto con una contraseña. Por ahora, presentaremos precauciones de seguridad
básicas mediante el uso de contraseñas únicamente. Como se comentó
anteriormente, el IOS usa modos jerárquicos para colaborar con la seguridad del
dispositivo. Como parte de este cumplimiento de seguridad, el IOS puede aceptar
diversas contraseñas para permitir diferentes privilegios de acceso al
dispositivo. Las contraseñas ingresadas son:
• Contraseña de consola: limita el acceso de
los dispositivos mediante la conexión de consola
• Contraseña de entable: limita el acceso al
modo EXEC privilegiado
•
Contraseña entable secret: encriptado, limita el acceso del modo EXEC
privilegiado
•
Contraseña de VTY: limita el acceso de los dispositivos que utilizan Telnet
Siempre conviene utilizar contraseñas de autenticación diferentes para cada uno
de estos niveles de acceso. Si bien no es práctico iniciar sesión con varias
contraseñas diferentes, es una precaución necesaria para proteger adecuadamente
la infraestructura de la red ante accesos no autorizados. Además, utilice
contraseñas seguras que no se descubran fácilmente. El uso de contraseñas
simples o fáciles de adivinar continúa siendo un problema de seguridad en
muchas facetas del mundo empresarial. Considere estos puntos clave cuando elija
contraseñas:
• Use contraseñas que tengan más de 8
caracteres.
• Use en las contraseñas una combinación de
secuencias de letras mayúsculas y minúsculas o numéricas.
• Evite el uso de la misma contraseña para
todos los dispositivos.
• Evite el uso de palabras comunes como
contraseña o administrador, porque se descubren fácilmente.
Nota:
En la mayoría de las prácticas de laboratorio, usaremos contraseñas simples
como cisco o clase. Estas contraseñas se consideran simples y fáciles de
adivinar, y deben evitarse en un entorno de producción. Sólo usamos estas
contraseñas por comodidad en el entorno instructivo. Como se muestra en la
figura, cuando se le solicita una contraseña, el dispositivo no repetirá la
contraseña mientras se ingresa. En otras palabras, los caracteres de la
contraseña no aparecerán cuando el usuario los ingrese.
Esto se hace por cuestiones de seguridad;
muchas contraseñas se obtienen por ojos espías
– Contraseña de consola. Las contraseñas que
se asignan a la consola, auxiliar y sesiones remotas entrantes por Telnet
(vty), sirven para que antes de permitirnos la entrada a modo usuario entrando
por las interfaces administrativas de la consola o el auxiliar, tengamos que
escribir una contraseña. Si no sabemos esa contraseña, no nos dejará pasar a
modo usuario y por consiguiente, no podremos configurar o modificar la configuración
del router.
En el caso de la contraseña para las
terminales virtuales, se debe asignar para poder entrar al router de forma
remota a través de un telnet, si no, aunque la conexión se realice de la manera
adecuada, no nos permitirá el acceso. A diferencia de la consola y el auxiliar,
debemos ya tener configurado direccionamiento de capa 3 para poder hacer uso
del telnet.
– Contraseña de enable y enableSecret
Los comandos entable password y enable secret
se utilizan para restringir el acceso al modo EXEC privilegiado. El comando
enable password se utiliza sólo si no se ha configurado previamente enable
secret. Se recomienda habilitar siempre enable secret, ya que a diferencia de
enable password, la contraseña estará siempre cifrada en el archivo de configuración.
– Visualización de contraseñas de
encriptación.
Éste es un algoritmo de los que se conocen
como de sólo ida, ya que no es posible desencriptar lo que se ha encriptado.
Puede ser que a primera vista no se le vea la utilidad, pero en los siguientes
dos escenarios, éste es el algoritmo necesario para realizar el proceso. En
éstos, el primero es proteger información muy valiosa encriptado el contenido y
el segundo es validar que no se modifique la información que se está enviando
desde algún lugar a otro. Veamos el primer escenario. Almacenar contraseñas de
un sistema. Las contraseñas de cualquier sistema serio jamás debieran poder
desencriptarse. El motivo es simple. Si se pueden desencriptar, el riesgo que
alguien conozca la llave y tenga acceso a todo el sistema con todos los
usuarios es muy grande. Entonces, si no puedo desencriptar una contraseña,
¿Cómo puedo saber entonces si una contraseña entregada es válida si no puedo
compararla? La respuesta es muy simple. Se encripta la contraseña entregada y
se compara el resultado de la encriptación con la contraseña previamente
almacenada. Problemas: Si bien el problema no está tan relacionado con el Hash,
debido a la utilización de contraseñas de escasa dificultad, haciendo un ataque
de fuerza bruta o por diccionario se podrían encontrar valores de Hash que
coinciden con el Hash de las contraseñas almacenadas.
Para esto se pueden ejecutar dos planes de
acción independientes, pero obteniéndose el mejor resultado con la utilización
de ambos. La solución 1 consiste en realizar varias pasadas de Hash sobre los
datos, aplicándole el Hash al resultado del Hash anterior. Realizando esto
varios cientos de veces (idealmente mil veces) podemos dificultar más el
trabajo de un hacker.
UNIDAD III
Redes de área locales
virtuales (VLAN) y enlaces troncales mediante la asignación de puertos de
acceso en los switches de una red.
Identificación de elementos de las VLAN.
· Beneficios de una VLAN:
· Beneficios de una VLAN:
Los principales beneficios de las VlAN son distintos y sobre todo muy
importantes, principalmente en comunicación y seguridad, aunque también ofrecen
beneficios a largo plazo económicamente. Por ejemplo en la creación de un vlan
se invierte dinero en aparatos según lo grande que se requiera.
En otro ejemplo como con el uso de Vlan de voz se pueden realizar video
llamadas que permitirían en el caso de una empresa no viajar hacia un lugar
lejano cada semana por ejemplo, evitando viáticos, y evitando gastos
innecesarios tan solo con tener acceso a internet y ahorrarse todo el tiempo y
dinero.
retomando el primer ejemplo en una red grande se podría hacer uso de
switch, servidores y routers tomando en cuenta que ya se tiene una red pequeña
o básica físicamente y para aprovechar las ventajas se conecta en el sutach de
24 nodos o puertos por cada nodo hacer una red virtual, esto lo que nos trae
como beneficio es que se amplía el número de host para poder utilizar, sí en
una red física solo se tiene un rango de 254 host con una red virtual se puede llegar
ampliar hasta 1001 host, y con una ampliación se puede llegar a tener hasta
casi 5000 lo que si se hiciera físicamente podría llegar a saturar la red
a mas no poder; mediante los protocolos como vtp se puede configurar para
tener uso de un rango determinado, lo que permite una buena comunicación y
administración y además asegurar que nuestra red funcione a como nosotros
queremos, por ejemplo permitir que en algunos solo se pueda usar internet para
páginas de gobierno, o solo abrir youtube y facebook. En otro caso podría
bloquearse para que una antena al comunicarse con las host o switch (enlaces
troncales) solo mande la señal hacia tantos grados determinados y así no sea
detectada en lugares vecinos.
· Rangos de ID de la VLAN
Los rangos de ID de la Vlan son los que permiten medir los segmentos de las
redes, es decir que si en tu red virtual quieres dividir por segmentos tu red
puedas elegir de donde a donde comenzar, por ejemplo en una empresa, la empresa
se divide por pequeños departamentos, dirección general, área técnica, recursos
humanos, informática, contaduría, jurídico, relaciones exteriores etc., y se
requiere crear una red para esta empresa para no utilizar tanto material se
recurre a utilizar vlan's para lo que se quiere administrar por aéreas de
trabajo todas las host pertenecientes a cada departamento, al asignar las pis
se tomaran rangos, por ejemplo dirección general de la 100 a la 200 y a
recursos humanos de la 201 a la 300, y así sucesivamente por cada área de
trabajo al finalizar ocupa por ejemplo hasta las 800, es entonces cuando
lógicamente podemos decir que nuestra red virtual cuenta con rango de la 100 a
la 800 y los demás esta vacio es decir no hay red, por lo que si alguien decide
conectarse no podrá.
· Tipos de VLAN
o VLAN de datos
Las Vlan de datos administran lo que el puerto puede dejar pasar funciona
como un capataz el cual solo permite cierto tipo de información, y en el caso
de las vlans de datos solo se dedica a dejar pasar datos solo puros datos,
cuando el puerto creas la Vlan de datos y conectas un computadora o una laptop,
esta te brinda el servicio de red, pero si conectases un celular a la red, o
sea lo que vendría siendo una vlan de voz no podría aceptarla pues esta no lo
reconocería, es como si se hablará en un lenguaje los datos hablan español, y
los demás otros idiomas, solo se permitirá a los que hablen español por lo que
los demás no entenderían y no podrían entrar, así funciona prácticamente
nuestra vlan de datos.
o VLAN predeterminada
Esto quiere decir que al iniciar el switch, todos los puestos de este se
convierten en miembros de esta VLAN predeterminada y esto los hace a todos
parte del mismo dominio del broadcast. Con esto se logra que cualquier
dispositivo conectado a un puerto del switch pueda comunicarse con otros
dispositivos en otros puertos del switch.
o VLAN Nativa
Esta es una condición que se usa con interfaces, las cuales son
configuradas como VLAN troncales. Al configurar el Switch como un enlace
troncal, este es etiquetado con su respectivo identificador de numero VLAN. Hay
tramas en este y son transportados por un enlace en modo troncal, por un tag
como 802.1 Q o ISL.
Todas las tramas pertenecen a la VLAN nativa, y estas son transportadas sin
ser etiquetadas por algún enlace troncal .La vlan nativa es usada para todo el
trafico sin etiqueta en un enlace troncal y esta puede ser recibida en un
puerto configurado con el 802.1 Q. esta la definió la IEEE.
o VLAN de administración.
Una VLAN de administración es cualquier VLAN que usted configura para
acceder a las capacidades de administración de un switch. La VLAN serviría como
VLAN de administración si no definió proactivamente una VLAN única para que
sirva como VLAN de administración. Se asigna una dirección IP y una máscara de
subred a la VLAN de administración. Se puede manejar un switch mediante HTTP,
Telnet, SSH o SNMP. Debido a que la configuración lista para usar de un switch.
o VLAN de voz.
Es fácil apreciar por qué se necesita una VLAN separada para admitir la Voz
sobre IP (VoIP). Imagine que está recibiendo una llamada de urgencia y de
repente la calidad de la transmisión se distorsiona tanto que no puede
comprender lo que está diciendo la persona que llama.
El tráfico de VoIP requiere: Ancho de banda garantizado para asegurar la
calidad de la voz, Prioridad de la transmisión sobre los tipos de tráfico de la
red, Capacidad para ser enrutado en áreas congestionadas de la red, Demora de
menos de 150 milisegundos (ms) a través de la red
· Modos de membresía de los puertos switch de VLAN.
VLAN estática: los puertos en un switch se asignan manualmente a una VLAN.
Las VLAN estáticas se configuran por medio de la utilización del CLI de Cisco.
Esto también se puede llevar a cabo con las aplicaciones de administración de
GUI, como el Asistente de red Cisco. Sin embargo, una característica
conveniente del CLI es que si asigna una interfaz a una VLAN que no existe, se
crea la nueva VLAN para el usuario. Para ver un ejemplo de configuración de
VLAN estática, haga clic en el botón Ejemplo de Modo Estático en la figura.
Cuando haya finalizado, haga clic en el botón Modos de Puertos en la figura.
Esta configuración no se examinará en detalle ahora. Se presentará más adelante
en este capítulo.
VLAN dinámica: este modo no se utiliza ampliamente en las redes de producción y no se investiga en este curso. Sin embargo, es útil saber qué es una VLAN dinámica. La membresía de una VLAN de puerto dinámico se configura utilizando un servidor especial denominado Servidor de política de membresía de VLAN (VMPS). Con el VMPS, asigna puertos de switch a las VLAN basadas en forma dinámica en la dirección MAC de origen del dispositivo conectado al puerto. El beneficio llega cuando traslada un host desde un puerto en un switch en la red hacia un puerto sobre otro switch en la red. El switch asigna en forma dinámica el puerto nuevo a la VLAN adecuada para ese host.
VLAN dinámica: este modo no se utiliza ampliamente en las redes de producción y no se investiga en este curso. Sin embargo, es útil saber qué es una VLAN dinámica. La membresía de una VLAN de puerto dinámico se configura utilizando un servidor especial denominado Servidor de política de membresía de VLAN (VMPS). Con el VMPS, asigna puertos de switch a las VLAN basadas en forma dinámica en la dirección MAC de origen del dispositivo conectado al puerto. El beneficio llega cuando traslada un host desde un puerto en un switch en la red hacia un puerto sobre otro switch en la red. El switch asigna en forma dinámica el puerto nuevo a la VLAN adecuada para ese host.
· Enlace
troncal de la VLAN
Los enlaces
troncales cambian el formateo de los paquetes. El puerto debe concordar con el
formato que se usa para poder mandar datos en el enlace troncal, de lo
contrario, no se podrá transmitir nada. Si hay un encapsulamiento de enlace
troncal distinto en ambos extremos del enlace, no se podrá entablar una
comunicación. Se produce una situación similar si uno de los puertos está
configurado en modo de enlace troncal, (incondicionalmente), y el otro puerto
está configurado en modo de acceso, (incondicionalmente).
· Etiquetado
de trama de 802.1Q
El etiquetado de tramas sirve parea identificar cada paquete, para saber de que red viene.
El etiquetado de tramas sirve parea identificar cada paquete, para saber de que red viene.
• Coloca
identificador único en encabezado de cada trama que viaja por el backbone de la
red.
•
Identificador es examinado por cada switch antes de enviar cualquier broadcast
o transmisión a otros switches, routers o estaciones finales.
• Cuando
trama sale del backbone de la red: switch elimina el identificador antes que la
trama llegue a estación final.
B.
Resolución de problemas de las VLAN
Protocolo de Enlaces troncales de
VLAN (VTP) mediante la administración de los dispositivos de una red.
A.
Identificación de conceptos del VTP.
· Descripción general del protocolo de enlaces troncales de VLAN (VTP)
Enlace troncal es como un tipo de enlace físico de dos mas switches o la unión de dos switches y un router, además de que también creemos de que es utilizada para administrar y configurar lo que son las VLAN en lo que son equipos de CISCO.
· Descripción general del protocolo de enlaces troncales de VLAN (VTP)
Enlace troncal es como un tipo de enlace físico de dos mas switches o la unión de dos switches y un router, además de que también creemos de que es utilizada para administrar y configurar lo que son las VLAN en lo que son equipos de CISCO.
Su principal objetivo de su fabricación es solucionar, problemas de
funcionamiento en las redes conmutadas con VLASN
Es el único canal de transmisión física entre dos switches ya que también
puede transportar el tráfico entre las VLAN también se denomina que es un
enlace punto a punto que permite la unión de mas LANS , este protocolo funciona
de tres formas, cliente, servidor y transparente.
Los únicos que pueden cambiar la configuración de las VLAN son los
administradores y para poder desempeñar esta actividad de modo servidor, una
vez que se ha cambiado esta configuración estos cambios son enviados a los
demás, que son los clientes y esto ocurre por medio del enlace troncal y es
como se puede informar a los demás usuarios o clientes de estas
actualizaciones, sin embargo esto no aplica o no se informan los cambios
efectuados a los dispositivos que funcionen como transparentes.
Los dispositivos que funcionen como cliente no podrán crear VLAN, solo
podrán aplicar la información que es recibido por medio del servidor, en si
solo se podrá crear estas VLAN en los dispositivos que funciones como Servidor
y los clientes solo recibirán las instrucciones que este mismo le dé, es como
en el router el servidor es el que está en modo privilegiado y solo el podrá
hacer o modificar en este caso las VLANS.
El principal trabajo es mantener la configuración de un dominio unificada,
este protocolo como lo mencionamos antes es de mensajería que utiliza tramas de
enlace troncal que es usado principal para borrar, agregar y cambiar nombre de
las VLANS, los mensaje que utiliza el VTP son encapsulados como comprimidos en
las tramas del protocolo de enlace Inter.-switch que sus siglas son (ISL)que es
propietario de CISCO y es el encargado de mantener la información cuando ocurre
el tráfico entre las VLANS o también es utilizada otra opción para él envió de
los mensajes por IEEE 802.1Q y funcionan igual, son, los encargados de enviar
los mensajes por medio de enlaces a los demás dispositivos, en si este
protocolo es el encargado de enviar los masajes a la misma red o a otra VLAN lo
que nos faltó en la práctica de la configuración de los router.
· Beneficios del VTP
·
El VTP permite al administrador de la red configurar el switch de modo de
que cualquier modificación enviara o dará la información a los demás usuarios
de los cambios o modificaciones que ha sufrido la VLAN por medio de los
servidores
·
El switch solo puede ser configurado por el servidor y no por cualquier
otro usuario que funcione como cliente o transparente
·
Este protocolo guarda todas las configuraciones de la VLAN en la base de
datos de la misma. Esto quiere decir que cualquier cambo o configuración será
guardada en esta configuración se publicara al los demás usuarios y además se
guardara dicha configuración por mas pequeña que sea.
·
Minimiza posibles incoherencias de configuración, es decir que disminuye
los problemas causados por algunas configuraciones incorrectas
·
Se puede realizar cambios en un switch que está configurado como servidor
es decir que el administrador también puede configurar el switch del servidor
aunque no sea cliente o transparente.
·
Para poder compartir información es necesariamente que los clientes,
servidor pertenezcan al mismo dominio
·
Se puede establecer una contraseña para el domino con el fin de evitar que
un atacante pueda falsificar paquetes VTP con el fin de añadir, borrar o
cambiar la información sobre las VLASN´s
·
Componentes del VTP
Es la unión de uno o más switches, una vez interconectados comparten los
detalles de las configuraciones, aquí es en donde se establece el número de
switches que serán en utilizados en lo que se puede denominar como si fuera un
subred.
Publicaciones del VTP
En este protocolo se utilizan principalmente dos tipos de
publicaciones:
Las que son por peticiones del cliente, esta petición la hacen para poder
obtener información o la autorización de algún servicio y/o alguna restricción
del servicio, estas peticiones se las hace obviamente al administrador quien es
el encargado de la red.
Y la otra publicación es la respuesta de los servidores quienes por medio
de las peticiones requeridas y será el administrador si da la autorización de
dichas peticiones.
o Modos del
VTP
En un switch solo se puede configurar de tres formas servidor, cliente y transparente
o Servidor: es el que publica como la información, que es lo que
puede hacer o no hacer los clientes, cuantas computadoras estarán (rango) por
un solo puerto, la información es publicada al dominio que están en el domino.
Aquí se puede modificar, cambiar o eliminar la información. Además el
administrador es el encargado de guardar la información de la configuración en
la NVRAM de switch. Envían mensajes VTP a todos los puertos troncales.
o Clientes: en pocas palabras los clientes casi funciona igual que
los servidores pero con una diferencia de que no pueden crear, modificar o
eliminar las VLANS, además de que solo guarda la información de la VLAN para el
domino siempre y cuando el switch este activado.
Su principal función de los clientes es que solo procesan la información
que es enviada del servidor y además enviar mensajes. Son de gran utilidad para
los switches que contienen poco memoria para guardar suficiente información.
o Modo Transparente: también envían información los clientes y el
servidor pero cuando reciben un mensaje lo ignoran y no les importa su
información, estos switches no participan en los VTP ya que para ellos son
locales y el switch solo los ve así , también no modifican su BD cuando se
reciben actualizaciones de parte del servidor o de los clientes que le están
informando que se ha producido un cambio en la VLAN .
o Depuración de VTP:
Lo que es la depuración de errores es para aumentar lo que es el ancho de
banda del VTP disponible para los enlaces troncales para poder enviar la
información hacia los diferentes destinos de la VLAN, sin esta depuración
podría bloquear el broadcats aunque el switch puede descartarlos pero después
pueden causar algún problema.
B. Resolución de problemas de los VTP
Uno de los principales problemas que solucionan las VLAN son los problemas
de comunicación
·
Puede conectarse de manera única desde un switch ha un router por medio del
enlace troncal evitando tener una sola LAN con muchos switches ya que en las
VLANS se pueden conectar varias computadoras ( como una subred) en un solo
puerto del switch
·
Esta conexión solo existe sola una conexión lo que implica tener una mejor
administración de las redes que están conectadas al router
·
El tráfico que pasa por este enlace troncal atraviesa backbone capa 2 que
pasa por el router y así poder transportase en cualquier parte de la VLAN.
·
Otro problema que solucionan es que el tráfico de la red sea menos
·
También permite el ahorro de dinero por medio de la VLANS de voz ya que se
puede reducir el número de redes telefónicas, y configurar una red de voz que
te permite mantener una conversación en la red.
VÍDEOS PARA LA CONFIGURACIÓN DE REDES.
VÍDEO DE CONFIGURACIÓN DE REDES INALAMBRICAS
CONFIGURACION DE RED INALAMBRICA AD-HOC