Segmentación de redes I (URJCx)
Summary
TLDREl guion habla sobre la segmentación de redes mediante VLAN (Redes de Área Local Virtuales) para mejorar la seguridad y la eficiencia. Se menciona la necesidad de acceso a servidores para atacantes y cómo la segmentación reduce la visibilidad y separa tráfico y protocolos. Se explican los switches basados en el estándar 802.1Q para segmentar tráfico y el uso de ARP para la comunicación entre dispositivos. Además, se discuten las diferencias entre switches de VLAN y switches básicos, y cómo configurar VLAN para segmentar por puertos, dirección MAC, IP, autenticación de usuarios y aplicaciones, destacando la flexibilidad y la seguridad de cada método.
Takeaways
- 🔒 La segmentación de red mediante VLANs (Redes de Área Local Virtuales) permite reducir el área de visibilidad de cada zona y limitar el tráfico en cada segmento.
- 🛡️ La asignación de VLANs a usuarios y dispositivos garantiza que solo puedan comunicarse con otros dentro de su propia VLAN, mejorando la seguridad de la red.
- 🔌 Los switches son dispositivos de conexión de red que operan a nivel de enlace de la capa 2 y son fundamentales para la implementación de VLANs.
- 📦 El estándar IEEE 802.1Q permite a los switches etiquetar paquetes y extender VLANs a través de múltiples switches en la red.
- 🔍 El protocolo ARP (Address Resolution Protocol) es utilizado para descubrir la dirección MAC de un dispositivo a partir de su dirección IP.
- 🚫 Los switches básicos difunden las solicitudes ARP a todos los puertos, mientras que los switches VLAN-aware procesan estas solicitudes dentro de sus propias VLANs.
- 🔄 La configuración de VLANs puede basarse en diferentes criterios como la asignación de puertos, dirección MAC, dirección IP, autenticación de usuarios, servicios y aplicaciones.
- 🔄 La segmentación dinámica de VLANs según roles y servicios de autenticación es una forma flexible de adaptarse a usuarios móviles y dispositivos inalámbricos.
- 🚀 La segmentación por protocolos y aplicaciones permite una mayor flexibilidad y control sobre el tráfico de red, separando el tráfico según su contenido.
- 🔗 La conexión de switches mediante puertos transitorios permite la extensión de VLANs a través de la red, manteniendo la cohesión y la comunicación entre segmentos.
- ⚠️ Algunas limitaciones de la segmentación por VLAN incluyen la posibilidad de ataques de suplantación de MAC y la facilidad de cambiar direcciones IP, lo que puede comprometer la seguridad.
Q & A
¿Qué es la segmentación de red y cómo ayuda a proteger una red?
-La segmentación de red es el proceso de dividir una red en varias subredes o segmentos para limitar la visibilidad y el alcance de los dispositivos entre sí, lo que reduce la superficie expuesta a ataques y mejora la seguridad general de la red.
¿Qué son las VLAN (Redes de Área Local Virtuales) y cómo funcionan?
-Las VLAN son una tecnología que permite crear redes virtuales dentro de una red física, permitiendo la segmentación del tráfico y la reducción de la área de visibilidad de cada zona, mejorando así la seguridad y la eficiencia de la red.
¿Cuál es la función principal de un switch en una red?
-Un switch es un dispositivo de conexión de red que opera a nivel de enlace de la capa 2 (capa de datos). Se encarga de conectar dispositivos en una red y permitir su comunicación, conociendo sus direcciones MAC y facilitando la transmisión de datos entre ellos.
¿Cómo se determina la dirección MAC de un dispositivo en una red?
-La dirección MAC es un valor de 48 bits único asignado por el fabricante a cada interfaz de red. Para averiguar la dirección MAC de un dispositivo, se utiliza el protocolo ARP (Address Resolution Protocol), que permite a un equipo enviar una solicitud a la dirección IP del destino y recibir su dirección MAC en respuesta.
¿Qué es el protocolo ARP y cómo funciona?
-El protocolo ARP es utilizado para resolver direcciones IP a direcciones MAC. Cuando un dispositivo quiere enviar datos a otro, envía una solicitud ARP a toda la red, y el dispositivo con la dirección IP solicitada responde con su dirección MAC, permitiendo así la comunicación entre los dispositivos.
¿Cómo diferencia un switch de VLAN un paquete de un paquete no perteneciente a la misma VLAN?
-Un switch de VLAN utiliza el estándar IEEE 802.1Q para etiquetar los paquetes con la información de la VLAN a la que pertenecen. Cuando un switch recibe un paquete, primero determina si pertenece a la VLAN correcta y, en caso afirmativo, lo envía al puerto de salida correspondiente; si no, lo descarta.
¿Qué es un puerto trunk y cómo se utiliza en la configuración de VLAN?
-Un puerto trunk es un tipo de puerto en un switch que permite la transmisión de tráfico de múltiples VLAN a través de un solo enlace físico. Se utiliza para conectar switches entre sí y extender las VLAN a través de la red.
¿Cómo se pueden segmentar las redes por criterios distintos a la dirección MAC o la VLAN?
-Las redes pueden segmentarse por diversas características, como la dirección IP, el servicio de autenticación, los roles de usuario, los protocolos del tráfico, las aplicaciones o incluso la asignación dinámica de dispositivos a una VLAN.
¿Qué es el back spoofing y cómo representa una vulnerabilidad en la segmentación por dirección MAC?
-El back spoofing es una técnica usada por los atacantes para suplantar la dirección MAC de un dispositivo confiable en la red. Representa una vulnerabilidad ya que permite a los atacantes acceder a una VLAN a la que no deberían pertenecer, evitando así la segmentación de red.
¿Cómo se pueden configurar las VLAN para segmentar una red por departamentos de una organización?
-Se pueden asignar puertos específicos de un switch a una VLAN determinada, por ejemplo, los puertos 1, 3 y 5 a la VLAN del departamento de recursos humanos y los puertos 2, 4 y 6 a la VLAN del departamento financiero, creando así una segmentación por áreas funcionales de la organización.
¿Por qué es importante etiquetar los paquetes cuando se extiende una VLAN a través de múltiples switches?
-La etiqueta en los paquetes es importante para identificar a qué VLAN pertenecen, permitiendo que, al viajar por la red a través de diferentes switches, conserven esa información y se entreguen correctamente a los dispositivos de la VLAN adecuada.
Outlines
🔒 Seguridad y Segmentación de Redes con VLAN
El primer párrafo explica la importancia de la seguridad en las redes y cómo la segmentación mediante VLAN (Redes de Área Local Virtuales) puede reducir la visibilidad y separar el tráfico en diferentes segmentos. Se discute la configuración de VLAN utilizando switches que operan en la capa 2 y basados en el estándar IEEE 802.1Q. También se menciona el uso de ARP para la resolución de direcciones MAC y cómo los switches básicos difieren de los VLAN switches en términos de tráfico y comunicación entre dispositivos en la misma red.
📡 Diversas Formas de Segmentar Redes y su Seguridad
El segundo párrafo profundiza en diferentes métodos de segmentación de redes, incluyendo la segmentación por dirección IP, la asignación dinámica basada en servicios de autenticación y roles de usuarios, y la asignación de dispositivos o protocolos a VLAN. Se destaca la flexibilidad y utilidad de cada método, así como sus posibles vulnerabilidades, como el back spoofing en el caso de la segmentación por dirección IP. Además, se describe cómo se extiende la segmentación a través de múltiples switches utilizando puertos trans y la etiqueta IEEE 802.1Q para mantener la información de la VLAN a lo largo de la red.
Mindmap
Keywords
💡Red plana
💡Segmentación de red
💡Redes de área local virtuales (VLAN)
💡Switch
💡Protocolo ARP
💡Dirección MAC
💡DSwitch
💡Puerto transitorio
💡Etiquetado de paquetes
💡IEEE 802.1Q
💡Back spoofing
Highlights
La red plana permite que todos los dispositivos se vean entre sí, lo que aumenta la vulnerabilidad a ataques.
La segmentación de la red mediante VLANs reduce el área de visibilidad y la separación de protocolos, limitando el tráfico en cada segmento.
La movilidad de los usuarios se puede controlar asignándoles una VLAN específica, a la cual se conectarán independientemente de su ubicación.
Los switches son dispositivos de conexión de red que operan en la capa 2 y utilizan el estándar IEEE 802.1Q para la creación de VLANs.
Los switches básicos y los switches VLAN difieren en su capacidad para separar tráfico y en cómo manejan las comunicaciones entre dispositivos.
El protocolo ARP permite a un dispositivo encontrar la dirección MAC de otro basándose en su dirección IP.
Cuando un switch recibe una solicitud ARP, la difunde por todos sus puertos excepto el de recepción y registra la dirección MAC en su memoria.
Los dispositivos conectados a un switch VLAN pueden comunicarse solo con otros de la misma VLAN, a través de puertos asignados.
Las diferencias entre un switch y un switch VLAN se manifiestan en cómo manejan paquetes con direcciones MAC conocidas y desconocidas.
La configuración de VLANs permite segmentar una red y asignar puertos a diferentes VLANs según criterios organizacionales.
La segmentación por dirección MAC es vulnerable a ataques de suplantación de identidad (MAC spoofing).
La segmentación por dirección IP es menos segura que la por MAC, dado que la dirección IP es más fácil de cambiar.
La segmentación dinámica basada en servicios de autenticación y roles de usuario es flexible y adecuada para entornos móviles.
La asignación de dispositivos a VLANs por protocolos permite separar tráfico según el contenido de los paquetes.
La extensión de VLANs a través de múltiples switches requiere la configuración de puertos trans y la etiqueta IEEE 802.1Q para la identificación de VLANs.
No todos los dispositivos son compatibles con el estándar IEEE 802.1Q y pueden descartar paquetes con etiquetas VLAN.
Transcripts
i
si tenemos una red con una estructura
plana todos los dispositivos se verían
entre sí por lo que un atacante tendría
que eso a todos los servidores una vez
acceda a nuestra red la segmentación
mediante redes de área local virtuales y
velan permitirá entre otras cosas la
segmentación del dominio reduciendo el
área de visibilidad de cada zona la
separación de protocolos limitando el
tráfico en cada segmento o la movilidad
de los usuarios por ejemplo si se le
asigna una uve lan determinada a un
usuario siempre se conectará a ella
independientemente de su localización
para configurar las v land empleamos
switches que son dispositivos de
conexión de red a nivel de enlace de la
capa 2 que se basan en el estándar y el
cubo 802 1 q los denominados
switches para separar tráfico de una su
vela y otras en cambio si empleamos los
switches básicos basados en el estándar
y el cubo 802 uno de los denominados de
switches todos los dispositivos
conectados a ellos se verán uno
cuando un dispositivo quiere comunicarse
con otro necesita conocer la dirección
mac de su interfaz de red que es un
valor de 48 bits único asignado a esa
interfaz por el fabricante la forma
averiguar esa dirección es mediante el
protocolo aerp que permite a un equipo
enviar una solicitud conocida a la
dirección ip del destino y esa solicitud
la difunde el switch a toda la red
respondiendo el equipo que tenga ese
dirección ip dando su mac por tanto
cuando un de switch recibe una solicitud
a erp la difunde por todos sus puertos
excepto por el que lo ha recibido y
además registra en su memoria la amac de
la interfaz que es accesible por ese
puerto como hemos dicho antes todos los
dispositivos conectados a un the switch
están en la misma red y se pueden
comunicar entre sí sin embargo si
empleamos un curso podemos segmentar la
red y asignar por ejemplo a cada puerto
del switch una ovelar de forma que
separaremos los dispositivos unos de
otro y pueden comunicarse únicamente con
los de su vela
las diferencias entre un de switch y un
curso y las podemos resumidas en esta
tabla así tenemos que un de switch
cuando le llegue un paquete con
dirección destino más conocida tendrá
que primero determinar el puerto de
salida asociado con la dirección mac
destino según la tabla de ese switch
segundo si el puerto asociado de salida
es diferente del de procedencia del
paquete enviar el paquete al puerto de
salida y por último si no es así
descartar el paquete en cambio un curso
switch deberá además de realizar las
operaciones que ha hecho el de switch
primero determinar la uve lan asociada a
ese paquete y después si el puerto
asociado de salida es diferente del de
procedencia del paquete tendrá que mirar
si es miembro de la misma v la del
paquete recibido y entonces enviar el
paquete al puerto de salida y si no es
así igual que un de switch descartar el
paquete por otro lado un de switch
cuando la dirección mac de destino sea
desconocida o sea un broadcast tendrá
que enviar el paquete a todos los
puertos excepto por el que se recibe el
paquete
un curso determinará primero la o velan
a la que pertenece el paquete y después
difundirá el paquete pero sólo a los
puertos de la ub land excepto por el que
se recibió el paquete para configurar
las v land con un curso it se puede
hacer siguiendo los distintos criterios
por ejemplo en la figura podemos asignar
los puertos 1 3 y 5 a la vela 1 como por
ejemplo sería la red del departamento de
recursos humanos de la organización y
los puertos 2 4 y 6 a lo velan 2 que
sería la red del departamento financiero
el puerto 7 para la ub land 3 que sería
por ejemplo la red comercial y el puerto
8 a lo velan 4 que sería el acceso wifi
de esta forma los dispositivos
conectados a la vela no se podrán
comunicar entre ellos pero no con los
del resto de balance esta es la
configuración de asignación de puertos
es la más sencilla para segmentar una
red por vela pero también de las menos
flexibles las otras posibilidades sería
segmentar por ejemplo por dirección mac
construyendo una tabla
mack v land de forma que no importe la
localización del dispositivo pues
siempre se le asignará la misma o velan
la vulnerabilidad de este enfoque reside
en la posibilidad de que el atacante su
plan de la dirección mac de un
dispositivo
el conocido back spoofing otra forma de
segmentar las redes sería por sus redes
ip en lugar de pares mac v land
registraremos en la tabla pares rango y
p v land de forma que dependiendo de la
dirección ip el dispositivo estará esté
en una uve lan u otra esta configuración
es incluso menos segura que la anterior
dado que la dirección ip de un equipo es
muy sencilla de cambiar y por tanto
tener acceso a determinado velan pero
también es más flexible y se emplea
bastante en redes cableadas estables
otra forma de segmentar sería por
asignación dinámica basándonos en un
servicio de autenticación normalmente un
servidor radios y un directo de usuarios
además de un conjunto de reglas que
asigne a cada usuario con su plan
correspondiente
esta es la configuración más flexible y
al estar basada en roles funciona
perfectamente con usuarios móviles con
dispositivos inalámbricos o remotos
otra forma de segmentar sería por
asignación de dispositivos aunque no
todas las interfaces de red lo soportan
también se podría asignar cada interfaz
a una vela
otra forma sería por protocolos el curso
asignará la sub el an en función de los
protocolos del tráfico que lleven por
último también se podría segmentar por
aplicaciones dependiendo del contenido
de cada paquete lo que permite separar
el tráfico según la aplicación empleada
pero qué sucede cuando tenemos más de un
switch habrá que extender las v land al
otro switch y habrá que etiquetar de
alguna forma los paquetes para que se
sepa a qué v land pertenecen para
conectar un switch a otro se configura
un puerto como puerto tranqui y se
conecta al puerto trans del otro switch
de forma que podemos extender las v land
al resto de la red
además el estándar ieee 802 1 q nos
permite etiquetar los paquetes para
identificar a qué v land pertenecen así
cuando viajen por la red por distintos
switches no perderán esa información
aunque no todos los dispositivos son
compatibles con este estándar y esos sí
que descartaran las etiquetas
Ver Más Videos Relacionados
Segmentación de redes II (URJCx)
Qué son las VLAN, para qué sirven y cómo funcionan. Curso de redes desde 0 | Cap 20 |
Diseño de Redes Seguras | Gestión de la seguridad Informática | Wild IT Academy
Enrutamiento VLAN-Subinterfaces, Vlans (Configuración Instituto)
Unicast, multicast y broadcast. Curso de redes desde 0 | Cap 19 |
COMO CREAR UN RED LAN EN 🔴 CISCO PACKET TRACER🔴
5.0 / 5 (0 votes)