Segmentación de redes I (URJCx)

universidadurjc
29 Feb 201607:15

Summary

TLDREl guion habla sobre la segmentación de redes mediante VLAN (Redes de Área Local Virtuales) para mejorar la seguridad y la eficiencia. Se menciona la necesidad de acceso a servidores para atacantes y cómo la segmentación reduce la visibilidad y separa tráfico y protocolos. Se explican los switches basados en el estándar 802.1Q para segmentar tráfico y el uso de ARP para la comunicación entre dispositivos. Además, se discuten las diferencias entre switches de VLAN y switches básicos, y cómo configurar VLAN para segmentar por puertos, dirección MAC, IP, autenticación de usuarios y aplicaciones, destacando la flexibilidad y la seguridad de cada método.

Takeaways

  • 🔒 La segmentación de red mediante VLANs (Redes de Área Local Virtuales) permite reducir el área de visibilidad de cada zona y limitar el tráfico en cada segmento.
  • 🛡️ La asignación de VLANs a usuarios y dispositivos garantiza que solo puedan comunicarse con otros dentro de su propia VLAN, mejorando la seguridad de la red.
  • 🔌 Los switches son dispositivos de conexión de red que operan a nivel de enlace de la capa 2 y son fundamentales para la implementación de VLANs.
  • 📦 El estándar IEEE 802.1Q permite a los switches etiquetar paquetes y extender VLANs a través de múltiples switches en la red.
  • 🔍 El protocolo ARP (Address Resolution Protocol) es utilizado para descubrir la dirección MAC de un dispositivo a partir de su dirección IP.
  • 🚫 Los switches básicos difunden las solicitudes ARP a todos los puertos, mientras que los switches VLAN-aware procesan estas solicitudes dentro de sus propias VLANs.
  • 🔄 La configuración de VLANs puede basarse en diferentes criterios como la asignación de puertos, dirección MAC, dirección IP, autenticación de usuarios, servicios y aplicaciones.
  • 🔄 La segmentación dinámica de VLANs según roles y servicios de autenticación es una forma flexible de adaptarse a usuarios móviles y dispositivos inalámbricos.
  • 🚀 La segmentación por protocolos y aplicaciones permite una mayor flexibilidad y control sobre el tráfico de red, separando el tráfico según su contenido.
  • 🔗 La conexión de switches mediante puertos transitorios permite la extensión de VLANs a través de la red, manteniendo la cohesión y la comunicación entre segmentos.
  • ⚠️ Algunas limitaciones de la segmentación por VLAN incluyen la posibilidad de ataques de suplantación de MAC y la facilidad de cambiar direcciones IP, lo que puede comprometer la seguridad.

Q & A

  • ¿Qué es la segmentación de red y cómo ayuda a proteger una red?

    -La segmentación de red es el proceso de dividir una red en varias subredes o segmentos para limitar la visibilidad y el alcance de los dispositivos entre sí, lo que reduce la superficie expuesta a ataques y mejora la seguridad general de la red.

  • ¿Qué son las VLAN (Redes de Área Local Virtuales) y cómo funcionan?

    -Las VLAN son una tecnología que permite crear redes virtuales dentro de una red física, permitiendo la segmentación del tráfico y la reducción de la área de visibilidad de cada zona, mejorando así la seguridad y la eficiencia de la red.

  • ¿Cuál es la función principal de un switch en una red?

    -Un switch es un dispositivo de conexión de red que opera a nivel de enlace de la capa 2 (capa de datos). Se encarga de conectar dispositivos en una red y permitir su comunicación, conociendo sus direcciones MAC y facilitando la transmisión de datos entre ellos.

  • ¿Cómo se determina la dirección MAC de un dispositivo en una red?

    -La dirección MAC es un valor de 48 bits único asignado por el fabricante a cada interfaz de red. Para averiguar la dirección MAC de un dispositivo, se utiliza el protocolo ARP (Address Resolution Protocol), que permite a un equipo enviar una solicitud a la dirección IP del destino y recibir su dirección MAC en respuesta.

  • ¿Qué es el protocolo ARP y cómo funciona?

    -El protocolo ARP es utilizado para resolver direcciones IP a direcciones MAC. Cuando un dispositivo quiere enviar datos a otro, envía una solicitud ARP a toda la red, y el dispositivo con la dirección IP solicitada responde con su dirección MAC, permitiendo así la comunicación entre los dispositivos.

  • ¿Cómo diferencia un switch de VLAN un paquete de un paquete no perteneciente a la misma VLAN?

    -Un switch de VLAN utiliza el estándar IEEE 802.1Q para etiquetar los paquetes con la información de la VLAN a la que pertenecen. Cuando un switch recibe un paquete, primero determina si pertenece a la VLAN correcta y, en caso afirmativo, lo envía al puerto de salida correspondiente; si no, lo descarta.

  • ¿Qué es un puerto trunk y cómo se utiliza en la configuración de VLAN?

    -Un puerto trunk es un tipo de puerto en un switch que permite la transmisión de tráfico de múltiples VLAN a través de un solo enlace físico. Se utiliza para conectar switches entre sí y extender las VLAN a través de la red.

  • ¿Cómo se pueden segmentar las redes por criterios distintos a la dirección MAC o la VLAN?

    -Las redes pueden segmentarse por diversas características, como la dirección IP, el servicio de autenticación, los roles de usuario, los protocolos del tráfico, las aplicaciones o incluso la asignación dinámica de dispositivos a una VLAN.

  • ¿Qué es el back spoofing y cómo representa una vulnerabilidad en la segmentación por dirección MAC?

    -El back spoofing es una técnica usada por los atacantes para suplantar la dirección MAC de un dispositivo confiable en la red. Representa una vulnerabilidad ya que permite a los atacantes acceder a una VLAN a la que no deberían pertenecer, evitando así la segmentación de red.

  • ¿Cómo se pueden configurar las VLAN para segmentar una red por departamentos de una organización?

    -Se pueden asignar puertos específicos de un switch a una VLAN determinada, por ejemplo, los puertos 1, 3 y 5 a la VLAN del departamento de recursos humanos y los puertos 2, 4 y 6 a la VLAN del departamento financiero, creando así una segmentación por áreas funcionales de la organización.

  • ¿Por qué es importante etiquetar los paquetes cuando se extiende una VLAN a través de múltiples switches?

    -La etiqueta en los paquetes es importante para identificar a qué VLAN pertenecen, permitiendo que, al viajar por la red a través de diferentes switches, conserven esa información y se entreguen correctamente a los dispositivos de la VLAN adecuada.

Outlines

00:00

🔒 Seguridad y Segmentación de Redes con VLAN

El primer párrafo explica la importancia de la seguridad en las redes y cómo la segmentación mediante VLAN (Redes de Área Local Virtuales) puede reducir la visibilidad y separar el tráfico en diferentes segmentos. Se discute la configuración de VLAN utilizando switches que operan en la capa 2 y basados en el estándar IEEE 802.1Q. También se menciona el uso de ARP para la resolución de direcciones MAC y cómo los switches básicos difieren de los VLAN switches en términos de tráfico y comunicación entre dispositivos en la misma red.

05:01

📡 Diversas Formas de Segmentar Redes y su Seguridad

El segundo párrafo profundiza en diferentes métodos de segmentación de redes, incluyendo la segmentación por dirección IP, la asignación dinámica basada en servicios de autenticación y roles de usuarios, y la asignación de dispositivos o protocolos a VLAN. Se destaca la flexibilidad y utilidad de cada método, así como sus posibles vulnerabilidades, como el back spoofing en el caso de la segmentación por dirección IP. Además, se describe cómo se extiende la segmentación a través de múltiples switches utilizando puertos trans y la etiqueta IEEE 802.1Q para mantener la información de la VLAN a lo largo de la red.

Mindmap

Keywords

💡Red plana

Una red plana es una topología de red en la que todos los dispositivos están en el mismo nivel, lo que significa que pueden verse entre sí y comunicarse directamente. En el video, se menciona que en una red plana, un atacante tendría acceso a todos los servidores, lo que resalta la importancia de la segmentación de red para mejorar la seguridad.

💡Segmentación de red

La segmentación de red es el proceso de dividir una red en subredes más pequeñas para mejorar la seguridad, la eficiencia y la administración. En el contexto del video, se discute cómo la segmentación puede reducir el área de visibilidad de cada zona y limitar el tráfico en cada segmento, lo que ayuda a proteger la red de ataques.

💡Redes de área local virtuales (VLAN)

Las VLAN son una forma de segmentar una red de área local (LAN) sin la necesidad de cables adicionales, permitiendo a los dispositivos que estén físicamente separados pero pertenecen a la misma VLAN comunicarse como si estuvieran en la misma red local. En el video, se menciona que la segmentación mediante VLAN permite entre otras cosas la separación de protocolos y la movilidad de los usuarios.

💡Switch

Un switch es un dispositivo de red que opera en el nivel de enlace de datos (capa 2) del modelo OSI. Se utiliza para conectar dispositivos de red y permitir que se comuniquen entre sí. En el video, se describe cómo los switches se utilizan para la segmentación de tráfico y la creación de VLAN.

💡Protocolo ARP

El Protocolo de resolución de direcciones (ARP) es utilizado para encontrar la dirección MAC de un dispositivo en una red a partir de su dirección IP. En el script, se explica cómo el ARP permite a un dispositivo enviar una solicitud a toda la red para encontrar la dirección MAC asociada con una dirección IP específica.

💡Dirección MAC

La dirección MAC (Media Access Control) es una dirección única de 48 bits asignada a una interfaz de red por su fabricante. Es esencial para la comunicación en redes locales y se menciona en el video como parte del proceso de descubrimiento de ARP.

💡DSwitch

Un DSwitch, o switch de capa 3, es capaz de realizar funciones de enrutamiento y es utilizado para segmentar tráfico en una red. En el video, se contrasta con los switches de capa 2 (que solo trabajan con direcciones MAC) y se describe cómo un DSwitch puede segmentar la red por VLAN.

💡Puerto transitorio

Un puerto transitorio es un tipo de configuración de puerto en un switch que permite la extensión de una VLAN a través de switches adicionales en la red. En el video, se menciona cómo configurar un puerto transitorio para conectar switches y extender las VLAN.

💡Etiquetado de paquetes

El etiquetado de paquetes se refiere al proceso de agregar información a un paquete de red que identifica a qué VLAN pertenece. Esto es importante para que los paquetes puedan viajar a través de múltiples switches y mantener su asociación con una VLAN específica, como se describe en el video.

💡IEEE 802.1Q

El estándar IEEE 802.1Q define el etiquetado de paquetes para VLAN y permite a los switches trabajar con múltiples VLAN en una misma red. En el video, se menciona cómo este estándar permite la identificación de VLAN en paquetes que viajan por la red.

💡Back spoofing

El back spoofing es una técnica utilizada en ataques de red donde un atacante suplanta la dirección MAC de un dispositivo confiable para acceder a una VLAN. Aunque no se describe directamente en el video, se menciona como una vulnerabilidad potencial en la segmentación por dirección MAC.

Highlights

La red plana permite que todos los dispositivos se vean entre sí, lo que aumenta la vulnerabilidad a ataques.

La segmentación de la red mediante VLANs reduce el área de visibilidad y la separación de protocolos, limitando el tráfico en cada segmento.

La movilidad de los usuarios se puede controlar asignándoles una VLAN específica, a la cual se conectarán independientemente de su ubicación.

Los switches son dispositivos de conexión de red que operan en la capa 2 y utilizan el estándar IEEE 802.1Q para la creación de VLANs.

Los switches básicos y los switches VLAN difieren en su capacidad para separar tráfico y en cómo manejan las comunicaciones entre dispositivos.

El protocolo ARP permite a un dispositivo encontrar la dirección MAC de otro basándose en su dirección IP.

Cuando un switch recibe una solicitud ARP, la difunde por todos sus puertos excepto el de recepción y registra la dirección MAC en su memoria.

Los dispositivos conectados a un switch VLAN pueden comunicarse solo con otros de la misma VLAN, a través de puertos asignados.

Las diferencias entre un switch y un switch VLAN se manifiestan en cómo manejan paquetes con direcciones MAC conocidas y desconocidas.

La configuración de VLANs permite segmentar una red y asignar puertos a diferentes VLANs según criterios organizacionales.

La segmentación por dirección MAC es vulnerable a ataques de suplantación de identidad (MAC spoofing).

La segmentación por dirección IP es menos segura que la por MAC, dado que la dirección IP es más fácil de cambiar.

La segmentación dinámica basada en servicios de autenticación y roles de usuario es flexible y adecuada para entornos móviles.

La asignación de dispositivos a VLANs por protocolos permite separar tráfico según el contenido de los paquetes.

La extensión de VLANs a través de múltiples switches requiere la configuración de puertos trans y la etiqueta IEEE 802.1Q para la identificación de VLANs.

No todos los dispositivos son compatibles con el estándar IEEE 802.1Q y pueden descartar paquetes con etiquetas VLAN.

Transcripts

play00:01

i

play00:21

si tenemos una red con una estructura

play00:23

plana todos los dispositivos se verían

play00:26

entre sí por lo que un atacante tendría

play00:28

que eso a todos los servidores una vez

play00:31

acceda a nuestra red la segmentación

play00:33

mediante redes de área local virtuales y

play00:36

velan permitirá entre otras cosas la

play00:39

segmentación del dominio reduciendo el

play00:41

área de visibilidad de cada zona la

play00:43

separación de protocolos limitando el

play00:45

tráfico en cada segmento o la movilidad

play00:47

de los usuarios por ejemplo si se le

play00:49

asigna una uve lan determinada a un

play00:51

usuario siempre se conectará a ella

play00:53

independientemente de su localización

play00:56

para configurar las v land empleamos

play00:59

switches que son dispositivos de

play01:01

conexión de red a nivel de enlace de la

play01:04

capa 2 que se basan en el estándar y el

play01:06

cubo 802 1 q los denominados

play01:10

switches para separar tráfico de una su

play01:13

vela y otras en cambio si empleamos los

play01:15

switches básicos basados en el estándar

play01:17

y el cubo 802 uno de los denominados de

play01:22

switches todos los dispositivos

play01:24

conectados a ellos se verán uno

play01:27

cuando un dispositivo quiere comunicarse

play01:29

con otro necesita conocer la dirección

play01:31

mac de su interfaz de red que es un

play01:34

valor de 48 bits único asignado a esa

play01:37

interfaz por el fabricante la forma

play01:39

averiguar esa dirección es mediante el

play01:41

protocolo aerp que permite a un equipo

play01:43

enviar una solicitud conocida a la

play01:45

dirección ip del destino y esa solicitud

play01:48

la difunde el switch a toda la red

play01:51

respondiendo el equipo que tenga ese

play01:53

dirección ip dando su mac por tanto

play01:56

cuando un de switch recibe una solicitud

play01:59

a erp la difunde por todos sus puertos

play02:02

excepto por el que lo ha recibido y

play02:04

además registra en su memoria la amac de

play02:07

la interfaz que es accesible por ese

play02:09

puerto como hemos dicho antes todos los

play02:12

dispositivos conectados a un the switch

play02:14

están en la misma red y se pueden

play02:16

comunicar entre sí sin embargo si

play02:18

empleamos un curso podemos segmentar la

play02:21

red y asignar por ejemplo a cada puerto

play02:24

del switch una ovelar de forma que

play02:27

separaremos los dispositivos unos de

play02:30

otro y pueden comunicarse únicamente con

play02:32

los de su vela

play02:34

las diferencias entre un de switch y un

play02:36

curso y las podemos resumidas en esta

play02:39

tabla así tenemos que un de switch

play02:41

cuando le llegue un paquete con

play02:43

dirección destino más conocida tendrá

play02:46

que primero determinar el puerto de

play02:48

salida asociado con la dirección mac

play02:50

destino según la tabla de ese switch

play02:52

segundo si el puerto asociado de salida

play02:56

es diferente del de procedencia del

play02:57

paquete enviar el paquete al puerto de

play02:59

salida y por último si no es así

play03:01

descartar el paquete en cambio un curso

play03:04

switch deberá además de realizar las

play03:07

operaciones que ha hecho el de switch

play03:09

primero determinar la uve lan asociada a

play03:12

ese paquete y después si el puerto

play03:14

asociado de salida es diferente del de

play03:16

procedencia del paquete tendrá que mirar

play03:18

si es miembro de la misma v la del

play03:21

paquete recibido y entonces enviar el

play03:23

paquete al puerto de salida y si no es

play03:25

así igual que un de switch descartar el

play03:28

paquete por otro lado un de switch

play03:30

cuando la dirección mac de destino sea

play03:33

desconocida o sea un broadcast tendrá

play03:36

que enviar el paquete a todos los

play03:37

puertos excepto por el que se recibe el

play03:39

paquete

play03:40

un curso determinará primero la o velan

play03:43

a la que pertenece el paquete y después

play03:45

difundirá el paquete pero sólo a los

play03:47

puertos de la ub land excepto por el que

play03:49

se recibió el paquete para configurar

play03:52

las v land con un curso it se puede

play03:54

hacer siguiendo los distintos criterios

play03:56

por ejemplo en la figura podemos asignar

play03:59

los puertos 1 3 y 5 a la vela 1 como por

play04:04

ejemplo sería la red del departamento de

play04:06

recursos humanos de la organización y

play04:08

los puertos 2 4 y 6 a lo velan 2 que

play04:12

sería la red del departamento financiero

play04:14

el puerto 7 para la ub land 3 que sería

play04:17

por ejemplo la red comercial y el puerto

play04:19

8 a lo velan 4 que sería el acceso wifi

play04:22

de esta forma los dispositivos

play04:24

conectados a la vela no se podrán

play04:27

comunicar entre ellos pero no con los

play04:29

del resto de balance esta es la

play04:31

configuración de asignación de puertos

play04:34

es la más sencilla para segmentar una

play04:36

red por vela pero también de las menos

play04:39

flexibles las otras posibilidades sería

play04:42

segmentar por ejemplo por dirección mac

play04:45

construyendo una tabla

play04:47

mack v land de forma que no importe la

play04:50

localización del dispositivo pues

play04:52

siempre se le asignará la misma o velan

play04:54

la vulnerabilidad de este enfoque reside

play04:57

en la posibilidad de que el atacante su

play04:59

plan de la dirección mac de un

play05:00

dispositivo

play05:01

el conocido back spoofing otra forma de

play05:04

segmentar las redes sería por sus redes

play05:07

ip en lugar de pares mac v land

play05:10

registraremos en la tabla pares rango y

play05:12

p v land de forma que dependiendo de la

play05:15

dirección ip el dispositivo estará esté

play05:17

en una uve lan u otra esta configuración

play05:20

es incluso menos segura que la anterior

play05:22

dado que la dirección ip de un equipo es

play05:25

muy sencilla de cambiar y por tanto

play05:27

tener acceso a determinado velan pero

play05:29

también es más flexible y se emplea

play05:31

bastante en redes cableadas estables

play05:36

otra forma de segmentar sería por

play05:38

asignación dinámica basándonos en un

play05:40

servicio de autenticación normalmente un

play05:43

servidor radios y un directo de usuarios

play05:45

además de un conjunto de reglas que

play05:47

asigne a cada usuario con su plan

play05:49

correspondiente

play05:50

esta es la configuración más flexible y

play05:53

al estar basada en roles funciona

play05:54

perfectamente con usuarios móviles con

play05:57

dispositivos inalámbricos o remotos

play06:00

otra forma de segmentar sería por

play06:02

asignación de dispositivos aunque no

play06:04

todas las interfaces de red lo soportan

play06:06

también se podría asignar cada interfaz

play06:08

a una vela

play06:10

otra forma sería por protocolos el curso

play06:13

asignará la sub el an en función de los

play06:16

protocolos del tráfico que lleven por

play06:18

último también se podría segmentar por

play06:21

aplicaciones dependiendo del contenido

play06:23

de cada paquete lo que permite separar

play06:25

el tráfico según la aplicación empleada

play06:29

pero qué sucede cuando tenemos más de un

play06:31

switch habrá que extender las v land al

play06:34

otro switch y habrá que etiquetar de

play06:35

alguna forma los paquetes para que se

play06:38

sepa a qué v land pertenecen para

play06:41

conectar un switch a otro se configura

play06:43

un puerto como puerto tranqui y se

play06:45

conecta al puerto trans del otro switch

play06:47

de forma que podemos extender las v land

play06:50

al resto de la red

play06:52

además el estándar ieee 802 1 q nos

play06:55

permite etiquetar los paquetes para

play06:57

identificar a qué v land pertenecen así

play07:00

cuando viajen por la red por distintos

play07:01

switches no perderán esa información

play07:04

aunque no todos los dispositivos son

play07:06

compatibles con este estándar y esos sí

play07:09

que descartaran las etiquetas

Browse More Related Video

Segmentación de redes II (URJCx)

Qué son las VLAN, para qué sirven y cómo funcionan. Curso de redes desde 0 | Cap 20 |

Diseño de Redes Seguras | Gestión de la seguridad Informática | Wild IT Academy

Enrutamiento VLAN-Subinterfaces, Vlans (Configuración Instituto)

Unicast, multicast y broadcast. Curso de redes desde 0 | Cap 19 |

COMO CREAR UN RED LAN EN 🔴 CISCO PACKET TRACER🔴

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
Related Tags
Segmentación de RedesVLANsSeguridadSwitchesProtocolo ARPMAC AddressRed PlanaTráfico de DatosRedes InalámbricasConfiguración de RedIEEE 802.1Q
Do you need a summary in English?