Informe: Caso prctico

de investigacin net 4
prueba 5
Profesor: Sandro Enoc Hidalgo Leal

Andrs Solis Montupil

02/12/2014

ndice
A) Comprensin del modelo jerrquico de cisco Aplicado a la empresa: ................ 3
Capa de acceso: .................................................................................................. 3
Capa de Distribucin: .......................................................................................... 4
Capa Ncleo: ....................................................................................................... 4
B) Describir y comprender la configuracin de los dispositivos de la corporacin: . 4
R2: ....................................................................................................................... 4
EIGRP:................................................................................................................. 5
R3: ....................................................................................................................... 5
OSPF/RIP: ........................................................................................................... 5
Rip-80: ................................................................................................................. 5
EIGRP-80: ........................................................................................................... 5
R4; R5 y R6: ........................................................................................................ 5
R1: ....................................................................................................................... 5
DHCP:.................................................................................................................. 6
sw1; sw2, sw3, sw-4: ........................................................................................... 6
"OSPF", "RIP" y "EIGRP": ................................................................................... 6
I) Documentar acceso a Web y Remoto .................................................................. 7
Acceso a Web:..................................................................................................... 7
Acceso Remoto: .................................................................................................. 7
II) Documentar ACL................................................................................................. 8
III) Documentar NAT ............................................................................................... 9
IV) Documentar DHCP .......................................................................................... 10
V) Revisar IPv6 e indicar de qu forma se podra tener acceso a la granja IPv6,
desde la corporacin ............................................................................................. 10
VI) Documentar routers de acceso a Server ......................................................... 12
a) Identificar posibles amenazas en la red corporativa. ........................................ 12
b) Complemente esta informacin referente a Posible configuracin de enlace
VPN a usuarios a distancia. .................................................................................. 13

A) Comprensin del modelo jerrquico de cisco Aplicado a la

empresa:
Las redes jerrquicas se administran y se expanden con ms facilidad
(escalabilidad) que otras arquitecturas. Adems los problemas se resuelven con
mayor rapidez, el modelo de diseo jerrquico tpico se separa en tres capas con
funciones especficas: capa de acceso, capa de distribucin y capa ncleo.

Capa de acceso:
La Capa de Acceso aporta un medio de conexin de los dispositivos finales (PCs,
impresoras y telfonos IP) a la red y controla qu dispositivos pueden
comunicarse. La Capa de Acceso puede incluir routers, switches, puentes, hubs y
puntos de acceso inalmbricos. En esta capa los dispositivos que podemos
identificar son: :"L3 EIGRP"; "sw rip"; "sw eigrp", "Multilayer Switch1", "Switch0",
"sw-1", "sw-2", "sw-3" y "sw-4", ya que son los encargados de la comunicacin
entre los dispositivos finales y le la divisin de trfico segn grupos de trabajo
(vlans)

Capa de Distribucin:
La Capa de Distribucin agrega los datos recibidos de los switches de la Capa de
Acceso antes de que se transmitan a la Capa Ncleo para el enrutamiento hacia
su destino final. Los router presentes son: :"R4", "R5","R6" "EIGRP", "Rip 80",
"R3", "EIGRP 80", "OSPF/RIP", "R1" y "DHCP", estos se encargan de enroutar los
paquetes de la capa de acceso hacia el ncleo, realizan inter-vlan routing e
implementan las traducciones Nat respectivas.
La Capa de Distribucin controla el flujo de trfico de la red mediante el uso de
polticas y segmenta la red en dominios de broadcast mediante el uso de LAN
virtuales (VLAN).
Las VLAN permiten al usuario segmentar el trfico sobre un switch en subredes
separadas (muchas veces de acuerdo a grupos de usuarios en una empresa).
Capa Ncleo:
La Capa Ncleo es la espina dorsal (backbone) de alta velocidad de la red.
La Capa Ncleo permite la interconectividad entre los dispositivos de la capa de
distribucin y la conexin a los recursos de Internet. Aqu se encuentran switches
de capa 3 y routers.
En redes ms pequeas no es inusual que se implemente un modelo de ncleo
colapsado en el que se combinan la Capa de Distribucin y la Capa Ncleo en una
sola capa.
En esta capa estn presentes los R2, este router es el hub del Frame Relay, est
encargado de conmutar tan rpido como sea posible todo el trfico de red, no
realiza funciones de capa de distribucin, tales como; el filtrado, acces-list o el
inter-vlan routing.

B) Describir y comprender la configuracin de los dispositivos de

la corporacin:
R2:
Este router corresponde al Hub del Frame-relay, su configuracin posee tres
conexiones point-to-point, estas estn en tres de las sub-interfaces de la serial 0/0,
ellas con sus respectivas DLCI configuradas de la siguiente manera:
Serial0/0.100 (up): point-to-point dlci, dlci 100, broadcast, status defined, active
Serial0/0.200 (up): point-to-point dlci, dlci 200, broadcast, status defined, active

Serial0/0.300 (up): point-to-point dlci, dlci 300, broadcast, status defined, active
EIGRP:
Este dispositivo corresponde a un Spoke dentro del Fram-relav, su configuracin
de Eigrp le permite conocer las sub-redes de la red 172.16.0.0, aunque debido a
estas rutas no estn redistribuidas en Ospf, es por esto que el router EIGRP es
incapaz de compartir las rutas con el router central (Hub) y las rutas OSPF
tampoco estn redistribuidas en EIGRP. Tienen las siguientes configuraciones
sobrantes: router eigrp 1500 auto-summary. Esta configuracin sobra debiso a
que no hay rutas asociadas a este sistema autnomo. Posee 2 configuraciones:
ip default-network 192.168.1.0 ----- Asignacin de la red por defecto
ip route 0.0.0.0 0.0.0.0 192.168.1.1 ---- Permite que todo el trfico se enrute hacia
la interfaz asociada al siguiente salto.
R3:
Este router tambin pertenece a los Spoke del Frame Relay, enruta sus redes
mediante OSPF.
OSPF/RIP:
Este router es Spoke del Frame Relay, utiliza una combinacin de Ospf y Rip para
enrutar sus paquetes. Los protocolos Rip y Ospf estn correctamente
redistribuidos y debe configurada una ruta sumarizada en rip hacia la red
172.16.0.0, para simplificar su tabla de enrutamiento.
Rip-80:
Es el router de acceso a los servidores web "rip1" y "rip2".
EIGRP-80:
Es el Router de acceso a los servidores web "eigrp1" y "eigrp2". Adems, posee
dos configuraciones Nat: una son las direcciones globales configuradas que
tampoco estn disponibles, ya que pertenecen a broadcast y direccin de red, por
lo tanto, deben ser modificadas.
R4; R5 y R6:
Estos router tiene una configuracin similar, ya que todos poseen tres o ms
interfaces loopbacks configuradas, Estas poseen la misma direccin de red, por lo
que sera recomendado sumarizar estas direcciones para ahorrar espacio en las
tablas de enrutamiento de los routers.
R1:
Este utiliza el protocolo Rip para enrutar sus paquetes, y tiene configurada una
sumarizacin para las subredes de la red 172.16.0.0:

Router rip version 2 network 172.16.0.0 no auto-summary

DHCP:
Este pertenece a los switch multicapa, es el encargado de realizar el inter-vlan
routing para las vlan 200, 400 y 850. Enruta los paquetes de estas Vlan con el
protocolo Rip, utilizando la siguiente sumarizacin:
Router rip version 2 network 172.16.0.0 no auto-summary
El switch "DHCP" distribuye los mensajes del protocolo troncal de vlan (VTP),
debido a que est en modo "server:
DHCP#show vtp status VTP Version: 2
Configuration Revision: 161
Maximum VLANs supported locally: 1005
Number of existing VLANs: 8
VTP Operating Mode: Server
VTP Domain Name: ripv2
sw1; sw2, sw3, sw-4:
Pertenecen a un mismo dominio vtp, estando configurados en modo Cliente y con
contrasea vtp(cisco123), en este dominio se propagan las vlan 200,400 y 850
siendo permitidas con el comando switchport trunk allowed vlan 200,850 Y 400. El
switch multicapa est configurado en modo "Server", por lo que al crear una vlan,
esta se propagar en todo el dominio. El switch "sw1" est configurado con el
comando "spanning-tree vlan 200,400,850 priority 4096"el cual le asigna una
prioridad a las vlan al momento de enviar trfico.
"OSPF", "RIP" y "EIGRP":
Estos corresponden a servidores, son los encargados de resolver los nombres de
dominio de los 4 servidores HTTP de la topologa, cada servidor le dar servicio a
un grupo de host en especfico, en base a la zona del protocolo de enrutamiento
utilizado en cada lugar. A causa de que hemos modificado la configuracin Nat, se
cambi la direccin ip global de los servidores en la configuracin de los DNS
como corresponde.

I) Documentar acceso a Web y Remoto

Acceso a Web:
Router "Rip-80": Debido a que las redes de los servidores "www.rip1.cl" y
"www.rip2.cl" no estn configuradas en el protocolo Ospf, los servidores no
poseen acceso hacia el exterior de la red. Lo recomendado en este caso sera
agregar estas redes al protocolo Ospf del router "Rip-80", para que los servidores
tengan acceso al resto de la red, con los siguientes comandos:
Rip-80(config)#router ospf 1
Rip-80(config-router)#network 60.0.0.0 0.255.255.255 area 0
Rip-80(config-router)#network 50.0.0.0 0.255.255.255 area 0
Router "EIGRP-80": Las redes de los servidores "www.eigrp1" y "www.eigrp2",
tampoco poseen acceso hacia redes remotas ya que estas redes no estn
enrutadas con el protocolo EIGRP. La reparacin en este caso sera la siguiente:
En Router EIGRP-80:
Se le agreg el enrutamiento EIGRP faltante hacia las redes 80.0.0.0 y 70.0.0.0
con los siguientes comandos:
EIGRP-80(config)#router eigrp 100
EIGRP-80(config-router)#network 80.0.0.0 0.255.255.255
EIGRP-80(config-router)#network 70.0.0.0 0.255.255.255
Despus, en router EIGRP-80 se redistribuy eigrp sobre ospf y viceversa, con los
comandos:
EIGRP-80(config)#router ospf 1
EIGRP-80(config-router)#redistribute eigrp 100 metric 1 subnets
EIGRP-80(config-router)#exit
EIGRP-80(config)#router eigrp 100
EIGRP-80(config-router)#redistribute ospf 1 metric 10 15 20 255 255
EIGRP-80(config-router)#exit
Acceso Remoto:
En la red de la empresa DATA SECURITATE no existe el acceso remoto, debido a
que ningn router posee una contrasea EXEC privilegiado. Solo los dos switch
multicapa que se encuentran en la red, poseen el comando "ip ssh version 1"
configurado, que indica que se ha generado la llave de encriptacin con una
cantidad de bit menor a 768.

Recomendacin para acceso remoto: Se configuro SSH para todos los routers,
con una llave de encriptacin de 1024 bits para que sea versin 2 y tenga mayor
seguridad. La contrasea secreta de todos los router es "cisco", el username es
"Inacap"; y la password "renca". Adems se habilito el servicio de encriptacin de
contrasea, mediante el comando "service password-encryption".
Los comandos utilizados fueron:
enable secret cisco
ip domain-name inacap
crypto key generate rsa
1024
line vty 0 4
login local
transport input ssh
exit
username inacap password renca
service password-encryption

II) Documentar ACL

El Router Eigrp tiene la siguiente configuracin de ACL:
access-list 10 permit 172.16.0.0 0.0.255.255
Esta configuracin funciona para utilizar las direcciones que provengan de la red
172.16.0.0 en una configuracin Nat.
Algunos conceptos de ACL
Permit| deny indica si esta entrada permitir o bloquear el trfico a partir de la
direccin especificada.
Direccin de origen identifica la direccin IP de origen.
Mascara comodn o wildcard identifica los bits del campo de la direccin que
sern comprobados.
La mscara predeterminada es 0.0.0.0 (coincidencia de todos los bits).
Asociacin de la lista a una interfaz
Nmero de lista de acceso indica el nmero de lista de acceso que ser aplicada
a esa interfaz.
In | out selecciona si la lista de acceso se aplicar como filtro de entrada o de
salida.
Puerto:(opcional) puede ser por ejemplo: lT (menor que), GT (mayor que), EQ

(igual a), o NEQ (distinto que) y un nmero de puerto de protocolo

correspondiente.
Establisehed: (opcional) Se usa solo para TCP de entrada. Esto permite que l
Trafico TCP pase si el paquete utiliza una conexin ya establecida (por ejemplo
posee un conjunto de bits ACK)
Log: (opcional) Enva un mensaje de registro a la consola a un servidor syslog
determinado.
Algunos de los nmeros de puertos ms conocidos:
20 Datos del protocolo FTP
21 FTP
23 Telnet
25 SMTP
69 TFTP
53 DNS

III) Documentar NAT

En Router Rip-80 tiene las siguientes configuraciones:
ip nat inside source static tcp 60.0.0.2 80 90.0.0.4 80
ip nat inside source static tcp 50.0.0.2 80 90.0.0.3 80
En Router EIGRP-80:
ip nat inside source static tcp 80.0.0.2 80 100.0.0.3 80
ip nat inside source static tcp 70.0.0.2 80 100.0.0.4 80
Estos comandos sirven para traducir los paquetes provenientes de los servidores
con el puerto web (80), y que salgan al exterior con las direcciones 90.0.0.4 y
90.0.0.3 en el caso de los servidores del router "Rip-80"; saldrn con las
direcciones 100.0.0.3 y 100.0.0.4 en el caso de los servidores del router EIGRP80. La principal dificultad es que estas direcciones no estn disponibles, debido a
que la ".3" pertenece a un broadcast en ambos casos, y la direccin ".4" es la
direccin de red del siguiente rango en ambos casos. Otra dificultad es que el
comando "ip nat inside", est configurado en la interfaz fsica, debiendo estar
configurado en las subinterfaces respectivas. La reparacin sera la siguiente:
Rip-80(config)#no ip nat inside source static tcp 50.0.0.2 80 90.0.0.3 80
Rip-80(config)#no ip nat inside source static tcp 60.0.0.2 80 90.0.0.4 80
Rip-80(config)#ip nat inside source static tcp 60.0.0.2 80 90.0.0.6 80
Rip-80(config)#ip nat inside source static tcp 50.0.0.2 80 90.0.0.5 80

EIGRP-80(config)#no ip nat inside source static tcp 80.0.0.2 80 100.0.0.3 80

EIGRP-80(config)#no ip nat inside source static tcp 70.0.0.2 80 100.0.0.4 80
EIGRP-80(config)#ip nat inside source static tcp 80.0.0.2 80 100.0.0.5 80
EIGRP-80(config)#ip nat inside source static tcp 70.0.0.2 80 100.0.0.6 80

IV) Documentar DHCP

El switch multicapa "DHCP" se encarga de distribuir direcciones ip mediante
DHCP a todos los hosts de sus vlans, mediante las siguientes configuraciones:

Ip dhcp pool vlan200

(Crear pool)
Network 172.16.112.0 255.255.255.240
(Asignar red a proveer con DHCP)
Default-router 172.16.112.1
(Asignar gateway al pool)
Dns-server 172.16.112.30
(Asignarle un Dns al pool)
Ip dhcp pool vlan400
Network 172.16.112.16 255.255.255.240
Default-router 172.16.112.17
Dns-server 172.16.112.30
Ip dhcp pool vlan850
Network 172.16.112.32 255.255.255.240
Default-router 172.16.112.33
Dns-server 172.16.112.30

V) Revisar IPv6 e indicar de qu forma se podra tener acceso a la

granja IPv6, desde la corporacin
Para unir dos islas conformadas por un direccionamiento ip distinto (ipv6-ipv4)
existen variadas tcnicas a utilizar, sin embargo las ms aceptadas son dos: Stack
doble y Tunneling, estas son las dos tcnicas mejor categorizadas para esta
aplicacin, sin embargo se recomiendo utilizar stack doble cuando se pueda y en
caso de no existir esta opcin utilizar Tunneling.

El mtodo de stack doble es un mtodo de integracin, pues lo que hace es

instalar ambos protocolos en host y router. Este requiere que se ejecuten IPv4 e
IPv6 simultneamente, por lo tanto El router y los switches se configuran para
admitir ambos protocolos.

Por qu Stack doble? Tack doble se recomiendo sobre Tunneling pues la

comunicacin es posible entre todos los nodos de la red, sin necesidad de
encapsulacin o traduccin, lo que ayuda en la optimizacin de funcionamiento.
Una vez decidido que mtodo utilizar para lograr la comunicacin de estos dos
mundos se describe la configuracin a implementar, la configuracin a realizar es
bsicamente dentro de una misma interface configurar ambos tipos de
direcciones, en los dispositivos de cada extremo, luego presentar al protocolo de
enrutamiento correspondiente la direcciones configuradas. Finalmente debiera
haber comunicacin entre ambos mundos.
Adems podemos nombrar dos tipos tcnicas que permitan a usuarios que solo
tienen IPv6 acceder a contenido que solo est disponible en IPv4 estas
tcnicas son:
NAT64 es un mecanismo que permite a hosts IPv6 comunicarse con servidores
IPv4. El servidor NAT64 dispone de al menos una direccin IPv4 y un segmento
de red IPv6 de 32-bits. El cliente IPv6 construye la direccin IPv6 destino
utilizando el rango anterior de 96 bits ms los 32 bits de la direccin IPv4 con la
que desea comunicarse, enviando los paquetes a la direccin resultante. El
servidor NAT64 crea entonces un mapeo de NAT entre la direccin IPv6 y la
direccin IPv4, permitiendo la comunicacin
DNS64 es un mecanismo para sintetizar registros AAAA de registros A . DNS64
se utiliza con un traductor IPv6 / IPv4 para permitir cliente-servidor la
comunicacin entre un slo IPv6 cliente y un servidor IPv4 solamente, sin
necesidad de cambios a ya sea el IPv6 o el nodo IPv4 , para la clase de
aplicaciones que funcionan a travs de NAT .

VI) Documentar routers de acceso a Server

a) Identificar posibles amenazas en la red corporativa.

Una de las principales amenazas que posee la red, es causada por la ausencia de
configuraciones bsicas en todos los dispositivos tales como

(Config)#enable secret class1

clave EXE privilegiado
(Config)#line console 0
accesamos a la lnea de consola
(Config-line)#password class
Asignamos una password
(config-line)#login
(Config-line)#loggin synchronous
sincronizamos los mensajes de consola
(Config-line)#line vty 0 4
5 sesiones posibles para ssh en
Este caso
(Config-line)#password class
Se Asigno una password
(config-line)#login local
(config-line)#exit
(Config)#username Inacap password Renca
Se cre usuario
Y contrasea de sesin
(config)#service password encryption
Se habilito servicio encriptacin de
contrasea
Todos estos comando recin mencionados, no existan al iniciar la revisin y
comprensin de la topologa, pero cabe decir que son configuraciones
indispensables para la seguridad mnima de la red, adems son requisito para el
acceso remoto a los dispositivos llmese routes y switches y por otra parte se
recomienda negar la negociacin de los puertos de todos los switch estableciendo
si estos estarn en modo acceso o troncal tambin se aprecia que no existe una
segmentacin de la red a travs de una lista de acceso extendida por lo que las
diferentes LAN tienen acceso a todos los servicios existentes, esto en caso de que
se levante telnet o SSH causara que cualquier host podra acceder la
configuracin de los dispositivos la utilizacin de VPN para las solicitudes remotas
entregaran un acceso seguro a los diferentes servicios VPN es capaz de entregar
al igual que SSH una conexin codificada/segura entre dos lan`s con "la nube de

internet de promedio", sin embargo VPN puede prestar ms servicios gracias a los
diferentes tipos de configuracin VPN que existen :

vpn acceso remoto

vpn punto
tunneling
vpn over lan

b) Complemente esta informacin referente

configuracin de enlace VPN a usuarios a distancia.

Posible

Qu es una VPN?
Una Virtual Prvate Network (VPN) se podra decir que es una extensin de una
red local, de esta manera podemos conectar a una red a miles de kilmetros como
si estuviramos fsicamente en ella. Hay que tener en cuenta, que la informacin
que estamos tratando va encriptada y solamente es funcional para los que estn
dentro de esta. El costo es mnimo, y hoy en da es una de las maneras ms
factibles a la hora de conectar.
Para qu sirve una VPN?
El uso de una Red Privada Virtual (Virtual Prvate Network) es muy verstil, y si
sumamos su bajo coste es una de las opciones ideales para la conexin entre
redes. Imaginemos el siguiente ejemplo, tenemos una red en nuestra oficina, pero
como buen trabajador que somos, conectamos con nuestro porttil desde
cualquier sitio, de qu manera? Entrando en nuestra VPN, pidindonos nuestro
nombre y contrasea, y una vez conectados, podremos trabajar como si
estuviramos en nuestra red local. Las posibilidades que esto nos ofrece. El nico
contra que tiene la VPN es el recurso del ancho de banda, hace algunos aos
cuando la banda ancha no estaba an bien implantada, podramos pensar en
Terminal Server (escritorios remotos), pero hoy en da es ms difcil encontrarnos
con ese problema.
Una vez explicado que es y para qu sirve una VPN
Configuraciones:

Primero configuramos la red para el servidor, creando una nueva conexin de red,
parametrizndola y a continuacin configuramos el cortafuegos de Windows para
dar acceso a los dos puertos que utiliza este tipo de conexin, el 1723 por TCP y
el 47 por UDP.
A continuacin abrimos esos mismos puertos en el router para dar acceso a los
equipos cliente. Una vez terminada esta primera parte, la de instalar y configurar la
VPN en el lado del servidor, empezamos con el lado cliente.
Creamos otra nueva conexin de red, instalamos y configuramos la VPN en el
lado cliente, y lo ejecutamos para su conexin a la red virtual.