Вы находитесь на странице: 1из 10
SEGURIDAD EN REDES LAN IMPLEMENTANDO VLAN EN INSTITUTO TECNOLOGICO “LA CHIQUITANIA” PARTICIPANTES: CALEB ERWIN
SEGURIDAD EN REDES LAN IMPLEMENTANDO VLAN
EN INSTITUTO TECNOLOGICO “LA CHIQUITANIA”
PARTICIPANTES:
CALEB ERWIN FERREIRA YANNE
-
201702389
JAIRO FUENTES ALARCON
-
201702549
JOSUE RICARDO VARGAS ESCOBAR
-
201706006
DOCENTE:
Ing. Rodrigo Ferrufino
FACULTAD DE CIENCIAS Y TECNOLOGIA
REDES I
2018

RESUMEN Este proyecto está enfocado en aumentar la seguridad que se tiene en una red de área local de un Tecnológico, para ello se implementaron VLANS por configuración de puertos para garantizar la integridad de los datos, con este proyecto se busca reducir

el tráfico de la red para agilizar la transferencia de archivos, por cual fue necesario usar un direccionamiento dinámico haciendo uso de VLSM asignando mascaras de longitud variable de acuerdo al número de equipos conectados por VLAN, para cubrir los requerimientos del cliente se hicieron pruebas de conectividad que garantizan que la información únicamente se comparte entre nodos de la misma red lógica, se obtienen resultados satisfactorios reduciendo los dominios de broadcast y agilizando el tráfico de la red.

1. INTRODUCCIÓN

Hoy en día la comunicación en las organizaciones es un factor primordial para el logro de objetivos, actualmente un 95% de las empresas tiene la necesidad de contar con una red de computadoras para agilizar él envió de información y reducir costos, ante esta situación es necesario contar con herramientas que permitan optimizar el uso de la red y evitar perdida de información. Es importante mencionar la calidad de los servicios que una escuela de educación superior debe ofrecer, ya que son factores que impactan en la proyección de una institución con el exterior, por esta razón es importante lograr una comunicación eficiente que beneficie a los estudiantes, personal directivo, administrativo y docente. Con la implementación de las redes LAN virtuales se podrán crear redes lógicas independientes compartiendo dispositivos físicos de red, ofreciendo independencia por grupos como si se tratará de redes aisladas garantizando la comunicación y envío de los datos en la red, de esta forma se podrá proporcionar privacidad entre departamentos garantizando la confidencialidad de la información. La implementación de las VLAN podrá optimizar el tráfico de la red del edificio y en una

primera etapa, beneficiando a los usuarios de la red separados por grupos, gracias a este proyecto se tendrá una mejor administración de la red.

2. ANTECEDENTES

La red de datos del INSTITUTO TECNOLÓGICO “LA CHIQUITANA” cuenta con cinco edificios de dos plantas y una red de área local para comunicarse entre departamentos; sin embargo, es necesario hacer adecuaciones para brindar una mayor seguridad segmentando la red por tipos de usuarios como son: directivos, administrativos, estudiantes y docentes. En un principio la red usaba un direccionamiento IP clase C, pero debido al crecimiento que se ha tenido en los últimos años fue necesario cambiar a un direccionamiento IP clase B por el número de nodos conectados. Para separar el tráfico de la red se utilizan varios segmentos, por lo cual, se incrementan los dominios de colisión provocando que la red se vuelva lenta. De acuerdo a lo anterior en una primera etapa se empezará por hacer las configuraciones necesarias en el edificio E para implementar las VLANS, que es donde se encuentra la mayor cantidad de nodos de la red LAN.

3.

METODOLOGÍA

Objetivo general:

Optimizar la red de datos del tecnológico, haciendo uso de virtualización de redes de área local (VLAN) para reducir los dominios de broadcast y agilizar el tráfico de la red. Objetivos específicos:

Crear VLAN por área funcional para reducir dominios de broadcast. Segmentar la red de área local haciendo uso de VLANS por configuración de puertos. Utilizar direccionamiento IPV4 con VLSM para agilizar el tráfico de la red. Para el desarrollo de este proyecto se utilizará la metodología de desarrollo con CISCO PPDIOO que consta de seis etapas como se describen a continuación:

1. Preparación: En esta etapa se analiza la infraestructura de red y los recursos que se

tienen para desarrollar el proyecto.

2. Planificación: se analizan los requerimientos de la empresa y la red existente para

poder determinar que podría mejorarse de la red, de igual forma se hace un plan para desarrollar el proyecto con actividades y responsables, con este plan se le da seguimiento al proyecto.

3. Diseño: La red es diseñada de acuerdo a los requerimientos de la empresa, en esta

etapa se puede establecer el tipo de direccionamiento a implementar, seleccionar la

topología adecuada, diagramas de red y lista de equipos.

4. Implementación: La red es construida de acuerdo al diseño establecido, se

configuran las VLAN y servidores.

5. Operación: La red es puesta en marcha y es monitoreada, se detectan y se corrigen

errores, esta etapa es la prueba máxima de diseño.

6. Optimización: Los errores son detectados y corregidos antes de que sucedan

problemas en la red, en caso de que existan demasiados problemas será necesario

rediseñar la red [3].

Cabe mencionar que este tipo de metodología solo aplica en redes existentes que tienen necesidades de mejora continua.

4. DESARROLLO

Actualmente la red LAN del Tecnológico es administrada desde el Edificio E, donde se encuentra el SITE, dentro de esta red se conectan cinco edificios usando un direccionamiento IP de clase B privada por el número de usuarios que tiene, debido al número de equipos existe problemas de comunicación tales como:

Pérdida de información.

Velocidad de internet lenta.

Fallas el acceso a la intranet institucional.

No existe documentación de la red.

Usuarios con conocimientos básicos de redes se infiltran en la red violando la seguridad y teniendo acceso a documentos, dispositivos y recursos compartidos en red.

La administración de la red se vuelve una tarea tediosa por el número de usuarios que existen.

Ante esta problemática es necesario implementar estrategias que permitan agilizar el tráfico de la red y mejorar la seguridad, por lo cual se implementarán redes LAN virtuales por tipos de usuario o en su defecto áreas funcionales. Para el desarrollo de este proyecto en la primera etapa se empezará por implementar VLANS el edificio E donde se tiene: el SITE o cuarto de telecomunicaciones principal, siete laboratorios para estudiantes, tres áreas administrativas, un área para servicios de impresión, tres áreas para cubículos de docentes y un área de desarrollo, en promedio 250 nodos conectados en red. Para desarrollar el proyecto se trabajó con el área de apoyo informático para conocer los requerimientos, en una primera etapa se analizó la infraestructura de la red para determinar si es factible implementar con el equipo actual o en su defecto determinar el equipo que debe cotizarse para desarrollar la investigación (ver tabla I). TABLA I. ANÁLISIS DE DISPOSITIVOS DE RED

(ver tabla I). TABLA I. ANÁLISIS DE DISPOSITIVOS DE RED Del análisis anterior se observó que

Del análisis anterior se observó que solo un 28 % de los dispositivos de red soportan tecnología para VLAN, lo cual representa que para la implementación del proyecto se debe adquirir equipo de red. Como segundo paso se realizó un análisis de los puertos ocupados en cada una de las áreas de trabajo con la finalidad de determinar el número total de equipos que están conectados en el edificio E (ver tabla 2). TABLA II. DISTRIBUCIÓN DE PUERTOS POR ÁREA DE TRABAJO

2). TABLA II. DISTRIBUCIÓN DE PUERTOS POR ÁREA DE TRABAJO Para optimizar la red, se propone

Para optimizar la red, se propone crear VLAN por área funcional y hacer una distribución de puertos, así como estimar la cantidad de equipo necesario que debe adquirirse para implementar el proyecto (Ver tabla III).

TABLA III. ÁREAS PROPUESTAS PARA VLANS

TABLA III. ÁREAS PROPUESTAS PARA VLANS Con referencia en la tabla III, se observa que se

Con referencia en la tabla III, se observa que se requieren 12 switches que soporten tecnología para VLAN y considerando que en existencia se tienen 7, solo sería necesario adquirir 5 equipos para implementar el proyecto, por lo cual es necesario adquirir equipo Cisco Gigabit Ethernet Switch Catalyst 2960-X, 10/100/1000Mbps, 216 Gbit/s, 24 Puertos gestionado con las siguientes especificaciones (ver tabla IV). TABLA IV. ÁREAS PROPUESTAS PARA VLANS

(ver tabla IV). TABLA IV. ÁREAS PROPUESTAS PARA VLANS Para el diseño de la topología de

Para el diseño de la topología de red se utilizó la herramienta Cisco Packet Tracer 6.2, la cual soporta todos los comandos del Cisco IOS, de igual forma se pueden hacer simulaciones de conectividad (pings, traceroutes, etc) todo ello desde la misma consola, para el desarrollo del proyecto se seleccionó la topología de estrella extendida (ver Fig. 1). Fig. 1 Diagrama de red edificio E

extendida (ver Fig. 1). Fig. 1 Diagrama de red edificio E Diseño del direccionamiento IP Dados

Diseño del direccionamiento IP Dados los requerimientos del usuario y considerando el número de puertos que se requieren por VLAN, se diseñó un esquema de direccionamiento basado en máscaras de longitud variable (VLSM) que permite direccionar de forma lógica cada una de las VLAN desperdiciando el menor número de direcciones IP, por lo cual se diseña un

esquema de direccionamiento con base en la cantidad de puertos que se requieren para cada red virtual creada (ver tabla V). TABLA V. DIRECCIONAMIENTO IP USANDO VLSM

(ver tabla V). TABLA V. DIRECCIONAMIENTO IP USANDO VLSM Para desarrollar el proyecto se utilizó el

Para desarrollar el proyecto se utilizó el simulador CISCO Packet Tracer 6.2 debido a que aún no se cuenta con el total de dispositivos de red, cabe mencionar que esté simulador es una herramienta muy intuitiva que permite realizar configuraciones como si se trabajará físicamente en el dispositivo de red. Para optimizar la configuración de las redes virtuales se utilizó VTP (Vlan Trunking Protocol), un protocolo de mensajes usado para configurar y administrar VLANs en equipos Cisco. Permite centralizar y simplificar la administración en un domino de VLANS, pudiendo crear, borrar y renombrar las mismas, reduciendo así la necesidad de configurar en todos los nodos. VTP opera en 3 modos distintos:

Servidor: Es el modo por defecto donde puede crear, modificar o eliminar VLANS. Cliente: En este modo no se puede modificar o eliminar VLANS, solo sincroniza la información basándose en mensajes recibidos de servidores del mismo domino. Transparente: La información VLAN en los switches que trabajen en este modo sólo se puede modificar localmente. Su nombre se debe a que no procesa las actualizaciones VTP recibidas, tan sólo las reenvía a los switches del mismo dominio. Configuraciones en el switch servidor:

Establecer el modo servidor son su respectivo dominio.

Creación de las VLANS.

Direccionamiento dinámico.

Activación de las interfaces para VLAN.

Asignación de puertos para cada VLAN.

Activación de interfaces troncales.

Protección de acceso al dispositivo.

Configuraciones en el switch cliente:

Establecer el modo cliente con el mismo dominio del servidor.

Distribución de puertos para cada VLAN.

Activación de interfaces troncales.

Protección de acceso al dispositivo.

La Fig. 2, muestra cómo se configura el switch en modo servidor, tiene la finalidad que

todas las vlan que sean creadas en él, en automático se configuran en los swiches clientes (ver Fig. 3).

Fig. 2 Configuración de un switch en modo

Fig. 2 Configuración de un switch en modo Fig. 3 Configuración de un switch en modo

Fig. 3 Configuración de un switch en modo cliente

en modo Fig. 3 Configuración de un switch en modo cliente Una vez configurados los switches

Una vez configurados los switches en modo servidor y clientes se configuran en el servidor las Vlan que se definieron para el proyecto que son: Laboratorios, Maestros, Redes, Administrativos y Desarrollo, desde el modo configuración global con los comandos: vlan ,<número> name <nombre> como se observa en la Fig. 4. Fig. 4 Configuración de VLAN en switch servidor

la Fig. 4. Fig. 4 Configuración de VLAN en switch servidor Una vez definidas las Vlan

Una vez definidas las Vlan es necesario realizar la asignación de puertos a cada una de las redes virtuales como puede observarse en la Fig. 5. Fig. 5. Asignación de puertos para cada VLAN

a cada una de las redes virtuales como puede observarse en la Fig. 5. Fig. 5.

Para garantizar la conectividad de los dispositivos fue necesarios utilizar un direcionamiento adecuado usando máscaras de longitud variable (VLSM) para cada red virtual creada usando el servidor DHCP del dispositivo (ver Fig, 6). Fig. 6. Creando direccionamiento dinámico por cada VLAN

Fig. 6. Creando direccionamiento dinámico por cada VLAN Para establecer seguridad en la administración de los

Para establecer seguridad en la administración de los switches es necesario proteger las líneas virtuales y consola con un password desde el modo de configuración global en el dispositivo, por medio de esta configuración se garantiza que solo usuarios autorizados a la red puede modificar o administrar el dispostivo (ver Fig. 7). Fig. 7. Protección de líneas de acceso en el switch

7). Fig. 7. Protección de líneas de acceso en el switch 5. RESULTADOS Para garantizar el

5.

RESULTADOS

Para garantizar el éxito del proyecto se realizaron pruebas de conectividad usando el software de simulación cisco packet tracer 6.2, para demostrar que unicamente se tuviera conectividad entre dispositivos que pertenecen a la misma VLAN, para ellos se usaron los comandos ping y trecerut, de igual forma se utilizó el rastreo de paquetes en tiempo real con lo cual se verificó que se reducian los dominios de broadcas al seguir los paquetes unicamente a los dispisitivos de la misma VLAN (ver Fig. 8). Al realizar estas pruebas se incrementa la seguridad en la red, debido a que únicamente los dispositivos que pertenecen la la misma VLAN pueden compartir los recursos que deseen por área funcional. Fig. 8. Seguimiento de paquetes en la VLAN Laboratorios

pueden compartir los recursos que deseen por área funcional. Fig. 8. Seguimiento de paquetes en la

Para probar la operación de la red se configuró un servidor web en packet tracer con la finalidad de verificar que únicamente los puertos asociados a la VLAN Maestros pudieran conectarse a él, para configurarlo se agregó un nombre de dominio como:

www.itesa.edu.mx (ver Fig. 9). Fig. 9. Servidor DNS implementado en Cisco Packet Tracer 6.2

Fig. 9. Servidor DNS implementado en Cisco Packet Tracer 6.2 Para comprobar que las otras VLAN

Para comprobar que las otras VLAN no pudieran tener acceso al dominio se realizó la prueba desde otro host diferente a la vlan Maestros y no se obtuvo conexión como puede observarse en la Fig. 10. Fig. 10. Acceso denegado desde la VLAN Desarrollo

Fig. 10. Fig. 10. Acceso denegado desde la VLAN Desarrollo El host LC2-M9 esta asignado a

El host LC2-M9 esta asignado a la VLAN Maestros que esta configuradara en el servidor creado, mientras el host LC4-D15 pertenece a la VLAN Desarrollo, razón por la cual no puede acceder al servidor y es correcto porque pertenece a otra VLAN diferente en la cual está configurado el servidor, de esta forma se garantiza que la información compartida en una red solo pueda ser vista por usuarios específicos sin riesgo a ser divulgada.

6.

CONCLUSIONES

Una vez terminado el proyecto se pueden notar resultados satisfactorios ya que se cumplieron los siguientes requerimientos:

1. Crear cinco VLAN por área funcional de tal forma que los departamentos

utilizará la red de forma independiente compartiendo sus recursos solo con

personal de la misma área, para cubrir este requerimiento fue necesario utilizar dispositivos CISCO de la serie 2960 con soporte para VLAN, es importante mencionar que al segmentar la red por áreas funcionales los dominios de broadcast se reducen debido a que las direcciones se acotan al número de host que se tenga, en otras palabras al enviar un mensaje de multidifusión solo llegará a los puertos asignados a una determinada VLAN.

2. Asignar puertos específicos por switch a cada VLAN, lo cual también se

cumple de forma satisfactoria gracias al tipo de switch que se utilizó, con esta

implementación se puede compartir el mismo recurso físico en múltiples redes lógicas sin que se vea afectado el rendimiento de la red. 3. Utilizar direccionamiento dinámico en cada VLAN desperdiciando la menor cantidad de direcciones IP, para cubrir este requerimiento fue necesario utilizar VLSM es decir máscaras de longitud variable, gracias a esta implementación se obtuvo un direccionamiento específico para cada VLAN, de igual forma se logró disminuir los dominios de broadcast. Cabe mencionar también la importancia que tienen los simuladores, para este proyecto en específico se utilizó Cisco Packet Tracer en su versión 6.2, gracias a este software se pudo realizar la configuración completa del proyecto dando resultados satisfactorios de acuerdo a los requerimientos solicitados. Gracias a esta implementación la red se pudo optimizar y aislar el tráfico, ya que a pesar de estar conectada al mismo dispositivo físico los equipos se encuentran lógicamente separados, es decir la comunicación solo se da entre VLANs del mismo tipo compartiendo recursos y garantizando que la información difundida no puede ser vista por otros usuarios de la red. Cabe mencionar como la comunicación es de vital importancia en las organizaciones y siempre se busca la forma de poder establecer canales adecuados para transferir la información de forma segura, en este sentido la implementación de redes privadas virtuales en el edificio E, de ITESA trae consigo grandes beneficios por mencionar algunos:

Se aísla el tráfico de red, de tal forma que cada área tenga comunicación independiente sin importar el lugar donde se encuentren dentro de la red, gracias a la separación lógica se puede compartir el dispositivo de red sin importar su ubicación. Se evita que personal no autorizado se infiltre en la red, la asignación de puertos y el direccionamiento me ofrece la posibilidad de limitar el rango de direcciones para cada área funcional. La administración de la red se vuelve una tarea más sencilla al poder habilitar o denegar los servicios de red. Se reducen los dominios de broadcast, es decir se limita el número de dispositivos conectados a la red de acuerdo al direccionamiento dinámico establecido. Se evita la perdida de información ya que la responsabilidad recae en los usuarios asignados a cada red virtual. Se pueden compartir recursos de forma responsable asignados por área como pueden ser: impresoras, servidores, etc. Como se puede apreciar el impacto en cuanto a funcionalidad de la red es adecuado y trae consigo la satisfacción del usuario al conectarse a la red.