Universidad Distrital Francisco Jos de Caldas.

Daz Jos, Laboratorio 5 Redes de comunicaciones II

Laboratorio 5 Redes de Comunicaciones II

Daz, Jos
jldiazb@correo.udistrital.edu.co
Universidad Distrital Francisco Jos de Caldas

Resumen El siguiente documento es un informe de

una prctica de laboratorio sobre la simulacin e
implementacin de una red LAN, con el objetivo de analizar
el concepto de VLSM para la creacin de subredes y el
servicio DHCP para cada una de estas subredes, adems de
implementar mecanismos de seguridad que restrinjan el
acceso a los routers de una red.
ndicedeTrminos

Simulacin,RedLAN,VLSM,

subred, DHCP, seguridad.

INTRODUCCIN
La instalacin de redes LAN, redes de rea local, es de vital
importancia para el funcionamiento interno de las
organizaciones, as como su distribucin y la interconexin
que se da entre las mismas ya que permite que ciertas
dependencias se comuniquen con otras. Usualmente las
organizaciones estn divididas en reas funcionales o
secciones para las cuales es necesario crear una subred para
cada una de acuerdo a sus necesidades de conexin. Luego
de que la red se encuentra configurada y que los routers
realizan su trabajo de enrutamiento de manera correcta es
necesario implementar mecanismos de seguridad que
garanticen que ninguna persona ajena al diseo y
mantenimiento de la red pueda acceder a ellos, evitando de
esta manera que voluntaria o involuntariamente alteren la
configuracin de la red.

1. MARCOTEORICO
1.1.SUBREDES
Las subredes son un mtodo para maximizar el espacio de
direcciones IPv4 de 32 bits y reducir el tamao de las tablas
de enrutamiento en una interred mayor. En cualquier clase
de direccin, las subredes proporcionan un medio de asignar
parte del espacio de la direccin host a las direcciones de
red, lo cual permite tener ms redes. La parte del espacio de
direccin de host asignada a las nuevas direcciones de red se
conoce como nmero de subred.[1]

1.2. VLSM
VLSM permite que una organizacin utilice ms de una
mscara de subred dentro del mismo espacio de
direccionamiento de red. La implementacin de VLSM
maximiza la eficiencia del direccionamiento y con
Redes de Comunicaciones II

frecuencia se la conoce como divisin de subredes en

subredes.

Los protocolos de enrutamiento con clase necesitan que una

sola red utilice la misma mscara de subred. Por ejemplo,
una red con la direccin de 192.168.187.0 puede usar slo
una mscara de subred, por ejemplo 255.255.255.0.

Un protocolo de enrutamiento que admite VLSM le

confiere al administrador de red la libertad para usar
distintas mscaras de subred para redes que se encuentran
dentro de un sistema autnomo. La Figura muestra un
ejemplo de cmo un administrador de red puede usar una
mscara de 30 bits para las conexiones de red, una mscara
de 24 bits para las redes de usuario e incluso una mscara
de 22 bits para las redes con hasta 1000 usuarios. [2]

1.3. DHCP
Es un protocolo de red que permite a los clientes de una red
IP
obtener
sus
parmetros
de
configuracin
automticamente. Se trata de un protocolo de tipo
cliente/servidor en el que generalmente un servidor posee
una lista de direcciones IP dinmicas y las va asignando a
los clientes conforme stas van quedando libres, sabiendo
en todo momento quin ha estado en posesin de esa IP,
cunto tiempo la ha tenido y a quin se la ha asignado
despus. [3]

1.4. SEGURIDAD EN ROUTERS

Para la seguridad en redes se definen tres componentes
bsicos que son:

Autenticacin: En esta etapa se identifica quien

solicita los servicios de red. Por lo general se
solicita un usuario y contrasea que un servidor
autentica, por ejemplo Active Directory.

Autorizacin:En la etapa anterior, la autenticacin

controla quien puede acceder a los recursos de red,
pero la autorizacin dice lo que pueden hacer
cuando acceden los recursos. La autorizacin vara
de usuario a usuario dependiendo de los derechos
que requiera el solicitante.

Universidad Distrital Francisco Jos de Caldas. Daz Jos, Laboratorio 5 Redes de comunicaciones II

Auditoria: Se requiere procedimientos que

recopilen los datos de la actividad de la red. Esto
responde a los incidentes que pueden suceder en una
red.Normalmente se debe incluir los intentos de
autenticacin y autorizacin, conocidos como pistas
de auditora.

2. PRACTICA DE LABORATORIO

2.1. DIRECCIONAMIENTO USANDO VLSM

Seccin

Direccin de
Red

Mascara de
Subred

Medicina

172.16.0.0/21

Veterinaria

172.16.8.0/22

Salud Oc

172.16.12.0/23

Administ

172.16.14.0/26

255.255.248.
0
255.255.252.
0
255.255.254.
0
255.255.255.
192

Dentro de las tcnicas para aumentar la seguridad en redes

estn:

1.

2.

Cifrado de datos: Es un proceso que mezcla los

datos para protegerlos de su lectura por alguien que
no sea el receptor esperado. Se utilizan dispositivos
que cifran los datos como un router, un servidor o
sistema dedicado para cifrar o descifrar. Es una
opcin de seguridad muy til, proporciona
confidencialidad de los datos.
Contraseas: Para aumentar la seguridad en los
routers es necesario establecer contraseas para los
diferentes modos de acceso: modo privilegiado,
consola y telnet.

No
Redes
Mismo
Tama
o
32

No
Hosts

1000

400

50

2000

Tabla 1: Direccionamiento subredes Facultad

2.2. TOPOLOGIA
Usando el software Cisco Packet Tracer se dise la siguiente
topologa:

Para el modo consola se configura a travs del

comando line console 0 y luego se especifica la
contrasea mediante el comando password.
Para el modo privilegiado se pueden usar dos
comandos enable password o enable secret, el
segundo esta altamente encriptado.
A travs de las lneas vty se puede acceder a un
router a travs de telnet por lo cual es necesario
establecer una contrasea de acceso para todas las
lneas vty disponibles.
Se recomienda establecer por medio del comando
exec-timeout 5, que al cabo de 5 minutos de
abandono por parte del usuario, la comunicacin
sea interrumpida, con esto se previene que usuarios
no autorizados ingresen a travs de sesiones
abandonadas. [4]
Figura 1: Topologa lgica Facultad CSALUD
2.3. CONFIGURACION DEL SERVIDOR DHCP

El servidor DCHP se encuentra instalado en la oficina de

cmputo en la red de administrativos su configuracin de red es
la siguiente:
Tabla 2: Configuracin de Red del servidor

Redes de Comunicaciones II

Universidad Distrital Francisco Jos de Caldas. Daz Jos, Laboratorio 5 Redes de comunicaciones II
A continuacin se configuran los pools de direcciones para cada
una de las subredes de la siguiente manera:
Pool Name

Default
Gateway

Start
Address

Medicina

172.16.0.1

172.16.0.10

255.255.248.0

2000

Veterinaria

172.16.8.1

172.16.8.10

255.255.252.0

1000

SaludOc

172.16.12.1 172.16.12.10

255.255.254.0

400

255.255.255.192

50

Administrativo 172.16.14.1 172.16.14.10

IP
Subnet
Mask

#Host

Tabla 3: Configuracin de Pools de direcciones para el servidor

DHCP
Luego se ejecuta el comando ip helper-address para configurar
el servidor con el router y de esta manera poder consumir el
servicio DHCP desde todas las redes.
2.4 IDENTIFICACION DE FALLAS
Seis meses despus de la puesta en funcionamiento ocurri un
incidente de seguridad grave que ha dejado a la red totalmente
desconfigurada. Alguien que tena acceso al cuarto de
comunicaciones principal al momento de salir no cerr con llave
dicho cuarto y una persona ingres y manipul desde las
conexiones fsicas del router hasta la configuracin del mismo,
causando el fallo mencionado.
A continuacin se presentan las fallas que se encontraron en la
red luego de analizarla tanto en software como en hardware.
Fallas de Hardware:
a) La primera falla encontrada fue que el router estaba apagado,
por lo cual por obvias razones la red no funciona.

Figura 2: Router Apagado

b) La segunda falla encontrada fue que la conexin del router al
switch de la red de veterinaria se estaba haciendo al puerto
de consola por lo cual fallaba la conexin.
Luego de prender el router y realizar la correcta conexin del
router con el switch de veterinaria las conexiones fsicas del
router cambiaron a:

Fallas de Software:
Para comprobar las fallas de software en el router se realiza una
comprobacin de la configuracin actual y la configuracin de
inicio del dispositivo mediante los comandos show runningconfig y show startup-config respectivamente y se obtuvieron los
siguientes resultados:
Configuracin actual:
Current configuration: 695 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
shutdown
!
interface FastEthernet0/1
no ip address
ip helper-address 172.16.14.2
duplex auto
speed auto
shutdown
!
interface FastEthernet1/0
ip address 172.16.8.1 255.255.252.0
ip helper-address 172.16.14.1
duplex auto
speed auto
!
interface FastEthernet1/1
ip address 172.26.0.1 255.255.248.0
ip helper-address 172.16.14.2
duplex auto
speed auto
!
ip classless

line con 0
!
line aux 0
!
line vty 0 4
login

end
A continuacin se muestra la configuracin de inicio:

Figura 3: Conexiones fsicas del router despus de reparar fallas

Redes de Comunicaciones II

Using: 695 bytes

!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption

Universidad Distrital Francisco Jos de Caldas. Daz Jos, Laboratorio 5 Redes de comunicaciones II
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
shutdown
!
interface FastEthernet0/1
no ip address
ip helper-address 172.16.14.2
duplex auto
speed auto
shutdown
!
interface FastEthernet1/0
ip address 172.16.8.1 255.255.252.0
ip helper-address 172.16.14.1
duplex auto
speed auto
!
interface FastEthernet1/1
ip address 172.26.0.1 255.255.248.0
ip helper-address 172.16.14.2
duplex auto
speed auto
!
ip classless

line con 0
!
line aux 0
!
line vty 0 4
login

end

b) Asignar la correspondiente direccin IP a las interfaces 0/0 y

0/1. Para la 0/0 la direccin 172.16.14.1 y para la 0/1 la
direccin 172.16.12.1.
c)

Cambiar la direccin IP establecida para la comunicacin

entre router y servidor en la interfaz 1/0 a la direccin
172.16.14.2 que es la direccin IP del servidor DHCP.
Asignar esta misma direccin a la interfaz 0/0.

d) Cambiar la direccin IP de la interfaz 0/1 a la direccin

172.16.0.1
Luego de realizar estos cambios se guarda la configuracin actual
en la configuracin de inicio para prevenir que se pierdan los
cambios al reiniciar el dispositivo. Al terminar se puede ver que
ya se estableci conexin en toda la red y todos los dispositivos
obtuvieron exitosamente su configuracin DHCP.

Figura 4: Estado de la red luego de reparar fallas.

Como se puede ver la configuracin de inicio y la actual son la

misma y de ella se pueden detectar las siguientes fallas:
a) Las interfaces 0/0 y 0/1 no estn activadas por lo cual no se
puede dar la conexin.
b) Las interfaces 0/0 y 0/1 no tienen asignada ninguna direccin
IP por lo cual no pueden comunicarse.
c)

La conexin entre el router y el servidor es incorrecta para la

interfaz 1/0 dado que la direccin establecida actualmente
para la conexin es la 172.16.14.1. Tampoco hay conexin
para la interfaz 0/0 ya que no se especifica ninguna
direccin.

d) La direccin IP asignada actualmente para la interfaz 1/1 es

incorrecta dado que tiene asignada la direccin 172.26.0.1 la
cual no pertenece a la red.
Luego de identificar estas fallas se procede a realizar los
siguientes cambios para restablecer la comunicacin en la red:
a) Activar las interfaces 0/0 y 0/1.
Redes de Comunicaciones II

Figura 5: Configuracin DHCP exitosa.

2.5. APLICANDO SEGURIDAD AL ROUTER
A continuacin se van a aplicar algunas medidas de seguridad
para prevenir que se vuelva a presentar la misma situacin.
a) Primero se establece una autenticacin sin encriptacin antes
de acceder al modo privilegiado mediante el comando enable
password, de la siguiente forma:

Universidad Distrital Francisco Jos de Caldas. Daz Jos, Laboratorio 5 Redes de comunicaciones II
CSALUD> enable
CSALUD# configure terminal
CSALUD(config)# enable password elevar
Al realizar esto en la configuracin actual aparecen los cambios
realizados e indica que se determino una autenticacin
mostrando:
enable password elevar.
Luego se guarda la configuracin y se sale de todos los modos
del router. A continuacin se ingresa de nuevo al modo
privilegiado y el sistema pide ingresar una contrasea y al
ingresarla da acceso al modo privilegiado.
CSALUD>enable
Password:
CSALUD#
b) Luego se establece una contrasea para limitar el acceso de
los dispositivos mediante conexin de consola. Con esto se
asegura que nadie se conecte al puerto de consola sino es
mediante una contrasea. Esto se realiza mediante los
siguientes comandos:

Ahora se guarda la configuracin y se accede al modo

privilegiado primero saliendo de todos los modos del router.
Ahora para acceder a la configuracin del router primero es
necesario ingresar la contrasea del puerto de consola y luego la
de acceso al modo privilegiado, pero la contrasea encriptada
tiene prioridad sobre la que no est encriptada por lo cual si se
ingresa la primera contrasea establecida no se podr obtener
acceso:
User Access Verification
Password:
CSALUD>enable
Password:
Password:
CSALUD#
d) Ahora es necesario establecer una autenticacin para el
acceso a todas las lneas vty disponibles y de esta manera
prevenir el acceso al router a travs de telnet. Esto se hace
de la siguiente forma:
CSALUD> enable
CSALUD# configure terminal
CSALUD(config)# line vty 0 15
CSALUD(config-line)# password remoto
CSALUD(config-line)# login

En la configuracin actual del servidor ahora aparece:

En la configuracin actual del router ahora aparece:

line con 0
password consola
login

line vty 0 4
password remoto
login
line vty 5 15
password remoto
login

User Access Verification

Password:
CSALUD>enable
Password:
CSALUD#
c)

Como se puede ver con el ltimo comando la contrasea aparece

encriptada.

CSALUD> enable
CSALUD# configure terminal
CSALUD(config)# line console 0
CSALUD(config-line)# password consola
CSALUD(config-line)# login

Ahora se guarda la configuracin y se accede al modo

privilegiado primero saliendo de todos los modos del router.
Ahora para acceder a la configuracin del router primero es
necesario ingresar la contrasea del puerto de consola y
luego la de acceso al modo privilegiado:

Luego se establece una autenticacin con encriptacin para

acceder al modo privilegiado de la siguiente forma:
CSALUD> enable
CSALUD# configure terminal
CSALUD(config)# enable secret elevar2
En la configuracin del router ahora aparecen ambas
autenticaciones:
enable secret 5 $1$mERr$Ye3Qc2wsBoiWsXm5zJ5pT1
enable password elevar

Redes de Comunicaciones II

Ahora se guarda la configuracin y se sale de todos los modos del

router y desde un PC de la red se ingresa via telnet desde la
interfaz de lnea de comandos. Al hacer esto es necesario ingresar
la contrasea para las lneas vty y luego el password para el modo
privilegiado:
PC>telnet 172.16.0.1
Trying 172.16.0.1 ...Open
User Access Verification
Password:
CSALUD>enable
Password:
CSALUD#
Luego se ejecuta el mismo comando desde otro PC estableciendo
la puerta de enlace de otra red en este caso 172.16.12.1 y se
obtiene acceso de igual forma:

Universidad Distrital Francisco Jos de Caldas. Daz Jos, Laboratorio 5 Redes de comunicaciones II
PC>telnet 172.16.12.1
Trying 172.16.12.1 ...Open
User Access Verification
Password:
CSALUD>enable
Password:
CSALUD#

BIBLIOGRAFIA
[1]
http://docs.oracle.com/cd/E19957-01/820-2981/ipconfig31/index.html
[2] http://programoweb.com/%C2%BFque-es-vlsm-y-por-que-seusa/

Si se establece una puerta de enlace invalida o de una red que no

se encuentra conectada no se puede obtener acceso.
e)

Ahora se procede a activar el servicio de encriptacin

mediante el cual se aplica una encriptacin dbil a todas las
contraseas no encriptadas y de esta manera se evita que
usuarios no autorizados vean las contraseas del archivo de
configuracin. Esto se realiza de la siguiente manera:

CSALUD> enable
CSALUD# configure terminal
CSALUD(config)# service password-encryption
En la configuracin del router ahora aparece:
enable secret 5 $1$mERr$Ye3Qc2wsBoiWsXm5zJ5pT1
enable password 7 0824404B1F1817
line con 0
password 7 082243401A160916
login
!
line aux 0
!
line vty 0 4
password 7 08334943060D0A
login
line vty 5 15
password 7 08334943060D0A
login
Como se puede ver ahora todas las contraseas establecidas han
sido encriptadas. Por ltimo se guarda la configuracin actual en
la de inicio.

CONCLUSIONES
Existen muchos mecanismos que pueden fortalecer la seguridad
de una red, y de esta manera prevenir que usuarios no autorizados
puedan cambiar la configuracin de la misma ya sea de forma
voluntaria o involuntaria.
Adems de las medidas establecidas en la configuracin del
router es necesario que en la empresa se establezcan medidas que
impidan que personas distintas a los diseadores y el personal de
mantenimiento de la red tenga acceso a los equipos fsicos. Esto
se puede realizar estableciendo una autenticacin que autorice el
ingreso al armario de comunicaciones, ya sea mediante huella
digital, lector de retina, etc. Adems es bueno llevar un registro
de quienes ingresan a dicho lugar y en qu momento.
Redes de Comunicaciones II

[3]http://es.wikipedia.org/wiki/Dynamic_Host_Configuration_Pr
otocol
[4]central.utn.ac.cr/foro/weblogs/upload/.../Seguridad_pptx10575
23461.ppt