P5 5851

ADMINISTRACION DE SERVIDORES |
TECNOLOGICO DE ESTUDIOS SUPERIORES DE
ECATEPEC

DATOS
PRACTICA 5 SEGUNDO PARCIAL
Matricula – 201510544
Nombre del Alumno – López
Morales Juan Carlos.
Nombre Del Profesor –
Frumencio Hernández Torres.
Carrera – Ingenieria en
sistemas computacionales.
Periodo – 2020-2.

Titulo - Analisis de red

Objetivo - Determinar la
filtración de tráfico y el
monitoreo d conmutación
de datos así como los
protocolos con listas ACL.

En este tema, vas a seguir aprendiendo sobre formas de asegurar una LAN, enfocándose en las
tramas de la Capa de Enlace (Capa 2) y el switch.

Recuerda que el modelo de referencia OSI está dividido en siete capas, las cuales trabajan de
manera independiente una de otra. La figura muestra la función de cada capa y los principales
componentes que pueden ser explotados.

Practica 1 Usuarios | ADMINISTRACION DE SERVIDORES

2

Los administradores de red regularmente implementan soluciones de seguridad para proteger

los componentes en la Capa 3 y hasta la Capa 7. Ellos usan VPNs, firewalls, y dispositivos IPS para
proteger estos elementos. Si la Capa 2 se ve comprometida, todas las capas superiores también
se ven afectadas. Por ejemplo, si un atacante con acceso a la red interna captura las tramas de la
Capa 2, entonces toda la seguridad implementada en las capas anteriores sería inútil. El atacante
podría causar mucho daño en la infraestructura de red LAN de Capa 2.

CATEGORÍAS DE ATAQUES A SWITCHES

La seguridad es solamente tan sólida como el enlace más débil en el sistema, y la Capa 2 es
considerada el enlace más débil. Esto se debe a que las LAN estaban tradicionalmente bajo el
control administrativo de una sola organización. Nosotros confiábamos inherentemente en
todas las personas y dispositivos conectados a nuestra LAN. Hoy, con BYOD y ataques más
sofisticados, nuestras LAN se han vuelto más vulnerables a la penetración. Además de proteger
de la Capa 3 a la Capa 7, los profesionales de seguridad de red también deben mitigar los
ataques a la infraestructura LAN de la Capa 2.

El primer paso para mitigar los ataques a la infraestructura de Capa 2 es comprender el

funcionamiento de la Capa 2 y las amenazas de la infraestructura de Capa 2.

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

3

Los ataques contra la infraestructura LAN de capa 2 se describen en la tabla y se analizan con
más
Categoría Ejemplos

Ataques a la tabla Incluye ataques de saturación de direcciones MAC.

MAC

Ataques de VLAN Incluye ataques VLAN Hopping y VLAN Double-Tagging

Esto tambien incluye ataques entre dispositivos en una
misma VLAN.

Ataques de DHCP Incluye ataques de agotamiento/starvation y

suplantación/spoofing DHCP.

Ataques ARP Incluye la suplantación/spoofing de ARP y los ataques de

envenenamiento/poisoning de ARP.

Ataques de Incluye los ataques de suplantación/spoofing de

Suplantación de direcciones MAC e IP.
Direcciones

Ataque de STP Incluye ataques de manipulación al Protocolo de Árbol

de Expansión
detalle más adelante en este módulo.

Saltos De VLAN

1 La estacion final simula un conmutador al etiquetar las tramas Ethernet.

2 LA estacion se hace miembro de todas las VLAN
3 La configuracion de los enlaces troncales se realiza en la VLAN nativa(sin etiquetar) para ser la
VLAN 1

UNA VARIANTE DEL SALTO DE VLAN ES CUANDO LA ESTACION FINAL ENVIA UN TRAMA CON
DOBLE ENCAPSULADO PARA QUE EL CONMUTADOR SOLO DESENCAPSULE EL PRIMER NIVEL

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

4

Medidas de prevencion:

1. Usa un identificador de VLAN dedicado para todos los puertos troncales

2. Deshabilita los puertos en desuso y ponlos en una VLAN sin usar.
3. Desactiva el enlace troncal automatico en los puertos orientados al usuario.
4. Usael modo de etiquetado para la VLAN nativa en los elaces troncales

Ataques a la direccion MAC

1 - La tabla de memoria direccionable de contenido o CAM almacena la informacion de las

direcciones MAC, disponibles con sus puertos fisicos y parametros de la VLANasociada.

2 - Un sobreflujo a la CAM explota el tamaño fijo de la tabla con el uso de la herramienta “cacof”,
la cual envia de forma aleatoria direcciones IP y MAC fuente.

3 - La tabla CAM del conmutador se llena , por lo que el trafico sin una entrada CAM inunda a todos
los puertos de esa VLAN , lo que genera la transformacon de una VLAN en un concentrador o hub.

MEDIDAS DE PREVENCION :

- Limita las direcciones MAC en la interfaz.

- Envia alarmas en caso de inundaciones de MAC repetidas veces.
- Permite de 2 a 3 direcciones MAC en caso de usar telefono IP

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

5

Revisión de la operación del switch

En este tema el foco esta aun en los switches, específicamente en la tabla de direcciones MAC y
como estas tablas son vulnerables a ataques.

Recuerda que para tomar decisiones de reenvío, un Switch LAN de Capa 2 crea una tabla basada
en las direcciones MAC de origen que se encuentran en las tramas recibidas. Como se muestra en
la figura, esto es llamado un tabla de direcciones MAC. Tabla de direcciones MAC se guarda en la
memoria y son usadas para reenviar tramas de forma eficiente.

INUNDACIÓN DE LA TABLA DE DIRECCIONES MAC

Todas las tablas MAC tiene un tamaño fijo, por lo que un switch puede quedarse sin espacio para
guardar direcciones MAC. Los ataques de inundación/flooding de direcciones MAC aprovechan
esta limitación al bombardear el switch con direcciones MAC de origen falsas hasta que la tabla
de direcciones MAC del switch esté llena.

Cuando esto ocurre, el switch trata la trama como un unicast desconocido y comienza a inundar
todo el tráfico entrante por todos los puertos en la misma VLAN sin hacer referencia a la tabla
MAC. Esta condición ahora permite que un atacante capture todas las tramas enviadas desde un
host a otro en la LAN local o VLAN local.

Nota: El tráfico se satura solo dentro de la LAN o VLAN local. El atacante solo puede capturar el
tráfico dentro de la LAN o VLAN local a la que está conectado el actor de la amenaza.
La figura muestra como el atacante puede fácilmente usar la herramienta de ataque de red
llamada macof para desbordar una tabla de direcciones MAC.

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

6

1. El atacante esta conectado a VLAN 10 y usa macof para rápidamente generar de manera
aleatoria muchas direcciones MAC y IP de origen y destino.
2. En un corto periodo de tiempo la tabla MAC del switch se llena.
3. Cuando la tabla MAC esta llena, el switch empieza a reenviar todas las tramas que recibe.
Mientras que macof continúe ejecutándose, la tabla MAC se mantiene llena y el switch
continua reenviando todas las tramas que ingresan hacia cada puerto asociado a la VLAN 10.
4. Luego, el atacante usa el software de analizador de paquetes para capturar tramas desde
cualquier dispositivo conectado en la VLAN 10.

Si el atacante detiene la ejecución de macof o si es descubierto y detenido, el switch

eventualmente elimina las entradas más viejas de direcciones MAC de la tabla y empieza a
funcionar nuevamente como un switch.

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

7

TÉCNICAS DE MITIGACIÓN EN EL SWITCH

La tabla provee una visión general de soluciones Cisco para mitigar ataques en Capa 2.
Mitigación de Ataques en Capa 2

Solución Descripción

Seguridad de Puertos / Previene muchos tipos de ataques, incluyendo los ataques de

Port Security inundación de direcciones MAC y los ataques de
inanición/agotamiento de DHCP.

DHCP Snooping Previene ataques de suplantación de identidad y de

agotamiento de DHCP

Inspección ARP dinámica / Previene la suplantación de ARP y los ataques de

Dynamic ARP Inspection envenenamiento de ARP.
(DAI)

Protección de IP de Impide los ataques de suplantación de direcciones MAC e IP.

origen / IP Source Guard
(IPSG)

Estas soluciones de Capa 2 no serán efectivas si los protocolos de administración no son seguros.
Por ejemplo, los protocolos administrativos Syslog, Protocolo Simple de Administración de Red
(SNMP), Protocolo Trivial de Transferencia de Archivos (TFTP), Telnet, Protocolo de
Transferencia de Archivos (FTP) y la mayoría de otros protocolos comunes son inseguros, por lo
tanto, se recomiendan las siguientes estrategias:

⚫ Utiliza siempre variantes seguras de protocolos de administración como SSH, Secure Copy
Protocol (SCP), Secure FTP (SFTP), y Secure Socket Layer/Transport Layer Security (SSL/TLS).
⚫ Considera usar una red de administración fuera de banda para administrar dispositivos.
⚫ Usar una VLAN de administración dedicada que solo aloje el tráfico de administración.
⚫ Usa ACL para filtrar el acceso no deseado.

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

8

ATAQUES DHCP

El DHCP es un elemento de red fundamental. Es muy frecuente encontrarse servidores DHCP en

las redes. El equipo cliente que solicita parámetros DHCP se debe “fiar” de este servidor para
obtener los parámetros de red adecuados.

El uso de DHCP está tan extendido que, muchas veces, lo damos por supuesto: cuando llegamos
a casa, nuestro teléfono móvil se conectar a la red WiFi sin que tengamos que hacer nada (salvo
poner la contraseña la primera vez) y nadie se pregunta por qué. Tratar de hacer funcionar
servidores DHCP no autorizados (DHCP Rogue) en una red se conoce como DHCP
Spoofing. Suplantación de DNS o Puerta de Enlace DHCP permite la configuración de cualquier
ordenador que se conecte a una red y parte de esa configuración suele ser,por defecto, la
puerta y los servidores DNS que deben utilizar. Los ataques tipo Man-In-the-Middle buscan forzar
que el tráfico legítimo pase por sus sistemas, y una de las formas de hacerlos es, precisamente,
engañando a los equipos para que usen sus servicios como puerta de enlace o sus DNS. Así, si
queremos asegurar que los equipos se conecten a nuestra red, lo hagan con una configuración
segura, deberemos proteger el servicio DHCP para que únicamente funcione el sistema oficial, y
no sea posible crear un sistema falso. Veremos mas adelante lo que supone esta
suplantación. ¿Por qué es posible esto? Para poder explicar esto, debemos explicar de
antemano el funcionamiento básico del protocolo DHCP y cuáles son sus puntos débiles.
Básicamente, el funcionamiento del DHCP que permite que cualquier equipo se conecte de
forma automática a una red sería:

1. El equipo cliente se conecta a una red (bien porque se arranca un equipo apagado, bien
porque conectamos nuestro móvil a una red Wifi, etc.)
2. El equipo cliente envía un mensaje de difusión (broadcast), que llegará a todos los
equipos de esa red, solicitando información sobre la propia red.
3. El servidor DHCP (o servidor DHCP relay), y únicamente él, le responderá con un
mensaje directo con la información de autoconfiguración que necesita para trabajar.
En caso de haber 2 DHCPs en la red, cogerá los datos del servidor que antes responda.
4. El cliente configurará sus parámetros con la información recibida del servidor.

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

9

Filtración de tráfico
Configura una lista de control de acceso numerada o nombrada para la filtración de tráfico.
¿Que son las acl?

ACL (Lista de control de acceso)

Una Lista de Control de Acceso o ACL (del ingles, Access Control List) es un concepto de
seguridad informatica usado para fomentar la separacion de privilegios. Es una forma de
determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de
ciertos aspectos del proceso que hace el pedido.

Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales
como routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o denegando el
tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales,
como por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como
para activar o mantener una conexión) en IDSN.

El proceso de creación de una ACL se lleva a cabo creando la lista y posteriormente asociándola a
una interfaz entrante o saliente.

Configuración de ACL estándar

Router(config)#access-list[1-99][permit|deny][dirección de origen][mascara comodín]

Donde:

1-99 Identifica el rango y la lista.

Permit|deny indica si esta entrada permitirá o bloqueará el tráfico a partir de la dirección

especificada.

Dirección de origen identifica la dirección IP de origen.

Mascara comodín o wildcard identifica los bits del campo de la dirección que serán
comprobados.

La mascara predeterminada es 0.0.0.0 (coincidencia de todos los bits).

Asociación de la lista a una interfaz

Router(config-if)#ip access-group[nº de lista de acceso][in|out]

Donde:

Número de lista de acceso indica el número de lista de acceso que será aplicada a esa interfaz.

In|out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida.

Ejemplo de una ACL estándar denegando una red:

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

10

Router#configure terminal
Router(config)#access-list 10 deny 192.168.1.0 0.0.0.0
Router(config)#access-list 10 permit any
Router(config)#interface serial 0
Router(config-if)#ip access-group 10 in

Se ha denegado al host 192.168.1.0 y luego se ha permitido a cualquier origen,

Posteriormente se asocio la ACL a la interfaz Serial 0.
Configuración de ACL extendida

El proceso de configuración de una ACL IP extendida es el siguiente:

Router(config)#access-list[100-199][permit|deny][protocol][dirección de origen][mascara
comodín][dirección de destino][mascara de destino][puerto][establisehed][log]

100-199 identifica el rango y número de lista

Permit|deny: indica si la entrada permitirá o bloqueara la dirección especificada.
Protocolo: como por ejemplo IP, TCP, UDP, ICMP

Dirección origen y destino: identifican direcciones IP de origen y destino.

Mascara wildcard origen y máscara destino: Son las máscaras comodín. Las 0 indican las
posiciones que deben coincidir, y los 1 las “que no importan”.

Puerto:(opcional) puede ser por ejemplo: lt (menor que), gt (mayor que), eq (igual a),
o neq (distinto que) y un número de puerto de protocolo correspondiente.

Establisehed: (opcional) Se usa solo para TCP de entrada. Esto permite que él tráfico TCP pase si
el paquete utiliza una conexión ya establecida (por ejemplo posee un conjunto de bits ACK)

Log: (opcional) Envía un mensaje de registro a la consola a un servidor syslog determinado.

Algunos de los números de puertos más conocidos:

20 Datos del protocolo FTP 25 SMTP

21 FTP 69 TFTP
23 Telnet 53 DNS

Asociación de la lista a una interfaz

Router(config-if)#ip access-group[nº de lista de acceso][in|out]

Donde:

Número de lista de acceso indica el número de lista de acceso que será aplicada a esa interfaz.

In|out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida.

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

11

Ejemplo de una ACL Extendida denegando un host hacia el puerto 80 de una red:

Router(config)#access-list 120 deny tcp host 204.204.10.1 any eq 80

Router(config)#access-list 120 permit ip any any
Router(config)#interface serial 1
Router(config-if)#ip access-group 120 in

Se ha denegado al host 204.204.10.1, (identificándolo con la abreviatura “host”) hacia el

puerto 80 de cualquier red de destino (usando el termino any). Posteriormente se permite todo
trafico IP. Esta ACL se asocio a la interfaz Serial 1 como entrante.
Aplicación de una ACL a la linea de telnet

Para evitar intrusiones no deseadas en las conexiones de telnet se puede crear una lista de
acceso estándar y asociarla a la Line VTY. El proceso de creación se lleva a cabo como una ACL
estándar denegando o permitiendo un origen hacia esa interfaz. El modo de asociar la ACL a la
Línea de telnet es el siguiente:

router(config)#line vty 0 4
router(config-line)#access-class[nº de lista de acceso][in|out]

Como eliminar las listas de acceso

Desde el modo interfaz donde se aplico la lista:

Router(config-if)#no ip access-group[nº de lista de acceso]

Desde el modo global elimine la ACL

router(config)#no access-list[nº de lista de acceso]

Ejemplo:

Aplicare un enrutamiento estatico basico para comunicar las redes en la topologia siguiente:

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

12

Rutas :
Router 1

Router 2

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

13

Procedimiento:
1.0 Ingresar al modo privilegiado.

2.0 Habilitar el modo global

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

14

3.0 Para crear la acl standart basta con access-list 1

En este caso el comando anterior esta presedido con la palabra permit junto con la direccion ip a
la que se debe permitir o denegar.

En este caso permit es suplantado por deny junto con la direccion que se le negara el acceso

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

15

4.0 El siguiente paso es asignar la interface a la cual se le colocara la lista de acceso.

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

16

En este caso se agrega la acl con el id con el qu efue crada con el parametro IN el cual suguere
que se aplicara al trafico de entrada

El comando anterior tiene que ejecutarce en modo privilegiado para poder mostrar las acl
insertadas , en este caso muestra las opciones que se crearon, por ejemplo se creo una regla
dentro del ACL 1 para permitir el trafico del host 192.33.33.1 y tambien otra operacion para
denegar el trafico por el host 192.33.33.2.

Probar configuracion

192.33.33.1 10.0.0.254 10.0.0.253 20.0.0.1

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

17

En la tabla anterior se describen las pruebas de la ip donde se permitieron y se denegaron a cada

una, la 192.33.33.1 se permitio el acceso y por lo que en la 192.33.33.2 se denego todo el trafico
de entrada.
Probar el acceso a la puerta de enlace de la red la cual es 192.33.33.254
El acceso es rechazado ya que la acl esta configurada para impedir el acceso desde la direccion ip
192.33.33.2

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

18

El trafico de la red 192.33.33.1 es permitido ya que fue declarado en la

acl

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

19

Monitoreo de la red

Configura la relación entre los componentes del protocolo de administración simple para el
monitoreo de la red.

El Protocolo simple de administración de red (SNMP) es un conjunto estándar de reglas de

comunicación, es decir, un protocolo. Este protocolo gobierna la forma principal de consultar y
monitorear el hardware y el software en una red de computadoras.

No importa si el hardware es de Juniper o Cisco, o si el software es UNIX o Windows, SNMP

utiliza un método estandarizado para consultar información y encontrar rutas a la información
necesaria. Sin la supervisión de SNMP, no habría manera de ver qué había en una red, saber cómo
se desempeñaban los dispositivos y detectar problemas.

SNMP ha existido desde 1989 en varias formas, y si bien han surgido alternativas, aún se
encuentra entre las soluciones más utilizadas para monitorear y administrar dispositivos
conectados a la red. Es una de las herramientas clave de monitoreo que le permite a un
administrador de red o administrador de red entender el estado de la infraestructura de red.

Configuracion:

1 Ingresa al modo de configuracion

2 Habilitar la administracion de las estaciones

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

20

3 Autorizar la administracion

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

21

4 Salir del modo de configuracion.

5 Guardar los cambios

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

22

Analisis de la red
Usa el software de captura de paquete de datos para el análisis de la red.
Wireshark es el analizador de paquetes más conocido y utilizado en todo el mundo. Gracias a
este programa, podremos capturar y analizar en detalle todo el tráfico de red que entra y sale de
nuestro PC, además, debemos recordar que es multiplataforma, esto significa que está
disponible para sistemas operativos Windows, Linux, macOS, Solaris, FreeBSD, NetBSD y otros.
Hoy en RedesZone os vamos a enseñar de manera básica, como realizar una captura de tráfico, y
cómo analizar el tráfico de red para ver si hay algún tipo de anomalía.

Principales características de Wireshark

Este programa que es completamente gratuito, nos permite realizar inspección profunda de
cientos de protocolos, ya que soporta protocolos de capa física, de enlace, protocolos de red,
capa de transporte y también capa de aplicación. Nos permitirá realizar una captura en tiempo
real, y cuando hayamos terminado de capturar todos los paquetes que entran y salen de nuestra
tarjeta de red cableada o inalámbrica, podremos realizar un análisis en profundidad de manera
offline, es decir, en otro ordenador (o en el mismo) y en cualquier momento.

Wireshark permite ver todo el tráfico capturado vía GUI con el propio programa, no obstante,
también podremos ver toda la información capturada con el programa TShark, una herramienta
que funciona a través de consola y nos permitirá leer todo a través de la línea de comandos CLI,
para ver todo vía SSH, por ejemplo. Una característica fundamental de cualquier analizador de
paquetes son los filtros, para que únicamente nos muestre lo que queremos que nos muestre, y
ninguna información más que nos generaría un trabajo extra.

Wireshark es capaz de leer y escribir en diferentes formados de captura, como en formato

tcpdump (libpcap), pcap ng, y otras muchas extensiones, para adaptarse perfectamente a los
diferentes programas para su posterior análisis. Otro aspecto importante es que la captura
realizada se puede comprimir con GZIP al vuelo, y, por supuesto, descomprimirla al vuelo
también en caso de que estemos leyendo la captura. Por supuesto, es capaz de leer datos de
diferentes tecnologías de redes como Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB,
Token Ring, Frame Relay, FDDI y otros. Hoy en día tenemos muchos protocolos con datos
cifrados, con la clave privada adecuada, Wireshark es capaz de descifrar el tráfico de diferentes
protocolos como IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, y WPA/WPA2.

En esta ocacion se esta trabajando con una distribucion de ubuntu para lo que como
retroalimentacion se dejara algun comando para la instalacion del analizador de red WireShark

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

23

Para ejecutar el analizador bastara con ejecutar el comando :

Esta es la ventana principal del programa, en este caso Wireshark no maneja el nombre
de la interface como en windows

Maneja un nombre completamente al de Ethernet o al de WI-FI o cualquier interface que pudiera

marcar el programa.

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

24

En este caso lo mas recomendable es acudir a los datos de direccion de cada interface, para el
caso que este estatica o dinamica seria el mismo caso , solo verificar el trafico de la ip que
pertenesca a cada interface.
ara la interface cableada:

Para la interface Inalambrica:

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

25

La interface seleccionada sera la inalambrica.

Un analisador de red es un proceso de captura e insercion de traficopara ver lo que sucede en esta.

Decodifica los paquetes de datos que usan un protocoloen comun y muestran el trafico en un
formato establecido.

Aqui seleccionaremos captura > opciones.

En este apartado podremos mirar mas caracteristicas del adapatador que deseamos analizar

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

26

En este apartado podemos ver los parametros de opciones donde podemos limitar la cantidad de
paquetes al momento de realizar el escaneo de los datos que estan destinados a la interface y los
datos que no pertenecen a ella.

Al realizar el escaneo de los datos nos arroja lo siguiente:

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

27

Verificación de protocolos de comunicaciones

Ejecuta comandos en la terminal del sistema operativo para la verificación de protocolos de
comunicaciones.

¿Qué es el ICMP?
Aspectos destacados del protocolo de mensajes
Para intercambiar datos de estado o mensajes de error, los nodos recurren al Internet Control
Message Protocol (ICMP) en las redes TCP/IP. Concretamente, los servidores de aplicaciones y las
puertas de acceso como los routers, utilizan esta implementación del protocolo IP para devolver
mensajes sobre problemas con datagramas al remitente del paquete. Aspectos como la creación,
la funcionalidad y la organización dentro de la amplia gama de protocolos de Internet se
especificaron en 1981 en la RFC 792. En el caso de la sexta versión del Internet Protocol (IP), la
implementación específicaICMPv6 fue definida en la RFC 4443.

Por definición, ICMP es un protocolo autónomo aun cuando los diferentes mensajes están
incluidos en paquetes IP tradicionales. Para tal fin, el protocolo de Internet trata a la
implementación opcional como un protocolo de capas superiores. Los diversos servicios de red
que se suelen utilizar hoy en día, como traceroute o ping, se basan en el protocolo ICMP.

¿Cómo funciona ICMP?

Para poder entender cómo funciona el protocolo, es necesario echar un vistazo a la construcción
de la cabecera del Internet Control Message Protocol, vinculada directamente con la del IP,
aunque se muestra en el campo “Protocol” de IP mediante la inserción del número de protocolo,
que puede ser 1 o 58 (ICMPv6). El campo de la cabecera del Internet Control Message Protocol no
es, sin embargo, tan amplio y tiene la siguiente forma:

¿Cómo funciona ICMP?

El primer campo de 8 bits “Tipo” determina el tipo de mensaje al que hace referencia el paquete
ICMP correspondiente. Este dato puede especificarse por medio del campo “Código”, que tiene
una longitud de 8 bits. Así, un mensaje ICMP del tipo 3 indica que no se ha alcanzado el objetivo
del paquete de datos, mientras que el código de este dato precisa y ofrece información acerca de
si la red de destino (0), el host deseado (1) o el puerto esperado (3) no ha respondido a la solicitud.
Tras los datos sobre el tipo de mensaje se encuentra la suma de verificación de ICMP, que garantiza
la exactitud del mensaje. Esta se forma de igual manera que la suma de verificación de otros
protocolos estándar (IP, UDP, TCP).

Por último aparecen los datos del protocolo ICMP que se crean y estructuran de manera muy
diferente en función del tipo y de la instancia desencadenante. A menudo también se especifican
aquí la cabecera IP y los primeros 64 bits del paquete de datos que es responsable del mensaje de
error o de la solicitud de estado. En el llamado tunneling de ICMP, este campo se utiliza para otros

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

28

fines, como puede ser enviar datos de usuario bajo el radar de los cortafuegos o para establecer
un canal de comunicación entre dos ordenadores.

¿Qué tipos de paquetes ICMP existen?

Debido a la longitud del campo de 8 bits, en teoría son posibles 256 tipos de mensajes ICMP
diferentes, de los que se asignan alrededor de 40 (incluidos algunos representantes ya obsoletos)
y algunos están bloqueados para el uso meramente experimental. No se asignan, sin embargo,
gran parte de los números (42-252), sino que en principio solo se reservan. La asignación de los
números es responsabilidad de la IANA (Internet Assigned Numbers Authority), que también
regula la clasificación de los espacios para las direcciones IP y para los puertos. En la siguiente
tabla aparece una recopilación de los tipos de paquetes más importantes basados en el Internet
Control Message Protocol:

Tipo Tipo Nombre del

ICMP ICMPv6 tipo Código Descripción

129 Echo Reply Respuesta a un ping de red para comprobar la accesibilidad

3 1 Destination 0–15 Mensaje ICMP que informa acerca de, por ejemplo, la accesibilidad
Unreachable de red de los componentes del campo “Código” (red, protocolo,
puerto, host), sobre problemas de enrutamiento o sobre el
bloqueo por parte de los cortafuegos

5 137 Redirect 0–3 Mensaje sobre el redireccionamiento de un paquete para la red

Message indicada (0), para el host escogido (1), para el servicio especificado
y para la red (2) o para el servicio y host especificados (3)

8 128 Echo Request Ping de red

9 134 Router Lo utilizan los routers para informarse acerca de los diferentes
Advertisement clientes de red

11 3 Time Exceeded 0o1 Informe de estado que o bien indica que el tiempo de vida (Time
to Live, TTL) de un paquete (0) o el tiempo de espera para el
ensamblaje de paquetes IP (1) ha expirado

13 13 Timestamp Dota al paquete IP de una marca de tiempo que se corresponde

con el momento del envío y que es de utilidad para la
sincronización de dos ordenadores

14 - Timestamp Mensaje de respuesta a una petición de marca de tiempo enviado

Reply por el destinatario tras la recepción de la misma

30 - Traceroute Tipo de mensaje ICMP obsoleto que se utilizaba para el

seguimiento de la ruta de un paquete de datos en la red. Hoy en
día se utilizan “Echo Request” y “Echo Reply” para estos fines

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

29

IPCONFIG

¿Como funciona? Bueno. ipconfig es una utilidad

incluida en Windows, concretamente en el
subdirectorio system32, donde se alojan gran parte
de las utilidades de 32 bits para el sistema, y que
además se encuentra en el path por lo que con abrir
una nueva ventana de consola de comandos y
ejecutar ipconfig /? deberíamos estar viendo su
ayuda en pantalla con el resumen de comandos.

Si lo ejecutamos sin comandos mostraremos la

información básica, que incluye como
mínimo dirección IP IPv4 (e IPv6 en caso de que la
utilicemos), sufijo de conexión DNS, puerta de enlace
y máscara de subred.

ipconfig puede además mostrarnos otra información mediante la utilización de

comandos, como ya he mencionado. Los comandos son los siguientes:

▪ /? Ayuda
▪ /all Muestra todas las direcciones IPv4 adquiridas vía DHCP
▪ /release /release libera las direcciones IPv4 adquiridas vía DHCP
▪ /renew Renueva todas las direcciones IPv4 si utilizamos DHCP
▪ /flushdns Limpia la caché de DNS

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

30

Ping

Ir a la navegaciónIr a la búsqueda
Como programa, ping es una utilidad de diagnóstico en redes de computadoras que comprueba el
estado de la comunicación del anfitrión local con uno o varios equipos remotos de una red que
ejecuten IP.12 Se vale del envío de paquetes ICMP de solicitud (ICMP Echo Request) y de respuesta
(ICMP Echo Reply).3 Mediante esta utilidad puede diagnosticarse el estado, velocidad y calidad de
una red determinada.4

Ejecutando Ping de solicitud, el anfitrión local (en inglés, local host) envía un mensaje ICMP,
incrustado en un paquete IP. El mensaje ICMP de solicitud incluye, además del tipo de mensaje y
el código del mismo, un número identificador y una secuencia de números, de 32 bits, que deberán
coincidir con el mensaje ICMP de respuesta; además de un espacio opcional para datos. Como
protocolo ICMP no se basa en un protocolo de capa de transporte como TCP o UDP y no utiliza
ningún protocolo de capa de aplicación.

Muchas veces se utiliza para medir la latencia o tiempo que tardan en comunicarse dos puntos
remotos, y por ello, se utiliza el término PING para referirse al retardo o latencia (en inglés, lag) de
la conexión en los juegos en red.

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

31

Existe otro tipo, Ping ATM, que se utiliza en las redes ATM, y en este caso, las tramas que se
transmiten son ATM (nivel 2 del modelo OSI). Este tipo de paquetes se envían para probar si los
enlaces ATM están correctamente definidos.

traceroute y tracert

En informática, traceroute y tracert son comandos de diagnóstico de redes para mostrar las
posibles rutas o caminos de los paquetes y medir las latencias de tránsito y los tiempos de ida y
vuelta a través de redes de Protocolo de Internet. Permite seguir la pista de los paquetes que
vienen desde un punto de red.

Funcionamiento
El número de la primera columna es el número de salto, posteriormente viene el nombre y la
dirección IP del nodo por el que pasa, los tres tiempos siguientes son el tiempo de respuesta para
los paquetes enviados (un asterisco indica que no se obtuvo respuesta).

Estas herramientas (traceroute y tracert) son órdenes ejecutables en una consola en modo texto.

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

32

Tracert utiliza el campo Time To Live (TTL) de la cabecera IP. Este campo sirve para que un paquete
no permanezca en la red de forma indefinida (por ejemplo, debido a la existencia en la red de un
bucle cerrado en la ruta). El campo TTL es un número entero que es decrementado por cada nodo
por el que pasa el paquete. De esta forma, cuando el campo TTL llega al valor 0 ya no se reenviará
más, sino que el nodo que lo esté manejando en ese momento lo descartará. Lo que hace tracert
es mandar paquetes a la red de forma que el primer paquete lleve un valor TTL=1, el segundo un
TTL=2, etc. De esta forma, el primer paquete será eliminado por el primer nodo al que llegue (ya
que éste nodo decrementará el valor TTL, llegando a cero). Cuando un nodo elimina un paquete,
envía al emisor un mensaje de control especial indicando una incidencia. Tracert usa esta respuesta
para averiguar la dirección IP del nodo que desechó el paquete, que será el primer nodo de la red.
La segunda vez que se manda un paquete, el TTL vale 2, por lo que pasará el primer nodo y llegará
al segundo, donde será descartado, devolviendo de nuevo un mensaje de control. Esto se hace de
forma sucesiva hasta que el paquete llega a su destino.

Netstat- nao en ubuntu netstat -v

El comando netstat genera pantallas que muestran el estado de la red y las estadísticas del
protocolo. Puede mostrar el estado de los puntos finales TCP y UDP en formato de tabla,
información de la tabla de enrutamiento e información de la interfaz. netstat muestra varios tipos
de datos de red según la opción de línea de comando seleccionada. Estas pantallas son las más
útiles para la administración del sistema. La sintaxis de este formulario es: netstat [-m] [-n] [-s] [-i |
-r] [-f address_family] Las opciones que se utilizan con más frecuencia para determinar el estado

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

33

de la red son: s, r e i. Consulte la página de manual de netstat (1M) para obtener una descripción
de las opciones.

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

34

Bitacora

Para solucionar las fallas de la red en menor tiempo debes de contar con la documentacion y la
informacion actualizada en una bitacora .En esta herramienta se registran todas las intervenciones
y eventos ; por lo que , ademas te sirve de apoyo en la ampliacion de la red y su adaptacion.
Para realizar la bitacora de red, usa una hoja de calculo organizada por secciones para facilitar la
busqueda . En esta debes incluir la siguiente informacion:

A. Configuracion de red
Estos son los datosde los dispositivos de red, para los enrutadores:

1.0 Tipo de disp.

2.0 Modelo y nombre del disp.
3.0 Nombre de la interfaz.
4.0 Direccion MAC, IP y mascara de Red.
5.0Protocolos sDe Enrutamiento.

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

35

Tipo De Modelo Nombre Direccion MAC Direcion IPV4 Direccion IPV6 Protocolo De
Disp./Nombre De La Enrutamiento
Interfaz

G0/1 0007.8080a159 192.168.10.1/64 2001:sd8:caff:10::1/64 EIGRPv4 10

EIGRPV6 20
Enrutador 1/R1 Ciscos 0007.8080.a160 192.168.11.1/24 2001:fd8:ac:10::1/64 EIGRPv4 10
WR-2960-
24TT
G0/2 EIGRPV6 20

S0/0 No Aplica 10.1.1.1/30 2001:bd9:caf4:19::1/64 EIGRPv4 10

EIGRPV6 20

La informacion del conmutador debe comprender

A - Nombre, modelo y direccionamiento IP de administracion.

B - Puertos
C - Velocidad de los puertos
D - Habilitacion de protocolos de arbol
E - VLAN
F - Equipo queconecta.

Tipo de Modelo Direccionamiento Puertos Velocidad STP VLAN Conexion

disp./nombre IP de
administracion

F 0/1 100 Reenviar 1 Coneta con R1

Conmutador/S1 Ciscos 192.168.11.2/24 Reenviar 1 Conecta con

PC1
WS - 3456- 2011:db6:acad:99::2 F0/2 100
IO90

F0/3 - - No conectado

Configuracion de las maquinas

Son los registros de servidores , consolas de administracion de la red y computadoras de usuario.

A - Tipo de Sispositivo
B - Sistema operativo

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

36

C - Direcciones IPv4
D - Mascara de Red
E - Aplicaciones de Red
F - Aplicaciones e ancho de banda elevado.
Nombre del S.O Direccion MAC Direccion IP Aplicacion Aplicaciones
Dipositivo de Red De Ancho De
Banda
elevado
PC2 Windows 8.1 5423.D0E8.94D1 192.168.11.10 HTTP, FTP VoIP
SRV1 Linux 000C.D991.A138 192.168.254.20

Diagrama De topologia de Red

Es el esquema completo y actualizado de la red , que muestra su arquitectura, es decir, como se

conecta cada dispositivo:
A - simbolos de los componentes.
B - Conexion y numeros de puertos.
C - Tipos De medios y de la interfaz.
D - Area Descriptiva del ultimo problema encontrado y solucionado.

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

37

Practica

Practica 5 Lista de Control de acceso | ADMINISTRACION DE SERVIDORES

 Actividad

Técnico en redes IP [Nivel 3]

Lección 1 / Actividad 1
Identificación de fallas

IMPORTANTE

Para resolver tu actividad, guárdala en tu computadora e imprímela.

Si lo deseas, puedes conservarla para consultas posteriores ya que te sirve

para reforzar tu aprendizaje. No es necesario que la envíes para su revisión.

Propósito de la actividad

Resolver los problemas de configuración que la red pueda presentar de

acuerdo con la identificación de amenazas, al análisis de paquetes y
verificación de protocolos.

Practica lo que aprendiste

I. Completa la tabla sobre las amenazas en las redes IP.

Amenaza Descripción Medidas de

La estacion final simula un
Salto de VLAN conmutador al etiqquetar las
tramas Ethernet.
La estacion se hace miembro
de todas las VLAN.
prevención
Usa un identificador de VlAN
dedicado para todos los
puertos troncales.
Deshabilittar los puertos en
desuso y ponerlos en una
VLAN sin usar.

Servidor DHCP pillo Un intruso mira el alcanze

completo del DHCP e intenta
liberar las direcciones Restringir el numero
disponibles por medio del de MAC en el puerto
ataque de denegacion de
servicio

La tabla de memoria -Limitar las de direcciones

Suplantación de direccionable de contenido MAC en la interfaz
MAC o CAM almacena la informacion-Envia Alarmas en caso de
de las direcciones MAC, inundaciones de MAC
disponibles con sus puertos repetidas veses.
fisicos y parametros de la - Permite de 2 a 3 direcciones
VLAN asociada MAC en caso de usar telefono
IP
 Actividad

II. Relaciona los comandos involucrados en la configuración de la ACL

estándar con sus respectivas funciones.

a. permit __
B Define la lista de
b. access-list acceso
c. ip access-list standard __
E Muestra el
d. copy running-config contenido de todas las
startup-config direcciones IP y MAC
e. show access-lists de una ACL
C Define la lista de
__
acceso estándar IPv4
__
A Especifica una o
más condiciones de
permiso
__
D Guarda tus cambios
en el archivo de
configuración

III. Escribe el nombre de los elementos faltantes del siguiente esquema.

A Base
De
Datos

A B
D
D

B
Agente
D
SNMP
D

B
A D
D
 Actividad

IV. Caso de estudio

Al realizar el análisis del tráfico de la red en la herramienta de software,

se despliega el siguiente resultado:

Contesta de acuerdo con lo anterior:

● ¿Cuáles protocolos se despliegan?

Primer Protocolo - Protocolo TCP/IP
Segundo Protocolo - Protocolo UDP
Tercer Protocolo - Protocolo DNS
Cuarto Protocolo - Protocolo NBNS

● ¿Cuál expresión tendrías que escribir en el filtro para desplegar los

paquetes de mayor tiempo?
ALL

● Investiga el tipo de tráfico que maneja el puerto 80.

Puerto 80: Este puerto es el que se usa para la navegación web
de forma no segura HTTP.
 Actividad

V. Usa los siguientes enlaces para instalar un hipervisor y una máquina virtual
dentro de tu respectivo sistema operativo.

https://www.virtualbox.org/wiki/Downloads

https://www.osboxes.org/ubuntu/

Contesta

● ¿Cuál información extra se obtiene al ejecutar el comando “ipconfig

/all”?
Pagina 5 Resulados

● ¿Cuál es la IP de la máquina virtual?

192.168.100.31 , esta en modo puente que utiliza la ip de la maquina para crear una nueva en dhcp

● ¿Cuántos saltos se realizan para llegar a la IP de la máquina virtual?

dos saltos