Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Seguridad en Redes y
Comunicaciones
AGENDA
Da 1
1 Introduccin
2 Diseo de Redes
3 Soporte y Mantenimiento
4 Fundamentos de Seguridad
Nombre
Dydier Facilitador
J. Rojas Guerrero
Introduccin
Crecimiento de Redes y Aplicaciones
Nombre
Dydier Facilitador
J. Rojas Guerrero
1
18/02/2016
Introduccin
Crecimiento de Redes y Aplicaciones
Nombre
Dydier Facilitador
J. Rojas Guerrero
Introduccin
Aplicar a todo tipo de Redes
Nombre
Dydier Facilitador
J. Rojas Guerrero
Introduccin
Aplicar a todo tipo de Redes
Nombre
Dydier Facilitador
J. Rojas Guerrero
2
18/02/2016
Introduccin
Aplicar a todo tipo de Redes
Nombre
Dydier Facilitador
J. Rojas Guerrero
Introduccin - SONA
Arquitectura de Red Orientada a los Servicios, beneficios: Funcionalidad, Escalabilidad,
Disponibilidad, Performance, Administracin, eficiencia.
Nombre
Dydier Facilitador
J. Rojas Guerrero
Introduccin - SDN
Software Defined Network, sustituye el nivel de control del hardware de red por una
capa de software abstrada mediante tcnicas de virtualizacin, tratando de hacer la
red ms programable. Esto se concreta en distintas aproximaciones, como son:
proporcionar un acceso al hardware basado en programacin mediante protocolos
como OpenFlow; arquitecturas construidas sobre un nivel de control basado en
software; y crear redes virtuales por encima del hardware que dirijan el trfico a travs
de redes fsicas
Nombre
Dydier Facilitador
J. Rojas Guerrero
3
18/02/2016
Diseo de Redes
Tener un buen marco metodolgico, una compaa/empresa puede evitar futuras
cadas e interrupciones en el negocio muy costosas. Budget 80% 20%
Nombre
Dydier Facilitador
J. Rojas Guerrero
Beneficios
Disminucin de los costos
Operacin, eficiencia del personal, agilizar la
implementacin
Incrementar la disponibilidad de la red
Evala la capacidad, escenarios de prueba/validacin,
monitoreo proactivo, seguridad.
Optimizar agilidad del negocio
Establecer los requisitos de negocio y estrategia de
tecnologa, sitios listos para apoyo al negocio, mejora
continua
Rpido acceso a las aplicaciones
Mejor de prestacin de servicios, incrementa la
disponibilidad, estabilidad de las APP
Nombre
Dydier Facilitador
J. Rojas Guerrero
Diseo de Redes
Nombre
Dydier Facilitador
J. Rojas Guerrero
4
18/02/2016
Nombre
Dydier Facilitador
J. Rojas Guerrero
Nombre
Dydier Facilitador
J. Rojas Guerrero
Nombre
Dydier Facilitador
J. Rojas Guerrero
5
18/02/2016
Nombre
Dydier Facilitador
J. Rojas Guerrero
Nombre
Dydier Facilitador
J. Rojas Guerrero
6
18/02/2016
Diseo Top-Down
Nombre
Dydier Facilitador
J. Rojas Guerrero
Nombre
Dydier Facilitador
J. Rojas Guerrero
Nombre
Dydier Facilitador
J. Rojas Guerrero
7
18/02/2016
Nombre
Dydier Facilitador
J. Rojas Guerrero
Herramientas de Diseo
Nombre
Dydier Facilitador
J. Rojas Guerrero
Nombre
Dydier Facilitador
J. Rojas Guerrero
8
18/02/2016
Nombre
Dydier Facilitador
J. Rojas Guerrero
Detalle de equipos
Nombre
Dydier Facilitador
J. Rojas Guerrero
Nombre
Dydier Facilitador
J. Rojas Guerrero
9
18/02/2016
Modelo Jerrquico
Nombre
Dydier Facilitador
J. Rojas Guerrero
Modelo Empresarial
Nombre
Dydier Facilitador
J. Rojas Guerrero
CAMPUS
Nombre
Dydier Facilitador
J. Rojas Guerrero
10
18/02/2016
ARQUITECTURA
Nombre
Dydier Facilitador
J. Rojas Guerrero
Monitoreo
Nombre
Dydier Facilitador
J. Rojas Guerrero
Monitoreo
Definir: Tipo de alarmas, criticidad, a quines se informa, relacin con otras reas
Nombre
Dydier Facilitador
J. Rojas Guerrero
11
18/02/2016
Soporte y Mantenimiento
Definir Contratos de Servicio con (BUENOS)
proveedores/fabricantes
Considerar la criticidad de los equipos, para el tipo de soporte
7x24x4
8x5x4
8x5xNBD
Definir SLA
Tiempo de Respuesta en sitio
Disponibilidad de servicio Ej. 99,6% mes.
Mantenimientos
Preventivos (periodicidad)
Correctivos (tiempos de respuesta)
Seguimiento/Auditoras.
Nombre
Dydier Facilitador
J. Rojas Guerrero
FUNDAMENTOS DE SEGURIDAD
Nombre
Dydier Facilitador
J. Rojas Guerrero
Seguridad en la Red
Nombre
Dydier Facilitador
J. Rojas Guerrero
12
18/02/2016
Firewall
RT- Zona Desmilitarizada
Frontera Las conexiones desde la red
ACL interna y la externa a la DMZ
Lista Control de Acceso estn permitidas, mientras que
DMZ (Servicios Externos)
Aplicar polticas de seguridad las conexiones desde la DMZ
Internet que permite o niega el acceso slo se permitan a la red externa
de cierta parte de la red a otra Pginas Web, FTP...
Nombre
Dydier Facilitador
J. Rojas Guerrero
SW_DC
Router de
Internet
Internet
Nombre
Dydier Facilitador
J. Rojas Guerrero
Servidores
- Online
- Enrutamiento EIGRP Internet - ADSL
- ACLs - VPN SSL
- ACLs anti-spoofing Acceso Remoto
- Inspeccin de protocolos
- Acceso controlado
Internet
- VPN SSL acceso remoto
- HSRP
- Enrutamiento EIGRP
- ACLs
- VACLs - H323
- VLANs - MGCP
- Spanning-Tree - QoS Voz - E1 de Voz
- VSS - MGCP Provider - Salida GSM
- CAC (Call Admision Control )
- SCCP
- VLANs
- AAA
- 802.1X
- Port-Security - Enrutamiento (EIGRP, OSFP)
- DHCP Snooping - Autenticacin (EIGRP, OSFP)
- DAI (ARP Inspection) - Enrutamiento Esttico - E1 de datos
- Spanning-Tree - VPNs GRE-IPSec - VPN Satelitales
WAN
- Radio Enlaces
- VPN MPLS
Nombre
Dydier Facilitador
J. Rojas Guerrero
13
18/02/2016
CORE
Alta Disponibilidad
- Configuracin de VSS (virtualizacin de switch)
- Redundancia de dispositivo y conexiones.
- Sitio de contingencia.
Plano de Gestin
- Cifrado MD5 en las contraseas enable y usuarios locales.
- Cifrado no fuerte para otras contraseas.
- Notificaciones para umbrales de consumo de memoria y CPU.
- Se deshabilita ICMP redirects, y se limita lo paquetes ICMP unreachables.
- Servicios no utilizados deshabilitados.
- SSH para la gestin remota.
- Limite en el tiempo de inactividad de una sesin remota.
- Listas de acceso para restringir el acceso remoto.
- Banner de advertencia para ser mostrados en el inicio de sesin.
- Protocolo AAA (Tacacs+) para autenticacin, autorizacin y auditora.
- SNMPv2 con cadenas de comunidad y listas de acceso para restringir acceso.
- Logging centralizado.
Plano de Control
VSS - Uso de NTP para sincronizacin de tiempo.
- Uso de autenticacin MD5 para HSRP.
- Uso de autenticacin MD5 para EIGRP.
- Des habilitacin de VLAN por defecto.
- Des habilitacin de DTP en puertos troncales.
- Protocolo VTP en modo transparente.
- Uso de protocolo Rapid Per-VLAN Spanning Tree.
- Asignacin de root bridge de forma manual para topologa spanning tree.
- Configuracin de BPDU Guard.
Plano de Datos
- Des habilitacin de puertos no utilizados.
- Uso de storm control en interfaces troncales.
- VLAN nativa en interfaces troncales asignada a VLAN no usada.
Nombre
Dydier Facilitador
J. Rojas Guerrero
Enterprise Campus
Alta Disponibilidad
- Switches 3750 en stack (tecnologa de virtualizacin) para redundancia.
- Redundancia de conexin hacia la red CORE y entre switches de acceso.
- Sitio de contingencia para recuperacin de desastres.
Plano de Gestin
- Cifrado MD5 en las contraseas enable y usuarios locales.
- Cifrado no fuerte para otras contraseas.
- Notificaciones para umbrales de consumo de memoria y CPU.
- Se deshabilita ICMP redirects, y se limita lo paquetes ICMP unreachables.
- Servicios no utilizados deshabilitados.
- SSH para la gestin remota.
- Limite en el tiempo de inactividad de una sesin remota.
- Listas de acceso para restringir el acceso remoto.
- Banner de advertencia para ser mostrados en el inicio de sesin.
- Protocolo AAA (Tacacs+) para autenticacin, autorizacin y auditora.
- SNMPv2 con cadenas de comunidad y listas de acceso para restringir acceso.
- Logging centralizado.
Plano de Control
- Uso de NTP para sincronizacin de tiempo.
- Uso de autenticacin MD5 para el protocolo HSRP.
- Des habilitacin de VLAN por defecto.
- Des habilitacin de DTP en puertos troncales.
- Protocolo VTP en modo transparente.
- Uso de protocolo Rapid Per-VLAN Spanning Tree.
- Configuracin de BPDU Guard para interfaces de acceso.
Plano de Datos
- Des habilitacin de puertos no utilizados.
- Storm control en interfaces troncales.
- Asignacin de VLAN nativa en interfaces troncales a una VLAN no usada.
- DHCP Snooping.
- DAI (Dynamic ARP Inspection).
- Autenticacin 802.1X.
- Autorizacin por perfil de usuario.
- Port-Security.
Nombre
Dydier Facilitador
J. Rojas Guerrero
Internet
Alta Disponibilidad
- Firewall en failover (tecnologa de virtualizacin).
- Redundancia de conexiones.
- Sitio de contingencia para recuperacin de desastres.
Plano de Gestin
- Cifrado MD5 en las contraseas enable y usuarios locales.
- Cifrado no fuerte para otras contraseas.
- Notificaciones para umbrales de consumo de memoria y CPU.
- Se deshabilita ICMP redirects, y se limita lo paquetes ICMP unreachables.
- Servicios no utilizados deshabilitados.
- SSH para la gestin remota.
- Limite en el tiempo de inactividad de una sesin remota.
- Listas de acceso para restringir el acceso remoto.
- Banner de advertencia para ser mostrados en el inicio de sesin.
- Protocolo AAA (Tacacs+) para autenticacin, autorizacin y auditora.
- SNMPv2 con cadenas de comunidad y listas de acceso para restringir acceso.
- Logging centralizado.
Plano de Control
- Uso de NTP para sincronizacin de tiempo.
- Uso de autenticacin MD5 para EIGRP.
- Des habilitacin de VLAN por defecto.
- Uso de black-hole routing.
Online Online
20 Mbps - Uso de Interfaz loopback para gestin.
28 Mbps
Plano de Datos
ENTEL AXS - Des habilitacin de servicios no utilizados.
- Des habilitacin ICMP Recirect, redirect broadcast, proxy-arp.
- Lista de acceso anti-spoofing.
- Enrutamiento a travs de PBR (Policy Based Routing).
- Firewall por zonas.
- Inspeccin de protocolos.
- DMZ Corporativa
- VPN Acceso Remoto por SSL.
Nombre
Dydier Facilitador
J. Rojas Guerrero
14
18/02/2016
WAN
Alta Disponibilidad
- Redundancia de dispositivos.
- Redundancia de conexiones.
- Sitio de contingencia para recuperacin de desastres.
Plano de Gestin
- Cifrado MD5 en las contraseas enable y usuarios locales.
- Cifrado no fuerte para otras contraseas.
- Notificaciones para umbrales de consumo de memoria y CPU.
- Se deshabilita ICMP redirects, y se limita lo paquetes ICMP unreachables.
- Servicios no utilizados deshabilitados.
- SSH para la gestin remota.
- Limite en el tiempo de inactividad de una sesin remota.
- Listas de acceso para restringir el acceso remoto.
- Banner de advertencia para ser mostrados en el inicio de sesin.
- Protocolo AAA (Tacacs+) para autenticacin, autorizacin y auditora.
- SNMPv2 con cadenas de comunidad y listas de acceso para restringir acceso.
- Logging centralizado.
OC
Plano de Control
WAN VPN MPLS - Uso de NTP para sincronizacin de tiempo.
Radio Enlace
- Uso de autenticacin MD5 para EIGRP.
Satelital
Fibra ptica
- Des habilitacin de VLAN por defecto.
- Uso de Interfaz loopback para gestin.
Plano de Datos
EUROCOM ENTEL - Des habilitacin de servicios no utilizados.
- Des habilitacin ICMP Recirect, redirect broadcast, proxy-arp.
- Lista de acceso anti-spoofing.
- VRF para rutas ISP.
- Cifrado radio enlaces IPSec/IKEv2.
- DMVPNs en enlaces WAN.
CAMPOS - Cifrado DMVPN IPSec/IKEv2.
Nombre
Dydier Facilitador
J. Rojas Guerrero
Sede Central
Plano de Gestin
- Cifrado MD5 en las contraseas enable y usuarios locales.
- Cifrado no fuerte para otras contraseas.
- Notificaciones para umbrales de consumo de memoria y CPU.
- Se deshabilita ICMP redirects, y se limita lo paquetes ICMP unreachables.
- Servicios no utilizados deshabilitados.
- SSH para la gestin remota.
- Limite en el tiempo de inactividad de una sesin remota.
- Listas de acceso para restringir el acceso remoto.
- Banner de advertencia para ser mostrados en el inicio de sesin.
- Protocolo AAA (Tacacs+) para autenticacin, autorizacin y auditora.
- SNMPv2 con cadenas de comunidad y listas de acceso para restringir acceso.
- Logging centralizado.
Plano de Control
- Uso de NTP para sincronizacin de tiempo.
CAMPOS - Uso de autenticacin MD5 para el protocolo HSRP.
- Des habilitacin de VLAN por defecto.
- Des habilitacin de DTP en puertos troncales.
- Protocolo VTP en modo transparente.
- Uso de protocolo Rapid Per-VLAN Spanning Tree.
Fibra ptica - Configuracin de BPDU Guard para interfaces de acceso.
UTP
Radio Enlace Plano de Datos
- Des habilitacin de puertos no utilizados.
- Storm control en interfaces troncales.
- Asignacin de VLAN nativa en interfaces troncales a una VLAN no usada.
- DHCP Snooping.
- DAI (Dynamic ARP Inspection).
- Autenticacin 802.1X.
- Autorizacin por perfil de usuario.
- Port-Security.
Nombre
Dydier Facilitador
J. Rojas Guerrero
Preguntas?
dydier@gmail.com
Nombre
Dydier Facilitador
J. Rojas Guerrero
15