Vous êtes sur la page 1sur 8

INSTITUTO TECNOLOGICO DE SALINA CRUZ

UNIDAD: I

MATERIA: Redes Emergentes

DOCENTE: Susana Mnica Romn Njera

CARRERA: INGENIERIA EN TECNOLOGIAS DE LA INFORMACIN Y DE


LAS COMUNICACIONES

GRADO: 7 SEMESTRE

GRUPO: 7E

Trabajo: INVESTIGACIN DE SEGURIDAD DE LA vLAN

NOMBRE: RAMOS GARCA LVARO DE JESS

Salina Cruz, Oaxaca A septiembre del 2016

Introduccin
En el mbito laboral, las redes son sumamente importantes, ya que gracias a
estas las organizaciones pueden ofrecer seguridad y monitoreo de los distintos
servicios que brindan.
Atraves de redes se pueden dar acceso a ciretas cosas, pero restringir otras,
por lo que la organizacin puede dar mas privilegio a un departamento que a
otro.
Un tipo de red que es utilizada para crear este tipo de restricciones es vLAN.
Efectivamente, la comunicacin entre los diferentes equipos en una red de rea
local est regida por la arquitectura fsica. Gracias a las redes virtuales (VLAN),
es posible liberarse de las limitaciones de la arquitectura fsica (limitaciones
geogrficas,

limitaciones de direccin,

segmentacin lgica basada en

etc.),

ya que se define una

el agrupamiento de equipos segn

determinados criterios (direcciones MAC, nmeros de puertos, protocolo, etc.).

Seguridad de las vLANs


Una VLAN (Red de rea local virtual o LAN virtual) es una red de rea local que
agrupa un conjunto de equipos de manera lgica y no fsica. Los grupos de
puertos que hacemos en un switch gestionable para aislar un conjunto de
mquinas forman una VLAN. Se la llama virtual porque parece que est en una
LAN propia y que la red es de ellos solos. Utilizar una VLAN hace que la
seguridad y el rendimiento sean mejores, porque si hay un ataque a una VLAN,
las otras VLAN no se ven afectadas, salvo que haya un exceso de trfico, que
si

le

afectara

entonces,

ya

que

comparten

el

switch.

Por su naturaleza, una VLAN puede formarse tambin a partir de mltiples


segmentos de LAN. Esto permiten que estaciones de trabajo ubicadas
fsicamente en lugares diferentes pueden trabajar en la misma red lgica (es
decir, con el mismo direccionamiento de red), como si estuvieran conectadas al
mismo switch.

Una VLAN basada en grupos de puertos no tiene porqu tener slo un switch.
Uno de los puertos puede estar conectado al puerto de otro switch, y, a su vez,
ese puerto puede formar parte de otro grupo de puertos. Las VLAN no estn
completamente aisladas, ya que necesitarn acceso a Internet y estar
conectadas con otros servidores internos. Para interconectar una VLAN se
necesita un router. En redes, los switches funcionan en capa 2 y los routers lo
hacen

en

capa

3.

La capa 2 o capa de enlace intercambia paquetes de datos con los equipos


que estn en su misma red. La comunicacin es directa entre origen y destino.
La capa 3 o capa de red tiene una visin global de la red y sabe como hacer
llegar los datos hasta equipos que no estn en su misma red. La comunicacin
es indirecta y necesita pasar por un router.

Si configura una red de rea local virtual (VLAN), recuerde que las VLAN
comparten el ancho de banda de la red y requieren medidas de seguridad
adicionales.

Al usar VLAN, separe los clusters sensibles de sistemas del resto de la


red. De esta manera, se reduce la probabilidad de que los usuarios
tengan acceso a la informacin almacenada en esos clientes y
servidores.

Asigne un nmero de VLAN nativo nico a los puertos de enlace troncal.

Limite las VLAN que se pueden transportar mediante un enlace troncal a


las que son estrictamente necesarias.

Desactive el protocolo de enlace troncal (VTP) de VLAN, si es posible.


De lo contrario, configure lo siguiente para el VTP: dominio de gestin,
contrasea y eliminacin. A continuacin, defina VTP en modo
transparente.

Utilice configuraciones de VLAN estticas, cuando sea posible.

Desactive los puertos de conmutador no utilizados y asgneles un


nmero de VLAN que no est en uso.

Las VLAN tradicionales permiten a los diseadores de redes crear topologas


ms seguras y adaptables limitando el tamao de los dominios de broadcast
(difusin) y as facilitar las tareas de administracin, operacin y seguridad.
Dentro del clsico modelo jerrquico de tres capas la aplicacin de VLANs
resulta vital para un buen funcionamiento y optimizacin del trfico de red
desde los extremos (no confundir con bordes) donde se ubican los clientes
hacia el core principal y las dems instalaciones.
Existen, sin embargo, situaciones donde la creacin de mltiples VLANs
pueden ser ms un problema que una real solucin y es aqu donde entra a
jugar un rol importante la creacin de las VLAN privadas (PVLANs).
Bsicamente las PVLANs permiten aislar los puertos de switch dentro de un
mismo dominio de broadcast, evitando que los dispositivos conectados en
estos puertos se comuniquen entre s aunque pertenezcan a la misma VLAN y
subred.

Existen 3 tipos de puertos PVLANs:

Promiscuous: un puerto en este estado puede comunicarse con


todos los dems puertos, incluso en estado Isolated y Community
dentro de una PVLAN.

Isolated (Aislado): Un puerto en este estado est completamente


aislado a partir de la capa 2 dentro de la misma PVLAN, pero no de
un puerto en estado promiscuo. Las PVLANs bloquean todo el trfico
hacia los puertos aislados excepto el trfico proveniente de los
puertos promiscuos. El trfico originado en un puerto aislado se
reenva solamente HACIA un puerto promiscuo.

Community: Los puertos en este estado se comunican entre ellos y


con sus respectivos puertos promiscuos. Estas interfaces estn
separadas a nivel de capa 2 de todas las otras interfaces en otras
comunidades o puertos aislados dentro de la PVLAN.

Las Private VLANs vienen a solucionar este problema de una manera ms


elegante y flexible, ya que solo necesitamos una VLAN, la misma subred para
todos los hosts y an as quedaran aislados entre ellos a nivel de capa 2.

Aqu hemos creado el mismo escenario pero esta vez solo utilizando el bloque
192.168.0.0/26 para todos los hosts en la VLAN primaria 100 y dentro de sta
hemos creado VLANs privadas diferenciando los grupos anteriores. Una forma
sencilla de explicar las PVLANs es una o ms VLANs dentro de otra principal.

Una vez que las tramas salgan de cada host y atraviesen el switch hacia las
redes externas sern etiquetadas como VLAN100 y no por su ID privado ya
que este es vlido solamente dentro de la VLAN primaria 100.
La seguridad de los equipos interconectados en una red interna plana, se logra
conectando los hubs y switches a un router. Este arreglo es bastante
inadecuado por varias razones. Primera, cualquier equip que se conecte a la
red fsica puede acceder a los recursos localizados en la LAN. Segunda, todos
los equipos conectados pueden ver todo o parte del trfico que circule por la
red. Y tercera, los usuarios pueden trabajar en grupos simplemente conectando
sus estaciones en el hub existente. As, bsicamente este arreglo no
proporcionaba seguridad.
Una tcnica de administracin econmica y sencilla para aumentar la
seguridad, consiste en segmentar la red en mltiples grupos de broadcast que
permitan al administrador de red:
1. Limitar la cantidad de usuarios en un grupo de VLAN.
2. Evitar que determinado usuario se conecte en algn puerto no asignado
3. Configurar todos los puertos no utilizados en una VLAN de bajo servicio.
La construccin de VLANs permite crear mltiples grupos de broadcast, y esto
permite al administrador tener control de cada puerto y por lo tanto de cada
usuario. Por consiguiente, se eliminan las posibilidades de que un usuario
conecte su estacin a algn puerto de switch y obtenga acceso a los recursos
de la red.
El administrador es ahora quien concede el acceso a cada puerto y a cualquier
recurso en la red. Las VLAN pueden ser creadas en base a los recursos que el
usuario requiera, a dems, los switches pueden ser configurados para informar
si una estacin intenta acceder a los recursos de la red en un puerto no
autorizado.

Si

necesita

comunicacin

inter-VLAN

puede

implementar

restricciones en el router, tales restricciones pueden establecerse de acuerdo a


la direccin fsica, protocolo y aplicacin.

Conclusin
Una VLAN es una red virtual, que en este caso, podemos gestionar a travs del
switch con el fin de dividir este en varios switches virtuales. Como se vio, las
VLAN son agrupaciones lgicas de dispositivos, que en general se utililizan en
funcin de la utilidad, como segmentar un departamento, una funcin o para
segmentar la LAN.
Las VPN son algo ms que simplemente una conveniencia al azar. Son
necesarias en redes conmutadas para contener dominios de difusin y colisin.
Al crear segmentacin por solo direcciones MAC crea una topologa de red
plana. Las VLAN solucionan este inconveniente, creando jerarquas planas.En
consecuencia, las VLAN son ms que meras agrupaciones de clientes. Su
utilidad crece a medida que la red crece y simplifican mucho el trabajo y la
carga dentro de la red.

Fuentes consultadas
https://prezi.com/3jr4uhdt9rdw/vlans-y-su-seguridad/
http://seguridaddigitalvenezuela.blogspot.mx/2008/08/seguridad-en-redes-vlan.html
http://www.redescisco.net/sitio/2011/05/29/seguridad-en-capa-2-vlan-privadas/
https://docs.oracle.com/cd/E50696_01/html/E50091/gmpfo.html
https://infosegur.wordpress.com/tag/vlan/