Seguridad en redes LAN implementando VLAN

Resumen

Este proyecto está enfocado en aumentar la seguridad que se tiene en una red de área local de un Tecnológico, para ello se implementaron VLANS por configuración de puertos para garantizar la integridad de los datos, con este proyecto se busca reducir el tráfico de la red para agilizar la transferencia de archivos, por cual fue necesario usar un direccionamiento dinámico haciendo uso de VLSM asignando mascaras de longitud variable de acuerdo al número de equipos conectados por VLAN, para cubrir los requerimientos del cliente se hicieron pruebas de conectividad que garantizan que la información únicamente se comparte entre nodos de la misma red lógica, se obtienen resultados satisfactorios reduciendo los dominios de broadcast y agilizando el tráfico de la red.

Palabras clave: Redes, virtualización, seguridad, configuración.

Abstract

This project is focused on increasing the security that has a local area network of a Technological, for this VLANS were implemented by configuration of ports to ensure the integrity of the data, with this project seeks to reduce the traffic of the network to Streamline file transfer for which it was necessary to use dynamic addressing by using VLSM by assigning variable length masks according to the number of VLAN-connected equipment, to meet client requirements, connectivity tests were performed to ensure that information only Is shared between nodes of the same logical network, satisfactory results are obtained reducing the broadcast domains and streamlining the traffic of the network.

Keywords: Network, virtualization, security, configuration.

1. INTRODUCCIÓN

Hoy en día la comunicación en las organizaciones es un factor primordial para el logro de objetivos, actualmente un 95% de las empresas tiene la necesidad de contar con una red de computadoras para agilizar él envió de información y reducir costos, ante esta situación es necesario contar con herramientas que permitan optimizar el uso de la red y evitar perdida de información.

Es importante mencionar la calidad de los servicios que una escuela de educación superior debe ofrecer, ya que son factores que impactan en la proyección de una institución con el exterior, por esta razón es importante lograr una comunicación eficiente que beneficie a los estudiantes, personal directivo, administrativo y docente.

Con la implementación de las redes LAN virtuales se podrán crear redes lógicas independientes compartiendo dispositivos físicos de red, ofreciendo independencia por grupos como si se tratará de redes aisladas garantizando la comunicación y envío de los datos en la red, de esta forma se podrá proporcionar privacidad entre departamentos garantizando la confidencialidad de la información.

La implementación de las VLAN podrá optimizar el tráfico de la red del edificio E en una primera etapa, beneficiando a los usuarios de la red separados por grupos, gracias a este proyecto se tendrá una mejor administración de la red.

2. ANTECEDENTES

La red de datos del Instituto Tecnológico Superior del Oriente del Estado de Hidalgo, cuenta con cinco edificios de dos plantas y una red de área local para comunicarse entre departamentos; sin embargo, es necesario hacer adecuaciones para brindar una mayor seguridad segmentando la red por tipos de usuarios como son: directivos, administrativos, estudiantes y docentes.

En un principio la red usaba un direccionamiento IP clase C, pero debido al crecimiento que se ha tenido en los últimos años fue necesario cambiar a un direccionamiento IP clase B por el número de nodos conectados. Para separar el tráfico de la red se utilizan varios segmentos, por lo cual, se incrementan los dominios de colisión provocando que la red se vuelva lenta.

De acuerdo a lo anterior en una primera etapa se empezará por hacer las configuraciones necesarias en el edificio E para implementar las VLANS, que es donde se encuentra la mayor cantidad de nodos de la red LAN.

3. METODOLOGÍA

Objetivo general: Optimizar la red de datos del tecnológico, haciendo uso de virtualización de redes de área local (VLAN) para reducir los dominios de broadcast y agilizar el tráfico de la red.

Objetivos específicos:
  • Crear VLAN por área funcional para reducir dominios de broadcast.
  • Segmentar la red de área local haciendo uso de VLANS por configuración de puertos.
  • Utilizar direccionamiento IPV4 con VLSM para agilizar el tráfico de la red.

Para el desarrollo de este proyecto se utilizará la metodología de desarrollo con CISCO PPDIOO que consta de seis etapas como se describen a continuación:

    1. Preparación: En esta etapa se analiza la infraestructura de red y los recursos que se tienen para desarrollar el proyecto.

    2. Planificación: se analizan los requerimientos de la empresa y la red existente para poder determinar que podría mejorarse de la red, de igual forma se hace un plan para desarrollar el proyecto con actividades y responsables, con este plan se le da seguimiento al proyecto.

    3. Diseño: La red es diseñada de acuerdo a los requerimientos de la empresa, en esta etapa se puede establecer el tipo de direccionamiento a implementar, seleccionar la topología adecuada, diagramas de red y lista de equipos.

    4. Implementación: La red es construida de acuerdo al diseño establecido, se configuran las VLAN y servidores.

    5. Operación: La red es puesta en marcha y es monitoreada, se detectan y se corrigen errores, esta etapa es la prueba máxima de diseño.

    6. Optimización: Los errores son detectados y corregidos antes de que sucedan problemas en la red, en caso de que existan demasiados problemas será necesario rediseñar la red [3].

Cabe mencionar que este tipo de metodología solo aplica en redes existentes que tienen necesidades de mejora continua.

4. DESARROLLO

Actualmente la red LAN del Tecnológico es administrada desde el Edificio E, donde se encuentra el SITE, dentro de esta red se conectan cinco edificios usando un direccionamiento IP de clase B privada por el número de usuarios que tiene, debido al número de equipos existe problemas de comunicación tales como:

  • Pérdida de información.
  • Velocidad de internet lenta.
  • Fallas el acceso a la intranet institucional.
  • No existe documentación de la red.
  • Usuarios con conocimientos básicos de redes se infiltran en la red violando la seguridad y teniendo acceso a documentos, dispositivos y recursos compartidos en red.
  • La administración de la red se vuelve una tarea tediosa por el número de usuarios que existen.

Ante esta problemática es necesario implementar estrategias que permitan agilizar el tráfico de la red y mejorar la seguridad, por lo cual se implementarán redes LAN virtuales por tipos de usuario o en su defecto áreas funcionales.

Para el desarrollo de este proyecto en la primera etapa se empezará por implementar VLANS el edificio E donde se tiene: el SITE o cuarto de telecomunicaciones principal, siete laboratorios para estudiantes, tres áreas administrativas, un área para servicios de impresión, tres áreas para cubículos de docentes y un área de desarrollo, en promedio 250 nodos conectados en red.

Para desarrollar el proyecto se trabajó con el área de apoyo informático para conocer los requerimientos, en una primera etapa se analizó la infraestructura de la red para determinar si es factible implementar con el equipo actual o en su defecto determinar el equipo que debe cotizarse para desarrollar la investigación (ver tabla I).

TABLA I. ANÁLISIS DE DISPOSITIVOS DE RED

Fuente: Elaboración propia.

Del análisis anterior se observó que solo un 28 % de los dispositivos de red soportan tecnología para VLAN, lo cual representa que para la implementación del proyecto se debe adquirir equipo de red.

Como segundo paso se realizó un análisis de los puertos ocupados en cada una de las áreas de trabajo con la finalidad de determinar el número total de equipos que están conectados en el edificio E (ver tabla 2).

TABLA II. DISTRIBUCIÓN DE PUERTOS POR ÁREA DE TRABAJO

Fuente: Elaboración propia.

Para optimizar la red, se propone crear VLAN por área funcional y hacer una distribución de puertos, así como estimar la cantidad de equipo necesario que debe adquirirse para implementar el proyecto (Ver tabla III).

TABLA III. ÁREAS PROPUESTAS PARA VLANS

Fuente: Elaboración propia.

Con referencia en la tabla III, se observa que se requieren 12 switches que soporten tecnología para VLAN y considerando que en existencia se tienen 7, solo sería necesario adquirir 5 equipos para implementar el proyecto, por lo cual es necesario adquirir equipo Cisco Gigabit Ethernet Switch Catalyst 2960-X, 10/100/1000Mbps, 216 Gbit/s, 24 Puertos gestionado con las siguientes especificaciones (ver tabla IV).

TABLA IV. ÁREAS PROPUESTAS PARA VLANS

Fuente: Elaboración propia.

Para el diseño de la topología de red se utilizó la herramienta Cisco Packet Tracer 6.2, la cual soporta todos los comandos del Cisco IOS, de igual forma se pueden hacer simulaciones de conectividad (pings, traceroutes, etc) todo ello desde la misma consola, para el desarrollo del proyecto se seleccionó la topología de estrella extendida (ver Fig. 1).

ver Fig. 1 Diagrama de red edificio E

Fuente: Elaboración propia.

Diseño del direccionamiento IP

Dados los requerimientos del usuario y considerando el número de puertos que se requieren por VLAN, se diseñó un esquema de direccionamiento basado en máscaras de longitud variable (VLSM) que permite direccionar de forma lógica cada una de las VLAN desperdiciando el menor número de direcciones IP, por lo cual se diseña un esquema de direccionamiento con base en la cantidad de puertos que se requieren para cada red virtual creada (ver tabla V).

 

TABLA V. DIRECCIONAMIENTO IP USANDO VLSM

Fuente: Elaboración propia.

Para desarrollar el proyecto se utilizó el simulador CISCO Packet Tracer 6.2 debido a que aún no se cuenta con el total de dispositivos de red, cabe mencionar que esté simulador es una herramienta muy intuitiva que permite realizar configuraciones como si se trabajará físicamente en el dispositivo de red.

Para optimizar la configuración de las redes virtuales se utilizó VTP (Vlan Trunking Protocol), un protocolo de mensajes usado para configurar y administrar VLANs en equipos Cisco. Permite centralizar y simplificar la administración en un domino de VLANS, pudiendo crear, borrar y renombrar las mismas, reduciendo así la necesidad de configurar en todos los nodos.

VTP opera en 3 modos distintos:
  • Servidor: Es el modo por defecto donde puede crear, modificar o eliminar VLANS.
  • Cliente: En este modo no se puede modificar o eliminar VLANS, solo sincroniza la información basándose en mensajes recibidos de servidores del mismo domino.
  • Transparente: La información VLAN en los switches que trabajen en este modo sólo se puede modificar localmente. Su nombre se debe a que no procesa las actualizaciones VTP recibidas, tan sólo las reenvía a los switches del mismo dominio.
Configuraciones en el switch servidor:
  • Establecer el modo servidor son su respectivo dominio.
  • Creación de las VLANS.
  • Direccionamiento dinámico.
  • Activación de las interfaces para VLAN.
  • Asignación de puertos para cada VLAN.
  • Activación de interfaces troncales.
  • Protección de acceso al dispositivo.
Configuraciones en el switch cliente:
  • Establecer el modo cliente con el mismo dominio del servidor.
  • Distribución de puertos para cada VLAN.
  • Activación de interfaces troncales.
  • Protección de acceso al dispositivo.

La Fig. 2, muestra cómo se configura el switch en modo servidor, tiene la finalidad que todas las vlan que sean creadas en él, en automático se configuran en los swiches clientes (ver Fig. 3).

ver Fig. 2 Configuración de un switch en modo

Fuente: Elaboración propia.

ver Fig. 3 Configuración de un switch en modo cliente

Fuente: Elaboración propia.

Una vez configurados los switches en modo servidor y clientes se configuran en el servidor las Vlan que se definieron para el proyecto que son: Laboratorios, Maestros, Redes, Administratuvos y Desarrollo, desde el modo configuración global con los comandos: vlan ,<número> name <nombre> como se observa en la Fig. 4.

Fig. 4 Configuración de VLAN en switch servidor

Fuente: Elaboración propia.

Una vez definidas las Vlan es necesario realizar la asignación de puertos a cada una de las redes virtuales como puede observarse en la Fig. 5.

Fig. 5. Asignación de puertos para cada VLAN

Fuente: Elaboración propia.

Para garantizar la conectividad de los dispositivos fue necesarios utilizar un direcionamiento adecuado usando máscaras de longitud variable (VLSM) para cada red virtual creada usando el servidor DHCP del dispotivo (ver Fig, 6).
Fig. 6. Creando direccionamiento dinámico por cada VLAN

Fuente: Elaboración propia.

Para establecer seguridad en la administración de los switches es necesario proteger las líneas virtuales y consola con un password desde el modo de configuración global en el dispositivo, por medio de esta configuración se garantiza que solo usuarios autorizados a la red puede modificar o administrar el dispostivo (ver Fig. 7).

Fig. 7. Protección de líneas de acceso en el switch

Fuente: Elaboración propia.

5. RESULTADOS

Para garantizar el éxito del proyecto se realizaron pruebas de conectividad usando el software de simulación cisco packet tracer 6.2, para demostrar que unicamente se tuviera conectividad entre dispositivos que pertenecen a la misma VLAN, para ellos se usaron los comandos ping y trecerut, de igual forma se utilizó el rastreo de paquetes en tiempo real con lo cual se verificó que se reducian los dominios de broadcas al seguir los paquetes unicamente a los dispisitivos de la misma VLAN (ver Fig. 8).

Al realizar estas pruebas se incrementa la seguridad en la red, debido a que únicamente los dispositivos que pertenecen la la misma VLAN pueden compartir los recursos que deseen por área funcional.

Fig. 8. Seguimiento de paquetes en la VLAN Laboratorios

Fuente: Elaboración propia.

Para probar la operación de la red se configuró un servidor web en packet tracer con la finalidad de verificar que únicamente los puertos asociados a la VLAN Maestros pudieran conectarse a él, para configurarlo se agregó un nombre de dominio como: www.itesa.edu.mx (ver Fig. 9).

Fig. 9. Servidor DNS implementado en Cisco Packet Tracer 6.2

Fuente: Elaboración propia.

Para comprobar que las otras VLAN no pudieran tener acceso al dominio se realizó la prueba desde otro host diferente a la vlan Maestros y no se obtuvo conexión como puede observarse en la Fig. 10.

Fig. 10. Acceso denegado desde la VLAN Desarrollo

Fuente: Elaboración propia.

El host LC2-M9 esta asignado a la VLAN Maestros que esta configuradara en el servidor creado, mientras el host LC4-D15 pertenece a la VLAN Desarrollo, razón por la cual no puede acceder al servidor y es correcto porque pertenece a otra VLAN diferente en la cual está configurado el servidor, de esta forma se garantiza que la información compartida en una red solo pueda ser vista por usuarios específicos sin riesgo a ser divulgada.

6. CONCLUSIONES

Una vez terminado el proyecto se pueden notar resultados satisfactorios ya que se cumplieron los siguientes requerimientos:

    1. Crear cinco VLAN por área funcional de tal forma que los departamentos utilizará la red de forma independiente compartiendo sus recursos solo con personal de la misma área, para cubrir este requerimiento fue necesario utilizar dispositivos CISCO de la serie 2960 con soporte para VLAN, es importante mencionar que al segmentar la red por áreas funcionales los dominios de broadcast se reducen debido a que las direcciones se acotan al número de host que se tenga, en otras palabras al enviar un mensaje de multidifusión solo llegará a los puertos asignados a una determinada VLAN.

    2. Asignar puertos específicos por switch a cada VLAN, lo cual también se cumple de forma satisfactoria gracias al tipo de switch que se utilizó, con esta implementación se puede compartir el mismo recurso físico en múltiples redes lógicas sin que se vea afectado el rendimiento de la red.

    3. Utilizar direccionamiento dinámico en cada VLAN desperdiciando la menor cantidad de direcciones IP, para cubrir este requerimiento fue necesario utilizar VLSM es decir máscaras de longitud variable, gracias a esta implementación se obtuvo un direccionamiento específico para cada VLAN, de igual forma se logró disminuir los dominios de broadcast.

Cabe mencionar también la importancia que tienen los simuladores, para este proyecto en específico se utilizó Cisco Packet Tracer en su versión 6.2, gracias a este software se pudo realizar la configuración completa del proyecto dando resultados satisfactorios de acuerdo a los requerimientos solicitados.

Gracias a esta implementación la red se pudo optimizar y aislar el tráfico, ya que a pesar de estar conectada al mismo dispositivo físico los equipos se encuentran lógicamente separados, es decir la comunicación solo se da entre VLANs del mismo tipo compartiendo recursos y garantizando que la información difundida no puede ser vista por otros usuarios de la red.

Cabe mencionar como la comunicación es de vital importancia en las organizaciones y siempre se busca la forma de poder establecer canales adecuados para transferir la información de forma segura, en este sentido la implementación de redes privadas virtuales en el edificio E, de ITESA trae consigo grandes beneficios por mencionar algunos:

  • Se aísla el tráfico de red, de tal forma que cada área tenga comunicación independiente sin importar el lugar donde se encuentren dentro de la red, gracias a la separación lógica se puede compartir el dispositivo de red sin importar su ubicación.
  • Se evita que personal no autorizado se infiltre en la red, la asignación de puertos y el direccionamiento me ofrece la posibilidad de limitar el rango de direcciones para cada área funcional.
  • La administración de la red se vuelve una tarea más sencilla al poder habilitar o denegar los servicios de red.
  • Se reducen los dominios de broadcast, es decir se limita el número de dispositivos conectados a la red de acuerdo al direccionamiento dinámico establecido.
  • Se evita la perdida de información ya que la responsabilidad recae en los usuarios asignados a cada red virtual.
  • Se pueden compartir recursos de forma responsable asignados por área como pueden ser: impresoras, servidores, etc.

Como se puede apreciar el impacto en cuanto a funcionalidad de la red es adecuado y trae consigo la satisfacción del usuario al conectarse a la red.

7. TRABAJOS FUTUROS

Como contribución a este trabajo se pueden seguir las siguientes líneas de investigación:

  • Administración remota de VLAN por medio de software.
  • Integración de dispositivos móviles en redes privadas virtuales con acceso a los recursos compartidos en la red.
  • Implementación de VLAN de forma remota.

REFERENCIAS

Almachi, P. O. & Chiluisa, C. Q., “Implementación de una VPN con seguridad de la red inalámbrica y red externa para la empresa exportadora de flores GP FLOWERS ubicada en el cantón Latacunga”, 2010, Obtenido de: http://repositorio.utc.edu.ec/handle/27000/184.

MSDN, “Direccionamiento IP”. de Microsoft Sitio web: https://msdn.microsoft.com/es-es/library/cc787434(v=ws.10).aspx, 2005.

Sifra, “El servicio que se ajusta a sus necesidades, obtenido de: http://www.sifra.net.mx/metodología/ppdioo.aspx, 2015.

García, C., Díaz, L. M., Peña, J. L., Bellido, L., Valera, F., Fernández, D., Berrocal, J., Cabello, I. & López, R., “Experiencias con Redes Privadas Virtuales de Nivel 2 sobre una infraestructura óptica metropolitana de IP sobre DWDM”, 2010, obtenido de: www.it.uc3m.es/azcorra/papers/exp_it03.pdf

Tanenbaum, Andrew S, Redes de computadoras, 4ª edición., Pearson Educación, 2003; ISBN 9789702601623.

CISCO, “CISCO NETWORK ACADEMY”, 2015, obtenido de Sitio web: http://www.itesa.edu.mx/netacad/introduccion/course

[a]Profesor de tiempo completo en el Instituto Tecnológico Superior del Oriente del Estado de Hidalgo, ITESA.

[b]Profesora Investigadora en la Escuela Superior de Cd. Sahagún de la Universidad Autónoma del Estado de Hidalgo.

Compartir en: