Você está na página 1de 64

Tema 4: Instalación y configuración de la red.

ÍNDICE

1. INTRODUCCIÓN 4
2. FORMAS DE CONEXIÓN ENTRE ELEMENTOS ACTIVOS Y PASIVOS 5
2.1. Conexión de hubs ..................................................................................................................................... 6
2.2. Conexión de switches ............................................................................................................................. 7
2.3. Conexión de routers ............................................................................................................................... 8
2.4. Conexión de puntos de acceso ............................................................................................................. 8
2.5. Conexión entre dispositivos de red ................................................................................................... 9

3. COMPONENTES DE UN SWITCH 10
3.1. Componentes.............................................................................................................................................11
3.2. Indicadores LED .................................................................................................................................... 12

4. COMPONENTES DE UN ROUTER 13
5. CONFIGURACIÓN DE LA RED 14
5.1. Configuración de equipos ..................................................................................................................... 15
5.2. Configuración del enrutamiento y tablas de encaminamiento ................................................. 18
5.2.1. Elementos de la tabla de rutas 19

5.2.2. Algoritmo de enrutamiento 19

5.3. Comandos TCP/IP ................................................................................................................................. 20

6. PASOS DE CONFIGURACIÓN DE UN ORDENADOR A UNA RED 21


7. CONFIGURACIÓN DE LA CONEXIÓN DE RED EN WINDOWS 7 21
8. CONFIGURACIÓN DE UNA RED LOCAL 22
8.1. Nombre de equipo ................................................................................................................................. 22
8.2. Grupo de trabajo .................................................................................................................................. 22
8.3. Dominio .................................................................................................................................................... 24
8.4. La dirección IP y la máscara de subred ........................................................................................ 25
8.5. Puerta de enlace ................................................................................................................................... 26
8.6. DNS .......................................................................................................................................................... 29
8.7. Ejemplo: Configuración de un ordenador usando el protocolo TCP/IP ................................ 30
8.8. ¿Cómo se puede saber la configuración IP de nuestro ordenador? ...................................... 30
8.9. ¿Cómo se puede comprobar si la configuración IP de la red ha sido correcta? ................ 31
8.10. ¿Cómo se puede saber por dónde circulan los mensajes en la red? .................................... 32

Encarnación Marín Caballero Página 1 de 64


Tema 4: Instalación y configuración de la red.

9. HABILITACIÓN DE IP EN UN HOST 34
9.1. Estática .................................................................................................................................................... 34
9.2. Dinámica .................................................................................................................................................. 35
9.3. Comparativa ........................................................................................................................................... 37

10. COMPARTIR RECURSOS EN EL MODO AVANZADO 37


11. PERMISOS NTFS VS CARPETA COMPARTIDA 38
11.1. Carpetas compartidas ........................................................................................................................ 39
11.2. Los permisos compartidos son acumulativos ............................................................................... 40
11.3. Concesión de permisos y modificación de la configuración de las carpetas compartidas
............................................................................................................................................................................ 40
11.4. Conexión a carpetas compartidas. Unidades de red ................................................................. 41
11.5. Combinación de permisos .................................................................................................................. 42
11.6. Uso de carpetas compartidas administrativas........................................................................... 43

12. CONFIGURACIÓN DE LAS REDES INALÁMBRICAS 44


13. PROTECCIÓN FÍSICA DE ACCESO A LAS REDES 45
13.1. Redes cableadas .................................................................................................................................. 45
13.2. Redes inalámbricas ............................................................................................................................ 45

14. SEGURIDAD EN LAS REDES CABLEADAS 45


14.1. Firewall ................................................................................................................................................... 45
14.2. Servidor Proxy .................................................................................................................................... 46
14.3. VPN ......................................................................................................................................................... 47
14.4. IPSec...................................................................................................................................................... 48

Encarnación Marín Caballero Página 2 de 64


Tema 4: Instalación y configuración de la red.

15. SEGURIDAD EN LAS REDES INALÁMBRICAS 49


15.1. Tipos de cifrado .................................................................................................................................. 49
15.1.1. WEP 50
15.1.2. WPA 51
15.1.3. WPA2 52

15.2. Tipos de encriptación ........................................................................................................................ 53


15.2.1. TKIP 53

15.2.2. AES 53

15.2.3. TKIP + AES 53

15.3. Modos de seguridad ........................................................................................................................... 53


15.4. WPS ........................................................................................................................................................ 54
15.5. Filtrado de tráfico ............................................................................................................................. 55
15.5.1. Filtrado MAC 57

15.5.2. Listas de control de acceso 59

15.6. Túnel VPN .............................................................................................................................................. 61


15.7. Otras recomendaciones .................................................................................................................... 62

16. CÓMO ACCEDER Y CONFIGURAR UN ROUTER 63

Encarnación Marín Caballero Página 3 de 64


Tema 4: Instalación y configuración de la red.

1. INTRODUCCIÓN
Una red es básicamente un grupo de dispositivos conectados con el objetivo de compartir
información y acceso a Internet.
Su configuración y diseño es muy variable porque depende del entorno donde se va a instalar, la
tecnología a emplear, los dispositivos que se van a conectar, la topología de la red a implementar, etc .
La configuración más común suele ser de una red de área local, que básicamente está formada
por equipos conectados (ordenadores, periféricos, electrodomésticos, consolas, etc.) y el hardware de
red necesario (router, switch, cables de red, etc.).

Los dispositivos que ofrecen la posibilidad de trabajo en red se pueden conectar entre sí de
diferentes modos:
 Los dispositivos cableados como ordenadores, impresoras, electrodomésticos, etc., incluyen una
tarjeta de red que hay que conectar al router o a un switch, en caso de no disponer de puertos
suficientes. También es posible conectarlos a un adaptador PLC que los comunicará con el router
a través de la red eléctrica.

 Los dispositivos inalámbricos no requieren ninguna instalación y es suficiente con realizar la


configuración de su software de red.

Ejemplo: Vivienda conectada en red, dotada de sistemas de domótica y electrodomésticos


inteligentes.

Encarnación Marín Caballero Página 4 de 64


Tema 4: Instalación y configuración de la red.

2. FORMAS DE CONEXIÓN ENTRE ELEMENTOS ACTIVOS Y PASIVOS

A continuación, se describen las distintas formas de conexionado entre elementos activos


(HUBS, SWITCHES, ROUTERS,…) y pasivos (ORDENADORES,…).

Encarnación Marín Caballero Página 5 de 64


Tema 4: Instalación y configuración de la red.

2.1. Conexión de hubs


El hub Ethernet tiene entre 4 y 48 tomas RJ-45. Los modelos rackeables tienen al menos 16
tomas RJ-45, con una toma especial en uno de los extremos, marcada como Up-Link.

En algunos modelos de concentrador, la toma Up-Link se comparte con una toma convencional;
en este caso, se dispone también de un botón en el dispositivo que permite conmutar el estado de la
toma entre los modos convencional y Up-Link.

La finalidad de la toma Up-Link es vincular dos hubs para poder extender la red . A esta
operación se la denomina poner los hub en cascada y puede hacerse de dos maneras:

En realidad, la conexión en cascada también podría hacerse vinculando dos tomas RJ-45
convencionales entre sí mediante un cable cruzado , simulando que son tomas Up-Link. Sin embargo, este
método no es recomendable, ya que ocuparía de forma innecesaria dos tomas de los concentradores.

Encarnación Marín Caballero Página 6 de 64


Tema 4: Instalación y configuración de la red.

2.2. Conexión de switches


Dos o más switches pueden vincularse para formar un grupo de concentradores utilizando una
de las siguientes opciones:

 Conexionado tradicional, utilizando latiguillos de cable de par trenzado o fibra óptica, según las
características del switch. Esta técnica puede aplicarse a cualquier modelo de switch, siempre
que tengamos tomas suficientes para ello. En este caso, la vinculación entre switches puede
seguir la topología de estrella (se utiliza un switch como principal, donde se conectan los demás)
o de árbol. Sin embargo, lo más habitual es una topología híbrida, donde algunos switches
pueden llegar a formar anillos.

 Conexionado de alta velocidad, utilizando los módulos de alta velocidad que algunos modelos
tienen en su parte trasera. En este caso, el grupo de switches se denomina stack (o pila). Para
interconectar estos switches se utiliza un cable específico, y puede hacerse de dos formas: en
cadena o en anillo (una cadena donde el último switch se vincula con el primero).

Encarnación Marín Caballero Página 7 de 64


Tema 4: Instalación y configuración de la red.

2.3. Conexión de routers


La conexión de routers entre sí puede ser:
 Routers SoHo. Como sólo suelen disponer de conexiones RJ-45, la conexión es a través de
estas tomas. Para vincularlos se utiliza un latiguillo de cable cruzado, conectando una toma
Ethernet del router principal (el que recibe la conexión de Internet) con la toma de Internet
(etiquetada como Módem o ADSL) del secundario.

 Routers rackeables. La interconexión de este tipo de routers se suele hacer a través de cable
de serie. Puede que sea necesario instalar tarjetas de expansión de este puerto; tantas como
routers a los que vaya a ser conectado.

2.4. Conexión de puntos de acceso


La aplicación de los puntos de acceso para extender el radio de acción de la red es muy habitual
en las infraestructuras que siguen una topología distribuida. En el caso de que se quiera cubrir una zona
más amplia, se pueden colocar varios puntos de acceso, pudiendo solaparse las celdas de éstos .

Encarnación Marín Caballero Página 8 de 64


Tema 4: Instalación y configuración de la red.

Además, el punto de acceso puede actuar como puente o repetidor. Para ello, es necesario que
integre la tecnología WDS (Wireless Distribution System, Sistema de Distribución Inalámbrico), que
permite la interconexión de este tipo de dispositivos entre sí.

Hay modelos de punto de acceso diseñados para ser colocados a la intemperie. Se trata de
dispositivos con una carcasa capaz de soportar inclemencias meteorológicas , y que disponen de una o
más antenas con mayor potencia. Este tipo de puntos de acceso son habituales en campus o redes
multiedificio, donde es necesario extender la red sin instalar cableado adicional.

2.5. Conexión entre dispositivos de red

Encarnación Marín Caballero Página 9 de 64


Tema 4: Instalación y configuración de la red.

3. COMPONENTES DE UN SWITCH

Un switch es un computador de propósito especial que contiene: una CPU, varias áreas de
memoria, puertos para la conexión de equipos y un puerto de consola especializados para administración.

CISCO comercializa diferentes modelos de conmutadores agrupados en familias según sus


características. Todas ellas llevan el nombre Catalyst y un número de serie.
Algunos ejemplos son: Catalyst 1900, Catalyst 2950, Catalyst 2970, Catalyst 3550, Catalyst
3560, Catalyst 3750 Catalyst 4500, Catalyst 6500, Catalyst 8500, etc.

Las características técnicas difieren en cada una de las familias y dependiendo de las
necesidades y tamaño de la empresa serán más convenientes unos conmutadores u otros.

Encarnación Marín Caballero Página 10 de 64


Tema 4: Instalación y configuración de la red.

3.1. Componentes
Un switch consta de los siguientes componentes:
 Interfaces de conexión. Generalmente los switches presentan un número considerable de
interfaces (entre 24 y 48 interfaces). Cada una de dichas interfaces suele proporcionar
velocidades de 10 Mbps, 100 Mbps o 1 Gbps. Se suelen conectar directamente con equipos,
concentradores o con otros conmutadores utilizando cable de par trenzado con conectores RJ-
45.

 Interfaces de alta velocidad (puertos uplink). Los switches suelen incorporar uno o más
puertos uplink, de mayor velocidad que el resto de interfaces y destinados a la conexión con
routers, servidores y otros switches. Dichos puertos suelen ser de 1 Gbps en switches con
interfaces de conexión a 100 Mbps y de 10 Gbps en switches con interfaces de conexión a 1
Gbps.

 Interfaces para la administración del switch. Los switches suelen incluir dos puertos para
administración: el puerto de consola y el puerto de gestión Ethernet (MGMT BASET). Ambos
usan conector RJ-45. El puerto de consola requiere el uso de un cable transpuesto (rollover) de
RJ-45 a DB9 para la conexión a un equipo y posterior administración del switch. El puerto de
gestión de Ethernet puede conectarse a un PC directamente con un cable de par trenzado UTP
con conectores RJ-45 en ambos extremos. Algunos switches incluyen un puerto USB a través
del que gestionar copias de seguridad de ficheros de su sistema operativo.

 Memorias internas del switch. Al igual que los routers, los switches CISCO disponen de varios
tipos de memoria:

o RAM (volátil). Almacena las instrucciones y datos a ejecutar por la CPU, incluyendo el
sistema operativo (CatOS), que se copia en el arranque del switch, el archivo de
configuración en ejecución (running-config) y la tabla de direcciones MAC. También cuenta
con un buffer donde guardar temporalmente las tramas a retransmitir.
o ROM. Memoria de almacenamiento permanente que almacena datos y software que forma
parte del firmware, como las instrucciones de bootstrap para el arranque inicial del switch,
el POST (software básico de diagnóstico) y una versión muy básica del sistema operativo
para proceder a su carga si no se encuentra otra.

o Flash. Almacena la versión correcta del sistema operativo, que se cargará a memoria RAM
en el proceso de arranque, así como el archivo de datos de configuración config.text.

o NVRAM (RAM no volátil). Almacena el archivo de configuración de inicio (startup- config).

Encarnación Marín Caballero Página 11 de 64


Tema 4: Instalación y configuración de la red.

3.2. Indicadores LED


El panel frontal de un switch CISCO tiene varias luces que ayudan a determinar y controlar
actividad del sistema y su correcto funcionamiento .

1) LED del sistema. Muestra si el sistema está recibiendo energía y funcionando correctamente.
2) LED de suministro remoto de energía (RPS). Indica si la fuente remota de potencia está en
uso.
3) LED de modo de puerto. Indica el modo (STAT / UTIL / DUPLX / SPEED) en que se deben
interpretar los LED de estado de puerto. Es decir, dependiendo del modo seleccionado, el
significado del LED de estado de puerto será diferente. Para cambiar de modo basta con
presionar el botón MODO hasta que el LED de modo indique el modo deseado.

a) Modo STAT. En este modo el LED de estado de puerto indica si hay algún dispositivo
conectado al puerto o no.

b) Modo UTIL. El LED de estado de puerto advierte cual es el porcentaje del ancho de
banda total que está siendo utilizado.

c) Modo DUPLX. El LED de estado de puerto muestra el modo de transmisión.


d) Modo SPEED. El LED de estado de puerto indica la velocidad de transmisión a la que
está funcionando el puerto.

4) LED de estado de puerto. Tendrá diferentes significados dependiendo del valor del LED de
modo. Dependiendo del modo, el indicador proporciona una información dependiendo del color
con que se ilumine.

Encarnación Marín Caballero Página 12 de 64


Tema 4: Instalación y configuración de la red.

4. COMPONENTES DE UN ROUTER

Aunque la arquitectura exacta depende de cada modelo de router, los principales componentes
coinciden.
En la siguiente figura, se muestran los principales componentes de los routers sobre un modelo
concreto de router CISCO.

A continuación, se describen los principales componentes del router y sus funciones:

 Procesador o CPU. Es un microprocesador que ejecuta las instrucciones del sistema operativo:
inicialización del sistema, funciones de enrutamiento y control de la interfaz de red . Los
grandes routers pueden tener varios procesadores.

 RAM (memoria de acceso aleatorio). En esta memoria se almacena la información de las tablas
de encaminamiento, se guarda la caché ARP y de conmutación rápida y se mantienen las colas de
espera de los paquetes. Mientras está encendido el router, el archivo de configuración y sus
modificaciones (archivo llamado running-config) se guardan en esta zona de memoria. Esta
memoria pierde el contenido cuando se apaga o reinicia el router. Por lo que antes de apagar o
reiniciar el router habrá que salvar los cambios en el fichero de configuración de arranque
(archivo startup-config). Normalmente, la RAM es una memoria de acceso aleatorio dinámica
(DRAM) y puede actualizarse agregando más módulos de memoria en línea doble (DIMM).

 NVRAM (memoria de acceso aleatorio no volátil). Almacena el archivo de configuración


arranque (archivo startup-config) y retiene el contenido cuando se apaga o reinicia el router.

 Memoria FLASH. Es un tipo de ROM programable, que se puede borrar electrónicamente


(EEPROM). Mantiene el contenido cuando se apaga o reinicia el router. Guarda la imagen del
sistema operativo (IOS). Puede almacenar varias versiones del software IOS. La utilización de
esta memoria permite que el software se actualice cargando una nueva imagen en la memoria
flash, sin necesidad de retirar ni reemplazar chips en el procesador.

Encarnación Marín Caballero Página 13 de 64


Tema 4: Instalación y configuración de la red.

 ROM (memoria de sólo lectura). Guarda de forma permanente el código de diagnóstico de la


prueba al inicio (POST), el programa bootstrap y el software básico del sistema operativo. Al
ser una memoria de sólo lectura es necesario el cambio de la tarjeta de memoria para
actualizaciones del software.

 Interfaces. Las interfaces son las conexiones de los routers con el exterior . Hay tres tipos
diferentes de interfaces:

o Interfaces LAN para la conexión con las redes de área local . Pueden tener varios tipos
de puertos para poder así unir redes con diferentes tecnologías como Ethernet, Token
Ring, FDDI, etc.
o Interfaces serial para la conexión con la red de área extensa (WAN).

o Puertos de Consola/AUX que se utilizan principalmente para la configuración inicial del


router. Se usan para realizar sesiones terminales desde los puertos de comunicación de
un ordenador o a través de un módem.

 Fuente de alimentación. La fuente de alimentación proporciona a los componentes internos la


energía necesaria para operar. Los routers de mayor tamaño pueden tener varias fuentes de
alimentación o fuentes modulares. En algunos de los routers de menor tamaño, la fuente de
alimentación puede ser externa al router.

5. CONFIGURACIÓN DE LA RED

Una vez estudiado los elementos físicos que permiten configurar una red, vamos a centrarnos
en la configuración de los equipos y dispositivos de interconexión para que la comunicación sea
posible.

Encarnación Marín Caballero Página 14 de 64


Tema 4: Instalación y configuración de la red.

5.1. Configuración de equipos


La funcionalidad de la red depende del software que se ejecuta en cada uno de sus nodos ,
equipos o hosts. Este software se sustenta en el sistema operativo que tiene el equipo. De este modo, la
red se integra totalmente en el sistema.
Básicamente, la configuración TCP/IP de un equipo consiste en facilitarle los parámetros
siguientes:
 Dirección IP. Es el DNI de cada equipo y, en su ámbito, debe ser única.

 Máscara de subred. Indica los equipos que están en el ámbito del equipo y que, por tanto, se
pueden comunicar directamente sin necesidad de un router.

 Puerta de enlace predeterminada o Gateway. Indica el router al cual se le envían las


peticiones para los equipos que no están en mi red.

 Servidor DNS primario. Es el servidor donde se resuelven los nombres de dominio para
convertirlos en direcciones IP. Es imprescindible para acceder a los sitios por sus nombres de
dominio.
 Servidor DNS secundario. Tiene la misma función que el primario y se indica por si falla el
primero.

Los dos primeros parámetros son imprescindibles para que el equipo esté en red.

Los tres últimos son necesarios para que el equipo se comunique con otras redes (en
particular, Internet).

En función de los sistemas operativos y sus versiones estos parámetros se configurarán en


ubicaciones diferentes. Basta averiguar donde se introduce la dirección IP para conocer la
configuración de una versión concreta.

La configuración de la red se puede realizar en el entorno gráfico o mediante la línea de


comandos.
Ejemplo 1: Configuración de la red en el entorno gráfico del sistema operativo Windows.

Encarnación Marín Caballero Página 15 de 64


Tema 4: Instalación y configuración de la red.

Ejemplo 2: Configuración de la red en el entorno gráfico del sistema operativo Linux.

Ejemplo 3: Configuración de la red en la línea de comandos de MS-DOS.

Ejemplo 4: Configuración de la red en la línea de comandos de la Shell de Linux.

Encarnación Marín Caballero Página 16 de 64


Tema 4: Instalación y configuración de la red.

También podemos configurar estos parámetros automáticamente si tenemos un servidor DHCP


en la red.

Ejemplo: En el sistema operativo Windows sólo hay que elegir la opción “Obtener una dirección
IP Automáticamente”.

Sin ánimo de abordar, en este punto, el servicio DNS diremos que éste es imprescindible para
operar sobre Internet tal y como lo hacemos. El esquema de funcionamiento sería el siguiente:

Cuando solicitamos un servicio exterior (por ejemplo, de Internet) ponemos la URL:


http://contabilidad.ejemplo.net. El cliente DNS que está a la escucha hace la petición de resolución al
servidor DNS primario que tenemos configurado y éste le devuelve que el servidor
contabilidad.ejemplo.net tiene la dirección 192.168.3.10 . La petición hecha queda transformada en
http://192.168.1.10.
Utilizar un dominio es muy cómodo y se transforma en imprescindible cuando accedemos a
Internet, ya que si no estaríamos obligados a conocer las direcciones IP de los servicios a los que
accedemos.

Encarnación Marín Caballero Página 17 de 64


Tema 4: Instalación y configuración de la red.

5.2. Configuración del enrutamiento y tablas de encaminamiento


Cada host y cada router mantienen el conjunto de correspondencias entre direcciones IP de
destino y las direcciones IP de los routers del próximo salto para esos destinos en una tabla
denominada tabla de encaminamiento IP.
Un router resuelve las rutas de paquetes cuyo destino se encuentra en alguno de los interfaces
de red que posee o bien delega esta función en otro router próximo .
Como un router es incapaz de tener un interfaz de red por cada red de destino, entonces si no
delega en otros routers, sería incapaz de resolver el destino de la mayor parte de los paquetes. Así
cuando un router recibe un paquete, si no encuentra la dirección destino en su tabla de rutas, entonces
encamina el paquete hacia un router de orden superior confiando en él sepa resolverlo.

Se pueden encontrar tres tipos de correspondencia en las tablas de enrutamiento:

 Rutas directas para redes conectadas localmente. En ese caso, está conectada a la misma red y
se pone como gateway 0.0.0.0.
 Rutas indirectas para redes alcanzables vía uno o más routers. Se pone como gateway la IP del
router en el que se delega la búsqueda. Es decir, el próximo salto.
 Una ruta por defecto, que contiene la dirección IP de un router que se usa para todas las
direcciones IP que no cubren las rutas directas e indirectas . Se señaliza poniendo en el destino
0.0.0.0.

Ejemplo: En la siguiente red se pueden ver los routers C, D y F que unen las redes
128.10.0.0, 128.15.0.0 y 129.7.0.0.

Se muestra la tabla de encaminamiento reducida del router D.

Destino Gateway

128.10.0.0 0.0.0.0

128.15.0.0 0.0.0.0

129.7.0.0 128.15.1.2

0.0.0.0 128.10.1.1

NOTA: Cada router y cada ordenador tienen su propia tabla de encaminamiento.

Encarnación Marín Caballero Página 18 de 64


Tema 4: Instalación y configuración de la red.

5.2.1. Elementos de la tabla de rutas


Los elementos de una tabla de encaminamiento son:
 Destino de red. Es el destino a alcanzar con esta ruta.

 Máscara de subred. Es la máscara de la red destino. La máscara de subred junto con el destino
de red definen el conjunto de nodos a los que se dirige la ruta.

 Puerta de enlace o gateway. Es la dirección IP del router que debe resolver. Si la puerta de
enlace coincide con la red local, el destino se alcanza inmediatamente por alguna de las
interfaces de la red local.

 Interfaz. Es la dirección IP o nombre de la interfaz de red por el que se deben enviar los
paquetes de datos para alcanzar la puerta de enlace .
 Métrica o coste. Es un parámetro que define el coste telemático que supone enviar el paquete
por esta ruta.
En la columna destino podemos encontrar: la IP destino, la red destino, la ruta por defecto
(0.0.0.0).
En la columna gateway podemos entrar: la IP de otro router si delegamos la búsqueda o difundir
(0.0.0.0) si está en el mismo segmento de red.

5.2.2. Algoritmo de enrutamiento


El algoritmo de enrutamiento consiste en:
1) Se busca en una tabla de encaminamiento una entrada que se corresponda con la dirección
completa IP de destino (ID de red + ID de “host”). Si se encuentra, se envía el paquete al
siguiente router indicado o a la interfaz conectada directamente (depende del flag).

2) Se busca en la tabla de encaminamiento una entrada que se corresponda sólo con el ID de red
de destino. Si se encuentra, se envía el paquete al siguiente router indicado o a la interfaz
conectada directamente (depende del flag). Esto permite que todos los hosts de una red
(ejemplo, una red Ethernet local) se gestionen con una sola entrada en la tabla de
encaminamiento.
3) Se busca en la tabla de encaminamiento una entrada “default” (por defecto). Si se encuentra,
se envía el paquete al “router” indicado.

4) Si ninguno de los pasos anteriores tiene éxito, se genera el error “host o red inalcanzable”. Ha
sido imposible entregar el datagrama.
NOTA: Dentro de cada apartado, si existen varias rutas, se elige la que tenga mejor métrica. A
igualdad de métrica se elige la primera.

Encarnación Marín Caballero Página 19 de 64


Tema 4: Instalación y configuración de la red.

5.3. Comandos TCP/IP


Cuando se instala el protocolo TCP/IP en un ordenador hay un conjunto de comandos y
utilidades a disposición del usuario.
Para ejecutar estos comandos es necesario abrir una consola o ventana de comandos e invocar
el comando desde el símbolo del sistema.
Ejemplo: Acceso a la línea de comandos de MS-DOS.

Podemos destacar los siguientes comandos:

 HOSTNAME.
 PING.

 ARP.

 IPCONFIG.

 TRACERT.
 NETSTAT.
 NSLOOKUP.

 ROUTE.

Encarnación Marín Caballero Página 20 de 64


Tema 4: Instalación y configuración de la red.

6. PASOS DE CONFIGURACIÓN DE UN ORDENADOR A UNA RED

A continuación, se indican los pasos necesarios para conectar un ordenador a una red:
1) Instalar la tarjeta de red y sus drivers.
2) Configurar los componentes de red: protocolo TCP/IP.

3) Configurar una red doméstica o para pequeña oficina: crear un grupo de trabajo.

4) Compartir recursos.

7. CONFIGURACIÓN DE LA CONEXIÓN DE RED EN WINDOWS 7


Para configurar la conexión en Windows 7, se accede a Conexiones de red a través del botón
Inicio y, a continuación, haga clic en el Panel de control. En el cuadro de búsqueda, escriba
adaptador y, en Centro de redes y recursos compartidos, haga clic en Ver conexiones de red.
En esta pantalla se ven las tarjetas de red que tiene el equipo, y haciendo clic con el botón
derecho del ratón sobre el icono de la tarjeta que se va a configurar se accede a Propiedades. En la
caja central, se ven estos elementos:

 Clientes para redes Microsoft. Es el que permite que un equipo emplee recursos en una red de
Microsoft.

 Compartir impresoras y archivos para redes Microsoft. Permite a otros equipos tener acceso
a los recursos de nuestro equipo mediante una red de Microsoft.
 Programador de paquetes QoS (Quality of Service o Calidad del Servicio). Es el programador
de paquetes de calidad del servicio. Ofrece control del tráfico de la red y optimiza la
comunicación de equipos en las redes locales.

 Protocolo Internet (TCP/IP). Permite configurar el protocolo TCP/IP: dirección IP, máscara de
subred, puerta de enlace predeterminada y servidores DNS.

Estos elementos aparecen en todas las conexiones de red. Si se quiere agregar o modificar
alguno, hay que pulsar en el botón Instalar y se abre otra ventana que permite instalar otro cliente,
servicio o protocolo.
Normalmente, configuraremos el Protocolo Internet (TCP/IP).

Encarnación Marín Caballero Página 21 de 64


Tema 4: Instalación y configuración de la red.

8. CONFIGURACIÓN DE UNA RED LOCAL

Un ordenador en red va a necesitar los siguientes datos: nombre de equipo, nombre de grupo
de trabajo (o dominio), dirección IP, máscara de subred, puerta de enlace y DNS.

8.1. Nombre de equipo


Cuando hay muchos equipos conectados, para poderlos identificar fácilmente, en lugar de
utilizar la dirección IP, utilizamos el nombre del equipo.

Todos los ordenadores tienen que tener un nombre propio que no puede coincidir con el de otro
ordenador, si esto ocurre se produciría un conflicto por el que no podría entrar en red.
Ejemplo: Cambio de nombre de equipo a “palleo” en Windows XP.

8.2. Grupo de trabajo


Normalmente, nunca trabajamos con todos los equipos que están conectados, sino con un número
reducido de ellos. Para facilitar su localización, podemos definir grupos de trabajo, por ejemplo, sala
de informática, casa, etc., de manera que sólo nosotros veamos los equipos que forman parte de nuestro
grupo de trabajo y los otros grupos que haya en la red.

Por tanto, el nombre de grupo debe ser el mismo para ordenadores que tengan una relación , por
ejemplo un aula, pero eso no impide que puedan intercambiar información con ordenadores de otros
grupos.

Encarnación Marín Caballero Página 22 de 64


Tema 4: Instalación y configuración de la red.

Ejemplo: Creación del grupo de trabajo “Salainfo” con 15 ordenadores y uno para el profesor en
Windows XP.

En un grupo de trabajo, cada ordenador se hace cargo de sus recursos compartidos , y


establece las restricciones para el acceso a dichos recursos. Es una organización que realmente no
existe en ningún sitio. No hay ningún ordenador que se encargue de gestionar los miembros del mismo , o
que almacene información del grupo al que pertenece. Para integrar un ordenador en un grupo de
trabajo, simplemente lo indicaremos en el campo correspondiente de la solapa identificación en la
configuración de la red. Cuando encendemos un ordenador en el que figura que pertenece a un grupo de
trabajo, suceden los siguientes eventos:

 Se envía un mensaje de requerimiento a toda la red (Broadcast), interrogando si existe algún


explorador de equipos al que pertenezca su grupo de trabajo. El explorador de equipo de cada
grupo es el encargado de mantener la lista de equipos en sesión, dentro del mismo, y se
actualiza cada tres minutos.

 Si se recibe respuesta afirmativa, se le requiere la lista de equipos pertenecientes al mismo


grupo de trabajo. También se le suministra la lista de otros grupos de trabajo detectados que
estén en la misma red física.
 Si no se recibe dicha respuesta, el equipo en cuestión debe de encargarse de realizar la función
de exploración de equipos para el grupo de trabajo.

Encarnación Marín Caballero Página 23 de 64


Tema 4: Instalación y configuración de la red.

Ejemplo: Cambio de grupo de trabajo a “SEO” en Windows XP.

8.3. Dominio
Existe otro modo de trabajo que es bajo un dominio. En este caso existe un administrador que
está por encima de todos los usuarios y equipos y sólo él tiene la capacidad de compartir los recursos
software o hardware de la red. Puede, además, dar permisos a los diferentes usuarios de conectarse a
Internet o no, o a qué horas o durante cuanto tiempo, puede permitir o denegar el uso de programas o
impresoras y una infinidad de potestades más. Es un modo más profesional y seguro, pero más
complicado de manejar. Requiere que un ordenador sea servidor y esté encendido si se quiere encender
cualquier otro.
Así pues, un dominio es una organización de equipos en la que existe un ordenador con Windows
NT Server configurado como controlador primario de dominio . Este hace las funciones de servidor de
dominio y se encarga de mantener la base de datos de seguridad , que incluye la lista de equipos
pertenecientes al dominio y la lista de usuarios que pueden iniciar sesión en dicho dominio. Además,
este servidor es el encargado de la administración de los usuarios, privilegios y recursos dentro de su
dominio.
Un dominio es, por tanto, una estructura perfectamente organizada de equipos, recursos y
usuarios, mantenida de forma centralizada por un único servidor . Para que un ordenador con Windows
9x pueda establecer conexión con otros sistemas operativos de Microsoft, ya sea punto a punto o
mediante el dominio, es necesario que tenga instalado el cliente para redes Microsoft.
En una red Microsoft, puede utilizarse tanto el protocolo NetBeui como cualquier otro
protocolo que permita instalar la interface NetBIOS (TCP/IP, IPX/SPX).

Encarnación Marín Caballero Página 24 de 64


Tema 4: Instalación y configuración de la red.

Ejemplo: Cambio de grupo de trabajo a ser miembro de un dominio “taller” en Windows XP.

taller

8.4. La dirección IP y la máscara de subred


La dirección IP debe ser única dentro de la red a la que pertenece. Las direcciones IP dentro
de una LAN son privadas y las que comunican las LANs con Internet son públicas. Normalmente, se
crean redes o subredes con direcciones IP de clase C y teniendo por dirección de red 192.168.1.0. Por lo
que los tres primeros octetos tienen que ser iguales en todos ordenadores que pertenecen a la misma
red.

Ejemplo: Dirección IP de clase C.

En la asignación de direcciones IP a los ordenadores de la red, nunca podemos utilizar dos


direcciones porque ninguna dirección de máquina termina en: 0 (por convenio se usa ese valor para
identificar a la subred) ni en 255 (es la dirección de BROADCAST: la que permite el envío a TODAS las
máquinas a la vez).
La máscara de subred indica el número de ordenadores máximo que pueden estar conectados
en una red o subred. Normalmente, utilizaremos la máscara por defecto de la clase C que es el número
255.255.255.0. El nº 0 indica que existen 255 direcciones posibles a utilizar en la red. Pero como no se
pueden usar el 0 ni el 255, en total se pueden asignar 254 direcciones IP a los ordenadores de la red.

28 - 2 = 254 ordenadores

224 = 16.777.216 redes


De las cuales 2.097.152 son redes privadas: 192.168.0.0 a 192.168.255.255

Encarnación Marín Caballero Página 25 de 64


Tema 4: Instalación y configuración de la red.

Ejemplo: Red local de clase C con cuatro ordenadores conectados a un switch.

8.5. Puerta de enlace


La puerta de enlace (gateway) es el número de IP por el que se accede a otra red , haciendo de
puente entre la red privada y la red pública. Normalmente, la puerta de enlace será nuestro router
ADSL (por ejemplo: la IP por defecto es 192.168.1.1).
Ejemplo: Red local conectada con Internet a través del router.

La puerta de enlace deberá ser una IP del rango, ya que de lo contrario nuestro PC no será
capaz de comunicarse con ella y no tendrá acceso a Internet. Lo normal es que todos los PCs de nuestra
red tengan configurada la misma puerta de enlace. Si no sabemos la IP de nuestra puerta de enlace,
podemos verla en otro PC que funcione correctamente la conexión de Internet.

Encarnación Marín Caballero Página 26 de 64


Tema 4: Instalación y configuración de la red.

Para saber la dirección IP del router, bajo Windows, abre la consola de comandos
(InicioEjecutar y escribe cmd) y escribe ipconfig

Ejemplo: La dirección IP del router (Default Gateway) es 192.168.1.1 que nos permitirá salir de
la red local para comunicarse con otros equipos.

Ejemplo: Red local conectada con Internet a través del router ADSL (módemrouter).

Red LAN
Clase C
Dirección de red = 192.168.0.0
Dirección de broadcast = 192.168.0.255
Máscara de subred = 255.255.255.0

La puerta de enlace es la dirección IP privada del router y los ordenadores de la red local
pueden tomar cualquier dirección IP que esté entre 192.168.0.1 hasta 192.168.0.253 y no
192.168.0.254, ya que está reservada para el router.

El Proveedor de Servicios de Internet (ISP) asigna de forma dinámica al router la dirección


IP externa 80.58.3.25 para que los ordenadores de la red local puedan comunicarse con otros hosts de
la red WAN.
NOTA: Cada ordenador de la red local debe tener puesto en su configuración TCP/IP la puerta
de enlace, la máscara de subred y las DNSs para poder comunicarse con los ordenadores de la red
privada y con los del exterior.

Encarnación Marín Caballero Página 27 de 64


Tema 4: Instalación y configuración de la red.

Ejemplo: Tres redes locales conectadas entre sí a través del router ADSL (módemrouter).

Dirección de Dirección de Máscara de


Red Clase Rango de IPs
red broadcast subred

1 A 10.0.0.0 10.255.255.255 255.0.0.0 10.0.0.1 – 10.255.255.254

2 B 172.16.0.0 172.16.255.255 255.255.0.0 172.16.0.1 – 172.16.255.254

3 C 192.168.2.0 192.168.2.255 255.255.255.0 192.168.2.1 – 192.168.2.254

Las tres redes son privadas porque la RFC 1918 define que estas direcciones de red están
reservadas para uso privado.

Todos los ordenadores la red 1 tienen como puerta de enlace 10.0.0.1, el cual les permite
conectarse a las otras redes LAN para compartir información.
Los ordenadores de la red 2 tienen como puerta de enlace 172.16.0.1.

Y los ordenadores de la red 3 tienen como puerta de enlace 192.168.2.1.

Encarnación Marín Caballero Página 28 de 64


Tema 4: Instalación y configuración de la red.

8.6. DNS
Los servidores DNS (Domain Name Server, Servidor de Nombres de Dominio) traducen las
direcciones Web que escribimos o accedemos al pulsar sobre los enlaces automáticamente a direcciones
IP. Si no fuera por los servidores DNS, acceder a los sitios Web sería muy tedioso para la mayoría de
personas, pues tendríamos que recordar las direcciones IP de cada sitio Web que queramos visitar.
El DNS a utilizar en la configuración de un ordenador son los nombres de los Proveedores de
Servicios de Internet (ISP) traducidos a números IP. Hay que poner dos: el servidor DNS primario (o
preferido) y el servidor DNS secundario (o alternativo) de un ISP cualquiera (Movistar, Ono), de Google
o de un servidor DNS que se tenga configurado previamente en la red.

Ejemplo: En el navegador Web escribimos www.cisco.com. Lo primero que ocurre es la


traducción del nombre de dominio (www.cisco.com) a una dirección IP (198.133.219.25) por el servidor
DNS. Después, el cliente recibe esta dirección IP que guarda para futuras solicitudes a este sitio Web.
Al final, el usuario sólo ve la página web principal.

Ejemplo: Las direcciones IP de los servidores DNS de Google son 8.8.8.8 (servidor DNS
primario o preferido) y 8.8.4.4 (servidor DNS secundario o alternativo).

Ejemplo: Redes privadas y públicas de clase C con servidores DNS.

Encarnación Marín Caballero Página 29 de 64


Tema 4: Instalación y configuración de la red.

8.7. Ejemplo: Configuración de un ordenador usando el protocolo TCP/IP


Para conectarse a una LAN y a Internet es necesario tener configurado el protocolo TCP/IP en
las propiedades de conexión a la red.

Los DNSs preferido y alternativo nos los debe proporcionar la compañía que presta el servicio.
En este caso, Telefónica usa el 80.58.0.33 y el 80.58.32.97. Lo normal es que todos los PCs de nuestra
red tengan configurados los mismos DNSs. Si no sabemos la IP de los DNSs preferido y alternativo,
podemos verlos en otro PC que funcione correctamente la conexión de Internet.

Después de configurar el protocolo TCP/IP tenemos que comprobar el estado de la conexión


de red. Si la conexión de red está activada, significa que tenemos acceso a la red y si está desactivada,
no tenemos acceso y se muestra con una “X” en color rojo.

8.8. ¿Cómo se puede saber la configuración IP de nuestro ordenador?


Para saber nuestra dirección IP, la máscara de red y la puerta de enlace:
 Bajo Windows:

Abre la consola de comandos (InicioEjecutar y escribe cmd) y escribe ipconfig

Ejemplo: La dirección IP (IP Address) es 130.126.112.49, la máscara de red (Subset Mask) es


255.255.254.0 y la puerta de enlace (Default Gateway) es 130.126.112.1.

Encarnación Marín Caballero Página 30 de 64


Tema 4: Instalación y configuración de la red.

 Bajo Linux:

En una shell, escribe ifconfig

Ejemplo: La interfaz de la tarjeta de red es eth0, la dirección IP (inet adr) es 10.0.0.2 y la


máscara de red (Masque) es 255.255.255.0.

8.9. ¿Cómo se puede comprobar si la configuración IP de la red ha sido correcta?


Para comprobar si la configuración de la red ha sido correcta, se emplea la utilidad ping, que se
ejecuta desde el intérprete de comandos de MS-DOS (Inicio  Todos los programas  Accesorios 
Símbolo del sistema).
Ping (Packet Internet Grouper) se trata de una utilidad que comprueba el estado de la
conexión con uno o varios equipos remotos por medio de los paquetes de solicitud de eco y de respuesta
de eco para determinar si un sistema IP específico es accesible en una red . Es útil para diagnosticar los
errores en redes o enrutadores IP.
Cuando se hace un ping se envían 4 mensajes de solicitud de eco que tardarán un tiempo en
llegar al destino y no todos tienen por qué llegar. Esto dependerá del estado de la red.

Encarnación Marín Caballero Página 31 de 64


Tema 4: Instalación y configuración de la red.

Ejemplo: Basta con escribir “ping 192.0.3.1” desde el ordenador 192.0.3.0 para intentar
acceder al host 192.0.3.1.

El mismo proceso se debe seguir con el resto de los puestos hasta que la respuesta sea
correcta en todos ellos.

8.10. ¿Cómo se puede saber por dónde circulan los mensajes en la red?
Para ver los nodos intermedios por donde circulan los mensajes entre el host origen y el host
destino, se emplea la utilidad tracert, que se ejecuta desde el intérprete de comandos de MS-DOS
(Inicio  Todos los programas  Accesorios  Símbolo del sistema).
El comando tracert se puede ejecutar con un nombre de dominio y una dirección IP.
Ejemplo: tracert www.estacionarmex.com

Regresa el tiempo de conexión de cada uno de los puntos en la ruta que sigue mi ordenador
hasta el destino. Esto puede indicarme si existe algún problema en un punto de Internet. Si no existe
problema de conexión ni de servidor de nombres de dominio DNS, debería de llegarse hasta la “Traza
completa”.

Encarnación Marín Caballero Página 32 de 64


Tema 4: Instalación y configuración de la red.

NOTA: La ruta de conexión siempre será diferente entre el origen y el destino, de igual manera
la cantidad de puntos de conexión será diferente en cada caso.

En caso de que el resultado de respuesta de conexión con el TRACERT al nombre de dominio NO


sea satisfactorio, se procederá a realizar una prueba de TRACERT a la dirección IP que tiene asignado
el dominio.
Ejemplo: tracert 108.75.156.209

Si la conexión es exitosa a la dirección IP, significa que si hay conexión directa desde la
computadora donde se hace la prueba, hasta el servidor.

Ejemplo: tracert www.google.com

Se verán cómo los mensajes pasan por varios intermediarios.


15 342 ms 349 ms 345 ms ge3-0-cor0804.hk03.iadvantage.net [202.85.168.230]
16 340 ms 336 ms 340 ms 203.194.223.14
17 340 ms 334 ms 340 ms 64.233.175.13
18 344 ms 345 ms 345 ms www.google.com [64.233.189.104]
Traza completa.

Encarnación Marín Caballero Página 33 de 64


Tema 4: Instalación y configuración de la red.

9. HABILITACIÓN DE IP EN UN HOST

Se puede asignar información de dirección IP a un host de dos formas:


 Estática.
 Dinámica.

9.1. Estática
Se asigna la dirección IP, la máscara de subred y el gateway predeterminado correctos al
host de forma manual. También se puede configurar la dirección IP del servidor DNS.

Ejemplo: En la siguiente figura se proporciona un ejemplo de configuración estática de


direcciones IPv4.

Encarnación Marín Caballero Página 34 de 64


Tema 4: Instalación y configuración de la red.

9.2. Dinámica
Un servidor proporciona la información de dirección IP mediante el protocolo de configuración
dinámica de host (DHCP).

El servidor de DHCP (Dynamic Host Configuration Protocol, Protocolo de Configuración


Dinámica de Equipos) proporciona una dirección IP, una máscara de subred y un gateway
predeterminado válidos para las terminales.
El servidor también puede proporcionar otra información.

Ejemplo: En la siguiente figura se proporciona un ejemplo de configuración dinámica de


direcciones IPv4.

Encarnación Marín Caballero Página 35 de 64


Tema 4: Instalación y configuración de la red.

Las direcciones distribuidas por DHCP no se asignan de forma permanente a los hosts, sino que
sólo se alquilan por un periodo de tiempo. Si el host se apaga o se desconecta de la red, la dirección
regresa al pool para volver a utilizarse. Esto es especialmente útil para los usuarios móviles que entran
y salen de la red. Los usuarios pueden moverse libremente desde una ubicación a otra y volver a
establecer las conexiones de red. El host puede obtener una dirección IP cuando se conecte el
hardware, ya sea por cables o por LAN inalámbrica.
Ejemplo: DHCP permite a los usuarios móviles el acceso a Internet por medio de Internet
utilizando zonas de cobertura inalámbrica en aeropuertos o cafeterías . Una vez que entra al área, el
cliente de DHCP del portátil contacta al servidor de DHCP mediante una conexión inalámbrica. El
servidor de DHCP asigna una dirección IP al portátil.
Inconveniente: DHCP puede representar un riesgo a la seguridad porque cualquier dispositivo
conectado a la red puede recibir una dirección. Este riesgo hace que la seguridad física sea un factor
importante al determinar si se utiliza el direccionamiento dinámico o manual. Ambos direccionamientos
tienen su lugar en los diseños de red. Muchas redes utilizan tanto el direccionamiento estático como el
DHCP. DHCP se utiliza para hosts de propósitos generales, como los dispositivos de usuario final, y las
direcciones fijas se utilizan para dispositivos de red como gateways, switches, servidores e
impresoras.
Ventaja: El servidor de DHCP asegura que las direcciones IP sean únicas (una dirección IP no
se puede asignar a dos dispositivos de red diferentes de forma simultánea). Usar DHCP permite a los
administradores de red volver a configurar fácilmente las direcciones IP del cliente sin tener que
realizar cambios a los clientes en forma manual . La mayoría de los Proveedores de Servicios de
Internet (ISP) utilizan DHCP para asignar direcciones a los clientes que no necesitan una dirección
estática.
Como lo muestra la siguiente figura, varios tipos de dispositivos pueden ser servidores de DHCP
cuando ejecutan software de servicio de DHCP. En la mayoría de las redes medianas a grandes, el
servidor de DHCP generalmente es un servidor local dedicado con base en un PC.
Con las redes domésticas, el servidor de DHCP se ubica en el ISP y un host de la red doméstica
recibe la configuración IP directamente desde el ISP.

Encarnación Marín Caballero Página 36 de 64


Tema 4: Instalación y configuración de la red.

9.3. Comparativa
Por lo general, las direcciones asignadas estáticamente se usan para identificar recursos de
red específicos, como servidores e impresoras de red. También se pueden usar en redes más pequeñas
con pocos hosts.
Sin embargo, la mayoría de los dispositivos host adquieren su información de dirección IPv4
accediendo a un servidor de DHCP. En las empresas grandes, se implementan servidores de DHCP
dedicados que proporcionan servicios a muchas LAN. En un entorno más pequeño de sucursal u oficina
pequeña, un switch Cisco Catalyst o un ISR Cisco pueden proporcionar los servicios de DHCP.

10. COMPARTIR RECURSOS EN EL MODO AVANZADO

Para poder compartir carpetas entre los ordenadores de una misma red primero se debe quitar
el modo simplificado de compartir en los sistemas operativos basados en Windows. De este modo,
podremos configurar los permisos NTFS y de recurso compartido .
En Windows XP y 7 abra la carpeta Mis documentos, ahora pincha en el Menú Herramientas,
después haga clic sobre Opciones de carpeta. Dentro de la ventana pinchamos en la pestaña Ver y
dentro de la zona Configuración avanzada quite el tilde de la opción “Utilizar uso compartido simple de
archivos” o “Usar el asistente para compartir”. Al final, pulsa sobre el botón Aceptar para guardar los
cambios.

Windows XP Windows 7

Encarnación Marín Caballero Página 37 de 64


Tema 4: Instalación y configuración de la red.

11. PERMISOS NTFS VS CARPETA COMPARTIDA

El acceso a una carpeta puede estar determinado por dos conjuntos de entradas de permisos:
 Permisos de recurso compartido definidos en una carpeta que se hace en la pestaña Compartir.
 Permisos NTFS definidos en la carpeta que se hace en la pestaña Seguridad.
Permisos de la carpeta compartida Permisos NTFS

Los permisos de la pestaña Seguridad son permisos NTFS que se establecen en la propia
carpeta o fichero; afectan a todos los usuarios que accedan a esa carpeta, ya sea desde el equipo que la
contiene o desde la red.
Los permisos de la pestaña Compartir son permisos que se asignan a una carpeta compartida , no
se pueden asignar a los ficheros de forma independiente, y sólo afectan a los usuarios que accedan a
través de la red, no a los que accedan desde el propio equipo que comparte la carpeta.

Los permisos de recurso compartido suelen utilizarse para administrar equipos con sistemas de
archivos FAT32 u otros equipos que no utilizan el sistema de archivos NTFS.
En el caso de que tengamos unos permisos diferentes para un usuario o grupo en Seguridad y en
Compartir, ¿qué permisos son los que se aplicarán? Se aplicarán aquellos que sean más restrictivos.
Veamos en esta tabla el efecto de unos permisos y otros:

Permisos establecidos en... Acceso a la carpeta desde...


Compartir Seguridad Red El equipo local
Control Total Sólo lectura Sólo lectura Sólo lectura
Sólo lectura Control total Sólo lectura Control total
Lectura/escritura Sólo lectura Sólo lectura Sólo lectura
Sólo lectura Lectura/escritura Sólo lectura Lectura/escritura
Control total Lectura/escritura Lectura/escritura Lectura/escritura

Cómo se puede ver, suele ser más interesante establecer los permisos más restrictivos en
Seguridad, pues el control es absoluto tanto por red como en local.
Los permisos de recurso compartido y los permisos NTFS son independientes en el sentido de
que ninguno modifica al otro. Los permisos de acceso final en una carpeta compartida se determinan
teniendo en cuenta las entradas de permiso de recurso compartido y de permiso NTFS. Se aplicarán
siempre los permisos más restrictivos.

Encarnación Marín Caballero Página 38 de 64


Tema 4: Instalación y configuración de la red.

11.1. Carpetas compartidas


Proporcionan a los usuarios acceso a archivos y carpetas a través de la red.
Los usuarios pueden conectarse a la carpeta compartida a través de la red para acceder a las
carpetas y archivos que contienen.
Las carpetas compartidas pueden contener aplicaciones, datos o información personal de un
usuario.
El uso de carpetas de aplicación compartidas centraliza la administración permitiéndonos
instalar y mantener aplicaciones en un servidor en lugar de en equipos cliente .
Para compartir una carpeta, debemos pertenecer a uno de los grupos que tienen derechos para
compartir carpetas compartidas en el tipo de equipo en el que reside la carpeta.

Los permisos de las carpetas compartidas son aplicables únicamente a los usuarios que se
conectan al recurso compartido a través de la red . No restringen el acceso a usuarios que inicien sesión
localmente en el equipo donde se encuentra el recurso compartido.

Grupos con derechos para compartir.


Cuando compartimos una carpeta, podemos controlar el acceso a la misma y a su contenido
concediendo permisos a determinados usuarios y grupos. También podemos controlar el acceso a la
carpeta limitando el número de usuarios que pueden conectarse simultáneamente a la carpeta
compartida.

Después de crear una carpeta compartida, es posible que deseemos modificar sus propiedades
para finalizar la compartición, cambiar su nombre o cambiar los permisos de los usuarios y grupos.

Pestaña de Compartir.

Encarnación Marín Caballero Página 39 de 64


Tema 4: Instalación y configuración de la red.

La siguiente tabla describe las capacidades de los permisos de carpetas compartidas a los
usuarios.

Permisos de compartición.

Importante: El permiso Leer se concede al grupo Todos de forma predeterminada cuando


compartimos una carpeta. Si un administrador desea que sólo determinados usuarios tengan acceso a
una carpeta compartida, deberá eliminar el grupo predeterminado Todos y limitar el acceso de los
usuarios al recurso compartido utilizando grupos para asignar los permisos deseados. Los permisos
compartidos deben utilizarse siempre conjuntamente con los permisos de NTFS.

11.2. Los permisos compartidos son acumulativos


Los permisos de un usuario sobre un recurso son la combinación de los permisos de carpetas
compartidas concedidos a la cuenta de usuario individual y los permisos de carpetas compartidas
concedidos a los grupos a los que pertenece el usuario. Por ejemplo, si un usuario tiene permiso de
Lectura para una carpeta y pertenece a un grupo con el permiso Cambiar para la misma carpeta, el
usuario tendrá ambos permisos, Lectura y Cambiar, para esa carpeta.

Denegar prevalece sobre otros permisos. Por eso, es recomendable que únicamente se
denieguen permisos sobre carpetas compartidas cuando deseemos asegurarnos de que determinados
usuarios no tienen acceso a una carpeta compartida. Si denegamos permisos sobre carpetas
compartidas a un usuario, éste no tendrá ese permiso, aunque lo concedamos a un grupo al que
pertenezca dicho usuario. Si simplemente no concedemos el permiso de una carpeta compartida a un
usuario, cuando este usuario se integrase en un grupo con permiso a esa carpeta compartida, obtendría
el permiso.

Importante: En el dominio utilice el grupo Usuarios Autenticados en lugar del grupo Todos para
asignar la mayoría de derechos y permisos. De esta forma, se minimiza el riesgo de acceso no
autorizado.

11.3. Concesión de permisos y modificación de la configuración de las carpetas


compartidas
Cuando concedemos permisos a una carpeta compartida:
 Una carpeta compartida puede residir en un disco duro formateado con el sistema de archivos
NTFS, FAT o FAT32.
 Los usuarios también necesitan los permisos adecuados de NTFS en un volumen NTFS.

Encarnación Marín Caballero Página 40 de 64


Tema 4: Instalación y configuración de la red.

Podemos modificar la configuración de una carpeta compartida para:

 Dejar de compartirla.

 Modificar el nombre de compartición.

 Modificar los permisos.


 Crear múltiples comparticiones a una carpeta compartida.
 Eliminar una compartición.

Ejemplo de compartición múltiple.


Importante:

 Para que los usuarios tengan acceso a una carpeta compartida en un volumen NTFS, necesitan
los permisos adecuados de NTFS para cada archivo y carpeta además de los permisos de
carpetas compartidas.
 Si detiene la compartición de una carpeta mientras un usuario tiene un archivo abierto, éste
puede perder datos. Windows mostrará un cuadro de diálogo informando.

 Si un administrador modifica el nombre de una carpeta compartida finalizando la compartición,


los permisos originales de la carpeta compartida se pierden y deben volver a crearse

11.4. Conexión a carpetas compartidas. Unidades de red


Para conectarse a una carpeta compartida en una unidad de red, siga los siguientes pasos:

 Haga clic en Inicio, y clic en Ejecutar.

 En el cuadro de diálogo Ejecutar, introduzca una ruta UNC en el cuadro Abrir, y haga clic en
OK.
Cuando introducimos el nombre de servidor en el cuadro Abrir, aparece una lista de los nombres
de las carpetas compartidas disponibles.

Conectarse a carpeta compartida.

Encarnación Marín Caballero Página 41 de 64


Tema 4: Instalación y configuración de la red.

Cuando utilizamos el comando Ejecutar para conectar a un recurso de red, no es necesario


utilizar una letra de unidad, lo que permite un número ilimitado de conexiones que son independientes
de las letras de unidades disponibles.

Conéctese a una unidad de red si desea asociar una letra de unidad y un icono a una determinada
carpeta compartida. Esto facilita la referencia a la ubicación de un archivo en una carpeta compartida.

Conectarse a unidad de red.


Ejemplo: En lugar de apuntar a: \\Servidor\Nombre_Carpeta_Compartida\Archivo, podría
apuntar a:\Archivo.

Para tener acceso a una carpeta compartida que utilizará repetidamente, seleccione la opción de
Conectarse de nuevo al iniciar sesión para conectarse automáticamente cada vez que inicie sesión.

11.5. Combinación de permisos


Cuando compartimos una carpeta en una partición formateada con NTFS, tanto los permisos de
carpetas compartidas como los permisos de NTFS se combinan . Los permisos de NTFS se aplican tanto
si se accede al recurso localmente o a través de una red.

Cuando concedemos permisos de carpetas compartidas en un volumen NTFS, se aplican las


siguientes normas:
 Los usuarios deben tener los permisos de NTFS adecuados para cada archivo y subcarpeta de
una carpeta compartida, además de permisos de carpetas compartidas, para poder tener acceso
a estos recursos por la red.

 Cuando combinamos permisos de NTFS y permisos de carpetas compartidas , el permiso


resultante es el permiso más restrictivo de los dos tipos de permisos.

Permisos NTFS vs Permisos Compartidos.


Esto puede complicarse mucho si aplicamos permisos sobre usuarios/grupos, cuantos más
usuarios y grupos, más lió.
Un buen sistema es darle en Compartir el permiso Control Total al grupo Todos y olvidarse,
preocupándose sólo de los permisos NTFS para llevar el control desde la pestaña Seguridad. También
se puede hacer a la inversa, pero se pierde granularidad.

Encarnación Marín Caballero Página 42 de 64


Tema 4: Instalación y configuración de la red.

11.6. Uso de carpetas compartidas administrativas


Windows Server comparte carpetas automáticamente para permitirnos realizar tareas
administrativas. A estas carpetas compartidas se les añade el signo de dólar ($).
El signo de dólar oculta la carpeta compartida a usuarios que naveguen por el equipo en Mis
sitios de red. La raíz de cada unidad, la carpeta systemroot, la ubicación utilizada por el cliente de fax
para cachear temporalmente los archivos y acceder a páginas de la cubierta, la localización de los
controladores de impresoras, y el mecanismo de comunicación entre procesos (IPC) utilizado entre
algunos programas en las comunicaciones son algunas de las carpetas compartidas ocultas que Windows
Server crea automáticamente.

De forma predeterminada, los miembros del grupo Administradores tienen permiso de Control
total para las carpetas compartidas administrativas. No podemos modificar los permisos de carpetas
compartidas administrativas.
La siguiente tabla describe la utilidad de las carpetas compartidas administrativas que 2003
Server proporciona automáticamente.

Carpetas compartidas administrativas.


Importante: Las carpetas compartidas ocultas no se limitan a las que Windows crea
automáticamente. Podemos compartir más carpetas y añadir el signo de dólar ($) al final de su nombre.
De este modo, sólo los usuarios que conozcan el nombre de la carpeta podrán acceder a ella. Estas
carpetas ocultas no se consideran carpetas compartidas administrativas.

Encarnación Marín Caballero Página 43 de 64


Tema 4: Instalación y configuración de la red.

12. CONFIGURACIÓN DE LAS REDES INALÁMBRICAS

Los parámetros a configurar en una WLAN son:


a) SSID. Es el nombre con el que vamos a identificar la red inalámbrica creada por el router.
b) Región. Es necesario seleccionar el país para que se aplique la normativa vigente.

c) Canal. Es el canal de radio inalámbrica de su red inalámbrica. Podemos elegir entre 11 canales
(EE.UU) y 13 canales (UE), de manera que si tenemos varios routers cercanos escogemos un
canal distinto para cada uno, para que no haya interferencias. Los canales 1, 6 y 11 no se
superponen. Muchas veces los routers vienen configurados con el canal 1, y todos los vecinos de
un edificio están conectados con el mismo canal porque no lo cambian. Podemos escoger, por
ejemplo, el canal 11 para no tener colisiones con el resto de vecinos.

d) Modo. Es para seleccionar el modo de trabajo (802.11 b/g/n) en función de la frecuencia del
canal y la velocidad de transmisión.

o El 802.11b funciona en la frecuencia de 2,4 GHz, con un máximo de transmisión de 11


Mbps y un alcance de 460 metros.
o El 802.11g también funciona en la frecuencia de 2,4 GHz y tiene un alcance de 460
metros, pero con un máximo de transmisión de 54 Mbps.
o El 802.11n funciona en las frecuencias de 2,4 GHz y 5,4 GHz, pero con un máximo de
transmisión de 600 Mbps y un alcance de 820 metros.
e) Habilita el Radio del Router Inalámbrico/Habilita emisión SSID. Por lo general, estas dos
opciones están habilitadas.
f) Habilita la seguridad inalámbrica. Si no desea proteger su red inalámbrica, no active esta
opción. En caso contrario, elija entre el encriptado WEP, WPA-PSK y WPA2-PSK.

NOTA:
 Si hay muchas redes inalámbricas en la cercanía, cambia el canal a otro para obtener una mejor
señal.

 Sólo el adaptador inalámbrico con tecnología Súper G compatible, el modo puede cambiar a 108
Mbps (802.11g) estático. Es totalmente compatible con dispositivos 82.11b y 802.11g.

Ejemplo: Router TRENDnet TEW-452BRP de 108Mbps con switch de 4 puertos.

Encarnación Marín Caballero Página 44 de 64


Tema 4: Instalación y configuración de la red.

13. PROTECCIÓN FÍSICA DE ACCESO A LAS REDES

Independientemente de las medidas que se adopten para proteger los equipos de una red de
área local y el software que reside en ellos, se deben tomar medidas que impidan que usuarios no
autorizados puedan acceder. Las medidas habituales dependen del medio físico a proteger .
A continuación, se enumeran algunos de los métodos, sin entrar al tema de la protección de la
red frente a ataques o intentos de intrusión desde redes externas, tales como Internet.

13.1. Redes cableadas


Las rosetas de conexión de los edificios deben estar protegidas y vigiladas. Una medida básica
es evitar tener puntos de red conectados a los switches. Aun así siempre puede ser sustituido un equipo
por otro no autorizado con lo que hacen falta medidas adicionales: norma de acceso 802.1x, listas de
control de acceso por direcciones MAC, servidores de DHCP por asignación reservada, etc.

13.2. Redes inalámbricas


En este caso el control físico se hace más difícil, si bien se pueden tomar medidas de
contención de la emisión electromagnética para circunscribirla a aquellos lugares que consideremos
apropiados y seguros. Además, se consideran medidas de calidad el uso del cifrado (WPA, WPA v.2, uso
de certificados digitales, etc.), contraseñas compartidas y, también en este caso, los filtros de
direcciones MAC, son varias de las medidas habituales que cuando se aplican conjuntamente aumentan
la seguridad de forma considerable frente al uso de un único método.

14. SEGURIDAD EN LAS REDES CABLEADAS

Cuando una LAN (Local Area Network, Red de Área Local) se conecta a Internet puede ser
víctima de un ataque informático. La metodología de ataque que generalmente se usa consiste en
analizar la red (mediante el envío aleatorio de paquetes de datos) en busca de un ordenador conectado .
Una vez que se encuentra un ordenador, se busca un punto débil en el sistema de seguridad para
explotarlo y tener acceso a los datos de la máquina.
Vamos a ver varios elementos que contribuyen a la seguridad de la red: el firewall, el proxy, el
túnel VPN y el protocolo IPSec.

14.1. Firewall
El firewall (o cortafuegos) es un sistema que permite restringir el acceso a la red en ambas
direcciones, desde el exterior hacia dentro de la red y desde dentro de la red hacia afuera . Para ello,
filtra los paquetes de datos que se intercambian a través de la red.

Encarnación Marín Caballero Página 45 de 64


Tema 4: Instalación y configuración de la red.

Ejemplo: Firestarter es una herramienta cortafuegos para sistemas operativos Linux y


ZoneAlarm es para Windows.

Para configurar un cortafuegos, hay que establecer un conjunto de reglas que permiten o
deniegan conexiones.
Ejemplo: Si queremos que todos los equipos de nuestra red (192.168.1.x) puedan navegar
por Internet a través de HTTP, tendremos que abrir el puerto 80 utilizando la siguiente regla:
Puerto Puerto
Regla Acción IP origen IP destino Protocolo
origen destino

1 Aceptar 192.168.1.0/24 cualquiera TCP cualquiera 80

Ejemplo: SPI (Stateful Packet Inspection) es un tipo de firewall que examina los paquetes
entrantes de datos para cerciorarse de que corresponden a una petición saliente . Los paquetes de
datos que no fueron solicitados son rechazados.

14.2. Servidor Proxy


Un servidor proxy es un programa, o dispositivo, que se utiliza para facilitar y optimizar el
consumo de ancho de banda de los usuarios de la red . Actúa de intermediario entre los equipos e
Internet, de forma que los equipos no se comunican directamente con Internet, sino que se comunican
utilizando el proxy, que es el que realiza la comunicación.

Encarnación Marín Caballero Página 46 de 64


Tema 4: Instalación y configuración de la red.

Se encarga, entre otras funciones, de compartir las conexiones a Internet y de habilitar una
memoria caché con las páginas solicitadas por los usuarios de la LAN, de modo que los accesos
repetidos a la misma página web sean mucho más rápidos.

Los servidores proxy también aumentan la seguridad de la LAN, ya que pueden filtrar páginas
web y programas maliciosos.

14.3. VPN
Una VPN (Virtual Private Network, Red Privada Virtual) consiste en acceder a los recursos
de una LAN desde fuera de ella con una conexión cifrada y segura usando IPSec. A esto se le llama
también túnel VPN.
Esto es útil para que, por ejemplo, los trabajadores de una empresa puedan acceder a discos y
recursos compartidos de la red corporativa de la empresa desde su propia casa , utilizando una red
pública (Internet) como transporte.

Ejemplos:

 Una sucursal tiene una conexión VPN con la oficina en la sede central.
 Un tele-vendedor tiene una conexión VPN desde su casa a su oficina.

 Usando el portátil, un gerente corporativo que está viajando tiene una conexión VPN del
cuarto del hotel a su oficina.

Cuando se utiliza una VPN, se está creando una conexión segura entre su red y otra usando
Internet.

Encarnación Marín Caballero Página 47 de 64


Tema 4: Instalación y configuración de la red.

14.4. IPSec
IPSec (Internet Protocol Security) es un conjunto de protocolos cuya función es asegurar las
comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un
flujo de datos.
Los protocolos de IPSec actúan en la capa de red (capa 3 del modelo OSI).

Esto hace que IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la
capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte más usados.
Ejemplo: IPSec puede utilizarse para crear VPNs seguras.

IPSec también incluye protocolos para el establecimiento de claves de cifrado.

IPSec es, en realidad, un conjunto de estándares para integrar en IP funciones de seguridad


basadas en criptografía. Proporciona confidencialidad, integridad y autenticidad de datagramas IP,
combinando tecnologías de clave pública (RSA), algoritmos de cifrado (DES, 3DES, IDEA, Blowfish),
algoritmos de hash (MD5, SHA-1) y certificados digitales X509v3.

Entre los beneficios que aporta IPSec, cabe señalar que:


 Posibilita nuevas aplicaciones como el acceso seguro y transparente de un nodo IP remoto.

 Facilita el comercio electrónico de negocio a negocio, al proporcionar una infraestructura


segura sobre la que realizar transacciones usando cualquier aplicación. Las extranets son un
ejemplo.

 Permite construir una red corporativa segura sobre redes públicas, eliminando la gestión y el
coste de líneas dedicadas.
 Ofrece al teletrabajador el mismo nivel de confidencialidad que dispondría en la red local
de su empresa, no siendo necesaria la limitación de acceso a la información sensible por
problemas de privacidad en tránsito.

Encarnación Marín Caballero Página 48 de 64


Tema 4: Instalación y configuración de la red.

15. SEGURIDAD EN LAS REDES INALÁMBRICAS

La seguridad en las conexiones sin cable es muy importante, ya que los datos viajan por el aire.
Para que los datos no viajen por el aire de forma legible, hay que cifrar la comunicación.

15.1. Tipos de cifrado


Hay tres tipos de cifrados para las WLAN:

 WEP (Wired Equivalent Privacy, Privacidad Equivalente a Cableado).

 WPA (Wi-Fi Protected Access, Acceso Wi-Fi Protegido).

 WPA2 (WPA versión 2).

Encarnación Marín Caballero Página 49 de 64


Tema 4: Instalación y configuración de la red.

15.1.1. WEP
 Es el primer sistema de cifrado incluido en el estándar IEEE 802.11.
 Está basado en el algoritmo de cifrado RC4 y utiliza claves de 64, 128 ó 256 bits.

 Este tipo de cifrado funciona con clientes 802.11b y 802.11g.


 Funcionamiento: Codifica los datos mediante una clave antes de enviarlos. Es recomendable
utilizar claves largas para que el cifrado sea más seguro. Si utilizamos una codificación de 64
bits equivale a utilizar una clave de 5 letras, y si utilizamos una codificación de 128 bits,
equivale a una clave de 13 letras.

 Inconveniente: Este algoritmo no es muy seguro y existen programas que rompen este cifrado
en pocos minutos.

Ejemplo: Configuración del router inalámbrico Linksys con seguridad WEP de 64 bits.

Ejemplo: Generador de claves WEP.

Encarnación Marín Caballero Página 50 de 64


Tema 4: Instalación y configuración de la red.

15.1.2. WPA
 Surgió para corregir las deficiencias del cifrado WEP.
 Utiliza el mismo algoritmo que WEP (el algoritmo RC4), pero incorpora un vector de
inicialización de 48 bits, además, distribuye claves diferentes a cada usuario.
 Utiliza un servidor RADIUS (Servicio de Usuario de Acceso Telefónico de Autenticación
Remota), que crea de forma aleatoria claves únicas en redes corporativas o gubernamentales ,
Wi-Fi más grandes.
 Se emplea para clientes inalámbricos 802.11g.

 Funcionamiento: Emplea un cifrado de clave dinámico, es decir, la clave cambia continuamente y,


por lo tanto, es más segura. Las claves son dígitos alfanuméricos sin restricción de longitud.

 Esta encriptación es más segura que el cifrado WEP.

 Dentro de WPA utilizaremos el WPA-PSK, con encriptación TKIP.

NOTA: PSK significa Pre-Shared Key (o llave pre-compartida), y es generalmente la frase de


cifrado, o sea, tu contraseña cifrada.

Ejemplo: Configuración del router inalámbrico Linksys con seguridad WPA-PSK y cifrado TKIP.

Encarnación Marín Caballero Página 51 de 64


Tema 4: Instalación y configuración de la red.

15.1.3. WPA2
 Es un sistema de cifrado más moderno para proteger las redes inalámbricas.
 Está basado en el algoritmo de cifrado AES que utiliza cálculos más complejos que el algoritmo
RC4.
 Se emplea para clientes inalámbricos 802.11n.

 Esta encriptación es más segura que el cifrado WPA.


 Con WPA2 puedes utilizar tanto el algoritmo de encriptación AES como TKIP.
 Dentro de WPA2 utilizaremos el WPA2-PSK, con encriptación AES.

Ejemplo: Configuración del router inalámbrico Linksys con seguridad WPA2-PSK y cifrado AES.

Ejemplo: Configuración del router inalámbrico Linksys con seguridad WPA-PSK / WPA2-PSK y
cifrado automático.

Encarnación Marín Caballero Página 52 de 64


Tema 4: Instalación y configuración de la red.

15.2. Tipos de encriptación


TKIP y AES resultan dos clases distintas de cifrado que pueden ser usados en una red Wi-Fi.

15.2.1. TKIP
TKIP (Temporal Key Integrity Protocol) es un algoritmo de encriptación que fue
especialmente diseñado para evitar los ataques se producían contra WEP .
TKIP empieza con una clave temporal de 128 bits que comparte entre los clientes y los puntos
de acceso. Combina esta clave temporal con la dirección MAC de cada cliente y añade a su vez un vector
de inicialización para producir la clave final con la que se van a cifrar los datos.

15.2.2. AES
AES (Advanced Encription Standard) es un algoritmo de encriptación por bloques, donde el
tamaño de la clave y del bloque son configurables . Se basa en varias operaciones realizadas en bloques
de datos de 16 bytes.
Actualmente, es más seguro que TKIP.

15.2.3. TKIP + AES


TKIP + AES es una combinación de los dos algoritmos explicados anteriormente.
Ejemplo: Configuración del router inalámbrico Linksys con seguridad WPA2-PSK y cifrado TKIP
+ AES.

15.3. Modos de seguridad


Los routers ofrecen las siguientes opciones para configurar la seguridad de la red inalámbrica:

 Abiertas (riesgo). Las redes Wi-Fi abiertas no tienen contraseña, por lo que queda claro que no
se aconseja de ninguna forma.
 WEP de 64 (riesgo). El viejo estándar de encriptación WEP es vulnerable y no se debe utilizar.

 WEP de 128 (riesgo). WEP con un cifrado de mayor tamaño, pero igual inseguro.
 WPA-PSK (TKIP). Éste es básicamente el cifrado estándar WPA o WPA1. Se ha superado y no
es seguro.
 WPA-PSK (AES). Éste elige el protocolo inalámbrico WPA con el cifrado más moderno AES.
Los dispositivos que soportan AES casi siempre soportarán WPA2, mientras que los dispositivos
que requieran WPA1 casi nunca admitirán el cifrado AES. Esta opción tiene muy poco sentido.

Encarnación Marín Caballero Página 53 de 64


Tema 4: Instalación y configuración de la red.

 WPA2-PSK (TKIP). Se utiliza el estándar WPA2 con cifrado TKIP. Esta opción no es segura,
sin embargo, es la mejor opción si se tienen dispositivos antiguos que no soportan una red
WPA2-PSK (AES).

 WPA2-PSK (AES). Ésta es la opción más segura. Utiliza WPA2, el último estándar de
encriptación Wi-Fi, y el más reciente protocolo de encriptación AES. Se debe utilizar esta
opción. En los routers con interfaces menos confusas, la opción marcada “WPA2” o “WPA2-PSK”
probablemente sólo utilice AES, ya que es una elección de sentido común.

 WPA/WPA2-PSK (TKIP/AES). Esto permite tanto WPA y WPA2 con TKIP y AES. Esto
proporciona la máxima compatibilidad con todos los dispositivos antiguos, sin embargo, aunque
sea una opción habitualmente predeterminada por los routers para evitar problemas con los
dispositivos, es una opción poco aconsejable, ya que termina siendo también vulnerable. Esta
opción TKIP + AES también pueden ser llamada WPA2-PSK modo “mezcla”.

15.4. WPS
WPS (Wi-Fi Protected Setup) es un mecanismo de intercambio seguro de configuración
inalámbrica. Este método permite facilitar la asociación de un cliente inalámbrico (equipo que conecte
con el router y sea compatible con WPS) sin necesidad de introducir la clave inalámbrica en dicho
cliente o tener que emplear complicados procesos de configuración.

Es decir, si nuestro router tiene habilitada la funcionalidad WPS y queremos acceder a nuestra
Wi-Fi, simplemente tenemos que enviarle un código PIN de 8 dígitos para que el router nos permita
acceder a la red inalámbrica. Habitualmente, este código PIN viene escrito en la parte inferior, pero
existen maneras alternativas de averiguarlo usando programas específicos.

Inconveniente: Ofrece una nueva opción para un ciberdelincuente interesado en acceder a una
red inalámbrica, ya que el tiempo que el ciberdelincuente necesita para averiguar un PIN de 8 dígitos es
mucho menor que el que necesita para averiguar la contraseña WPA2 configurada en la red.

Para mantener nuestra red Wi-Fi segura, debemos renunciar a la comodidad de conectarnos
mediante esta utilidad e introducir la contraseña WPA2 cada vez que queramos conectar un nuevo
dispositivo a nuestra red.

Ejemplo: Parte de atrás del router inalámbrico TP-Link.

Encarnación Marín Caballero Página 54 de 64


Tema 4: Instalación y configuración de la red.

Ejemplo: Configuración de la seguridad del router inalámbrico Comtrend.

15.5. Filtrado de tráfico


La seguridad dentro de una red empresarial es sumamente importante. Es esencial impedir el
acceso de usuarios no autorizados y proteger la red de diversos ataques, como los ataques DoS.

 Los usuarios no autorizados pueden modificar, destruir o robar datos confidenciales de los
servidores.
 Los ataques DoS (Denial of Service, Denegación de Servicio) impiden el acceso de los usuarios
válidos.
Estas dos situaciones hacen perder tiempo y dinero a las empresas.
Ejemplo: Ataque DoS.

Encarnación Marín Caballero Página 55 de 64


Tema 4: Instalación y configuración de la red.

Un servidor web está preparado para soportar una cierta cantidad de peticiones o conexiones
simultáneas. Si supera ese límite de conexiones, pueden pasar dos cosas:
 La respuesta de las peticiones de los usuarios pueden ser lentas o nulas.

 El servidor web se desconecta de la red y queda sin conexión.


El ataque DoS satura el servidor web por medio de muchas peticiones de un mismo PC que poco
a poco va consumiendo recursos hasta que comience a rechazar las peticiones y comience a denegar el
servicio (DoS).

Como ventaja tiene que el administrador de la red puede ver de dónde vienen todos esos
ataques, bloquear esa IP y así el ataque cesa.
Mediante el filtrado de tráfico, los administradores de la red controlan el tráfico de varios
segmentos de la red.
El filtrado es el proceso de analizar los contenidos de un paquete para determinar si debe ser
permitido o bloqueado.
El filtrado de paquetes puede ser simple o complejo, denegando o permitiendo el tráfico
basado en:

 Dirección IP de origen.

 Dirección IP de destino.

 Direcciones MAC.

 Dominios.

 Protocolos.

 Tipo de aplicación.

Ejemplo: El filtrado de paquetes se puede comparar con el filtrado de correo basura. Muchas
aplicaciones de correo electrónico permiten a los usuarios ajustar la configuración para que los correos
electrónicos enviados desde una dirección de origen particular se eliminen automáticamente.

El filtrado de paquetes se puede utilizar de la misma forma mediante la configuración de un


router para identificar el tráfico no deseado.

Encarnación Marín Caballero Página 56 de 64


Tema 4: Instalación y configuración de la red.

El filtrado de tráfico mejora el rendimiento de la red. Al denegar el tráfico no deseado o


restringido cerca de su origen, éste no viajará a través de la red ni consumirá recursos valiosos.

Los dispositivos más utilizados para proporcionar filtrado de tráfico son:


 Firewalls incorporados en routers integrados.
 Aplicaciones de seguridad dedicadas.
 Servidores.

Algunos dispositivos sólo filtran el tráfico que se origina en la red interna.

Los dispositivos de seguridad más sofisticados reconocen y filtran los tipos de ataques
conocidos de fuentes externas.

Ejemplo: Los routers empresariales reconocen el tráfico perjudicial e impiden que ingrese y
dañe la red. Casi todos los routers filtran tráfico de acuerdo con las direcciones IP de origen y de
destino de los paquetes. También filtran aplicaciones específicas y protocolos tales como IP, TCP,
HTTP, FTP y Telnet.

15.5.1. Filtrado MAC


Mediante esta opción puedes restringir los equipos que pueden acceder a tu red inalámbrica .
Para ello, se crea una tabla con las direcciones MAC de los dispositivos que pueden acceder a la red.

Encarnación Marín Caballero Página 57 de 64


Tema 4: Instalación y configuración de la red.

Ejemplo: Filtrado de direcciones MAC en el router inalámbrico ZyXEL.

Ejemplo: Filtrado de direcciones MAC en el router inalámbrico TP-Link.

Ejemplo: Filtrado de direcciones MAC en el router inalámbrico Comtrend.

Encarnación Marín Caballero Página 58 de 64


Tema 4: Instalación y configuración de la red.

Este método tiene como ventaja su sencillez, por lo cual se puede usar para redes caseras o
pequeñas.

Sin embargo, posee muchas desventajas que lo hacen impráctico para uso en redes medianas o
grandes:
 No escala bien, porque cada vez que se desee autorizar o dar de baja un equipo, es necesario
editar las tablas de direcciones de todos los puntos de acceso.
 Después de cierto número de equipos o de puntos de acceso, la situación se torna inmanejable.

 El formato de una dirección MAC no es amigable (normalmente se escriben como 6 bytes en


hexadecimal), lo que puede llevar a cometer errores en la manipulación de las listas.
 Las direcciones MAC viajan sin cifrar por el aire. Un atacante podría capturar direcciones
MAC de tarjetas matriculadas en la red empleando un sniffer, y, luego, asignarle una de estas
direcciones capturadas a la tarjeta de red de su ordenador, empleando programas tales como
AirJack6 o WellenReiter, entre otros. De este modo, el atacante puede hacerse pasar por un
cliente válido.
 En caso de robo de un equipo inalámbrico, el ladrón dispondrá de un dispositivo que la red
reconoce como válido. En caso de que el elemento robado sea un punto de acceso el problema es
más serio, porque el punto de acceso contiene toda la tabla de direcciones válidas en su
memoria de configuración. Debe notarse además, que este método no garantiza la
confidencialidad de la información transmitida, ya que no prevé ningún mecanismo de cifrado.

15.5.2. Listas de control de acceso


Uno de los métodos más comunes de filtrado de tráfico es el uso de listas de control de
acceso (ACL). Las ACL se pueden utilizar para administrar y filtrar el tráfico que ingresa a una red , así
como también el tráfico que sale de ella.

Los routers mediante las listas de control de acceso (en inglés, Access Control Lists =
ACLs) ofrecen un medio de control y bloqueo del tráfico de red.

Ejemplo: Un administrador de red puede permitir que los usuarios locales tengan acceso a
Internet, pero impedir a los usuarios externos el acceso a través de Telnet a la red local.

Encarnación Marín Caballero Página 59 de 64


Tema 4: Instalación y configuración de la red.

Las utilidades principales de las ACLs son:

 Limitar el tráfico de red y mejorar el rendimiento de la red. Usando ACLs se puede


restringir el tráfico de vídeo, por ejemplo, reduciendo considerablemente la carga de la red y,
en consecuencia, mejorando el rendimiento de la misma.
 Brindar control de flujo de tráfico. Las ACLs pueden restringir el envío de las actualizaciones
de enrutamiento. Si no se necesitan actualizaciones debido a las condiciones de la red, se
preserva el ancho de banda.

 Proporcionar un nivel básico de seguridad para el acceso a la red. Ejemplo: Las ACLs
pueden permitir que un equipo acceda a una parte de la red y evitar que otro acceda a la misma
área. Es decir, al equipo A se le podría permitir el acceso a la red de Recursos Humanos, y al
equipo B denegarle el acceso a dicha red.

 Decidir qué tipos de tráfico se envían o bloquean en las interfaces del router. Ejemplo:
Permitir que se envíe el tráfico de correo electrónico, pero bloquear todo el tráfico de Telnet.
 Otorgar o denegar permiso a los equipos para acceder a ciertos tipos de aplicaciones, tales
como FTP o HTTP.

Ejemplo: Cerrar todos los puertos, excepto los puertos TCP 20, 21 y 25, y UDP 69.

Ejemplo: Bloquear todo el tráfico ICMP destinado a la red 196.60.23.0/24.

Encarnación Marín Caballero Página 60 de 64


Tema 4: Instalación y configuración de la red.

A la hora de establecer políticas de seguridad existen dos enfoques básicos:

 Una primera estrategia consiste en definir condiciones donde se indique el tráfico que se
deniega y permitir cualquier otro tráfico que no se ha denegado.

 Otra opción es indicar lo que se permite y denegar todo lo demás. Esta segunda estrategia
es mucho más restrictiva que la primera.

Ejemplo: Crear una regla ACL en el programa Squid de Linux.

El uso de las ACL puede provocar los siguientes problemas potenciales:

 La carga adicional sobre el router para verificar todos los paquetes se traduce en menos
tiempo para el reenvío de paquetes.
 Las ACL con diseños defectuosos colocan una carga aún mayor sobre el router y podrían
interrumpir el uso de la red.
 Las ACL colocadas de forma incorrecta bloquean el tráfico que debe ser permitido y permiten
el tráfico que debe ser bloqueado.

15.6. Túnel VPN


Un túnel VPN (Virtual Private Network, Red Privada Virtual) es una conexión segura, que
encripta toda la información enviada y recibida a través de una especie de “túnel” y hace que los
cibercriminales no puedan capturar esa información.

Ejemplo: Estructura de una VPN para acceso inalámbrico seguro.

Encarnación Marín Caballero Página 61 de 64


Tema 4: Instalación y configuración de la red.

15.7. Otras recomendaciones


Además de cifrar la comunicación, hay otras recomendaciones para aumentar la seguridad de la
red:

 Cambia el identificador de red (SSID) predeterminado. Al usar enrutadores o puntos de


acceso cercanos con el mismo nombre, puede ocasionar conflictos.

 Cambia siempre la contraseña predeterminada. Cualquier persona puede hacer una búsqueda
en Internet y obtener el usuario y contraseña por defecto de un router. Cambia la contraseña
por una de al menos 8 caracteres en los que se alternen letras minúsculas, mayúsculas, números
y algún carácter especial (#&*@).
 Nunca se debe usar la opción WPS (Wi-Fi Protected Setup) en los dispositivos que lo
incluyen. Desactivarla siempre, aunque se use WPA2 y una contraseña de 50 caracteres.

 Activa el Firewall de Windows para impedir que el malware, como gusanos o troyanos puedan
acceder al ordenador.

 Desactiva la difusión del SSID. Si no desactivamos esta opción, cada 10 msg el punto de
acceso propaga el SSID por la red. Si lo desactivamos, solamente las personas que conozcan el
SSID de la red van a poder acceder a ella.

 Utiliza el filtrado de direcciones MAC. En una red donde el número de ordenadores que se
conectan es fijo, se pueden guardar sus direcciones MAC en el punto de acceso para que no
puedan acceder ordenadores con distintas MAC.

 Busca el canal perfecto para nuestra red Wi-Fi. Cuando la red Wi-Fi no ofrece toda la
velocidad que se esperaba (el rendimiento es bajo) se debe a la saturación de canales que se
pueden dar en nuestro entorno. Para evitar este problema, lo más fácil es fijarnos en los
canales más usados por otras redes Wi-Fi a nuestro alcance para usar el canal más libre
utilizando mediante una aplicación como puede ser WiFi Analyzer para Android.

Ejemplo: Configuración del router inalámbrico TP-Link.

Encarnación Marín Caballero Página 62 de 64


Tema 4: Instalación y configuración de la red.

16. CÓMO ACCEDER Y CONFIGURAR UN ROUTER

En primer lugar, tendrás que acceder a la interfaz de configuración del router a través de un
navegador web.

Estos ajustes de configuración están disponibles desde cualquier dispositivo conectado en red
local.

Acceder al router es tan sencillo...

1) Si tienes el manual, en él podrás encontrar cuál es la dirección IP predeterminada.


2) Otra opción es buscarla debajo en la pegatina o etiqueta del router.

3) Sólo hay que introducir la dirección IP del router en la barra de dirección del navegador web y
pulsar Enter.

En equipos routers Wi-Fi de Movistar o TP-Link, la dirección IP es la siguiente:


192.168.1.1

En otros routers como los de Vodafone, Ono o Jazztel la dirección IP es la siguiente:


192.168.0.1

Encarnación Marín Caballero Página 63 de 64


Tema 4: Instalación y configuración de la red.

Ingresar al router wifi con el usuario (Login) y clave (password):

 Ahora, que has accedido con éxito vía web al panel de configuración del router, cabe aclarar
que cada fabricante crea su propia interfaz y éstos pueden variar de un modelo a otro.

 Dependiendo de tu router, es posible que de inmediato aparezca una pantalla de inicio de


sesión o tal vez una que muestre información del estado de la conexión. De todas maneras,
tendrás que iniciar sesión con el nombre de usuario y contraseña antes de realizar cualquier
cambio en la configuración.

¿Dónde consigo la clave de acceso predeterminada?


 Lo ideal es encontrarla en el mismo manual del equipo. Si no lo tienes, es muy difícil que esté
impresa detrás del router.

 Otra forma es consultar el sitio web www.routerpasswords.com que muestra los usuarios y
contraseñas predeterminadas de muchos routers. Para ello, se necesita saber el fabricante y
modelo de tu equipo.

 Por defecto, cuando viene de fábrica podemos entrar como usuario: admin y contraseña: admin,
pero luego conviene cambiarla, por seguridad.
 También la contraseña para muchos routers es el usuario admin y la contraseña password o bien
el usuario root y la contraseña 1234, etc.

 En el peor o “mejor” de los casos hay algunos equipos que no tienen contraseña de acceso.

Una vez que entramos en el router tenemos a nuestra disposición una utilidad para configurar
los distintos parámetros del mismo.

Encarnación Marín Caballero Página 64 de 64