Escolar Documentos
Profissional Documentos
Cultura Documentos
ÍNDICE
1. INTRODUCCIÓN 4
2. FORMAS DE CONEXIÓN ENTRE ELEMENTOS ACTIVOS Y PASIVOS 5
2.1. Conexión de hubs ..................................................................................................................................... 6
2.2. Conexión de switches ............................................................................................................................. 7
2.3. Conexión de routers ............................................................................................................................... 8
2.4. Conexión de puntos de acceso ............................................................................................................. 8
2.5. Conexión entre dispositivos de red ................................................................................................... 9
3. COMPONENTES DE UN SWITCH 10
3.1. Componentes.............................................................................................................................................11
3.2. Indicadores LED .................................................................................................................................... 12
4. COMPONENTES DE UN ROUTER 13
5. CONFIGURACIÓN DE LA RED 14
5.1. Configuración de equipos ..................................................................................................................... 15
5.2. Configuración del enrutamiento y tablas de encaminamiento ................................................. 18
5.2.1. Elementos de la tabla de rutas 19
9. HABILITACIÓN DE IP EN UN HOST 34
9.1. Estática .................................................................................................................................................... 34
9.2. Dinámica .................................................................................................................................................. 35
9.3. Comparativa ........................................................................................................................................... 37
15.2.2. AES 53
1. INTRODUCCIÓN
Una red es básicamente un grupo de dispositivos conectados con el objetivo de compartir
información y acceso a Internet.
Su configuración y diseño es muy variable porque depende del entorno donde se va a instalar, la
tecnología a emplear, los dispositivos que se van a conectar, la topología de la red a implementar, etc .
La configuración más común suele ser de una red de área local, que básicamente está formada
por equipos conectados (ordenadores, periféricos, electrodomésticos, consolas, etc.) y el hardware de
red necesario (router, switch, cables de red, etc.).
Los dispositivos que ofrecen la posibilidad de trabajo en red se pueden conectar entre sí de
diferentes modos:
Los dispositivos cableados como ordenadores, impresoras, electrodomésticos, etc., incluyen una
tarjeta de red que hay que conectar al router o a un switch, en caso de no disponer de puertos
suficientes. También es posible conectarlos a un adaptador PLC que los comunicará con el router
a través de la red eléctrica.
En algunos modelos de concentrador, la toma Up-Link se comparte con una toma convencional;
en este caso, se dispone también de un botón en el dispositivo que permite conmutar el estado de la
toma entre los modos convencional y Up-Link.
La finalidad de la toma Up-Link es vincular dos hubs para poder extender la red . A esta
operación se la denomina poner los hub en cascada y puede hacerse de dos maneras:
En realidad, la conexión en cascada también podría hacerse vinculando dos tomas RJ-45
convencionales entre sí mediante un cable cruzado , simulando que son tomas Up-Link. Sin embargo, este
método no es recomendable, ya que ocuparía de forma innecesaria dos tomas de los concentradores.
Conexionado tradicional, utilizando latiguillos de cable de par trenzado o fibra óptica, según las
características del switch. Esta técnica puede aplicarse a cualquier modelo de switch, siempre
que tengamos tomas suficientes para ello. En este caso, la vinculación entre switches puede
seguir la topología de estrella (se utiliza un switch como principal, donde se conectan los demás)
o de árbol. Sin embargo, lo más habitual es una topología híbrida, donde algunos switches
pueden llegar a formar anillos.
Conexionado de alta velocidad, utilizando los módulos de alta velocidad que algunos modelos
tienen en su parte trasera. En este caso, el grupo de switches se denomina stack (o pila). Para
interconectar estos switches se utiliza un cable específico, y puede hacerse de dos formas: en
cadena o en anillo (una cadena donde el último switch se vincula con el primero).
Routers rackeables. La interconexión de este tipo de routers se suele hacer a través de cable
de serie. Puede que sea necesario instalar tarjetas de expansión de este puerto; tantas como
routers a los que vaya a ser conectado.
Además, el punto de acceso puede actuar como puente o repetidor. Para ello, es necesario que
integre la tecnología WDS (Wireless Distribution System, Sistema de Distribución Inalámbrico), que
permite la interconexión de este tipo de dispositivos entre sí.
Hay modelos de punto de acceso diseñados para ser colocados a la intemperie. Se trata de
dispositivos con una carcasa capaz de soportar inclemencias meteorológicas , y que disponen de una o
más antenas con mayor potencia. Este tipo de puntos de acceso son habituales en campus o redes
multiedificio, donde es necesario extender la red sin instalar cableado adicional.
3. COMPONENTES DE UN SWITCH
Un switch es un computador de propósito especial que contiene: una CPU, varias áreas de
memoria, puertos para la conexión de equipos y un puerto de consola especializados para administración.
Las características técnicas difieren en cada una de las familias y dependiendo de las
necesidades y tamaño de la empresa serán más convenientes unos conmutadores u otros.
3.1. Componentes
Un switch consta de los siguientes componentes:
Interfaces de conexión. Generalmente los switches presentan un número considerable de
interfaces (entre 24 y 48 interfaces). Cada una de dichas interfaces suele proporcionar
velocidades de 10 Mbps, 100 Mbps o 1 Gbps. Se suelen conectar directamente con equipos,
concentradores o con otros conmutadores utilizando cable de par trenzado con conectores RJ-
45.
Interfaces de alta velocidad (puertos uplink). Los switches suelen incorporar uno o más
puertos uplink, de mayor velocidad que el resto de interfaces y destinados a la conexión con
routers, servidores y otros switches. Dichos puertos suelen ser de 1 Gbps en switches con
interfaces de conexión a 100 Mbps y de 10 Gbps en switches con interfaces de conexión a 1
Gbps.
Interfaces para la administración del switch. Los switches suelen incluir dos puertos para
administración: el puerto de consola y el puerto de gestión Ethernet (MGMT BASET). Ambos
usan conector RJ-45. El puerto de consola requiere el uso de un cable transpuesto (rollover) de
RJ-45 a DB9 para la conexión a un equipo y posterior administración del switch. El puerto de
gestión de Ethernet puede conectarse a un PC directamente con un cable de par trenzado UTP
con conectores RJ-45 en ambos extremos. Algunos switches incluyen un puerto USB a través
del que gestionar copias de seguridad de ficheros de su sistema operativo.
Memorias internas del switch. Al igual que los routers, los switches CISCO disponen de varios
tipos de memoria:
o RAM (volátil). Almacena las instrucciones y datos a ejecutar por la CPU, incluyendo el
sistema operativo (CatOS), que se copia en el arranque del switch, el archivo de
configuración en ejecución (running-config) y la tabla de direcciones MAC. También cuenta
con un buffer donde guardar temporalmente las tramas a retransmitir.
o ROM. Memoria de almacenamiento permanente que almacena datos y software que forma
parte del firmware, como las instrucciones de bootstrap para el arranque inicial del switch,
el POST (software básico de diagnóstico) y una versión muy básica del sistema operativo
para proceder a su carga si no se encuentra otra.
o Flash. Almacena la versión correcta del sistema operativo, que se cargará a memoria RAM
en el proceso de arranque, así como el archivo de datos de configuración config.text.
1) LED del sistema. Muestra si el sistema está recibiendo energía y funcionando correctamente.
2) LED de suministro remoto de energía (RPS). Indica si la fuente remota de potencia está en
uso.
3) LED de modo de puerto. Indica el modo (STAT / UTIL / DUPLX / SPEED) en que se deben
interpretar los LED de estado de puerto. Es decir, dependiendo del modo seleccionado, el
significado del LED de estado de puerto será diferente. Para cambiar de modo basta con
presionar el botón MODO hasta que el LED de modo indique el modo deseado.
a) Modo STAT. En este modo el LED de estado de puerto indica si hay algún dispositivo
conectado al puerto o no.
b) Modo UTIL. El LED de estado de puerto advierte cual es el porcentaje del ancho de
banda total que está siendo utilizado.
4) LED de estado de puerto. Tendrá diferentes significados dependiendo del valor del LED de
modo. Dependiendo del modo, el indicador proporciona una información dependiendo del color
con que se ilumine.
4. COMPONENTES DE UN ROUTER
Aunque la arquitectura exacta depende de cada modelo de router, los principales componentes
coinciden.
En la siguiente figura, se muestran los principales componentes de los routers sobre un modelo
concreto de router CISCO.
Procesador o CPU. Es un microprocesador que ejecuta las instrucciones del sistema operativo:
inicialización del sistema, funciones de enrutamiento y control de la interfaz de red . Los
grandes routers pueden tener varios procesadores.
RAM (memoria de acceso aleatorio). En esta memoria se almacena la información de las tablas
de encaminamiento, se guarda la caché ARP y de conmutación rápida y se mantienen las colas de
espera de los paquetes. Mientras está encendido el router, el archivo de configuración y sus
modificaciones (archivo llamado running-config) se guardan en esta zona de memoria. Esta
memoria pierde el contenido cuando se apaga o reinicia el router. Por lo que antes de apagar o
reiniciar el router habrá que salvar los cambios en el fichero de configuración de arranque
(archivo startup-config). Normalmente, la RAM es una memoria de acceso aleatorio dinámica
(DRAM) y puede actualizarse agregando más módulos de memoria en línea doble (DIMM).
Interfaces. Las interfaces son las conexiones de los routers con el exterior . Hay tres tipos
diferentes de interfaces:
o Interfaces LAN para la conexión con las redes de área local . Pueden tener varios tipos
de puertos para poder así unir redes con diferentes tecnologías como Ethernet, Token
Ring, FDDI, etc.
o Interfaces serial para la conexión con la red de área extensa (WAN).
5. CONFIGURACIÓN DE LA RED
Una vez estudiado los elementos físicos que permiten configurar una red, vamos a centrarnos
en la configuración de los equipos y dispositivos de interconexión para que la comunicación sea
posible.
Máscara de subred. Indica los equipos que están en el ámbito del equipo y que, por tanto, se
pueden comunicar directamente sin necesidad de un router.
Servidor DNS primario. Es el servidor donde se resuelven los nombres de dominio para
convertirlos en direcciones IP. Es imprescindible para acceder a los sitios por sus nombres de
dominio.
Servidor DNS secundario. Tiene la misma función que el primario y se indica por si falla el
primero.
Los dos primeros parámetros son imprescindibles para que el equipo esté en red.
Los tres últimos son necesarios para que el equipo se comunique con otras redes (en
particular, Internet).
Ejemplo: En el sistema operativo Windows sólo hay que elegir la opción “Obtener una dirección
IP Automáticamente”.
Sin ánimo de abordar, en este punto, el servicio DNS diremos que éste es imprescindible para
operar sobre Internet tal y como lo hacemos. El esquema de funcionamiento sería el siguiente:
Rutas directas para redes conectadas localmente. En ese caso, está conectada a la misma red y
se pone como gateway 0.0.0.0.
Rutas indirectas para redes alcanzables vía uno o más routers. Se pone como gateway la IP del
router en el que se delega la búsqueda. Es decir, el próximo salto.
Una ruta por defecto, que contiene la dirección IP de un router que se usa para todas las
direcciones IP que no cubren las rutas directas e indirectas . Se señaliza poniendo en el destino
0.0.0.0.
Ejemplo: En la siguiente red se pueden ver los routers C, D y F que unen las redes
128.10.0.0, 128.15.0.0 y 129.7.0.0.
Destino Gateway
128.10.0.0 0.0.0.0
128.15.0.0 0.0.0.0
129.7.0.0 128.15.1.2
0.0.0.0 128.10.1.1
Máscara de subred. Es la máscara de la red destino. La máscara de subred junto con el destino
de red definen el conjunto de nodos a los que se dirige la ruta.
Puerta de enlace o gateway. Es la dirección IP del router que debe resolver. Si la puerta de
enlace coincide con la red local, el destino se alcanza inmediatamente por alguna de las
interfaces de la red local.
Interfaz. Es la dirección IP o nombre de la interfaz de red por el que se deben enviar los
paquetes de datos para alcanzar la puerta de enlace .
Métrica o coste. Es un parámetro que define el coste telemático que supone enviar el paquete
por esta ruta.
En la columna destino podemos encontrar: la IP destino, la red destino, la ruta por defecto
(0.0.0.0).
En la columna gateway podemos entrar: la IP de otro router si delegamos la búsqueda o difundir
(0.0.0.0) si está en el mismo segmento de red.
2) Se busca en la tabla de encaminamiento una entrada que se corresponda sólo con el ID de red
de destino. Si se encuentra, se envía el paquete al siguiente router indicado o a la interfaz
conectada directamente (depende del flag). Esto permite que todos los hosts de una red
(ejemplo, una red Ethernet local) se gestionen con una sola entrada en la tabla de
encaminamiento.
3) Se busca en la tabla de encaminamiento una entrada “default” (por defecto). Si se encuentra,
se envía el paquete al “router” indicado.
4) Si ninguno de los pasos anteriores tiene éxito, se genera el error “host o red inalcanzable”. Ha
sido imposible entregar el datagrama.
NOTA: Dentro de cada apartado, si existen varias rutas, se elige la que tenga mejor métrica. A
igualdad de métrica se elige la primera.
HOSTNAME.
PING.
ARP.
IPCONFIG.
TRACERT.
NETSTAT.
NSLOOKUP.
ROUTE.
A continuación, se indican los pasos necesarios para conectar un ordenador a una red:
1) Instalar la tarjeta de red y sus drivers.
2) Configurar los componentes de red: protocolo TCP/IP.
3) Configurar una red doméstica o para pequeña oficina: crear un grupo de trabajo.
4) Compartir recursos.
Clientes para redes Microsoft. Es el que permite que un equipo emplee recursos en una red de
Microsoft.
Compartir impresoras y archivos para redes Microsoft. Permite a otros equipos tener acceso
a los recursos de nuestro equipo mediante una red de Microsoft.
Programador de paquetes QoS (Quality of Service o Calidad del Servicio). Es el programador
de paquetes de calidad del servicio. Ofrece control del tráfico de la red y optimiza la
comunicación de equipos en las redes locales.
Protocolo Internet (TCP/IP). Permite configurar el protocolo TCP/IP: dirección IP, máscara de
subred, puerta de enlace predeterminada y servidores DNS.
Estos elementos aparecen en todas las conexiones de red. Si se quiere agregar o modificar
alguno, hay que pulsar en el botón Instalar y se abre otra ventana que permite instalar otro cliente,
servicio o protocolo.
Normalmente, configuraremos el Protocolo Internet (TCP/IP).
Un ordenador en red va a necesitar los siguientes datos: nombre de equipo, nombre de grupo
de trabajo (o dominio), dirección IP, máscara de subred, puerta de enlace y DNS.
Todos los ordenadores tienen que tener un nombre propio que no puede coincidir con el de otro
ordenador, si esto ocurre se produciría un conflicto por el que no podría entrar en red.
Ejemplo: Cambio de nombre de equipo a “palleo” en Windows XP.
Por tanto, el nombre de grupo debe ser el mismo para ordenadores que tengan una relación , por
ejemplo un aula, pero eso no impide que puedan intercambiar información con ordenadores de otros
grupos.
Ejemplo: Creación del grupo de trabajo “Salainfo” con 15 ordenadores y uno para el profesor en
Windows XP.
8.3. Dominio
Existe otro modo de trabajo que es bajo un dominio. En este caso existe un administrador que
está por encima de todos los usuarios y equipos y sólo él tiene la capacidad de compartir los recursos
software o hardware de la red. Puede, además, dar permisos a los diferentes usuarios de conectarse a
Internet o no, o a qué horas o durante cuanto tiempo, puede permitir o denegar el uso de programas o
impresoras y una infinidad de potestades más. Es un modo más profesional y seguro, pero más
complicado de manejar. Requiere que un ordenador sea servidor y esté encendido si se quiere encender
cualquier otro.
Así pues, un dominio es una organización de equipos en la que existe un ordenador con Windows
NT Server configurado como controlador primario de dominio . Este hace las funciones de servidor de
dominio y se encarga de mantener la base de datos de seguridad , que incluye la lista de equipos
pertenecientes al dominio y la lista de usuarios que pueden iniciar sesión en dicho dominio. Además,
este servidor es el encargado de la administración de los usuarios, privilegios y recursos dentro de su
dominio.
Un dominio es, por tanto, una estructura perfectamente organizada de equipos, recursos y
usuarios, mantenida de forma centralizada por un único servidor . Para que un ordenador con Windows
9x pueda establecer conexión con otros sistemas operativos de Microsoft, ya sea punto a punto o
mediante el dominio, es necesario que tenga instalado el cliente para redes Microsoft.
En una red Microsoft, puede utilizarse tanto el protocolo NetBeui como cualquier otro
protocolo que permita instalar la interface NetBIOS (TCP/IP, IPX/SPX).
Ejemplo: Cambio de grupo de trabajo a ser miembro de un dominio “taller” en Windows XP.
taller
28 - 2 = 254 ordenadores
La puerta de enlace deberá ser una IP del rango, ya que de lo contrario nuestro PC no será
capaz de comunicarse con ella y no tendrá acceso a Internet. Lo normal es que todos los PCs de nuestra
red tengan configurada la misma puerta de enlace. Si no sabemos la IP de nuestra puerta de enlace,
podemos verla en otro PC que funcione correctamente la conexión de Internet.
Para saber la dirección IP del router, bajo Windows, abre la consola de comandos
(InicioEjecutar y escribe cmd) y escribe ipconfig
Ejemplo: La dirección IP del router (Default Gateway) es 192.168.1.1 que nos permitirá salir de
la red local para comunicarse con otros equipos.
Ejemplo: Red local conectada con Internet a través del router ADSL (módemrouter).
Red LAN
Clase C
Dirección de red = 192.168.0.0
Dirección de broadcast = 192.168.0.255
Máscara de subred = 255.255.255.0
La puerta de enlace es la dirección IP privada del router y los ordenadores de la red local
pueden tomar cualquier dirección IP que esté entre 192.168.0.1 hasta 192.168.0.253 y no
192.168.0.254, ya que está reservada para el router.
Ejemplo: Tres redes locales conectadas entre sí a través del router ADSL (módemrouter).
Las tres redes son privadas porque la RFC 1918 define que estas direcciones de red están
reservadas para uso privado.
Todos los ordenadores la red 1 tienen como puerta de enlace 10.0.0.1, el cual les permite
conectarse a las otras redes LAN para compartir información.
Los ordenadores de la red 2 tienen como puerta de enlace 172.16.0.1.
8.6. DNS
Los servidores DNS (Domain Name Server, Servidor de Nombres de Dominio) traducen las
direcciones Web que escribimos o accedemos al pulsar sobre los enlaces automáticamente a direcciones
IP. Si no fuera por los servidores DNS, acceder a los sitios Web sería muy tedioso para la mayoría de
personas, pues tendríamos que recordar las direcciones IP de cada sitio Web que queramos visitar.
El DNS a utilizar en la configuración de un ordenador son los nombres de los Proveedores de
Servicios de Internet (ISP) traducidos a números IP. Hay que poner dos: el servidor DNS primario (o
preferido) y el servidor DNS secundario (o alternativo) de un ISP cualquiera (Movistar, Ono), de Google
o de un servidor DNS que se tenga configurado previamente en la red.
Ejemplo: Las direcciones IP de los servidores DNS de Google son 8.8.8.8 (servidor DNS
primario o preferido) y 8.8.4.4 (servidor DNS secundario o alternativo).
Los DNSs preferido y alternativo nos los debe proporcionar la compañía que presta el servicio.
En este caso, Telefónica usa el 80.58.0.33 y el 80.58.32.97. Lo normal es que todos los PCs de nuestra
red tengan configurados los mismos DNSs. Si no sabemos la IP de los DNSs preferido y alternativo,
podemos verlos en otro PC que funcione correctamente la conexión de Internet.
Bajo Linux:
Ejemplo: Basta con escribir “ping 192.0.3.1” desde el ordenador 192.0.3.0 para intentar
acceder al host 192.0.3.1.
El mismo proceso se debe seguir con el resto de los puestos hasta que la respuesta sea
correcta en todos ellos.
8.10. ¿Cómo se puede saber por dónde circulan los mensajes en la red?
Para ver los nodos intermedios por donde circulan los mensajes entre el host origen y el host
destino, se emplea la utilidad tracert, que se ejecuta desde el intérprete de comandos de MS-DOS
(Inicio Todos los programas Accesorios Símbolo del sistema).
El comando tracert se puede ejecutar con un nombre de dominio y una dirección IP.
Ejemplo: tracert www.estacionarmex.com
Regresa el tiempo de conexión de cada uno de los puntos en la ruta que sigue mi ordenador
hasta el destino. Esto puede indicarme si existe algún problema en un punto de Internet. Si no existe
problema de conexión ni de servidor de nombres de dominio DNS, debería de llegarse hasta la “Traza
completa”.
NOTA: La ruta de conexión siempre será diferente entre el origen y el destino, de igual manera
la cantidad de puntos de conexión será diferente en cada caso.
Si la conexión es exitosa a la dirección IP, significa que si hay conexión directa desde la
computadora donde se hace la prueba, hasta el servidor.
9. HABILITACIÓN DE IP EN UN HOST
9.1. Estática
Se asigna la dirección IP, la máscara de subred y el gateway predeterminado correctos al
host de forma manual. También se puede configurar la dirección IP del servidor DNS.
9.2. Dinámica
Un servidor proporciona la información de dirección IP mediante el protocolo de configuración
dinámica de host (DHCP).
Las direcciones distribuidas por DHCP no se asignan de forma permanente a los hosts, sino que
sólo se alquilan por un periodo de tiempo. Si el host se apaga o se desconecta de la red, la dirección
regresa al pool para volver a utilizarse. Esto es especialmente útil para los usuarios móviles que entran
y salen de la red. Los usuarios pueden moverse libremente desde una ubicación a otra y volver a
establecer las conexiones de red. El host puede obtener una dirección IP cuando se conecte el
hardware, ya sea por cables o por LAN inalámbrica.
Ejemplo: DHCP permite a los usuarios móviles el acceso a Internet por medio de Internet
utilizando zonas de cobertura inalámbrica en aeropuertos o cafeterías . Una vez que entra al área, el
cliente de DHCP del portátil contacta al servidor de DHCP mediante una conexión inalámbrica. El
servidor de DHCP asigna una dirección IP al portátil.
Inconveniente: DHCP puede representar un riesgo a la seguridad porque cualquier dispositivo
conectado a la red puede recibir una dirección. Este riesgo hace que la seguridad física sea un factor
importante al determinar si se utiliza el direccionamiento dinámico o manual. Ambos direccionamientos
tienen su lugar en los diseños de red. Muchas redes utilizan tanto el direccionamiento estático como el
DHCP. DHCP se utiliza para hosts de propósitos generales, como los dispositivos de usuario final, y las
direcciones fijas se utilizan para dispositivos de red como gateways, switches, servidores e
impresoras.
Ventaja: El servidor de DHCP asegura que las direcciones IP sean únicas (una dirección IP no
se puede asignar a dos dispositivos de red diferentes de forma simultánea). Usar DHCP permite a los
administradores de red volver a configurar fácilmente las direcciones IP del cliente sin tener que
realizar cambios a los clientes en forma manual . La mayoría de los Proveedores de Servicios de
Internet (ISP) utilizan DHCP para asignar direcciones a los clientes que no necesitan una dirección
estática.
Como lo muestra la siguiente figura, varios tipos de dispositivos pueden ser servidores de DHCP
cuando ejecutan software de servicio de DHCP. En la mayoría de las redes medianas a grandes, el
servidor de DHCP generalmente es un servidor local dedicado con base en un PC.
Con las redes domésticas, el servidor de DHCP se ubica en el ISP y un host de la red doméstica
recibe la configuración IP directamente desde el ISP.
9.3. Comparativa
Por lo general, las direcciones asignadas estáticamente se usan para identificar recursos de
red específicos, como servidores e impresoras de red. También se pueden usar en redes más pequeñas
con pocos hosts.
Sin embargo, la mayoría de los dispositivos host adquieren su información de dirección IPv4
accediendo a un servidor de DHCP. En las empresas grandes, se implementan servidores de DHCP
dedicados que proporcionan servicios a muchas LAN. En un entorno más pequeño de sucursal u oficina
pequeña, un switch Cisco Catalyst o un ISR Cisco pueden proporcionar los servicios de DHCP.
Para poder compartir carpetas entre los ordenadores de una misma red primero se debe quitar
el modo simplificado de compartir en los sistemas operativos basados en Windows. De este modo,
podremos configurar los permisos NTFS y de recurso compartido .
En Windows XP y 7 abra la carpeta Mis documentos, ahora pincha en el Menú Herramientas,
después haga clic sobre Opciones de carpeta. Dentro de la ventana pinchamos en la pestaña Ver y
dentro de la zona Configuración avanzada quite el tilde de la opción “Utilizar uso compartido simple de
archivos” o “Usar el asistente para compartir”. Al final, pulsa sobre el botón Aceptar para guardar los
cambios.
Windows XP Windows 7
El acceso a una carpeta puede estar determinado por dos conjuntos de entradas de permisos:
Permisos de recurso compartido definidos en una carpeta que se hace en la pestaña Compartir.
Permisos NTFS definidos en la carpeta que se hace en la pestaña Seguridad.
Permisos de la carpeta compartida Permisos NTFS
Los permisos de la pestaña Seguridad son permisos NTFS que se establecen en la propia
carpeta o fichero; afectan a todos los usuarios que accedan a esa carpeta, ya sea desde el equipo que la
contiene o desde la red.
Los permisos de la pestaña Compartir son permisos que se asignan a una carpeta compartida , no
se pueden asignar a los ficheros de forma independiente, y sólo afectan a los usuarios que accedan a
través de la red, no a los que accedan desde el propio equipo que comparte la carpeta.
Los permisos de recurso compartido suelen utilizarse para administrar equipos con sistemas de
archivos FAT32 u otros equipos que no utilizan el sistema de archivos NTFS.
En el caso de que tengamos unos permisos diferentes para un usuario o grupo en Seguridad y en
Compartir, ¿qué permisos son los que se aplicarán? Se aplicarán aquellos que sean más restrictivos.
Veamos en esta tabla el efecto de unos permisos y otros:
Cómo se puede ver, suele ser más interesante establecer los permisos más restrictivos en
Seguridad, pues el control es absoluto tanto por red como en local.
Los permisos de recurso compartido y los permisos NTFS son independientes en el sentido de
que ninguno modifica al otro. Los permisos de acceso final en una carpeta compartida se determinan
teniendo en cuenta las entradas de permiso de recurso compartido y de permiso NTFS. Se aplicarán
siempre los permisos más restrictivos.
Los permisos de las carpetas compartidas son aplicables únicamente a los usuarios que se
conectan al recurso compartido a través de la red . No restringen el acceso a usuarios que inicien sesión
localmente en el equipo donde se encuentra el recurso compartido.
Después de crear una carpeta compartida, es posible que deseemos modificar sus propiedades
para finalizar la compartición, cambiar su nombre o cambiar los permisos de los usuarios y grupos.
Pestaña de Compartir.
La siguiente tabla describe las capacidades de los permisos de carpetas compartidas a los
usuarios.
Permisos de compartición.
Denegar prevalece sobre otros permisos. Por eso, es recomendable que únicamente se
denieguen permisos sobre carpetas compartidas cuando deseemos asegurarnos de que determinados
usuarios no tienen acceso a una carpeta compartida. Si denegamos permisos sobre carpetas
compartidas a un usuario, éste no tendrá ese permiso, aunque lo concedamos a un grupo al que
pertenezca dicho usuario. Si simplemente no concedemos el permiso de una carpeta compartida a un
usuario, cuando este usuario se integrase en un grupo con permiso a esa carpeta compartida, obtendría
el permiso.
Importante: En el dominio utilice el grupo Usuarios Autenticados en lugar del grupo Todos para
asignar la mayoría de derechos y permisos. De esta forma, se minimiza el riesgo de acceso no
autorizado.
Dejar de compartirla.
Para que los usuarios tengan acceso a una carpeta compartida en un volumen NTFS, necesitan
los permisos adecuados de NTFS para cada archivo y carpeta además de los permisos de
carpetas compartidas.
Si detiene la compartición de una carpeta mientras un usuario tiene un archivo abierto, éste
puede perder datos. Windows mostrará un cuadro de diálogo informando.
En el cuadro de diálogo Ejecutar, introduzca una ruta UNC en el cuadro Abrir, y haga clic en
OK.
Cuando introducimos el nombre de servidor en el cuadro Abrir, aparece una lista de los nombres
de las carpetas compartidas disponibles.
Conéctese a una unidad de red si desea asociar una letra de unidad y un icono a una determinada
carpeta compartida. Esto facilita la referencia a la ubicación de un archivo en una carpeta compartida.
Para tener acceso a una carpeta compartida que utilizará repetidamente, seleccione la opción de
Conectarse de nuevo al iniciar sesión para conectarse automáticamente cada vez que inicie sesión.
De forma predeterminada, los miembros del grupo Administradores tienen permiso de Control
total para las carpetas compartidas administrativas. No podemos modificar los permisos de carpetas
compartidas administrativas.
La siguiente tabla describe la utilidad de las carpetas compartidas administrativas que 2003
Server proporciona automáticamente.
c) Canal. Es el canal de radio inalámbrica de su red inalámbrica. Podemos elegir entre 11 canales
(EE.UU) y 13 canales (UE), de manera que si tenemos varios routers cercanos escogemos un
canal distinto para cada uno, para que no haya interferencias. Los canales 1, 6 y 11 no se
superponen. Muchas veces los routers vienen configurados con el canal 1, y todos los vecinos de
un edificio están conectados con el mismo canal porque no lo cambian. Podemos escoger, por
ejemplo, el canal 11 para no tener colisiones con el resto de vecinos.
d) Modo. Es para seleccionar el modo de trabajo (802.11 b/g/n) en función de la frecuencia del
canal y la velocidad de transmisión.
NOTA:
Si hay muchas redes inalámbricas en la cercanía, cambia el canal a otro para obtener una mejor
señal.
Sólo el adaptador inalámbrico con tecnología Súper G compatible, el modo puede cambiar a 108
Mbps (802.11g) estático. Es totalmente compatible con dispositivos 82.11b y 802.11g.
Independientemente de las medidas que se adopten para proteger los equipos de una red de
área local y el software que reside en ellos, se deben tomar medidas que impidan que usuarios no
autorizados puedan acceder. Las medidas habituales dependen del medio físico a proteger .
A continuación, se enumeran algunos de los métodos, sin entrar al tema de la protección de la
red frente a ataques o intentos de intrusión desde redes externas, tales como Internet.
Cuando una LAN (Local Area Network, Red de Área Local) se conecta a Internet puede ser
víctima de un ataque informático. La metodología de ataque que generalmente se usa consiste en
analizar la red (mediante el envío aleatorio de paquetes de datos) en busca de un ordenador conectado .
Una vez que se encuentra un ordenador, se busca un punto débil en el sistema de seguridad para
explotarlo y tener acceso a los datos de la máquina.
Vamos a ver varios elementos que contribuyen a la seguridad de la red: el firewall, el proxy, el
túnel VPN y el protocolo IPSec.
14.1. Firewall
El firewall (o cortafuegos) es un sistema que permite restringir el acceso a la red en ambas
direcciones, desde el exterior hacia dentro de la red y desde dentro de la red hacia afuera . Para ello,
filtra los paquetes de datos que se intercambian a través de la red.
Para configurar un cortafuegos, hay que establecer un conjunto de reglas que permiten o
deniegan conexiones.
Ejemplo: Si queremos que todos los equipos de nuestra red (192.168.1.x) puedan navegar
por Internet a través de HTTP, tendremos que abrir el puerto 80 utilizando la siguiente regla:
Puerto Puerto
Regla Acción IP origen IP destino Protocolo
origen destino
Ejemplo: SPI (Stateful Packet Inspection) es un tipo de firewall que examina los paquetes
entrantes de datos para cerciorarse de que corresponden a una petición saliente . Los paquetes de
datos que no fueron solicitados son rechazados.
Se encarga, entre otras funciones, de compartir las conexiones a Internet y de habilitar una
memoria caché con las páginas solicitadas por los usuarios de la LAN, de modo que los accesos
repetidos a la misma página web sean mucho más rápidos.
Los servidores proxy también aumentan la seguridad de la LAN, ya que pueden filtrar páginas
web y programas maliciosos.
14.3. VPN
Una VPN (Virtual Private Network, Red Privada Virtual) consiste en acceder a los recursos
de una LAN desde fuera de ella con una conexión cifrada y segura usando IPSec. A esto se le llama
también túnel VPN.
Esto es útil para que, por ejemplo, los trabajadores de una empresa puedan acceder a discos y
recursos compartidos de la red corporativa de la empresa desde su propia casa , utilizando una red
pública (Internet) como transporte.
Ejemplos:
Una sucursal tiene una conexión VPN con la oficina en la sede central.
Un tele-vendedor tiene una conexión VPN desde su casa a su oficina.
Usando el portátil, un gerente corporativo que está viajando tiene una conexión VPN del
cuarto del hotel a su oficina.
Cuando se utiliza una VPN, se está creando una conexión segura entre su red y otra usando
Internet.
14.4. IPSec
IPSec (Internet Protocol Security) es un conjunto de protocolos cuya función es asegurar las
comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un
flujo de datos.
Los protocolos de IPSec actúan en la capa de red (capa 3 del modelo OSI).
Esto hace que IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la
capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte más usados.
Ejemplo: IPSec puede utilizarse para crear VPNs seguras.
Permite construir una red corporativa segura sobre redes públicas, eliminando la gestión y el
coste de líneas dedicadas.
Ofrece al teletrabajador el mismo nivel de confidencialidad que dispondría en la red local
de su empresa, no siendo necesaria la limitación de acceso a la información sensible por
problemas de privacidad en tránsito.
La seguridad en las conexiones sin cable es muy importante, ya que los datos viajan por el aire.
Para que los datos no viajen por el aire de forma legible, hay que cifrar la comunicación.
15.1.1. WEP
Es el primer sistema de cifrado incluido en el estándar IEEE 802.11.
Está basado en el algoritmo de cifrado RC4 y utiliza claves de 64, 128 ó 256 bits.
Inconveniente: Este algoritmo no es muy seguro y existen programas que rompen este cifrado
en pocos minutos.
Ejemplo: Configuración del router inalámbrico Linksys con seguridad WEP de 64 bits.
15.1.2. WPA
Surgió para corregir las deficiencias del cifrado WEP.
Utiliza el mismo algoritmo que WEP (el algoritmo RC4), pero incorpora un vector de
inicialización de 48 bits, además, distribuye claves diferentes a cada usuario.
Utiliza un servidor RADIUS (Servicio de Usuario de Acceso Telefónico de Autenticación
Remota), que crea de forma aleatoria claves únicas en redes corporativas o gubernamentales ,
Wi-Fi más grandes.
Se emplea para clientes inalámbricos 802.11g.
Ejemplo: Configuración del router inalámbrico Linksys con seguridad WPA-PSK y cifrado TKIP.
15.1.3. WPA2
Es un sistema de cifrado más moderno para proteger las redes inalámbricas.
Está basado en el algoritmo de cifrado AES que utiliza cálculos más complejos que el algoritmo
RC4.
Se emplea para clientes inalámbricos 802.11n.
Ejemplo: Configuración del router inalámbrico Linksys con seguridad WPA2-PSK y cifrado AES.
Ejemplo: Configuración del router inalámbrico Linksys con seguridad WPA-PSK / WPA2-PSK y
cifrado automático.
15.2.1. TKIP
TKIP (Temporal Key Integrity Protocol) es un algoritmo de encriptación que fue
especialmente diseñado para evitar los ataques se producían contra WEP .
TKIP empieza con una clave temporal de 128 bits que comparte entre los clientes y los puntos
de acceso. Combina esta clave temporal con la dirección MAC de cada cliente y añade a su vez un vector
de inicialización para producir la clave final con la que se van a cifrar los datos.
15.2.2. AES
AES (Advanced Encription Standard) es un algoritmo de encriptación por bloques, donde el
tamaño de la clave y del bloque son configurables . Se basa en varias operaciones realizadas en bloques
de datos de 16 bytes.
Actualmente, es más seguro que TKIP.
Abiertas (riesgo). Las redes Wi-Fi abiertas no tienen contraseña, por lo que queda claro que no
se aconseja de ninguna forma.
WEP de 64 (riesgo). El viejo estándar de encriptación WEP es vulnerable y no se debe utilizar.
WEP de 128 (riesgo). WEP con un cifrado de mayor tamaño, pero igual inseguro.
WPA-PSK (TKIP). Éste es básicamente el cifrado estándar WPA o WPA1. Se ha superado y no
es seguro.
WPA-PSK (AES). Éste elige el protocolo inalámbrico WPA con el cifrado más moderno AES.
Los dispositivos que soportan AES casi siempre soportarán WPA2, mientras que los dispositivos
que requieran WPA1 casi nunca admitirán el cifrado AES. Esta opción tiene muy poco sentido.
WPA2-PSK (TKIP). Se utiliza el estándar WPA2 con cifrado TKIP. Esta opción no es segura,
sin embargo, es la mejor opción si se tienen dispositivos antiguos que no soportan una red
WPA2-PSK (AES).
WPA2-PSK (AES). Ésta es la opción más segura. Utiliza WPA2, el último estándar de
encriptación Wi-Fi, y el más reciente protocolo de encriptación AES. Se debe utilizar esta
opción. En los routers con interfaces menos confusas, la opción marcada “WPA2” o “WPA2-PSK”
probablemente sólo utilice AES, ya que es una elección de sentido común.
WPA/WPA2-PSK (TKIP/AES). Esto permite tanto WPA y WPA2 con TKIP y AES. Esto
proporciona la máxima compatibilidad con todos los dispositivos antiguos, sin embargo, aunque
sea una opción habitualmente predeterminada por los routers para evitar problemas con los
dispositivos, es una opción poco aconsejable, ya que termina siendo también vulnerable. Esta
opción TKIP + AES también pueden ser llamada WPA2-PSK modo “mezcla”.
15.4. WPS
WPS (Wi-Fi Protected Setup) es un mecanismo de intercambio seguro de configuración
inalámbrica. Este método permite facilitar la asociación de un cliente inalámbrico (equipo que conecte
con el router y sea compatible con WPS) sin necesidad de introducir la clave inalámbrica en dicho
cliente o tener que emplear complicados procesos de configuración.
Es decir, si nuestro router tiene habilitada la funcionalidad WPS y queremos acceder a nuestra
Wi-Fi, simplemente tenemos que enviarle un código PIN de 8 dígitos para que el router nos permita
acceder a la red inalámbrica. Habitualmente, este código PIN viene escrito en la parte inferior, pero
existen maneras alternativas de averiguarlo usando programas específicos.
Inconveniente: Ofrece una nueva opción para un ciberdelincuente interesado en acceder a una
red inalámbrica, ya que el tiempo que el ciberdelincuente necesita para averiguar un PIN de 8 dígitos es
mucho menor que el que necesita para averiguar la contraseña WPA2 configurada en la red.
Para mantener nuestra red Wi-Fi segura, debemos renunciar a la comodidad de conectarnos
mediante esta utilidad e introducir la contraseña WPA2 cada vez que queramos conectar un nuevo
dispositivo a nuestra red.
Los usuarios no autorizados pueden modificar, destruir o robar datos confidenciales de los
servidores.
Los ataques DoS (Denial of Service, Denegación de Servicio) impiden el acceso de los usuarios
válidos.
Estas dos situaciones hacen perder tiempo y dinero a las empresas.
Ejemplo: Ataque DoS.
Un servidor web está preparado para soportar una cierta cantidad de peticiones o conexiones
simultáneas. Si supera ese límite de conexiones, pueden pasar dos cosas:
La respuesta de las peticiones de los usuarios pueden ser lentas o nulas.
Como ventaja tiene que el administrador de la red puede ver de dónde vienen todos esos
ataques, bloquear esa IP y así el ataque cesa.
Mediante el filtrado de tráfico, los administradores de la red controlan el tráfico de varios
segmentos de la red.
El filtrado es el proceso de analizar los contenidos de un paquete para determinar si debe ser
permitido o bloqueado.
El filtrado de paquetes puede ser simple o complejo, denegando o permitiendo el tráfico
basado en:
Dirección IP de origen.
Dirección IP de destino.
Direcciones MAC.
Dominios.
Protocolos.
Tipo de aplicación.
Ejemplo: El filtrado de paquetes se puede comparar con el filtrado de correo basura. Muchas
aplicaciones de correo electrónico permiten a los usuarios ajustar la configuración para que los correos
electrónicos enviados desde una dirección de origen particular se eliminen automáticamente.
Los dispositivos de seguridad más sofisticados reconocen y filtran los tipos de ataques
conocidos de fuentes externas.
Ejemplo: Los routers empresariales reconocen el tráfico perjudicial e impiden que ingrese y
dañe la red. Casi todos los routers filtran tráfico de acuerdo con las direcciones IP de origen y de
destino de los paquetes. También filtran aplicaciones específicas y protocolos tales como IP, TCP,
HTTP, FTP y Telnet.
Este método tiene como ventaja su sencillez, por lo cual se puede usar para redes caseras o
pequeñas.
Sin embargo, posee muchas desventajas que lo hacen impráctico para uso en redes medianas o
grandes:
No escala bien, porque cada vez que se desee autorizar o dar de baja un equipo, es necesario
editar las tablas de direcciones de todos los puntos de acceso.
Después de cierto número de equipos o de puntos de acceso, la situación se torna inmanejable.
Los routers mediante las listas de control de acceso (en inglés, Access Control Lists =
ACLs) ofrecen un medio de control y bloqueo del tráfico de red.
Ejemplo: Un administrador de red puede permitir que los usuarios locales tengan acceso a
Internet, pero impedir a los usuarios externos el acceso a través de Telnet a la red local.
Proporcionar un nivel básico de seguridad para el acceso a la red. Ejemplo: Las ACLs
pueden permitir que un equipo acceda a una parte de la red y evitar que otro acceda a la misma
área. Es decir, al equipo A se le podría permitir el acceso a la red de Recursos Humanos, y al
equipo B denegarle el acceso a dicha red.
Decidir qué tipos de tráfico se envían o bloquean en las interfaces del router. Ejemplo:
Permitir que se envíe el tráfico de correo electrónico, pero bloquear todo el tráfico de Telnet.
Otorgar o denegar permiso a los equipos para acceder a ciertos tipos de aplicaciones, tales
como FTP o HTTP.
Ejemplo: Cerrar todos los puertos, excepto los puertos TCP 20, 21 y 25, y UDP 69.
Una primera estrategia consiste en definir condiciones donde se indique el tráfico que se
deniega y permitir cualquier otro tráfico que no se ha denegado.
Otra opción es indicar lo que se permite y denegar todo lo demás. Esta segunda estrategia
es mucho más restrictiva que la primera.
La carga adicional sobre el router para verificar todos los paquetes se traduce en menos
tiempo para el reenvío de paquetes.
Las ACL con diseños defectuosos colocan una carga aún mayor sobre el router y podrían
interrumpir el uso de la red.
Las ACL colocadas de forma incorrecta bloquean el tráfico que debe ser permitido y permiten
el tráfico que debe ser bloqueado.
Cambia siempre la contraseña predeterminada. Cualquier persona puede hacer una búsqueda
en Internet y obtener el usuario y contraseña por defecto de un router. Cambia la contraseña
por una de al menos 8 caracteres en los que se alternen letras minúsculas, mayúsculas, números
y algún carácter especial (#&*@).
Nunca se debe usar la opción WPS (Wi-Fi Protected Setup) en los dispositivos que lo
incluyen. Desactivarla siempre, aunque se use WPA2 y una contraseña de 50 caracteres.
Activa el Firewall de Windows para impedir que el malware, como gusanos o troyanos puedan
acceder al ordenador.
Desactiva la difusión del SSID. Si no desactivamos esta opción, cada 10 msg el punto de
acceso propaga el SSID por la red. Si lo desactivamos, solamente las personas que conozcan el
SSID de la red van a poder acceder a ella.
Utiliza el filtrado de direcciones MAC. En una red donde el número de ordenadores que se
conectan es fijo, se pueden guardar sus direcciones MAC en el punto de acceso para que no
puedan acceder ordenadores con distintas MAC.
Busca el canal perfecto para nuestra red Wi-Fi. Cuando la red Wi-Fi no ofrece toda la
velocidad que se esperaba (el rendimiento es bajo) se debe a la saturación de canales que se
pueden dar en nuestro entorno. Para evitar este problema, lo más fácil es fijarnos en los
canales más usados por otras redes Wi-Fi a nuestro alcance para usar el canal más libre
utilizando mediante una aplicación como puede ser WiFi Analyzer para Android.
En primer lugar, tendrás que acceder a la interfaz de configuración del router a través de un
navegador web.
Estos ajustes de configuración están disponibles desde cualquier dispositivo conectado en red
local.
3) Sólo hay que introducir la dirección IP del router en la barra de dirección del navegador web y
pulsar Enter.
Ahora, que has accedido con éxito vía web al panel de configuración del router, cabe aclarar
que cada fabricante crea su propia interfaz y éstos pueden variar de un modelo a otro.
Otra forma es consultar el sitio web www.routerpasswords.com que muestra los usuarios y
contraseñas predeterminadas de muchos routers. Para ello, se necesita saber el fabricante y
modelo de tu equipo.
Por defecto, cuando viene de fábrica podemos entrar como usuario: admin y contraseña: admin,
pero luego conviene cambiarla, por seguridad.
También la contraseña para muchos routers es el usuario admin y la contraseña password o bien
el usuario root y la contraseña 1234, etc.
En el peor o “mejor” de los casos hay algunos equipos que no tienen contraseña de acceso.
Una vez que entramos en el router tenemos a nuestra disposición una utilidad para configurar
los distintos parámetros del mismo.