Curso Gratis de Redes – Capitulo 7 – Diseño seguro de redes

por | Ene 11, 2024 | Redes | 0 Comentarios

Bienvenido al Curso Gratis de Redes – Capitulo 7 – Diseño seguro de redes, nos sumergimos en el fascinante mundo del “Diseño Seguro de Redes”. Exploraremos las estrategias esenciales para construir arquitecturas digitales robustas desde cero, garantizando no solo conectividad eficiente sino también una sólida defensa contra las amenazas cibernéticas. Prepárate para esculpir un entorno de red impenetrable.

¿Te gustaría enterarte de cuando lanzamos descuentos al Máximo o Nuevos Cursos?

La “alta disponibilidad” va más allá del 99%. Este 1% de tiempo de inactividad equivale a 83 horas al año. La alta disponibilidad se refiere 99,999% del tiempo funcionando, con menos de 5 minutos de caída al año. Existe una medida estándar del nivel de disponibilidad:

Disponibilidad = TMEF / (TMEF + TMR)

TMEF: Tiempo Medio Entre Fallos

TMR: Tiempo Medio de Reparación.

Se requiere tratar de evitar una serie de posibles problemas lógicos, físicos y organizativos.

Problemas lógicos:

  • puntos únicos de fallo en las redes.
  • paradas necesarias para actualizaciones.
  • periodos largos de re arranque o conmutación
  • sistemas no suficientemente probados.

Los Problemas organizativos:

  • tiempos excesivos de reparación de hardware y software.
  • problemas operacionales y de procedimientos.

Problemas físicos:

  • condiciones medioambientales poco apropiadas.
  • desastres naturales: terremotos, ciclones, etc.
  • accidentes, como incendios, derrumbamientos, etc.

Utilizaremos el modelo OSI como marco de referencia, comenzando con el análisis de los problemas en el nivel físico de OSI y ascendiendo a través de las capas del modelo hasta llegar al nivel de aplicaciones.

Características básicas y clásicas para mejorar la disponibilidad:

  • Unidades de disco redundantes.
  • Sistemas operativos tolerantes a fallos.
  • Copias de seguridad de los datos.
  • Plan de recuperación ante posibles desastres

Se realizará un análisis de las necesidades de disponibilidad en las redes de almacenamiento de datos (SAN – Storage Area Networks) y se examinarán las necesidades de alta disponibilidad para dispositivos específicos de seguridad. Al analizar los niveles del modelo OSI, se observan dependencias y posibles mejoras por la relación entre cada uno de los niveles.

Diseño de soluciones de alta disponibilidad

La alta disponibilidad es una necesidad, no un lujo. En este ciclo, siguiendo enfoques de Cisco o Nortel, se pueden distinguir 4 fases:

  1. se identifica una tecnología nueva y necesaria y se implementa. Ej: el correo electrónico o en el comercio electrónico.
  2. Debe llegar a toda la organización. Puede que se necesiten más ancho de banda y otros conmutadores.
  3. Aplicar servicios a esa nueva tecnología. servicios de administración, seguridad, aplicaciones nuevas y tener en cuenta cuestiones de políticas de rendimiento, calidad de servicio y contabilidad
  4. Construir una infraestructura de administración utilizando marcos ITIL y estándares como ISO/IEC 20000 que garantizan guías para implementar y mantener procesos de gestión de capacidad, disponibilidad y continuidad.

Para lograr una red de alta disponibilidad se suele utilizar herramientas de casi todos los niveles del modelo OSI, desde la redundancia del nivel físico hasta las aplicaciones de gestión de red.

El modelo de referencia OSI

El objetivo: asumiendo cualquiera de los posibles escenarios de problemas, la capacidad de un usuario de acceder a los servicios que necesita para realizar su trabajo debe ser permanente. Si se piensa en la infraestructura de la red como el conjunto de los dispositivos y aplicaciones y que cualquiera en cualquier nivel OSI, puede fallar, se define el camino que se debe analizar para identificar problemas y solucionarlos

Los problemas de infraestructura y soluciones

El diseño de una infraestructura sólida del nivel físico es vital. Se debe mantenerlos encendidos mediante fuentes de alimentación duales que comparten la carga. Si una fuente falla, la otra continúa suministrando energía.

Sistemas de alimentación ininterrumpida (SAI/UPS). Si ocurre un corte de energía el SAI permite mantener la integridad del servicio. También protege los equipos contra fluctuaciones de tensión, regulando la intensidad de la corriente y eliminando sobretensiones o compensando reducciones de tensión.

inteligencia distribuida: ningún componente dentro de una “caja”, que realiza una función específica, debe depender de otros componentes dentro de la misma “caja”. cada elemento dentro de un sistema es independiente de los demás. Se establece un diseño distinto para el núcleo y los extremos de la red. En el diseño del núcleo, el centro de datos y los dispositivos de red se implementan utilizando sistemas redundantes.

Además, se puede agregar más redundancia mediante métodos como el “dual-homing” (sistemas con dos tarjetas de red) y caminos alternativos.

Acceso redundante al núcleo de la red

Métodos de redundancia del hardware:

  • dispositivos físicos, por ejemplo, dos o más encaminadores proporcionando servicios a los mismos usuarios, usando protocolos como el VRRP (Virtual Router Redundancy Protocol).
  • Agregación de enlaces, mediante protocolos como el IEEE 802.3ad. este protocolo sirve para aumentar la disponibilidad del ancho de banda entre dispositivos y da redundancia. si falla un enlace, el resto continúa pasando datos, aunque sea a una velocidad menor.

La capacidad de ofrecer múltiples caminos de datos abarca todos los niveles del modelo OSI, incluyendo no solo entornos típicos de LAN, sino también de WAN o MAN.

Los problemas en el nivel 2 de OSI y soluciones

La clave es aprovechar las características de la infraestructura y aumentar la disponibilidad del sistema sin propagar mensajes de broadcast. El problema no radica en la velocidad de los mensajes broadcast, sino en la existencia de un único camino de datos por el cual pueden viajar los mensajes. Para solucionar el problema de caminos con bucle, el protocolo más utilizado es el STP (Spanning Tree Protocol) que permite la existencia de bucles físicos

Factores relacionados con el STP que hay que tener en cuenta:

  • El tiempo de recuperación tras un fallo de un dispositivo y que tarda el STP en re-converger
  • añadir o eliminar un equipo de la red.
  • puesta en marcha o la eliminación de un enlace en la red.

Los cambios en la topología de una red STP pueden deberse a diversos factores. La convergencia de la red se basa en una serie de temporizadores ajustables que, en algunos casos, pueden resultar demasiado largos.

Estándar 802.1w, protocolo de re-convergencia rápida, permite que las redes se re-converjan en un segundo tras cambios en la topología. Esto se logra cambiando entre estados de puerto blocking y forwarding

El protocolo IEEE 802.1s, conocido como STP múltiples, permite crear varios árboles ST, lo que reduce significativamente la exposición de la red a problemas de convergencia en caso de fallos o durante el mantenimiento de sistemas.

Los problemas en el nivel 3 de OSI y soluciones

Los protocolos de encaminamiento adaptativo de IP permiten que los encaminadores conozcan dinámicamente su entorno local y compartan esta información con sus vecinos facilitando determinar el mejor camino entre estaciones. Hay dos tipos principales de encaminamiento adaptativo distribuido:

basados en algoritmos de vector-distancia (como RIPv1 o IGRP)

basados en algoritmos de estado de enlace (como OSPF o IS-IS).

​​​​​

¿Qué sucede cuando falla un encaminador?

El impacto de un encaminador que falla en la red depende de su ubicación y de qué otros dispositivos lo están usando. Si la red está diseñada para ser de alta disponibilidad, otro encaminador tomará el relevo y se recalculará la nueva ruta. Si el encaminador que falla está en el backbone, el resultado puede ser catastrófico. En redes que solo tienen un encaminador por defecto, perder dicho encaminador significa que la red queda completamente aislada.

Para eliminar en estas topologías el único punto de fallo, se ha desarrollado el VRRP (Virtual Router Redundancy Protocol) que utiliza dos encaminadores físicos. Uno en funciones de master y el otro de backup, configurados como un único encaminador virtual, con una única dirección IP «virtual» para los dos. En el ejemplo, los encaminadores A y B forman dos encaminadores virtuales, EV-1 y EV-2.

El encaminador A es el master y el encaminador B es el backup, dentro del EV-1. En el caso del EV-2, los papeles están cambiados, siendo el encaminador B el máster y representando el encaminador A, el papel de encaminador de backup. Con esta configuración ambos encaminadores están trabajando y enviando tráfico.

HSRP 

(Hot Standby Router Protocol) es un protocolo desarrollado por Cisco que permite establecer un encaminador por defecto de alta disponibilidad. Se utiliza en conjunto con los protocolos de encaminamiento OSPF o EIGRP. HSRP envía mensajes multicast de tipo “hello” a direcciones específicas usando el puerto 1985  para definir la prioridad de los encaminadores.

El encaminador con mayor prioridad actuará como encaminador virtual, respondiendo a las solicitudes ARP de las máquinas conectadas a la LAN. En caso de fallo, el encaminador de prioridad más alta siguiente tomará el lugar del primero, permitiendo un failover transparente del encaminador por defecto.

Consideraciones para el resto de los niveles OSI

  • La latencia puede afectar negativamente a los datos que circulan por la red, provocando que las aplicaciones no sean capaces de ofrecer el servicio adecuado al no recibir información crítica a tiempo.
  • Las políticas de gestión de niveles se implementan para evitar problemas en la red, ofreciendo diferentes niveles de servicio a sus componentes.
  • Estas políticas clasifican el tráfico de la red, paquete por paquete, y según la clasificación de los datos, se utilizarán una acción específica o un nivel de servicio determinado
  • Es necesario utilizar dispositivos de red capaces de reconocer y priorizar diferentes tipos de tráfico, tomando acciones según la información de niveles superiores e inferiores.
  • En el contexto de alta disponibilidad, la clasificación de paquetes puede basarse en un puerto físico, dirección de nivel 2 o 3, o información del nivel 4.
  • Según esta clasificación, se aplica una política, como gestión de VLAN, calidad de servicio o gestión del ancho de banda, etc., antes de enviar el paquete a la red.

Consideraciones para el almacenamiento en red: SAN (Storage Area Networks) 

Componentes para una infraestructura de almacenamiento de alta disponibilidad:

  • Tecnología de discos RAID.
  • Múltiples copias de discos en un sistema cluster o granja de servidores.
  • uso de clusters a distancia.
  • redes de área de almacenamiento o SAN.
  • copias de seguridad fiables.

La arquitectura SAN permite configuraciones de alta disponibilidad a nivel organizacional, siendo escalables para crecer junto con la organización.​​​​​​​

tres aspectos críticos en el subsistema de almacenamiento:

  • Protección de los datos.
    • Memorias secundarias (caches) redundantes: Permiten que los datos se almacenen en una caché en lugar del disco, reduciendo la latencia. Al utilizar dos cachés en espejo, de manera que si una falla, los datos no se pierden.
    • Discos RAID: Mejora la disponibilidad de datos brindando protección y acceso. Existen diferentes niveles de RAID:
      • RAID 1 (copia de datos en 2 o más discos)
      • RAID 5 (distribución de datos en 3 o más discos con información de paridad) dan disponibilidad adicional en caso de fallo de disco.
    • Replicación de los datos: Se utiliza para protegerse contra un fallo del subsistema de almacenamiento completo.
      • de manera síncrona, dentro de un centro de datos local, con muy poco impacto sobre el rendimiento de las aplicaciones
      • de manera asíncrona, a largas distancias. La replicación puede realizarse mediante el propio subsistema de almacenamiento a través de una aplicación externa.
  • Conectividad del subsistema.
    • Interfaces redundantes. Cada unidad lógica de disco debe estar accesible a través de varias interfaces
  • Redundancia hardware del subsistema.​​​​​​​
    • Redundancia de la alimentación.
    • Redundancia de controladoras. Las soluciones de alta disponibilidad cuentan con controladores dobles, de manera que si una falla, la otra puede seguir teniendo acceso a los datos almacenados en el sistema.
    • sistemas RAID+ spare: sistemas RAID que “cambia” de manera automática un disco en caso de fallo

Consideraciones para los dispositivos de seguridad

La alta disponibilidad en dispositivos de seguridad de una red a menudo no se aborda debido a su elevado costo. Pero si todo el tráfico pase por un cortafuego, el fallo de este aislará la red del resto del mundo

Se debe considerar dos cortafuegos, de modo que, si uno falla, el otro lo reemplace rápidamente, restableciendo la seguridad y tráfico.  Es ideal que ambos cortafuegos sean del mismo modelo para asegurar un funcionamiento óptimo.

roles para los cortafuegos:

El primario es el activo que realiza las operaciones normales

El secundario está en reserva, listo para tomar el control si el primario falla. Al ocurrir un fallo, el secundario se convierte en el activo y el primario pasa a reserva.

Tipos de procesos de redundancia:

  • El proceso estándar de redundancia, en el que ambos cortafuegos están conectados entre sí mediante un cable especial, propietario, llamado cable de recuperación, que suele ser de longitud corta.
  • El proceso basado en LAN, que usa una interfaz LAN de cada cortafuego y un conmutador entre ambos, evitando así la limitación de distancia anterior.

tipos de proceso de recuperación:

  • normal: las conexiones TCP existentes se pierden y las aplicaciones deben reconectarse para restablecer las comunicaciones. ofrecen redundancia PERO no garantizan una pérdida cero de conectividad.
  • completa: Proporciona redundancia y conectividad completa en caso de fallos al mantener la información de estado de las tablas de conexión de los cortafuegos, evita la pérdida de conexiones y elimina la necesidad de reconexión.

COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación.

Lee nuestra Guía Completa:

Al concluir este capítulo dedicado al “Diseño Seguro de Redes”, te hemos capacitado para forjar una infraestructura digital resiliente. Para complementar puedes tomar nuestro curso: http://achirou.com/firewall-pfsense en donde aprenderas desde la planificación hasta la implementación, cada aspecto del diseño se centra en la seguridad. De esta manera puedes enfrentar los desafíos cibernéticos con confianza, asegurando una experiencia de red que está a la altura de los estándares más rigurosos de seguridad.

No te detengas, sigue avanzando….

Aquí tienes un propósito para este 2024 que debes considerar seriamente: si has querido mejorar tus habilidades en redes, hacking y seguridad cibernética pero nunca lo has logrado, ahora es definitivamente el momento de dar el siguiente paso. Nuestros cursos. ¡Desarrolla tus habilidades aprovechando nuestros cursos a un precio increíble! Aprende Redes y Hacking y avanza en tu carrera.

Firewall: Pfsense. Instalación y configuración con Práctica

Calificación: 4,4 de 54,4 (463 calificaciones) 22.986 estudiantes Creado por Alvaro Chirou • 1.800.000+ Enrollments WorldwideWalter Coto || +440,000 Estudiantes

Implementa Pfsense desde 0. Aprenderás lo necesario de redes para instalar un firewall y brindar Seguridad a tu Red: http://achirou.com/firewall-pfsense

Lo que aprenderás

  • Implementar PFSense para aumentar la Seguridad de una Red
  • Configurar PFSense
  • Administrar PFSense
  • Qué es un Firewall
  • Qué es PFSense
  • Crear Usuarios y Grupos, con Permisos para cada uno
  • Configurar el DHCP de PFSense
  • Conectarse por medio de SSH
  • Usar PFSense como un Servidor Proxy
  • Limitar Ancho de Banda de una Red
  • Interceptar y Manipular tráfico HTTP y HTTPS
  • Controlar Accesos a la Navegación
  • Realizar conexiones Seguras desde fuera de PFSense
  • Instalación de Windows Server
  • Configuración de Active Directory en Windows Server
  • Configuración de Dominio en Windows Server
  • Conocimientos de Redes necesarios para realizar el Curso
  • SquidGuard: Instalación y configuración
  • Integraremos Squidguard con Windows Server Active Directory
  • Integración de Squid Proxy con Windows Server Active Directory
  • pfblockerNG: Instalación y configuración

El manejo de Firewall para proteger nuestra información, la red, servidores y computadoras es hoy una de las mayores demandas del mercado ya que todo se encuentra digitalizado a través de redes.

Pfsense es un Firewall Open Source y Gratuito que lleva años de uso y de mejora permanente.

La documentación oficial de esta herramienta cuenta con casi 700 paginas donde toda esta información, te la enseñamos en esta formación profesional en español y formato video, con Práctica.

Contar con el conocimiento de esta herramienta puede ampliar significativamente tus oportunidades laborales, ya que es muy valorado a nivel redes y seguridad.

Te enseñaremos las bases, todo lo que necesitas saber desde 0, acompañándote en tu crecimiento hasta llegar a aprender como implementar este Firewall, e inclusive, montar un laboratorio e instalar un windows server para integrarlo con Pfsense.

¡Inicia ahora este curso!

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre los autores

Álvaro Chirou

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 1.800.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes serguirme en mis redes:

Laprovittera Carlos

Soy Laprovittera Carlos. Con más de 20 años de experiencia en IT brindo Educación y Consultoría en Seguridad de la Información para profesionales, bancos y empresas. Puedes saber más de mí y de mis servicios en: laprovittera.com. Seguime en mis redes:

¿Quieres iniciarte en hacking y ciberseguridad pero no sabes por dónde empezar? Inicia leyendo nuestra guia gratuita: https://achirou.com/como-iniciarse-en-ciberseguridad-y-hacking-en-2024/ que te lleva de 0 a 100. Desde los fundamentos más básicos, pasando por cursos, recursos y certificaciones hasta cómo obtener tu primer empleo.

Cómo Iniciarse en Hacking y Ciberseguridad en 2024

Cómo Iniciarse en Hacking y Ciberseguridad en 2024

Continúa leyendo:

Curso Gratis de Redes – Capitulo 8 – Cómo Resolver Problemas de Red

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *