política y proceso para la creación de nuevos segmentos de red

Política y Proceso

para la Creación

de Nuevos

Segmentos de Red

Contenido Introducción .................................................................................................................................................. 2

Objetivo General ........................................................................................................................................... 2

Objetivos Específicos.................................................................................................................................... 2

Alcance ......................................................................................................................................................... 2

Políticas a Seguir .......................................................................................................................................... 2

Procedimiento ............................................................................................................................................... 2

Creación de Interfaz VLAN ....................................................................................................................... 2

Creación de Reglas de Access-List .......................................................................................................... 2

Activación de Reglas de Access-List en nuevo segmento de red ............................................................ 2

Configuración de protocolo VRRP para redundancia de Gateway de Red .............................................. 2

Configuración de publicación de segmento de red en OSPF ................................................................... 2

Asignación de VLAN a puerto de usuario ................................................................................................. 2

Proceso .................................................................................................................................................... 2

Diagrama de Flujo .................................................................................................................................... 2

Control de Versiones .................................................................................................................................... 2

Conclusiones ................................................................................................................................................ 2

Recomendaciones ........................................................................................................................................ 2

Glosario ........................................................................................................................................................ 2

27-5

-202

1

Política y Proceso para la Creación de Nuevos Segmentos de Red

1

Es indudable el impacto social, económico y cultural que ha generado la tecnología en nuestros

tiempos, donde cada vez la sociedad se vuelve más dependiente de ésta, y es que, sus aportes

al desarrollo humano hasta ahora son valorables.

Bajo este panorama, los negocios empresariales no son ajenos a su influencia y utilidad como

herramienta de desarrollo y eficiencia. Hoy en día las computadoras, los softwares, los protocolos

y equipos de comunicación, deben estar correctamente implementados y configurados, de tal

manera que, todos ellos trabajen de una forma armoniosa, maximizando así sus funciones de

trabajo.

Desde un enfoque empresarial podemos decir que esta comunicación entre distintos dispositivos,

equipos, personas, etc., se traduce en un gran sistema de redes, redes de datos que vienen siendo

planificadas e instaladas de acuerdo a las necesidades de cada organización o empresa.

Hoy en día no existe manera de evadir el hecho de que las redes se vuelven cada vez más

vulnerables. Todo proceso, mejora o configuración puede contribuir o perjudicar a la seguridad de

la red. La segmentación de red es una de las actividades que más importancia tiene hoy en día, si

queremos contar con una red íntegra y segura para todo aquel que necesite acceder a ella, esto

es lo que debes tener en cuenta.

La segmentación de red no debe implicar la simple división de una red en pequeñas o medianas

red, sino también debe cumplir con la necesidad de responder a las necesidades de la

organización que depende de la red para operar. Tiene que ver con las principales preguntas,

dónde, cómo y qué.

Es por ello que, en este apartado se presentará un conjunto de lineamientos o políticas para el

proceso que se encarga de dividir la red en pequeñas redes, con el propósito de mejorar el

rendimiento de la red, y, sobre todo, sus condiciones de seguridad, es decir, mejorar la Gestión de

Redes en general.

Introducción

27-5

-202

1


2

Objetivo General

Objetivos Específicos

Definir políticas claras para una correcta Gestión de

Redes, en la exclusividad del proceso de la creación

de nuevos segmentos de red y la documentación de

los mismos. Políticas que deben seguir los

colaboradores del Departamento de Informática de

la Corporación Financiera Internacional S.A.

(COFINTER).

Implementar una Política basada en buenas prácticas,

como proceso en la Gestión de Redes.

Definir los lineamientos generales aplicables al

proceso de la creación de nuevos segmentos de red,

garantizando así la disponibilidad continua y

permanente, 24/7, de los servicios de red.

Promover el uso adecuado de los materiales y activos

tecnológicos de la Corporación Financiera

Internacional S.A. (COFINTER), para una eficiente

Gestión de Redes.

27-5

-202

1


3

La presente Política para la Creación de nuevos segmentos de red es una parte esencial de la

empresa, está encargada de garantizar la disponibilidad continua y permanente de los servicios

de red (Correo electrónico, internet, aplicaciones, recursos compartidos).

Es así que, en la actual Política se establecerá el proceso detallado para la creación de nuevos

Segmentos de Red, asimismo, se reglamentará que para la creación de un nuevo segmento de

red deberá obligatoriamente quedar documentado.

Queda claramente concertado que dicha Política va dirigida a todos los responsables de

administrar, liderar, gestionar e interactuar con la infraestructura tecnológica y/o que tengan

cualquier relación con la Gestión de Redes, la misma deberá ser conocida y de obligatorio

cumplimiento.

Finalmente, dicha Política para la Creación de nuevos segmentos de red representa un apoyo

técnico para el desarrollo normal de las responsabilidades y funciones del área de Informática en

lo que respecta al proceso mismo. El hecho de disponer de material escrito permitirá contar con

una fuente de consulta automatizada, concreta y uniforme para la toma de decisiones, delimitación

de responsabilidades e identificación de canales de autoridad y comunicación.

Alcance

27-5

-202

1


4

La presente política define cada uno de los pasos a seguir en la creación del Proceso de la

Creación de Nuevos Segmentos de Red, así como las responsabilidades de cada uno de los

involucrados en dicha tarea.

1. El Departamento de Informática es el responsable de dar seguimiento a los servicios de

la creación de nuevos segmentos de red, de acuerdo al contrato establecido.

2. La Unidad de Informática deberá monitorear cada uno de los segmentos de red, ya una

vez creados, durante un tiempo máximo de 72 horas y si se presenta alguna falla se

notifica nuevamente a la empresa.

3. El área de informática es la encargada de la supervisión y constatación de la creación de

nuevos segmentos de red.

4. La empresa contratada para tal fin es la responsable de documentar cada proceso de

creación de nuevos segmentos de red, tal documentación deberá ser de carácter

obligatoria.

5. La Unidad de Informática deberá firmar de conformidad los reportes de servicio de

creación de nuevos segmentos, cuando éstos hayan sido terminados y se haya verificado

su funcionalidad.

Políticas a Seguir

27-5

-202

1


5

La creación de nuevos segmentos de red integra las configuraciones de interfaces VLAN, reglas

de Access-List, protocolo de redundancia de Gateway y la publicación de las rutas a nivel de red,

tanto en el switch principal como en el redundante. En esta sección se definen los procedimientos

puntuales para la creación de nuevos segmentos de red para usuarios de COFINTER:

Este procedimiento se debe ejecutar en ambos switches, principal y redundante, y se debe cuidar

la diferencia en los parámetros de configuración en cada uno de ellos:

Ilustración 1 - Configuración de Interfaz VLAN en Switches principal y secundario

Procedimiento

Creación de Interfaz VLAN 1

27-5

-202

1


6

En ambos switches:

➢ Se debe asignar un id/número de VLAN nuevo que no haya sido utilizado antes.

➢ Se debe asignar un segmento de red nuevo que no haya sido utilizado antes. En este

ejemplo se asignará el segmento: 192.168.21.0 255.255.255.0

➢ La máscara de red se configura como 255.255.255.0, dejando disponible una red para

253 usuarios.

➢ En ninguno de los switches se utilizará la primera dirección IP disponible en el segmento

asignado debido a que ésta se reserva para la configuración del protocolo VRRP (Virtual

Router Redundancy Protocol), que funciona para configurar la redundancia de Gateway

de red en los segmentos de red de COFINTER.

En switch principal:

➢ La dirección IP de la interfaz VLAN en el switch principal siempre debe ser la segunda IP

disponible del segmento. En el ejemplo presentado la segunda IP disponible es la

192.168.21.2.

27-5

-202

1


7

En switch secundario:

➢ La dirección IP de la interfaz VLAN en el switch secundario siempre debe ser la tercera IP

disponible del segmento. En el ejemplo presentado la segunda IP disponible es la

192.168.21.3

Todo segmento de red debe ser asociado a una serie de reglas que permite filtrar el tráfico que

éste consumirá. Las Access-List permite agregar una capa de seguridad del lado del acceso del

usuario, teniendo la capacidad de filtrar por dirección IP de origen/destino y puerto lógico a

consumir. Este proceso debe ser ejecutado en ambos switches, principal y secundario:

Ilustración 2 – Configuración de reglas de Access-List

2 Creación de Reglas de Access-List 2

27-5

-202

1


8

En ambos switches:

➢ Es necesario crear las reglas en la Access-List “ACL_Cofinter”.

➢ Las reglas deben ser creadas iguales en ambos switches.

➢ En el ejemplo mostrado en la Ilustración 2, se definen reglas que permiten el tráfico

entrante desde cualquier ubicación en la red “any” hacia la red 192.168.21.0, a través de

los puertos 8080, 443 (https), 5358, 9090, 9100 y 7680.

➢ Las reglas varían de acuerdo a las necesidades de cada segmento, por lo que las reglas

creadas para segmentos anteriores pueden ser diferentes a las reglas creadas para

segmentos nuevos.

➢ El tamaño del segmento de red en las reglas de Access-List no es definido a través de

Máscara de Red, sino a través de la wildcard del segmento en cuestión.

27-5

-202

1


9

Una vez que las reglas de Access-List han sido configuradas, es necesario declarar en la

configuración de la interfaz VLAN que la Access-List “ACL_Cofinter” será utilizada para filtrar el

tráfico:

Ilustración 3 – Declaración de Access-List en interfaz VLAN

En ambos switches:

➢ Se debe declarar en la configuración de la interfaz VLAN la activación de las reglas de

Access-List, esto se realiza por medio del comando marcado en rojo de la Ilustración 3.

➢ Debido a que la Access_List tiene el mismo nombre (ACL_Cofinter) en ambos switches,

principal y secundario, el comando utilizado en ambas configuraciones es el mismo.

Activación de Reglas de Access-List en nuevo segmento de red 3

27-5

-202

1


10

El protocolo VRRP es el que protege el Gateway de red ante la caída de uno de los switches de

acceso. El VRRP utiliza la primera dirección IP disponible del segmento de red asignado como

una IP virtual que será accesible para todos los usuarios de ese segmento de red. Los switches

principal y secundario, a pesar de tener configurada la segunda y tercera dirección disponibles en

su interfaz VLAN, siempre mostrarán a los usuarios la dirección virtual del protocolo VRRP como

Gateway de red:

Ilustración 4 - Configuración de protocolo VRRP

En ambos switches:

➢ Se debe asignar un id/número de protocolo VRRP para cada VLAN. Como buena práctica,

se recomienda asignar el mismo id/número que se asignó para la interfaz VLAN.

➢ Se debe configurar la primera IP disponible del segmento de red, ésta será la dirección IP

que los switches mostrarán a los usuarios como Gateway de red. En este ejemplo, la

primera IP disponible del segmento es la 192.168.21.1

Configuración de protocolo VRRP para redundancia de Gateway de Red 4

27-5

-202

1


11

➢ No se debe configurar una máscara de red en el protocolo VRRP.

➢ El parámetro “priority” equivale a la prioridad que el protocolo VRRP establece a cada

switch para funcionar como Gateway de red principal y secundario. El equipo que tenga

el valor de “priority” más alto será el que funcione como Gateway de red principal.

En switch principal:

➢ Se debe configurar el parámetro “priority” con el valor de 150. Esto asegura al protocolo

VRRP, que el switch principal será por medio de cual los usuarios logren acceder a la red.

En switch secundario:

Al no configurar el parámetro “priority”, éste se autoconfigura a “100” como su valor por defecto,

siendo este más bajo que el configurado en el switch principal, y dejando al switch secundario

como Gateway de red secundario en el protocolo VRRP.

27-5

-202

1


12

Debido a que el segmento de red es nuevo y aún no ha sido anunciado a los demás equipos de

red, es necesario declarar el nuevo segmento en el protocolo OSPF:

En ambos switches:

➢ Se debe agregar el segmento de red en el protocolo OSPF de ambos switches.

➢ El protocolo OSPF requiere que el segmento de red y el tamaño del segmento de red para

poder ser agregado su dominio OSPF.

➢ Se debe configurar el segmento de red completo, utilizando su id de red (192.168.21.0), y

el tamaño de red se debe configurar utilizando la wildcard que corresponde a su máscara

de red (0.0.0.255).

➢ Se debe publicar el segmento en el área preexistente del dominio OSPF. El área que ya

existe es el área 0.

Configuración de publicación de segmento de red en OSPF 5

Ilustración 5 - Configuración de protocolo VRRP

27-5

-202

1


13

Para que los usuarios puedan acceder al nuevo segmento de red, es necesario que la VLAN sea

asignada al puerto físico del switch que el usuario tiene asignado:

Ilustración 6 - Asignación de VLAN a puerto físico

En ambos switches:

➢ Se debe asignar la VLAN en modo “acceso” a un puerto físico con el comando mostrado

en la Ilustración 6.

➢ Este comando debe ser aplicado en todos los puertos que sean asignados a un usuario

específico, en ambos switches (principal y redundante).

Asignación de VLAN a puerto de usuario 6

27-5

-202

1


14

No. Nombre de la Actividad Descripción Responsable

1. Creación de Interfaz de

VLAN

Este procedimiento se debe ejecutar en ambos

switches, y se debe cuidar la diferencia en los

parámetros de configuración en cada uno de

ellos:

1. Se debe asignar un ID de VLAN nuevo que

no haya sido utilizado antes.

Terciarios

2. Se debe establecer un segmento de red nuevo

que no haya sido usado anteriormente.

Nota:

• La dirección IP de la interfaz VLAN en el

switch principal siempre debe ser la segunda

IP disponible del segmento.

• La dirección IP de la interfaz VLAN en el

switch secundario siempre debe ser la

tercera IP disponible del segmento.

3. Configurar la máscara de red, dejando

disponible una red para 253 usuarios.

¿La creación de Interfaz de VLAN se ejecutó correctamente?

SI:

Pasar al inciso número 2

NO:

Se procede a eliminar la configuración y a la

creación del procedimiento “Interfaz de VLAN

nuevamente”.

2. Creación de Reglas de

Access-List

Este proceso debe ser ejecutado en ambos

switches:

1. Es necesario crear las reglas en la Access-List

“ACL_Cofinter”.

Proceso 7

27-5

-202

1


15

2. Definir reglas que permitan el tráfico entrante

desde cualquier ubicación en la red “any” hacia

la red 192.168.21.0, a través de los puertos 8080,

443 (https), 5358, 9090, 9100 y 7680.

3. Activación de Reglas de

Access-List en nuevo

segmento de red.

Se debe declarar en la configuración de la

interfaz VLAN la activación de las reglas de

Access-List.

¿La Activación de Reglas Access-List se ejecutó correctamente?

SI:


NO:

Ejecutar pasos del inciso número 2 y 3

4. Configuración del VRRP

para la redundancia de

Gateway de Red

1. Se debe asignar un ID de protocolo VRRP para

cada VLAN. Como buena práctica, se

recomienda asignar el mismo ID que se asignó

para la interfaz VLAN.

2. Se debe configurar la primera IP disponible del

segmento de red, ésta será la dirección IP que

los switches mostrarán a los usuarios como

Gateway de red.

3. Configurar el parámetro “priority” con el valor

de 150. Esto asegura al protocolo VRRP que el

switch principal será por medio del cual los

usuarios logren acceder a la red.

Notas:

• En el switch secundario el parámetro

“priority”, se autoconfigura a “100” como su

valor por defecto.

5. Configuración de

Publicación de segmento

de red OSPF

Debido a que el segmento de red es nuevo y aún

no ha sido anunciado a los demás equipos de

red, es necesario declarar el nuevo segmento en

el protocolo OSPF:

27-5

-202

1


16

1. Se debe agregar el segmento de red en el

protocolo OSPF de ambos switches.

2. Se debe configurar el segmento de red

completo, utilizando su ID de red (192.168.21.0),

y el tamaño de red se debe configurar utilizando

la wildcard que corresponde a su máscara de red

(0.0.0.255).

3. Se debe publicar el segmento en el área

preexistente del dominio OSPF.

¿La configuración de publicidad de segmento de red OSPF se ejecutó correctamente?

SI:


NO:

Eliminar configuración y ejecutar

nuevamente el inciso número 5.

6. Asignación de VLAN a

Puerto de Usuario

Para que los usuarios puedan acceder al nuevo

segmento de red, es necesario que la VLAN sea

asignada al puerto físico del switch que el usuario

tiene asignado:

1. Se debe asignar la VLAN en modo “acceso” a

un puerto físico, a través de comando.

¿La Asignación de VLAN a puertos de usuario se ejecutó correctamente?

SI:

Fin

NO:

Eliminar comandos y ejecutar el inciso

número 6

27-5

-202

1


17

SI

SI

Cre

ació

n de

Inte

rfaz

de

VLA

N

Cre

ació

n y

Act

ivac

ión

de R

egla

s de

Acc

ess-

List

C

onfig

urac

ión

de P

roto

colo

VR

RP

Con

figur

ació

n de

Pub

licac

ión

de s

egm

ento

de

red

en O

SP

F

Asi

gnac

ión

de V

LAN

a p

uert

o de

usu

ario

s

Inicio

Asignar un segmento de

red nuevo que no haya

sido utilizado, en ambos

switches.

Creación o configuración de

Reglas en la Access-List en

ambos switches.

Asignar un ID/Número de VRRP

para cada VLAN en ambos

switches.

¿La creación de Interfaz

de VLAN se ejecutó

correctamente?

Activación de Reglas

Access-List en la interfaz de

VLAN en ambos switches.

¿La configuración del

protocolo VRRP se

ejecutó

correctamente?

Asignar una VLAN en

modo “Acceso” a

todos los puertos en

ambos switches.

Fin

Configuración de

máscara de red en

ambos switches.

¿La activación de

Reglas de Access-List

se ejecutó

correctamente?

Asignar un ID/número de

VLAN

Configurar la primera IP

disponible del segmento de red

en ambos switches.

Configurar el parámetro “Priority”

con el valor de 150 en el switch

principal.

Agregar e segmento de red

en el protocolo OSPF en

ambos switches.

Configurar el segmento

de red completo y el

tamaño de red.

Publicar el segmento en el

área preexistente del

dominio OSPF.

¿La configuración de

publicidad de segmento de red

OSPF se ejecutó

correctamente?

¿La asignación de

VLAN a puertos de

usuario se ejecutó

correctamente?

Eliminar

configuraciones.

Eliminar

configuraciones.

Eliminar

configuraciones.

Eliminar

configuraciones.

Eliminar

configuraciones.

NO

SI

NO

NO

SI

SI

NO

NO

Diagrama de Flujo 8

27-5

-202

1


18

Versión Fecha de Elaboración Motivo del Cambio

1.0 27/05/2021 Creación del “Política y Proceso para la Creación de

Nuevos Segmentos de Red”.

Control de Versiones

27-5

-202

1


19

1. La segmentación de red es un método de organización que persigue la rápida redistribución de

los recursos de redes para prevenir el entorpecimiento de las labores; y los cuellos de botella

generados por todas las demandas de todas las estaciones de trabajo.

2. La segmentación de red permite contar con una red íntegra y segura para todo aquel que

necesite acceder a ella.

1. Implementar acciones de revisión física de la red, descartando equipos conectados sin

autorización. Asimismo, implementar políticas de conexión para equipos invitados o externos.

2. Se debe realizar un Plan de Contingencias con todos los procedimientos que se debe tomar

en cuenta cuando falla un punto de red.

3. Como buena práctica, se recomienda asignar el mismo id/número que se asignó para la

interfaz VLAN.

Conclusiones

Recomendaciones

27-5

-202

1


20

Término Definición

Ancho de Banda

Corresponde a los datos utilizados o consumidos en una red que se

expresan en bit/s (bits por segundo) o comúnmente kbps (kilobits por

segundos). Esta medida es utilizada para calcular la velocidad de

transferencia de información a través de una red.

Dirección IP Número único e irrepetible que identifica un equipo conectado a una red

(computador, impresora, dispositivo móvil o equivalentes)

IP

IP significa “Internet Protocol” y es un número que identifica un

dispositivo en una red (un computador, una impresora, un router, etc.…)

Estos dispositivos al formar parte de una red serán identificados

mediante un número IP único en esa red.

Networking

Se le llama Networking a los elementos de red, sus conexiones e

interconexiones, sus identificaciones, su topología y protocolos de

comunicación.

Router Corresponde a un dispositivo que proporciona conectividad enviando

datos de una red a otra.

Tráfico de red Transmisión y recepción de datos transmitidos en una red.

Active Directory

Servicio de Directorios de Microsoft. Sirve para la administración de

usuarios, grupos y otros elementos de red. También administra las

credenciales de los usuarios, los permisos de usuario y grupos y sus

atributos.

Glosario

política y proceso para la creación de nuevos segmentos de red

Documents