Embed Size (px)
Citation preview
1
DISEÑO DE UNA RED DE ÁREA EXTENDIDA CONVERGENTE PARA SOPORTAR LA METODOLOGÍA DE TELETRABAJO EN LA EMPRESA JEDA INSPIRON TECNOLOGIES
JHON ALEXANDER GARZON AMEZQUITA
UNIVERSIDAD COOPERATIVA DE COLOMBIA
FACULTAD DE INGENIERÍA
PROGRAMA DE ESPECIALIZACIÓN EN REDES DE TELECOMUNICACIONES
SECCIONAL BOGOTÁ D.C.
JULIO, 2017
2
DISEÑO DE UNA RED DE ÁREA EXTENDIDA PARA SOPORTAR LA METODOLOGÍA DE TELETRABAJO EN LA EMPRESA JEDA INSPIRON TENOLOGIES
JHON ALEXANDER GARZON AMEZQUITA
MONOGRAFÍA DE GRADO
Trabajo para optar al título de
ESPECIALISTA EN REDES DE TELECOMUNICACIONES
Director(a)
FABIÁN BLANCO
UNIVERSIDAD COOPERATIVA DE COLOMBIA
FACULTAD DE INGENIERÍA
PROGRAMA DE ESPECIALIZACIÓN EN REDES DE TELECOMUNICACIONES
SECCIONAL BOGOTÁ D.C.
JULIO, 2017
3
RESUMEN
En el presente proyecto se realiza un nuevo diseño de red de comunicaciones que satisfaga las necesidades de una organización moderna y competente.
Actualmente la empresa cuenta con una infraestructura deficiente, el buen desempeño y las buenas estrategias de negocio han logrado un crecimiento y se ha decidido ampliar sus instalaciones, por lo cual se necesita reestructuración en el diseño de red de la empresa y la interconexión entre sus sedes con nuevas aplicaciones de banda ancha, además este análisis se realiza con el fin de conocer cuáles son los problemas que existen actualmente y proponer a su vez una solución en la red brindando un ambiente seguro. De acuerdo a los objetivos de la compañía esta pretende implantar un modelo de teletrabajo que permitirá aumento de productividad mayor motivación al empleado, ahorro de costes y flexibilidad de la organización.
Al finalizar el proyecto se presenta el nuevo diseño de red construido que brinda solución a los problemas detectados en el análisis realizado y que cumple con las nuevas exigencias de una organización moderna. El nuevo diseño se basa en las recomendaciones y buenas prácticas presentadas en el modelo SAFE Cisco y CISecurity.
4
INTRODUCCIÓN
La empresa JEDA INSPIRON TENOLOGIES es una empresa dedicada al modelamiento y desarrollo de software para todos los sectores empresariales que deseen incluirse en el mundo de la informática de forma activa, eficiente y rentable.
En el siguiente proyecto se desarrolla el diseño de interconectividad de la red para la empresa JEDA INSPIRON TENOLOGIES, con el fin de administrar de forma eficiente la mayor demanda de servicios de comunicaciones generada por el crecimiento de la empresa y la necesidad de su actualización tecnológica, buscando garantizar estabilidad y eficiencia en la red de comunicaciones de la compañía.
Asumiendo la eficiencia en un sistema y aprovechando la arquitectura de red existente y los recursos tecnológicos que en la actualidad las redes de comunicación son indispensables para el buen desarrollo de procesos, la empresa ha decidido mejorar la infraestructura, conectividad y garantizar alta disponibilidad en cada una de sus sedes con un modelo de redundancia de la red brindando un ambiente seguro y confiable y eficiente.
Al desarrollar este proyecto la empresa, daría un gran paso al tener una red más robusta y mejor implementada, mejorando así la administración de datos y brindando información precisa a los clientes en cualquier momento de una manera segura y efectiva.
Para el proyecto se utilizó la metodología PDIOO (Planificación – Diseño – Implementación – Operación – Optimización) llegando hasta la fase de diseño; fase de planificación: los requerimientos detallados de red son identificados y la red existente es revisada, Fase de diseño: la red es diseñada de acuerdo a los requerimientos iniciales y datos adicionales recogidos durante el análisis de la red existente. El diseño es refinado con el cliente.
5
TABLA DE CONTENIDO
RESUMEN 3
INTRODUCCIÓN 4
GLOSARIO ¡Error! Marcador no definido.
Capítulo I: Esquematización del Tema 12
1.1 Descripción del Tema 12
1.2 Descripción del problema 13
1.4 Objetivos 15
1.4.1 Objetivo General 15
1.4.2 Objetivos Específicos 15
CAPITULO II. Esquematización Teórica 16
2.1 Marco Teórico 16
2.1.1 Consideraciones Generales 16
2.1.2 Antecedentes 16
2.1.3 Bases Teóricas 17
2.1.3.1 Modelo Jerárquico 17
2.1.3.2 Capas 18
2.1.3.2.1 Capa de Acceso 18
2.1.3.2.2 Capa de Distribución 19
2.1.3.2.3 Capa de Núcleo 19
2.1.3.3 Escalabilidad 19
2.1.3.4 Calidad de Servicio (QoS) 19
2.1.3.5 Protocolo 20
2.1.3.6 Firewall 20
2.1.3.7 Ethernet 20
2.1.3.8 Topología 20
2.1.3.9 Red de Area Local (LAN) 20
6
2.1.3.10 Red de Area Amplia (WAN) 21
2.1.3.11 Router 21
2.1.3.12 Switch 21
2.1.3.13 Servidor 21
2.1.3.14 DMZ 21
2.1.3.15 Traductor de Direccion de Red (NAT) 22
2.1.3.16 Protocolo Simple de Administracion de Red (SNMP) 22
2.1.3.17 Trae tu Propio Dispositivo (BYOD) 22
2.1.3.18 Teletrabajo 22
2.2 Marco legal 22
2.2.1 ISO/IEC 20000 23
2.2.2 ISO 20000-1 23
2.2.3 ISO 20000-2: 24
2.2.4 ISO/IEC TR 20000-3: 24
2.2.5 ISO/IEC 20000-4: 24
2.2.6 ISO/IEC TR 20000-5: 24
2.2.7 ITIL 25
CAPITULO III. Esquematización Ingenieril 27
3.1 Análisis del Proyecto 27
3.2 Situación Actual 27
3.2.1 Red Física 27
3.2.1.1 Arquitectura de red 27
3.2.1.2 Modulo Central 29
3.2.1.5 Modulo de servidores 32
3.2.1.6 Modulo de Internet 33
3.2.2 Red Lógica 34
3.2.2.1 Direccionamiento 34
3.2.2.2 Enrutamiento 34
3.2.2.3 Configuración 34
3.2.2.4 Seguridad 35
7
3.2.2.5 Elementos Activos 35
3.2.2.6 Terminales 37
3.2.2.7 Aplicaciones y servicios 37
3.2 Estructura Temática 38
3.2.1 Metodología aplicada al proyecto. 38
3.2.2 Fases de la metodología PPDIOO 39
3.2.2.1 Preparación 39
3.2.2.2 Planificación 39
3.2.2.3 Diseño 39
3.3 Análisis y definiciones de Requerimientos 40
3.3.1 Requerimientos 40
3.4 Diseño del Proyecto 41
3.4.1 Red Física 41
3.4.1.1 Redundancia de equipos en el módulo Central. 42
3.4.1.2 Redundancia de equipos en el módulo de Servidores y aplicación de los
benchmark de seguridad. 42
3.4.1.3 Redundancia y seguridad de equipos en el módulo de Internet. 42
3.4.1.4 Acceso al módulo de Servidores solo a usuarios internos, con la implementación de
una Zona Desmilitarizada en el módulo de Internet. 43
3.4.2 Oficinas Centrales De La Empresa 43
3.4.2.1 Módulo Central 43
3.4.2.2 Módulo de Servidores 44
3.4.2.3 Módulo de Gestión 45
3.4.2 Contorno De La Empresa 51
3.4.2.1 Módulo de Internet 51
3.4.3 Red Lógica 53
3.4.3.1 DIRECCIONAMIENTO 53
3.4.4 Enrutamiento 55
3.4.4.1 Módulo de Distribución 55
3.4.4.2 Módulo del Edificio 57
8
3.4.4.3 Módulo de Internet 57
3.4.5 Configuración 58
Configuración de las Estaciones de Trabajo. 59
Configuración de los Servidores. 59
CONCLUSIONES 62
BIBLIOGRAFÍA 63
ANEXOS 65
9
LISTA DE FIGURAS
Pág.
Figura 2.1. Modelo Jerárquico Cisco. 19
Figura 2.2. Modelo Jerárquico Cisco.Figura 3.1 Arquitectura Actual en Base a la Arquitectura
Modular SAFE 29
Figura 3.2 Modulo Central 31
Figura 3.3 Modulo de Distribución 32
Figura 3.4 Modulo del Edificio 33
Figura 3.5 Modulo de Servidores 34
Figura 3.6 Modulo de Internet 35
Figura 3.7 Ciclo de vida PPDIOO 40
Figura 3.8 Pasos para la Obtención de Requerimientos 41
Figura 3.9 Propuesta módulo de Servidores 46
Figura 3.10 Diagrama de red Oficinas Centrales de la empresa 51
Figura 3.11 Propuesta módulo de Internet 53
Figura 3.12 Disponibilidad de Servicios 53
Figura 3.13 Nuevo flujo de Informacion 58
10
LISTA DE TABLAS
Pág.
Tabla 3.1 Resultados del Benchmark for Cisco IOS 38
Tabla 3.2 Aplicaciones y servicios 39
Tabla 3.3 Disponibilidad de Servicios 56
11
LISTA DE ANEXOS
Pág.
Anexo A. Diagrama de red-Propuesta de Nuevo Diseño. 66
12
Capítulo I: Esquematización del Tema
1.1 Descripción del Tema
En los entornos empresariales actuales, tener un sistema de comunicaciones adecuado puede marcar la diferencia entre mantenerse a la vanguardia o quedarse relegado respecto de la competencia. Las organizaciones han priorizado sus esfuerzos para garantizar que sus sistemas de información estén disponibles la mayor parte del tiempo posible permitiendo la eficiencia del trabajo en equipo. Se observa que en la mayoría de ambientes de comunicaciones empresariales existen fallas en la red junto con su modelo de seguridad y muchas veces estas perjudican toda una operación empresarial; lo anterior causa un impacto interno en la organización bajando los índices de productividad y ésta situación podría generar pérdida de reputación de la compañía y de los servicios que ésta presta. Es en estos momentos cuando se analiza y se detecta una serie de errores a nivel de diseño e implantación de un sistema de red existente el cual consiste en la observación del esquema de seguridad, tiempos muertos y caídas de red y por tal motivo no se garantiza una redundancia del cien por ciento en un sistema ni un ambiente seguro comunicación, fallas como estas ven afectado todo un entorno operativo a nivel WAN lo cual entorpece procesos que se ejecutan a nivel interno de una compañía. Las herramientas colaborativas actuales, permiten identificar oportunidades de mejora en los diseños de las comunicaciones no sólo a nivel de arquitectura, sino en la forma en que sus empleados interactúan con la empresa. La metodología de teletrabajo se ha consolidado como una alternativa eficiente que permite a las compañías ahorrar costos de infraestructura, transporte, tiempo y brinda flexibilidad a sus empleados para ser más productivos desde cualquier lugar en el que se encuentren. De ésta manera, estas nuevas tecnologías impactan positivamente los servicios prestados a sus clientes y maximizan el potencial colaborativo de una organización.
1
13
1.2 Descripción del problema
Las redes de comunicaciones de área extendida permiten a las organizaciones garantizar la interconectividad de sus sedes de forma segura y eficiente, por lo tanto, una red convergente maximizaría el potencial colaborativo de la organización.
La empresa JEDA INSPIRON TENOLOGIES, no cuenta con un sistema de redundante ni un esquema seguro, que permita garantizar a los clientes una calidad de servicio óptimo; lo anterior ha ocasionado multas y pérdida de reputación de la compañía. Actualmente, la red está diseñada y soportada con tecnología que no permite escalabilidad, no toma en cuenta la posibilidad de ampliación de infraestructura de red. El diseño del entorno WAN de JEDA INSPIRON TENOLOGIES no garantiza el buen funcionamiento de las aplicaciones, plataformas y demás servicios dentro de la Infraestructura de la compañía para la comunicación entre sedes remotas, grandes causantes de la problemática observada es perdida de conexión hacia aplicaciones, lentitud, latencia e intermitencias de la red. Se observa que no se cuenta con un modelo de seguridad adecuado y la compañía desea la implementación de VPN y BYOD con el fin de asistencia remota. De acuerdo con la visión de la empresa, se desea la implantación de un modelo de trabajo basado en teletrabajo y/o BYOD por lo cual se deben realizar ajustes importantes sobre la red de datos haciendo de ésta más robusta flexible y eficiente. Los problemas organizacionales tienen su origen en un diseño de red que no está basado en un conjunto de buenas prácticas o un modelo que satisfaga las necesidades de la empresa. El personal técnico y administrativo de la organización tampoco ha definido políticas de calidad de servicio que delimiten el uso apropiado de los recursos tecnológicos e informáticos. La ausencia de dichas políticas ocasiona que los usuarios hagan mal uso de los recursos y servicios, afectando la seguridad y funcionalidad de la red en general.
14
1.3 Justificación
JEDA INSPIRON TENOLOGIES, es una compañía que se desempeña en el campo del modelamiento y desarrollo de software, por lo tanto, es necesario que su capa de infraestructura cumpla con características que permitan un nivel óptimo de calidad.
El diseño de red junto con un modelo de seguridad robusto, permitiría a la compañía contar con una red escalable, convergente y segura; también garantiza los mejores niveles de calidad de servicio y desempeño a través de las más avanzadas tecnologías, que son capaces de comunicarse entre sí y acceder a los datos, servicios de procesamiento, aplicaciones y otros recursos, lo cual reduce ostensiblemente el costo de funcionamiento interno, tanto a nivel económico como de tiempos de respuesta al usuario, garantizando alta disponibilidad y accesibilidad a los servicios proporcionados por la compañía.
Haciendo uso de las ventajas que ofrecen las redes de sistemas computacionales, se propone una metodología para el análisis y diseño de la red con el fin de mejorar la competitividad, reducción de costos operacionales, aumentando las ganancias en tiempo y dinero. La idea es proveer a la organización con técnicas de conectividad que cubran las necesidades de la administración de información con un costo razonable. La adopción de la metodología de teletrabajo contribuiría a generar desarrollos y proyectos ágiles, sin importar la ubicación geográfica de sus ingenieros de desarrollo; la flexibilidad y adaptabilidad crearían un ambiente de trabajo dinámico y productivo, contribuyendo al cumplimiento de la misión de la compañía. La metodología de teletrabajo se complementará con niveles de seguridad implantados por medio de las redes privadas virtuales (VPN), que representan una tecnología importante para la transmisión de datos a grandes distancias sin necesidad de la implementación de una costosa y compleja infraestructura de red. La utilización de redes privadas virtuales protege las comunicaciones privadas de la compañía que viajan en la red pública a través del uso de protocolos de seguridad y encripción de datos.
15
1.4 Objetivos
1.4.1 Objetivo General
Diseñar una red de área extendida convergente y segura para soportar la metodología de teletrabajo en la empresa System Service Solve SAS.
1.4.2 Objetivos Específicos
Realizar el levantamiento de la información de la topología y diseño actual de la red de comunicaciones de la organización.
Analizar la información obtenida para determinar las necesidades de alta disponibilidad de los servicios de red.
Especificar los requerimientos del diseño de red para soportar la metodología de teletrabajo.
Elaborar el diseño de red utilizando las mejores prácticas del modelo SAFE Cisco y CISecurity.
Sugerir los dispositivos involucrados en el diseño de la red de área ex.
16
CAPITULO II. Esquematización Teórica
2.1 Marco Teórico
2.1.1 Consideraciones Generales
La esquematización teórica o marco teórico del presente trabajo se estructura tomando en primer lugar antecedentes relacionados con el tema de estudio, y en segundo lugar el conjunto de bases teóricas sobre los cuales se sustenta el mismo. Este espacio es considerado de suma importancia ya que permite el desarrollo del sustento teórico relacionado con el diseño de una red jerárquica convergente, escalable, redundante, altamente disponible, con políticas de seguridad y calidad de servicio (QoS) adecuadas a cada tipo de usuario.
2.1.2 Antecedentes
Se conoce como antecedentes de la investigación, los estudios previos y tesis de grado relacionadas con el problema planteado, es decir, investigaciones realizadas y que guarden alguna vinculación con el problema en estudio. Bollo, Córdova, G. (2015). En el campo de las redes y comunicaciones, se han realizado innumerables investigaciones, las cuales toman distintos temas que abarca este estudio, en los cuales se señala; las redes, LAN, WAN y MAN y distintas tecnologías que son manejadas en estos entornos permitiendo a su vez las bases de conocimiento para el mejoramiento de las redes y aportar a su vez, mayor factibilidad en la administración de las mismas. Presento un proyecto especial de grado titulado “Diseño de una red jerárquica para la empresa consultora F.B.C”, para optar el título de ingeniero en telecomunicaciones de una universidad experimental de las fuerzas armadas bolivarianas (UNEFA) cuyo objetivo fue: Diseñar una Red jerárquica para la empresa consultora F.B.C. Metodológicamente, se observó que estaba basada en un proyecto factible, apoyado en un diseño de investigación en campo; logrando recolectar información directamente de la realidad objeto de estudio. Para ello se aplicó la observación estructurada mediante un registro de observación, que permitió obtener información relacionada con respecto a la red actual que funcionaba en la empresa consultora F.B.C. Otro antecedente desarrollado por Villavicencio, G. (2013), titulado “implantación de una red de datos para la integración de voz, datos y video en inversiones Educar C.A.” para optar el título de ingeniero de sistemas en la Universidad Nacional Abierta (UNAD). Su objetivo general fue: implantar una red de datos que permita la integración de voz, datos y video en Inversiones EDTUMAR C.A
17
Una de las conclusiones de esta investigación giro en torno a la situación actual de la red implementada en la empresa Educar C.A. donde se señaló que: La red de datos de la empresa, no cuenta con los requerimientos mínimos de actualización, sus equipos están obsoletos, no existen políticas de seguridad confiables para los usuarios, su velocidad de transmisión es muy deficiente y la topología de red es inadecuada. Se recomendó a la empresa, realizar seguimiento a la funcionalidad de la red implantada con el propósito de fortalecer la gestión operativa de Inversiones EDTUMAR C.A, y por consiguiente, contribuir a su posicionamiento en el mercado donde compite. El aporte a esta investigación al trabajo Especial de grado, estuvo orientado a facilitar la ubicación de referencias bibliográficas relacionadas con el diseño de redes convergentes, lo que permitió el fortalecimiento teórico del mismo. Ante los diferentes hallazgos, se presentó un diseño de red, aplicado al diseño estructurado de redes establecidas por la academia Cisco Networking para la arquitectura de las mismas; con lo que se pretende mejorar progresivamente el diseño actual de la red de comunicaciones, haciéndolo más eficaz y confiable.
2.1.3 Bases Teóricas
2.1.3.1 Modelo Jerárquico
Un modelo de red jerárquico es aquel que está formado en base a una estructura de árbol, según cisco, en la tecnología de redes, un diseño jerárquico implica dividir la red en capas independientes. Cada capa (o nivel) en la jerarquía proporciona funciones específicas que definen su función dentro de la red general. Esto ayuda al diseñador y al arquitecto de red a optimizar y seleccionar las características, el hardware y el software de red adecuada para llevar a cabo las funciones específicas de esa capa de red. Los modelos jerárquicos se aplican al diseño de LAN y WAN(Ariganello & Sevilla, 2014)
18
Figura 2.1 Modelo Jerárquico Cisco. http://www.reuter.com.ar/ccna3/mod1_ccna3/
Un diseño típico de red LAN jerárquica de campus empresarial incluye las siguientes tres capas:
2.1.3.2 Capas
2.1.3.2.1 Capa de Acceso
La capa de acceso representa el perímetro de la red, por donde entra o sale el tráfico de la red de campus. Tradicionalmente, la función principal de los switches de capa de acceso es proporcionar acceso de red al usuario. Los switches de capa de acceso se conectan a los switches de capa de distribución, que implementan tecnologías de base de red como el routing, la calidad de servicio y la seguridad. Para satisfacer las demandas de las aplicaciones de red y de los usuarios finales, las plataformas de switching de última generación ahora proporcionan servicios más convergentes, integrados e inteligentes a diversos tipos de terminales en el perímetro de la red. La incorporación de inteligencia en los switches de capa de acceso permite que las aplicaciones funcionen de manera más eficaz y segura en la red (Andrade, Alexander, & Rivera Pastrano, 2014)
19
2.1.3.2.2 Capa de Distribución
La capa de distribución interactúa entre la capa de acceso y la capa de núcleo para proporcionar muchas funciones importantes, incluidas las siguientes:
Agregar redes de armario de cableado a gran escala. Agregar dominios de difusión de capa 2 y límites de routing de capa 3. Proporcionar funciones inteligentes de switching, de routing y de política de acceso a la red para acceder al resto de la red. Proporcionar una alta disponibilidad al usuario final mediante los switches de capa de distribución redundantes, y rutas de igual costo al núcleo. Proporcionar servicios diferenciados a distintas clases de aplicaciones de servicio en el perímetro de la red.
2.1.3.2.3 Capa de Núcleo
La capa de núcleo es el backbone de una red. Esta conecta varias capas de la red de campus. La capa de núcleo funciona como agregado para el resto de los bloques de campus y une el campus con el resto de la red. El propósito principal de la capa de núcleo es proporcionar el aislamiento de fallas y la conectividad de backbone de alta velocidad.(Andrade et al., 2014)
2.1.3.3 Escalabilidad
La escalabilidad también se refiere a la capacidad de admitir nuevos productos y aplicaciones. Aunque no hay una organización única que regule Internet, las numerosas redes individuales que proporcionan conectividad a Internet y cooperan para cumplir con los estándares y protocolos aceptados. La observancia de los estándares permite a los fabricantes de hardware y software concentrarse en el desarrollo de productos y la mejora en las áreas de rendimiento y capacidad, con la certeza de que los nuevos productos pueden integrarse a la infraestructura existente y mejorarla.
2.1.3.4 Calidad de Servicio (QoS)
(Quality of Service, en inglés) es el rendimiento promedio de una red de telefonía o de computadoras, particularmente el rendimiento visto por los usuarios de la red. Cuantitativamente mide la calidad de los servicios que son considerados varios aspectos del servicio de red, tales como tasas de errores, ancho de banda, rendimiento, retraso en la transmisión, disponibilidad, jitter, etc.
20
2.1.3.5 Protocolo
En informática y telecomunicación, un protocolo de comunicaciones es un sistema de reglas que permiten que dos o más entidades de un sistema de comunicación se comuniquen entre ellas para transmitir información por medio de cualquier tipo de variación de una magnitud física. Se trata de las reglas o el estándar que define la sintaxis, semántica y sincronización de la comunicación, así como también los posibles métodos de recuperación de errores. Los protocolos pueden ser implementados por hardware, por software, o por una combinación de ambos. (Tolosa, 2014)
2.1.3.6 Firewall
Un firewall es un sistema que fuerza la implementación de políticas de control de acceso entre 2 o más dominios de seguridad. Es decir, un sistema (hardware, software, combinación de ambos o simplemente implementación en un dispositivo no dedicado) que facilita la aplicación de políticas de inspección y acceso entre 2 áreas de la red que tienen diferente política de seguridad. Firewall puede ser entonces un appliance (hardware dedicado que corre un software especialmente diseñado para este propósito como es el caso de un ASA), un software implementado sobre un dispositivo no dedicado a ese propósito (el firewall de Cisco IOS que ofrecen los ISRs), o una implementación de recursos o herramientas que permiten realizar este tipo de tareas. (Reyes Prieto, Forero Torres, Gómez Arias, Henríquez, & Andrés, 2017)
2.1.3.7 Ethernet
Ethernet es un estándar de redes de área local para computadores con acceso al medio por detección de la onda portadora y con detección de colisiones (CSMA/CD).. Ethernet define las características de cableado y señalización de nivel físico y los formatos de tramas de datos del nivel de enlace de datos del modelo OSI.
2.1.3.8 Topología
La topología de red se define como el mapa físico o lógico de una red para intercambiar datos. En otras palabras, es la forma en que está diseñada la red, sea en el plano físico o lógico. El concepto de red puede definirse como "conjunto de nodos interconectados". Un nodo es el punto en el que una curva se intercepta a sí misma. Lo que un nodo es concretamente, depende del tipo de redes a que nos refiramos.
2.1.3.9 Red de Area Local (LAN)
LAN significa Red de área local. Es un grupo de equipos que pertenecen a la misma organización y están conectados dentro de un área geográfica pequeña a través de una red, generalmente con la misma tecnología (la más utilizada es Ethernet).
21
2.1.3.10 Red de Area Amplia (WAN)
Una red de área amplia, o WAN, (Wide Area Network en inglés), es una red de computadoras que abarca varias ubicaciones físicas, proveyendo servicio a una zona, un país, incluso varios continentes. Es cualquier red que une varias redes locales, llamadas LAN, por lo que sus miembros no están todos en una misma ubicación física. Muchas WAN son construidas por organizaciones o empresas para su uso privado, otras son instaladas por los proveedores de internet (ISP) para proveer conexión a sus clientes.(Vera, Antonio, & Arredondo Becerril, 2015)
2.1.3.11 Router
Es un dispositivo que proporciona conectividad a nivel de red o nivel tres en el modelo OSI. Su función principal consiste en enviar o encaminar paquetes de datos de una red a otra, es decir, interconectar subredes, entendiendo por subred un conjunto de máquinas IP que se pueden comunicar sin la intervención de un encaminador (mediante puentes de red), y que por tanto tienen prefijos de red distintos. (Vishwanath, Hinton, Ayre, & Tucker, 2014)
2.1.3.12 Switch
Conmutador (switch) es el dispositivo digital lógico de interconexión de equipos que opera en la capa de enlace de datos del modelo OSI. Su función es interconectar dos o más segmentos de red, de manera similar a los puentes de red, pasando datos de un segmento a otro de acuerdo con la dirección MAC de destino de las tramas en la red y eliminando la conexión una vez finalizada esta.(Vishwanath et al., 2014)
2.1.3.13 Servidor
Un servidor es una aplicación en ejecución (software) capaz de atender las peticiones de un cliente y devolverle una respuesta en concordancia. Los servidores se pueden ejecutar en cualquier tipo de computadora, incluso en computadoras dedicadas a las cuales se les conoce individualmente como "el servidor". En la mayoría de los casos una misma computadora puede proveer múltiples servicios y tener varios servidores en funcionamiento. La ventaja de montar un servidor en computadoras dedicadas es la seguridad. Por esta razón la mayoría de los servidores son procesos daemon diseñados de forma que puedan funcionar en computadoras de propósito específico.
2.1.3.14 DMZ DMZ (zona desmilitarizada) es un diseño conceptual de red donde los servidores de acceso público se colocan en un segmento separado, aislado de la red. La intención de DMZ es asegurar que los servidores de acceso público no puedan comunicarse con otros
22
segmentos de la red interna, en el caso de que un servidor se encuentre comprometido.(Villanueva Morocho, 2015)
2.1.3.15 Traductor de Direccion de Red (NAT)
Es un mecanismo utilizado por Routers IP para intercambiar paquetes entre dos redes que asignan mutuamente direcciones incompatibles. Consiste en convertir, en tiempo real, las direcciones utilizadas en los paquetes transportados. También es necesario editar los paquetes para permitir la operación de protocolos que incluyen información de direcciones dentro de la conversación del protocolo.
2.1.3.16 Protocolo Simple de Administracion de Red (SNMP)
Es un protocolo de la capa de aplicación que facilita el intercambio de información de administración entre dispositivos de red. Los dispositivos que normalmente soportan SNMP incluyen routers, switches, servidores, estaciones de trabajo, impresoras, bastidores de módem y muchos más. Permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento.(Fava, 2016)
2.1.3.17 Trae tu Propio Dispositivo (BYOD)
Es una política cada vez más generalizada y con auge en la que las empresas permiten a los empleados llevar sus dispositivos portátiles personales para llevar a cabo funciones del trabajo y conectarse a la red y recursos corporativos.(Burston, 2016)
2.1.3.18 Teletrabajo Es una forma de organización laboral, que consiste en el desempeño de actividades remuneradas o prestación de servicios a terceros utilizando como soporte las tecnologías de la información y la comunicación – TIC para el contacto entre el trabajador y la empresa, sin requerirse la presencia física del trabajador en un sitio específico de trabajo.(López Armengol, Suárez Maestre, & Rubbini, 2016) 2.1.3.18.1 Teletrabajador Persona que desempeña actividades laborales a través de tecnologías de la información y la comunicación por fuera de la empresa a la que presta sus servicios.”
2.2 Marco legal
23
Normas vigentes: ANSI/TIA/EIA-568-A (Alambrado de Telecomunicaciones para Edificios Comerciales). Este estándar define un sistema genérico de alambrado de telecomunicaciones para edificios comerciales que puedan soportar un ambiente de productos y proveedores múltiples. El propósito de este estándar es permitir el diseño e instalación del cableado de telecomunicaciones contando con poca información acerca de los productos de telecomunicaciones que posteriormente se instalarán. La instalación de los sistemas de cableado durante el proceso de instalación y/o remodelación son significativamente más baratos e implican menos interrupciones que después de ocupado el edificio. El propósito de esta norma es permitir la planeación e instalación de cableado de edificios comerciales con muy poco conocimiento de los productos de telecomunicaciones que serán instalados con posterioridad. La instalación de sistemas de cableado durante la construcción o renovación de edificios es significativamente menos costosa y desorganizadora que cuando el edificio está ocupado. Las normas publicadas bajo la serie ISO 27000 son estándares alineados con el conjunto de normas publicadas por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) actuales o futuras y que son desarrolladas mediante comités técnicos específicos. Aquellas organizaciones que ya empleen algún estándar o conjunto de buenas prácticas en seguridad de la información en base a otros modelos de gestión, obtendrán el beneficio de una adaptación y certificación en la norma ISO 27001 con un menor esfuerzo. En relación a la seguridad de la información, gestión del riesgo, continuidad de negocio y materias relacionadas, se incluye a continuación una selección de los estándares y métodos de referencia más conocidos y relevantes.(Anastacio & Maldonado, 2016)
2.2.1 ISO/IEC 20000
Es el primer estándar internacional certificable para la gestión de servicios TI o que necesitan de una gestión para su provisión donde existe un número elevado de infraestructuras y/o configuraciones a gestionar de un modo controlado para beneficio de la prestación de los servicios. Proviene del estándar británico BS 15000 que ha quedado derogado tras las publicación del estándar ISO/IEC 20000 a nivel internacional.(Cárdenas, Arévalo, & Bautista, 2017)
2.2.2 ISO 20000-1
Especificaciones en las cuales se describe la adopción de un proceso de mejora integrado para el desempeño y gestión de los servicios acorde a los requisitos del negocio y del cliente.
24
Este documento ha sido revisado y publicado en una nueva edición en 2011 y comprende 9 secciones: “Alcance”, “Términos y definiciones”, “Requisitos de un sistema de gestión”, “Planificación e implantación de la gestión de servicio”, “Planificación e implantación de servicios nuevos o modificados”, “Proceso de entrega de servicios”, “Procesos de relación”, “Procesos de resolución”, “Procesos de control” y “Procesos de liberación”.
2.2.3 ISO 20000-2: Código de prácticas donde se describen las mejores prácticas para la gestión de los servicios y dentro del ámbito indicado por la norma ISO 20000-1.
2.2.4 ISO/IEC TR 20000-3: Proporciona orientación sobre la definición del alcance, la aplicabilidad y la demostración de la conformidad de los proveedores de servicios orientados a satisfacer los requisitos de la norma ISO/IEC 20000-1, o por los proveedores que están planeando mejoras de sus servicios y la intención de utilizar la norma ISO/IEC 20000 como un objetivo de negocio. También puede ayudar a los proveedores de servicios que están considerando utilizar la norma ISO/IEC 20000-1 para la aplicación de un sistema de gestión de servicios (SMS) y que necesitan asesoramiento específico sobre si la norma ISO/IEC 20000-1 se aplica a sus circunstancias y la forma de definir el alcance de sus SMS.
2.2.5 ISO/IEC 20000-4: proporciona un proceso de evaluación acorde a los principios de ISO/IEC 15504. ISO/IEC 20000-4 describe en un nivel de abstracción los procesos incluidos para la provisión de gestión de los servicios según ISO/IEC 20000-1 y en términos de objetivos y resultados para cada uno de los procesos.
2.2.6 ISO/IEC TR 20000-5: Proporciona un ejemplo del proceso de implantación que cumple con los requisitos de la norma ISO/IEC 20000-1. Existe una traducción de las partes 1, 2 y 3 publicadas en español disponibles para su adquisición desde la página de AENOR. Actualmente existen más partes complementarias de la norma en desarrollo existiendo en la norma ISO/IEC 27013 una guía para la aplicación cuando coinciden en el mismo alcance ambos sistemas de gestión.
25
Figura 2.2 Estructura ISO
2.2.7 ITIL “IT Infrastructure Library” (ITIL) es un conjunto de publicaciones para las mejores prácticas en la gestión de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas según necesidades, circunstancias y experiencia de cada proveedor de servicios. Fue integrada en las series BS 15000 (ISO 20000 desde Diciembre 2005) con el consenso de BSI, itSMF y OGC, con el propósito de que los dos conjuntos de publicaciones formen parte de la misma estructura lógica para mejor comprensión en su publicación y difusión. Las áreas cubiertas por ITIL en cada documento publicado por la OGC son: Soporte al servicio: asegurar que el cliente (externo o interno) recibe adecuadamente un servicio, que es gestionado además de la mejor forma posible. Entrega del servicio: administración de los servicios de soporte y mantenimiento que se prestan al cliente. Planificación de la implantación: determina las ventajas de implantar ITIL en una determinada organización. Administración de aplicaciones: conjunto de buenas prácticas para la gestión de todo el ciclo de vida de las aplicaciones, centrándose sobre todo en definición de requisitos e implementación de soluciones. Administración de la infraestructura de tecnologías de la información y comunicaciones: gestión de la administración de sistemas como máquinas, redes o sistemas operativos, entre otros.
26
Administración de seguridad: proceso para la implantación de requerimientos de seguridad; relaciona las áreas ITIL de soporte y entrega de servicio. Administración de activos de software: pautas necesarias para la gestión del software adquirido y/o de desarrollo propio. Entrega de servicios desde un punto de vista de negocio: fidelización de clientes, servicios de externalización y gestión del cambio, entre otros.(Stan, Patricia, Linares, & Michael, 2016)
COMIT_E
27
CAPITULO III. Esquematización Ingenieril
3.1 Análisis del Proyecto
Este capítulo describe el análisis de la situación actual, el diseño ingenieril del proyecto y la metodología de los requerimientos de la red de datos de la empresa JEDA TECNOLOGIES. En el análisis se considera el estado de la red física, la red lógica, se toma a su vez como referencia el modelo de interconexión de sistemas abiertos (Open System Interconnection – OSI). En la red física se comprende la capa física y la capa de enlace; La red lógica comprende las capas de red y transporte de datos. En la seguridad se analiza y se comprende la configuración de (Redes Privadas Virtuales – VPN), diseño de red aplicado al teletrabajo y BYOD. En las aplicaciones y servicios se considera el flujo de información y consumos de recursos de red.
3.2 Situación Actual
El análisis de la situación actual de la red física se realiza en base a la arquitectura modular SAFE. El análisis de la red Lógica considera todo tipo de Direccionamiento, Enrutamiento, y mecanismos del configuración. El análisis de la seguridad de la red de comunicaciones se realiza en base a los benchmarks de CISecurity, aplicados a los elementos activos y terminales de red. El análisis de las aplicaciones y servicios considera el consumo de recursos de red y el flujo de la información. 3.2.1 Red Física La arquitectura modula SAFE permite analizar funcionalidades de red tomando como consideración definición de conceptos como: redundancia modularidad y la seguridad de amenazas que se deben mitigar en una red. Para esto el modelo actual será mapeado y así observar la funcionalidad de cada uno.
3.2.1.1 Arquitectura de red
El análisis de la situación actual de la red de la organización se realiza en base a la arquitectura jerárquica de tres capas: capa de núcleo, capa de distribución y capa de acceso. La conexión a redes externas WAN y seguridad de la red se encuentran en la
28
capa llamada Perímetro. La capa de núcleo permite la conexión a los usuarios ubicados en la capa de acceso con los servicios del Centro de Datos y conexiones hacia redes externas mediante el perímetro. La arquitectura de red representada en la Figura 3.1 corresponde a la red existente de la empresa JEDA TECNOLOGIES basada en la arquitectura modular SAFE la cual no está bien implementada ya que no sigue las recomendaciones indicadas en cada etapa modular de seguridad. Se identifican los módulos del Contorno de la Empresa y Oficinas Centrales. En el módulo de Oficinas centrales de la organización tenemos que las capas de núcleo, distribución y acceso están representadas por los módulos: Central, de Distribución y del Edificio respectivamente; el Centro de Datos está representado por el módulo de Servidores. En el módulo de Contorno de la organización se tiene que lo correspondiente al perímetro está representado por el módulo de Internet el cual no está bien implementado debido al mal diseño en lo coherente a la seguridad de red.
Modulo de Distribucion
Modulo InternetModulo de Servidores
Modulo del Edificio
Modulo CentralModulo de Oficinas Centrales de la Empresa
Modulo de Contorno de la Empresa
Internet
Sucursal
Sucursal
Figura 3.1 Arquitectura Actual en Base a la Arquitectura Modular SAFE El análisis de cada uno de los módulos nombrados, se consideran dos aspectos. El primero, presenta una definición del módulo, en el que se incluye las recomendaciones para su implementación, su funcionalidad y las amenazas que se esperan. El segundo,
29
presenta la situación actual del módulo y se detallan las características que no cumplen en base a las recomendaciones dadas en SAFE.
3.2.1.2 Modulo Central
El modulo Central conecta a todos los módulos que se encuentran en la arquitectura SAFE. Este módulo enruta y conmuta el tráfico desde un módulo hacia otro. Su implementación se realiza con un switch que conectan a su vez módulos de servidores, de distribución y contorno de la empresa. Las amenazas que combaten este módulo según el modelo SAFE se denominan rastreadores de paquetes, que son mitigados con la instalación de infraestructura conmutada. En este se comprende toda la comunicación establecida entre sede principal y sus sedes remotas. La figura 3.2 representa el modulo central actualmente implementado en la empresa JEDA TECNOLOGIES . Este módulo se constituye por un único switch que conmuta y enruta los paquetes que provienen desde los servidores, del módulo de distribución e internet, al tener un único switch se constituye un punto único de falla. Una falla que ocurra en este dispositivo puede llegar a causar la falta de disponibilidad de la red por completo lo cual significa indisponibilidad total en sede principal y sus respectivas sucursales. En este capítulo, se analiza y se realizan los requerimientos para dar redundancia al módulo central y así eliminar el punto único de falla. La conexión con los dispositivos del módulo de distribución se realiza mediante enlaces de fibra óptica a 10 Gbps. La conexión con el módulo de servidores se realiza mediante enlaces de fibra óptica de 1Gbps. La conexión con el módulo de Internet se realiza mediante cable UTP categoría 6A puerto 1Gbps.
30
Modulo Central
Modulo de InternetModulo de Servidores
10 Gbps
1 Gbps1 Gbps
Switch 1
Switch 2
Modulo de Distribución del Edificio
Puertos STP UTP 6A
Puertos STP Fibra Optica
Figura 3.2 Modulo Central
3.2.1.3 Modulo de Distribución
El módulo de distribución establece la comunicación entre el modulo central y el modulo del edificio, en este módulo se deben realizar los ajustes y las configuraciones de enrutamientos, listas de control de acceso para garantía de la seguridad de la red, filtrado de paquetes. Se implementa entre switches pares y se despliega en la red con enlaces redundantes las amenazas que combate este tipo de modelo según SAFE son: Acceso no autorizado los filtros proporcionan control granular a través de subredes específicas del contorno y su capacidad para acceder a áreas dentro de las oficinas centrales. Ataques de falsificación (spoofing), los filtros de RFC 2827 limitan los ataques de falsificación iniciados localmente. Reconocimiento de la red, los filtros limitan que el tráfico no esencial entre a las oficinas centrales limitando la capacidad de los hackers para realizar el reconocimiento de la red. Rastreadores de paquetes (Packet Sniffers), una infraestructura conmutada limita la efectividad del rastreo. La figura 3.3 representa el módulo de distribución de red actualmente instalado en la empresa. Se constituye por un switch que se encargan del enrutamiento de paquetes y tráfico generado entre el modulo del edificio y el modulo central. Al tener un solo switch dentro de este módulo no se provee redundancia, lo por lo cual una falla en la etapa de distribución también significa la perdida de conectividad con el modulo central y con sus respectivas sedes remotas ya que no se garantiza una alta disponibilidad en el entorno de la red y los diferentes servicios que se pueden alcanzar en toda la infraestructura.
31
Modulo Central
Modulo de InternetModulo de Servidores
10 Gbps
1 Gbps1 Gbps
Switch 1
Switch 2
Modulo de Distribución del Edificio
Puertos STP
Puertos STP Fibra Optica
10 Gbps
Modulo del Edificio o acceso
Figura 3.3 Modulo de Distribución
3.2.1.4 Modulo del Edificio
El modulo del edificio es el encargado de proveer acceso a los servicios de red a los usuarios finales. En este módulo se encuentran los dispositivos: computadores, impresoras, teléfonos IP y los puntos de acceso. En la figura 3.4 representa el módulo de red actualmente implementado en la empresa JEDA TECNOLOGIES . El modulo está compuesto por quince switches de acceso, los equipos o dispositivos que se conectan a los switches y una Wireless Lan Controller (WLC) utilizado para el control de los puntos de acceso. Los dispositivos son: cámaras IP, computadores de escritorio, Teléfonos IP, computadores de escritorio, impresoras IP y lectores de tarjetas de acceso.
32
Modulo del Edificio
Switch 2
Modulo de Distribución del Edificio
Puertos STP
Puertos STP Fibra Optica
1 Gbps
SW SWSW
Figura 3.4 Modulo del Edificio
3.2.1.5 Modulo de servidores
En este módulo de servidores o centro de datos se encuentran los servidores y dispositivos de almacenamiento que permiten controlar el uso que se hace de los equipos pudiendo habilitar, bloquear, reiniciar o apagarlos cuando el operador lo necesite. Se implementa con un único Switch no redundante. Este módulo no debería ser accesible desde internet para todo usuario en general, debería limitar su acceso a únicamente a usuarios específicos de la red interna. Las amenazas de seguridad que combate este módulo según el modelo SAFE son: ataques en la capa de aplicación, accesos no autorizados, abusos de confianza y redirección de puertos, estas amenazas se pueden mitigar con la instalación de sistemas de detección a intrusos basados en host (HIDS), y controles de acceso, instalación de parches de seguridad para evitar cualquier tipo de vulnerabilidad de la red, una infraestructura conmutada y utilización de VLANs privadas. En la figura 3.5 se presenta como se encuentra físicamente instalado el módulo de servidores en la empresa JEDA TECNOLOGIES. Este módulo esta implementado con un solo switch y los servidores que contienen todos los servicios y aplicaciones que se manejan en la red LAN. La conexión realizada entre el switch y el modulo central se realiza mediante enlace de fibra de 1 Gbps estos puertos tienen habilitados el STP para evitar bucles en la red, los servidores que se encuentran dentro de este módulo tienen configurada la VLAN de servidores actualmente no cuenta con redundancia en capa dos y tampoco se tiene redundancia en tarjeta de red de servidores ya que cada servidor cuenta con una sola interfaz.
33
Modulo de Servidores
1 Gbps
Switch 1
Puertos STP UTP 6A
Puertos STP Fibra Optica
Switch Servidores1 Gbps
1 Gbps
Figura 3.5 Modulo de Servidores
3.2.1.6 Modulo de Internet
La red actual de la empresa consta de un enlace de internet denominados enlace principal, este ingresa a la red corporativa por medio del router 1, su implementación considera no tiene redundancia ni contingencia en caso de falla. El tráfico de internet llega a un Proxy cuya finalidad es permitir el ingreso a internet a todos los equipos de sede. El módulo de internet provee el acceso al servicio de internet a todos los usuarios internos y permite el acceso a los servicios públicos de la compañía los cuales son accedidos por los usuarios externos. El diseño de implementación contiene los siguientes elementos: Perimetro del Proveedor de Servicios, DMZ y Acceso Corporativo. El DMZ y acceso corporativo permiten el ingreso al servicio de internet a los usuarios internos, a la vez se permite el acceso a los servicios públicos por usuarios externos. Esto se implementa un Firewall que protege los recursos internos de información evitando amenazas externas y limitando el acceso a usuarios externos únicamente a los servicios públicos. Las amenazas que se deben combatir según el modelo SAFE son: Acceso no autorizado los filtros proporcionan control granular a través de subredes específicas del contorno y su capacidad para acceder a áreas dentro de las oficinas centrales. Ataques de falsificación (spoofing), los filtros de RFC 2827 limitan los ataques de falsificación iniciados localmente. Reconocimiento de la red, los filtros limitan que el tráfico no esencial entre a las oficinas centrales limitando la capacidad de los hackers para realizar el reconocimiento de la red. Rastreadores de paquetes (Packet Sniffers), una infraestructura conmutada limita la efectividad del rastreo. la figura 3.6 representa el módulo de internet que actualmente se encuentra instalado en la red de JEDA TECNOLOGIES , el modulo está constituido por sistema de prevención a intrusos (IPS), la conexión con la red interna se realiza mediante el modulo central de red. la conexión hacia redes externas se realiza por proveedor mediante la red MPLS.
34
Modulo de Internet
Modulo Central
Internet
Sucursal
Sucursal
Sucursal Remota
Sucursal corporativa
Internet
Firewall
Figura 3.6 Modulo de Internet
3.2.2 Red Lógica
La red lógica comprende como los dispositivos de red se organizan y comunican entre sí. Está relacionada a los protocolos que se dirige y se transmiten en la red (capa de red y transporte del modelo OSI). En este análisis se verifica enrutamiento direccionamiento y configuración.
3.2.2.1 Direccionamiento
La red interna del JEDA TECNOLOGIES se divide en 20 VLANs que han sido desplegadas en base al departamento y servicio que ofrecen. Su esquema de direccionamiento utiliza la red 192.168.0.0/16 y se ha configurado una subred por VLAN. Cada una de las VLAN tiene una capacidad máxima de 254 equipos en la red. no se cuenta con documentación organizada la cual muestre como es distribuido el pool de direccionamiento dentro de la sede.
3.2.2.2 Enrutamiento
El enrutamiento define la ruta o el camino que transmite la información de un origen a un destino. En la red de JEDA TECNOLOGIES se identificaron dos tipos de enrutamiento: en la red interna y la red externa. el enrutamiento en la red interna esta distribuido por los en quipos del módulo central y de Distribución, el enrutamiento entre la compañía JEDA TECNOLOGIES y redes externas es mediante el proveedor de servicios. El enrutamiento configurado utiliza Protocolo de Enrutamiento (RIP) versión 2. (adecuar más la definición)
3.2.2.3 Configuración
35
La configuración IP en el entorno o de la red es mixta. Se utiliza asignación de direcciones IP por el protocolo de configuración dinámica de Host (DHCP), y mediante asignación estática, dependiendo del número de equipos que se encuentren configuradas con la misma VLAN. Las VLANs en las que se asigna IP estática son: Impresoras, Servidores, Cámaras, Quioscos y Telefonía. Los equipos que se encuentran en las demás VLANs, se aplica dirección IP dinámica DHCP. Actualmente no se tiene organizada la segmentación por VLAN hacia distintos dispositivos.
3.2.2.4 Seguridad
En esta sección se describe la configuración a realizar en los equipos activos y terminales, en base a las buenas prácticas aplicadas en los benchmarks de CISecurity.
3.2.2.5 Elementos Activos
Los elementos activos identificados en la red JEDA TECNOLOGIES son switches, routers y Firewall. Este análisis considera únicamente la configuración de los switches la configuración de los routers es dada por el proveedor, por tal razón no se permite el ingreso y verificación de configuración de los mismos. Se toma el Benchmarks para el análisis switches llamado “Center for Internet Security Benchmarks for Cisco IOS”. En este se especifica el conjunto de buenas prácticas para la configuración de los Switches, también es aplicable en Routers y firewall. Este benchmarks se enfoca a equipos Cisco, por lo cual se toma como referencia para los equipos de la red empresarial. En la tabla 3.1 presenta los resultados de la aplicación de los benchmarks en los elementos activos de la red JEDA TECNOLOGIES . Para los puntos que se presentan indica si las configuraciones actuales en los equipos cumplen o no con las recomendaciones.
Benchmark para la configuración de la seguridad Cumplimiento Observaciones
Plano de Gestión
Autenticación, Autorización y Contabilización (AAA)
¿Se requiere autenticación AAA para el inicio de sesión?
No
Los dispositivos soportan AAA, pero hasta el momento no se ha implementado un servidor que permita este tipo de gestión
Reglas de acceso
36
Se requieren usuarios locales y contraseñas encriptadas
No
Las contraseñas no se han encriptadas, se transmiten en texto plano
se requiere SSH para acceso remoto Si
Se tiene deshabilitado Telnet y el inicio de sesión por consola solo se lo puede realizar utilizando SSH
se ha definido un tiempo de espera para cerrar las sesiones indicadas
Si
El tiempo de espera es 15 minutos antes de que la sesión se cierre automáticamente
se ha habilitado ACLs (Listas de control de acceso)para la administración remota del dispositivo
No se puede iniciar sesión con el dispositivo desde cualquier terminal
Normas sobre los mensajes de advertencia (banners)
se visualiza un mensaje de advertencia (banner) al inicio de sesión
No no se ha definido un banner en ninguno de los dispositivos
Norma para Simple Network Management Protocol (SNMP)
Se encuentra habilitado el protocolo SNMP Si Se utiliza SNMP versión 2
Plan de control
se ha deshabilitado Hypertext Transfer Protocolo (HTTP) para la administración vía web
Si
La administración mediante HTTP esta deshabilitada únicamente en los dispositivos de los módulos Central y Distribución. Los demás dispositivos tienen habilitado HTTP ya que no soporta HTTPS
se ha deshabilitado el protocolo Trivial File Transfer Protocol (TFTP)
No
No se ha deshabilitado este protocolo, ya que se lo está utilizando para transferir archivos entre los dispositivos
Reglas de registro
El registro de eventos (logs) está habilitado Si los registros se almacenan en el dispositivo
37
se han designado uno o más servidores de logs, para centralizar el registro de eventos
No se ha implementado un servidor de Logs
Reglas de NTP
Se ha configurado el servicio de Network Time Protocol (NTP)
No
No se ha designado un servidor NTP que permita sincronizar el tiempo
Tabla 3.1 Resultados del Benchmark for Cisco IOS
3.2.2.6 Terminales
Los terminales que se analizan con los benchmarks CISecurity son los servidores y las estaciones de trabajo. Para los servidores se considera los benchmarks “red hat enterprise linux 7” para las estaciones de trabajo se considera los benchmarks “windows 7 professional”.
3.2.2.7 Aplicaciones y servicios
En el análisis de las aplicaciones y los servicios de JEDA TECNOLOGIES presenta el consumo de recursos de red y el flujo de información. El consumo de recursos de red permite reconocer en consumo de ancho de banda (BW) que consumen las aplicaciones y los servicios que más recursos de red utilizan y verificar si la red existente soporta dicho consumo dentro de la organización. El análisis de flujo de información involucra identificar las aplicaciones y la comunidad de usuarios existentes en la red de JEDA TECNOLOGIES . La comunidad de usuarios se define como la comunidad de empleados o trabajadores que utilizan una aplicación o un conjunto de aplicaciones. Una comunidad de usuarios puede ser un departamento o un grupo de departamentos de JEDA TECNOLOGIES . En la tabla 3.2 muestra las aplicaciones identificadas en la red que son utilizadas por los distintos usuarios o distintas comunidades de usuarios, junto con su dirección IP y el número de puerto o protocolo que utilizan. (realizar modificación de la tabla junto con el direccionamiento completo)
38
Tabla 3.2 Aplicaciones y servicios
3.2 Estructura Temática
3.2.1 Metodología aplicada al proyecto.
El enfoque principal de esta metodología es definir las actividades mínimas requeridas, por tecnología y complejidad de red, que permitan asesorar de la mejor forma posible a los clientes, instalando y operando exitosamente las tecnologías Cisco. Permite formalizar un ciclo de vida de una red en seis fases: preparación, planificación, diseño, implementación, operación y optimización. La figura 3.7 representa el ciclo de vida de una red de acuerdo con la metodología PPDIOO.
39
Figura 3.7 Ciclo de vida PPDIOO
En el alcance de este proyecto se llevara la metodología desde la primera fase hasta la tercera: Preparación, Planificación y Diseño. A continuación se describen estas tres fases. 3.2.2 Fases de la metodología PPDIOO
3.2.2.1 Preparación
Según cisco, Esta fase crea un caso de negocio para establecer una justificación financiera para la estrategia de red. La identificación de la tecnología que soportará la arquitectura. Esta fase permitirá definir las características de la red existente, estas características comprenden a los usuarios, el conjunto de aplicaciones y servicios, los equipos y los medios de transmisión de datos, esta información se adquiere a través de la documentación obtenida de la red.
3.2.2.2 Planificación
Según cisco, Esta segunda fase identifica los requerimientos de red realizando una caracterización y evaluación de la red, realizando un análisis de las deficiencias contra las mejores prácticas de arquitectura. Se elabora un plan de proyecto desarrollado para administrar las tareas, asignar responsables, verificación de actividades y recursos para hacer el diseño y la implementación. Este plan de proyecto es seguido durante todas las fase del ciclo. Los requerimientos se obtendrán como producto del análisis del estado actual de la red de la compañía y entrevistas que se realizaran al personal técnico de la organización.
3.2.2.3 Diseño
40
Según Cisco, Desarrollar un diseño detallado que comprenda requerimientos técnicos y de negocios, obtenidos desde las fases anteriores. Esta fase incluye diagramas de red y lista de equipos. El plan de proyecto es actualizado con información más granular para la implementación. 3.3 Análisis y definiciones de Requerimientos
3.3.1 Requerimientos
En esta sección se describe el análisis de los requerimientos para la red empresarial de JEDA TECNOLOGIES . En la metodología PPDIOO que se sigue para este proyecto se tienen en cuenta cinco pasos para obtención de los requerimientos, en la figura 3.8, muestra los cinco pasos que definen los requerimientos para el nuevo diseño de red empresarial.
Figura 3.8 Pasos para la Obtención de Requerimientos
La obtención de la la información se tienen a través de consultas realizadas al personal de tecnologías de información (TI), este tiene información y conocimientos de los procesos que son manejados desde el punto tecnológico en la organización, los aspectos técnicos, la funcionalidad y la seguridad que se espera que cumpla la red empresarial.
41
3.4 Diseño del Proyecto
En este capítulo se describe el diseño físico y lógico de la red de datos del JEDA TECNOLOGIES. El diseño físico muestra la arquitectura de red, en las capas física y enlace de datos del modelo OSI y se basa en la arquitectura modular SAFE de Cisco. El diseño lógico muestra el direccionamiento, enrutamiento y mecanismos de configuración de los equipos a nivel de las capas de red y transporte del modelo OSI. En la seguridad se analiza y se comprende el mejoramiento de la configuración de (Redes Privadas Virtuales – VPN), diseño de red aplicado al teletrabajo y BYOD. En las aplicaciones y servicios se considera el flujo de información y consumos de recursos de red. Las fases de Preparación y Planificación de la metodología PPDIOO se desarrollaron en los dos capítulos anteriores. Su desarrollo permitió obtener información referente a la situación actual y los requerimientos. La información de la situación actual junto con los requerimientos es utilizada para el desarrollo de la fase de Diseño que se describe en este capítulo.
3.4.1 Red Física
El análisis de la situación actual de la arquitectura de red realizado en la sección 3.2.1, presentó los módulos de las Oficinas Centrales de la Empresa y del Contorno de la Empresa con la arquitectura modular de SAFE. En esta sección se presenta el rediseño de los módulos que presentaron inconvenientes en comparación con la arquitectura o porque necesitan modificarse para satisfacer los requerimientos descritos en la sección 3.2. El diseño actual presenta cuatro características que no se cumplen con respecto a los principios de la arquitectura modular de SAFE. Estas características son: Redundancia de equipos en el módulo Central. Redundancia de equipos en el módulo de Servidores. Redundancia de equipos en el módulo de Internet.
42
Acceso al módulo de Servidores solo a usuarios internos, con la implementación de una Zona Desmilitarizada en el módulo de Internet junto con diferentes mecanismos de seguridad. Diseño de red segura para soportar la conexión remota via VPN y teletrabajo. Estas cuatro características y los inconvenientes que se podrían presentar en la red por causa del incumplimiento de las mismas se describen a continuación. 3.4.1.1 Redundancia de equipos en el módulo Central.
Este módulo tiene un solo switch que representa un punto único de falla. La falla de este dispositivo comprometería la comunicación entre los módulos de Distribución, Servidores e Internet. La disponibilidad de las aplicaciones alojadas en el módulo de Servidores y el acceso al servicio de Internet se vería afectada, porque el módulo Central permite la comunicación de los usuarios con estos servicios. Agregar un segundo switch ayudaría a mantener la disponibilidad de la red, pero implicaría un costo económico en la adquisición del dispositivo.
3.4.1.2 Redundancia de equipos en el módulo de Servidores y aplicación de los benchmark de seguridad.
Este módulo presenta un solo switch el cual no brinda alta disponibilidad, tampoco se ha implementado redundancia entre los servidores ya que tienen un solo puerto de red. En el diseño actual la agregación de dos switches tenía la finalidad de agregar redundancia al módulo de Servidores. Si alguno de los dos switches presentase una falla, la disponibilidad no se vería afectada, porque el tráfico se podría enviar por el otro switch. La agregación de redundancia a este módulo es considerada en la propuesta de diseño del módulo de Servidores descrita en el capítulo anterior junto con la aplicación de los benchmark de seguridad como garantía del acceso seguro y protección de la red en la compañía.
3.4.1.3 Redundancia y seguridad de equipos en el módulo de Internet.
La conexión hacia redes externas está soportada por un solo Proveedor de Servicios. Si este proveedor presenta algún problema de funcionamiento, los usuarios internos no podrán acceder al servicio de Internet, y los usuarios externos no podrán acceder a los servicios públicos de la organización. Si los usuarios no pueden acceder a un servicio público se podría presentar la pérdida de credibilidad y confianza hacia la empresa JEDA TECNOLOGIES. La agregación de alta disponibilidad en el módulo de internet se considera en la propuesta de diseño ya que con la implementación de otro enlace WAN con otro proveedor de servicios se garantiza la redundancia a nivel de internet mitigando
43
el punto de falla durante la caída del enlace principal, a su vez también se aplica un modelo de red seguro para evitar la penetración de la red interna de la compañia. 3.4.1.4 Acceso al módulo de Servidores solo a usuarios internos, con la implementación de una Zona Desmilitarizada en el módulo de Internet. El módulo de Servidores contiene las aplicaciones y servicios para usuarios internos y externos. En el diseño actual no se ha implementado una DMZ en el módulo de Internet, en la cual se ubiquen los servicios públicos de la organización. De esta manera, si se compromete la seguridad de un equipo que contiene una aplicación pública, se podría comprometer la seguridad de los equipos del módulo de Servidores y de la red Interna.
3.4.2 Oficinas Centrales De La Empresa
El módulo de las Oficinas Centrales de la Empresa en la red actual abarca los módulos Central, de Distribución, del Edificio y de Servidores. El módulo de Gestión es agregado a las Oficinas Centrales de la Empresa, debido a que la administración centralizada es uno de los requerimientos y a que es una de las recomendaciones de la arquitectura modular de SAFE. Este módulo facilitará la administración de los dispositivos localizados en todos los módulos de la arquitectura.
Los módulos de Distribución y del Edificio presentaron inconvenientes en cuanto a las características de la arquitectura modular de SAFE frente a configuración y estándares de seguridad. Sin embargo, la propuesta de nuevo diseño considera el cambio de Spanning Tree Protocol (STP) por Multiple Spanning Tree Protocol (MSTP). Debido a que MSTP es una mejora de STP, que permitirá reducir el tiempo de convergencia de la red y realizar balanceo de carga entre los enlaces redundantes junto con la aplicación de listas de acceso con el fin de evitar acceso no seguro.
3.4.2.1 Módulo Central
SAFE recomienda que se instalen switches redundantes a nivel del módulo Central, para eliminar puntos únicos de falla y mantener la disponibilidad de la red. Agregar un segundo switch brindaría alta disponibilidad a este módulo en caso de que uno de los equipos falle, pero esta solución implica un costo económico. Sin embargo, el requerimiento de disponibilidad para los usuarios internos es del 98%. Con los equipos y arquitectura desplegada actualmente es necesario agregar un segundo switch, ya que la los diferentes usuarios de la compañía requieren de conexión permanente hacia aplicativos y diferentes plataformas de la compañía ya sea que se encuentren dentro de la compañía o tengan acceso vía remota mediante VPNs.
44
3.4.2.2 Módulo de Servidores
El módulo de Servidores presenta un switch, pero no se ha establecido redundancia entre estos dispositivos. En el diseño inicial el objetivo de colocar dos switches era brindar redundancia a este módulo, ya que esta característica ayudará a eliminar puntos únicos de falla aumentando la disponibilidad de la red. En la propuesta del nuevo diseño se considera la redundancia en la arquitectura física de este módulo.
La figura 3.9 representa la propuesta del nuevo diseño del módulo de Servidores. Se propone redundancia a nivel del módulo con un nuevo switch, también un cambio se realiza en los servidores. Para lograr redundancia se debe habilitar una interfaz de red con un segundo puerto en cada servidor, de esta manera cada interfaz se conectará a un switch diferente con una conexión activa-pasiva. Esta conexión redundante protege al módulo de fallas en la interfaz de red del servidor, en el cable de conexión o en el switch, brindando alta disponibilidad a este módulo (99.999%).
La configuración activa-pasiva permitirá a una interfaz permanecer en modo activo enviando y recibiendo datos, mientras que la segunda interfaz estará en modo pasivo, lista para tomar el control si la primera interfaz falla. Las dos interfaces deben tener configurada la misma dirección IP, para que no haya impacto en la experiencia de uso de las aplicaciones y servicios por parte de los usuarios
Esta propuesta implica el costo de la inversión en las tarjetas y cables de red para habilitar las interfaces en modo activo-pasivo, por lo que se presenta una segunda propuesta en la que no es necesaria realizar alguna inversión y se mantendría un valor de disponibilidad de 99.99% en este módulo, para este también se propone la actualización de parchado a nivel de protección de los servidores con el fin de garantizar conexión segura tanto externa como interna ya que para el modelo BYOD que esta propuesto inicialmente los equipos de los usuarios no cuentan con mayor proteccion.
45
Modulo de Servidores
Switch 1
Switch 5
Switch 6
1 Gbps
1 Gbps1 Gbps
1 Gbps
Modulo Central
Modulo de Servidores
Switch 1
Switch 5
Switch 6
1 Gbps
1 Gbps1 Gbps
1 Gbps
Modulo Central
Figura 3.9 Propuesta módulo de Servidores
3.4.2.3 Módulo de Gestión
El análisis de la situación actual realizado en secciones anteriores no describió el módulo de Gestión porque este módulo no se encuentra implementado en el diseño actual. A pesar de que se tiene definida la VLAN Gestión, no se han definido estaciones de trabajo dentro de esta VLAN para realizar el monitoreo y gestión de los dispositivos de red. La administración centralizada es un requerimiento para el nuevo diseño, por este motivo en la propuesta de diseño se considera la agregación del módulo de Gestión a las Oficinas Centrales de la Empresa con el fin de garantizar el correcto funcionamiento de la compañia.
El módulo de Gestión basado en la arquitectura modular de SAFE, tiene como objetivo facilitar la gestión segura de los dispositivos y equipos de la arquitectura de red. Para la implementación de este módulo se han considerado dos propuestas. La primera, la separación física del módulo de Gestión y la segunda, mantener una separación virtual mediante la VLAN “Gestión”.
La primera opción permitirá la organización física en un switch dedicado, que permitirá la conexión de los servidores y estaciones de trabajo designadas a la gestión de los dispositivos y equipos de red. De esta manera, todos estos equipos estarán dentro de la VLAN Gestión y conectados físicamente al mismo switch.
La segunda opción permitirá la organización virtual mediante la VLAN Gestión. Con esta opción los servidores de gestión se encontrarían físicamente dentro del módulo de Servidores y las estaciones de trabajo designadas a la gestión de los dispositivos y equipos de red estarían físicamente conectados a los switches del módulo del Edificio, pero configurados dentro de la VLAN Gestión. Esta segunda
46
opción es considerada en la propuesta de nuevo diseño por su factibilidad de implementación. La implementación física de este módulo (primera opción de diseño) implica un costo económico en la adquisición de un nuevo switch.
Los servidores considerados a implementar dentro del módulo de Gestión se basan en el análisis realizado con los benchmarks de CISecurity a los elementos activos y terminales de la red, descrito en la sección 2.1.3. Estos servidores son:
Un servidor de gestión SNMP. Un servidor de Autenticación, Autorización y Contabilización (AAA). Un servidor de sincronización de tiempo (NTP). Un servidor de registro de logs. La agregación de estos servidores ayudará a realizar una gestión centralizada de la red. Además, ayudará a brinda mayor seguridad a los servidores que contienen las aplicaciones y servicios. El servidor de gestión SNMP permitirá supervisar el funcionamiento de la red, recopilando información acerca de las transmisiones de datos, detectar errores o accesos inadecuados y auditar el uso de red de forma controlada. El servidor AAA permitirá mantener un control centralizado de los dispositivos, manteniendo el control de acceso a los mismos y realizando un seguimiento de las acciones realizadas por cada uno de los usuarios. El servidor NTP permitirá mantener sincronizada la hora de los dispositivos que forman parte de la red. La sincronización permitirá la correlación de eventos basándose en la secuencia real de ocurrencia de un evento y ayudará a la resolución de problemas. El servidor de logs se encargará de almacenar y clasificar los registros que contienen los eventos ocurridos en los dispositivos de red. Este servidor debería correr Rsyslog, como se recomienda en el benchmark Red Hat Enterprise Linux 5 revisado en la sección 3.2.1. Rsyslog una mejora para el demonio por defecto syslogd, permite utilizar protocolos orientados a conexión y la encriptación de los datos entre el dispositivo y el servidor.
Entre los reportes que se deberían almacenar y registrar tenemos
Reportes de autenticación y autorización Reportes de cambios en los datos y en los sistemas Reportes de las actividades de la red Reportes de acceso a los recursos Reportes de actividad de software malicioso (malware) Reportes de fallas y errores críticos
47
Reportes de Autenticación y Autorización.
Estos reportes ayudarán a identificar intentos de accesos exitosos y fallidos a los sistemas. También identificarán actividades específicas realizadas por los usuarios. Entre los datos que se deberían obtener de estos reportes tenemos: Todos los inicios de sesión exitosos o fallidos por usuario o sistema. Intentos de inicio de sesión exitosos o fallidos para cuentas deshabilitadas, suspendidas, por defecto, o no existentes. Intentos de penetración maliciosos en la red. Todos los inicios de sesión después de horas de oficina. Autenticación VPN y otros inicios de sesión remota (exitosos o fallidos). Acceso a cuentas privilegias (inicios de sesión como root o administrador). Múltiples fallas de inicio de sesión seguido de un intento exitoso.
Reportes de cambios en los datos y en el sistema.
Estos reportes ayudarán a identificar cambios críticos realizados en el sistema. Como cambios en los archivos de configuración, cuentas, datos sensibles u otros componentes de los sistemas o aplicaciones. Estos reportes son importantes porque de presentarse cambios no autorizados, estos podrían dar lugar a incidentes de seguridad o pérdida de datos. Además, un atacante podría modificar el sistema para permitir su acceso en el futuro. Entre los datos que se deberían obtener de estos reportes tenemos: Creación, cambio o borrado de usuarios y grupos. Creación de cuentas de administrador o de grupos privilegiados. Restablecimiento y cambios de contraseñas. Agregación, cambio o borrado de servicios de red. Cambios en el sistema de archivos. Cambios en los permisos de acceso a un archivo. Instalación y actualización de aplicaciones.
Reportes de las actividades de la red.
Estos reportes identifican actividades sospechosas y potencialmente peligrosas. Estos reportes son importantes porque a través de la red llegan las amenazas hacia un dispositivo. Entre los datos que se deberían obtener de estos reportes tenemos:
48
Todas las conexiones salientes desde la red interna y la DMZ. Todas las conexiones salientes desde la red interna y la DMZ fuera de las horas laborales. Top de archivos transferidos de gran tamaño o top de sesiones de mayor transferencia de bytes. Todos los archivos descargados por el tipo de contenido y protocolo. Los puertos y protocolos que utilizan los diferentes sistemas. Actividades relacionadas con la red privada virtual: por usuario, total de bytes transmitidos, y uso de recursos internos.
Reportes de actividad de software malicioso (malware).
Estos reportes permiten resumir las actividades y eventos relacionados con el software malicioso. Esta es una de las principales amenazas que enfrentan las organizaciones de hoy en día, ya sean grandes o pequeñas. Entre los datos que se deberían obtener de estos reportes tenemos: Todos los eventos relacionados con software malicioso generados por el antivirus. Todos los fallos en eliminación de software malicioso generados por el antivirus. Conexiones internas hacia direcciones IP conocidas como peligrosas.
Reportes de fallas y errores críticos.
Esos reportes resumen errores o fallas significativas, generalmente relacionadas con la seguridad. Presentan información sobre amenazas de seguridad que no han sido capturadas por dispositivos de seguridad, como sistemas de prevención de intrusos. Entre los datos que se deberían obtener de estos reportes tenemos:
Errores críticos de sistemas, aplicaciones o servicios.
Bloqueos, cierres o reinicios de sistemas y aplicaciones.
Fallas al sacar copias de seguridad (respaldos).
Alto consumo de recursos como: Memoria, CPU, Disco, entre otros.
Estos reportes ayudarán a verificar intentos de accesos no autorizados hacia los dispositivos, bases de datos y aplicaciones. Posibles cambios en los datos y en la configuración de los sistemas. Utilización de los recursos de red, como ancho de banda consumido y tipo de archivos transferidos. Problemas relacionados con virus y software malicioso. Información sobre errores y fallas en los sistemas. Toda esta información podrá ser utilizada en tareas de auditoría, respuesta a incidentes, resolución de problemas y análisis de la capacidad.
49
La figura 3.9 presenta el diagrama de red de la arquitectura física de las Oficinas Centrales de la Empresa con la agregación del módulo de Gestión. Está compuesta de cinco módulos, con una arquitectura jerárquica de tres capas. La capa de núcleo, representada por el módulo Central, al que se conectan los módulos de Servidores, de Gestión, y del Contorno de la Empresa. La capa de distribución representada por el módulo de Distribución. Finalmente se encuentra la capa de acceso representada por el módulo del Edificio.
50
Modulo de Servidores
Modulo de Distribución del edificio
Switch 2 Switch 3
sw swsw
Modulo del Edificio
1 Gbps
sw
Modulo de Gestion
NTR
Modulo Central
SNMP
AAA
LOGs
Gestion
Contorno de la Empresa
telefonia Info JEDA Camaras TramitesFinanzas Tecnologia Orange RRHH
Figura 3.10 Diagrama de red Oficinas Centrales de la empresa
51
3.4.2 Contorno De La Empresa
El Contorno de la Empresa en la red actual comprende el módulo de Internet, que contiene toda la infraestructura para la conexión con el Internet y la red WAN (Sucursales y sedes remotas). El diseño actual no ha implementado una DMZ entre la red interna de la organización y el acceso a Internet. Tampoco se ha definido una VPN que permita el acceso y la administración de los dispositivos de la organización remotamente. En base a los principios de la arquitectura modular de SAFE y a los requerimientos de la organización, en el nuevo diseño se considera la agregación de la DMZ y la VPN al módulo de Internet.
El módulo de Internet actual será organizado en dos módulos: Módulo de Internet y Módulo de la WAN. El módulo de Internet estará conformado por la DMZ, la VPN y la agregación de un segundo Proveedor de Servicios de Internet (ISP).
3.4.2.1 Módulo de Internet
El módulo de Internet presenta dos características que no cumple con respecto a la arquitectura modular de SAFE. La primera, implementar equipos redundantes para mantener la disponibilidad de la red. La segunda, implementar una DMZ en la que se coloquen los servidores que contienen los servicios de acceso público de la organización. La implementación de estas dos características junto con la VPN es descrita en esta sección.
La implementación de equipos redundantes ayudará a mantener la disponibilidad de la red y eliminar puntos únicos de falla. Esta propuesta cumpliría con las recomendaciones de la arquitectura modular de SAFE, pero implica un costo en la inversión de equipos redundantes. En base a los requerimientos obtenidos en segundo capítulo, en la propuesta de nuevo diseño se considera únicamente la agregación de un segundo ISP, en el mismo que permitirá implementar BGP, y cumplir con la disponibilidad solicitada de 99.6%.
La figura 3.10 representa la propuesta del nuevo diseño del módulo de Internet. Se agrega un segundo proveedor de servicios (ISP - B), con las mismas características que el actual (ancho de banda de 15 Mbps y 99.6% de disponibilidad). Los dos routers se conectan a un único firewall (Firewall1) encargado del filtrado de la información que mantiene su función como servidor de DNS.
52
Modulo de Internet
Internet
Modulo Central
Internet
Firewall1 IPSISP A
ISP-B
Modulo de Servidores
Switch de aceso
telefonia Info JEDA Camaras Tramites Finanzas
BGP
15Mbps
15Mbps
Figura 3.11 Propuesta módulo de Internet
La disponibilidad requerida para los usuarios externos, usuarios internos y aquellos que trabajan vía remota que utilizan los servicios públicos debe ser superior a 99.6%.
A3
InternetISP A
ISP-B
15Mbps
A2
A1
Switch DMZ FirewallServidor
Publico
ISP A: 99,6%
ISP B: 99,6%
Figura 3.12 Disponibilidad de Servicios
53
3.4.3 Red Lógica
El diseño de la red lógica describe el direccionamiento, enrutamiento, y los mecanismos de configuración de los equipos se forma segura. El direccionamiento IP detalla las subredes asignadas a cada VLAN agregada en la propuesta del nuevo diseño de red. El enrutamiento determina los protocolos escogidos para el envío de paquetes. Los mecanismos de configuración presentan el direccionamiento estático o mediante DHCP, con el que se deberán configurar los equipos de cada VLAN. También se presenta las configuraciones de seguridad que deberían tener los equipos en base a las buenas prácticas dadas en los Benchmarks de CISecurity y a los principios de la arquitectura modular de SAFE.
3.4.3.1 DIRECCIONAMIENTO
El análisis de la situación actual de la red lógica realizado inicialmente, presentó que existen un total de veintiocho VLANs. Quince de las veintiocho VLANs son utilizadas para permitir el acceso de los usuarios de los departamentos JEDA TECNOLOGIES a los recursos de red. En esta sección se realiza la propuesta del nuevo diseño de estas quince VLANs, en base al análisis realizado en la sección 3.4.1.2 “Flujo de la Información”. En este análisis se determinó que las VLANs estaban creadas en base al piso en el que funcionan y no por departamento o comunidad de usuarios, abriendo la posibilidad de que se exploten amenazas como accesos no autorizados, que podrían comprometer la confidencialidad de la información.
Para evitar estos problemas de seguridad, la propuesta de nuevo diseño recomienda implementar un nuevo direccionamiento de VLANS en los pisos donde funcionan más de una comunidad de usuarios. La tabla 3.3 muestra la nueva distribución por VLANs con su dirección IP de red respectiva. El cambio en la dirección de red de la VLAN gestión se debe a que es recomendable que el rango de direcciones de esta VLAN específica sea independiente del resto de la red. También se ha agregado la VLAN correspondiente a la DMZ y la VPN.
54
55
Tabla 3.3 Disponibilidad de Servicios
3.4.4 Enrutamiento
El proceso de enrutamiento en la red interna es realizado mediante rutas estáticas. Las rutas estáticas presentan el inconveniente de que no son una solución escalable. Además, no tienen la capacidad de determinar si una ruta ha fallado. Por esto, la propuesta de nuevo diseño considera que el proceso de enrutamiento se realice mediante el reenvío automático de paquetes con la activación de la opción “IP Forwarding”, en base a las recomendaciones dadas por Avaya en “The Small Campus Technical Solution Guide”
Una vez definido el proceso de enrutamiento, en esta sección se describen las ACLs que se deben implementar en el módulo de Distribución.
3.4.4.1 Módulo de Distribución
El proceso de enrutamiento realizado en el módulo de Distribución no considera el reenvió de paquetes basado en ACLs. El análisis del flujo de la información realizado en la sección 3.4.1.1, presentó que debido a esto pueden presentarse amenazas como accesos no autorizados que podrían comprometer la confidencialidad de la información. Las ACLs que se deben implementar en el módulo de Distribución para limitar el acceso entre la comunidad de usuarios (origen) y las aplicaciones (destino) que estos utilizan son:
Permitir el tráfico por el puerto 25 al servidor 172.16.20.50 para todas las redes de los departamentos descritos en la tabla 3.1. Se ha definido esta regla ya que todos los usuarios acceden al servicio de correo electrónico.
56
Permitir el tráfico HTTP al servidor 192.168.1.114 para todas las redes de los departamentos descritos en la tabla 3.1. Se ha definido esta regla porque todos los usuarios acceden a la aplicación InfoMRL.
Permitir el tráfico por el puerto 80 al servidor 192.168.101.40 para la red 192.168.87.0. Se ha definido esta regla porque solo los usuarios del departamento de TI deben acceder al servidor de cámaras.
Permitir el tráfico por el puerto 8096 al servidor 192.168.1.120 para la red 192.168.81.0. Se ha definido esta regla porque solo los usuarios de la Dirección de Empleo y Reconversión Laboral deben acceder a la aplicación Sistema de Trámites Migratorios de manera segura.
Permitir el tráfico HTTP al servidor 172.16.20.30 para la red 192.168.111.0. Se ha definido esta regla porque solo los usuarios de la Dirección de Análisis Salarial deben acceder a la aplicación de Salarios.
Permitir el tráfico por el puerto 8080 al servidor 192.168.1.105 para la red 192.168.111.0. Se ha definido esta regla porque solo los usuarios de la Dirección de Análisis Salarial deben acceder a la aplicación Calculadora Salario Digno.
Permitir el tráfico por el puerto 8086 al servidor 192.168.1.130 para la red 192.168.88.0. Se ha definido esta regla porque solo los usuarios de la Dirección a Grupos Prioritarios deben acceder a la aplicación Mi Primer Empleo. Permitir el tráfico por el puerto 8080 al servidor 192.168.1.112 para la red 192.168.90.0. Se ha definido esta regla porque solo los usuarios de la Dirección de Evaluación y Control Técnico deben acceder a la aplicación Encuestas PDA.
Permitir el tráfico por el puerto 8081 al servidor 192.168.1.110 para la red 192.168.90.0. Se ha definido esta regla porque solo los usuarios de la Dirección de Evaluación y Control Técnico deben acceder a la aplicación Denuncias por Incumplimiento.
La figura 3.9 representa el flujo de la información con la propuesta del nuevo direccionamiento de VLANs y la implementación de ACLs. El caso “a” representa el flujo de la información actual para los usuarios del piso uno tal como se describió en la sección 3.4.2.2. El caso “b” representa el nuevo flujo de la información para los usuarios del piso uno que se ha tomado como ejemplo. Con esta implementación el tráfico de los usuarios de las tres VLANs estará permitido a Correo, InfoMRL y Telefonía. El tráfico de los usuarios de la VLAN Servicio Civil Ciudadano también estará permitido a la aplicación Sistema de Trámites Migratorios. El tráfico de los usuarios de la VLAN Análisis Salarial también estará permitido a las aplicaciones de Sistema de Salarios y Calculadora Salario Digno
57
Figura 3.13 Nuevo flujo de Informacion
3.4.4.2 Módulo del Edificio
El análisis de la situación actual de los módulos de Distribución y del Edificio presentó que STP está configurado entre los enlaces que conectan estos dos módulos. En la propuesta del nuevo diseño de red se ha considerado cambiar STP por MSTP porque el tiempo de convergencia de este último es menor y permite utilizar los dos enlaces redundantes para el envío de tráfico.
3.4.4.3 Módulo de Internet
58
En el diseño físico del módulo de Internet se agregó un segundo ISP, que permitirá cumplir el requerimiento de la implementación de enrutamiento dinámico utilizando Border Gateway Protocol (BGP). Para esto, es necesario que entre en los routers de los ISP que funcionan de manera autónoma se habilite este protocolo. El BGP permite el intercambio de las rutas de encaminamiento entre los routers de los ISPs, permitiendo ofrecer balanceo de tráfico entre la red de la organización y el Internet y mantener la disponibilidad de la red en caso de alguno de los dos ISP presente una falla. Para el funcionamiento de este protocolo entre los dos routers se debe habilitar una conexión TCP (en el puerto 179) a través de la cual se intercambia información acerca de las rutas de encaminamiento. Es necesario que esta conexión permanezca siempre activa, para que el intercambio de información se realice de manera constante y las rutas se mantengan actualizadas. Entre los routers se enviarán mensajes de manera periódica para verificar la conectividad. Si la conexión se ha interrumpido, automáticamente se dejarán de utilizar las rutas que se han aprendido desde el router que ha dejado de funcionar.
3.4.5 Configuración
La propuesta del nuevo diseño de red considera la asignación de direcciones IP mediante el Protocolo de Configuración Dinámica de Host (DHCP) y mediante asignación estática, dependiendo de los equipos que se tengan dentro de la VLAN correspondiente. Las VLANs en las que se tiene asignación estática son: Gestión, Servidores, Impresoras, Cámaras, Biométricos, DMZ y Telefonía. Los equipos que se encuentran dentro de las demás VLANs, tienen una configuración IP mediante DHCP. En esta sección también se presenta la configuración que se recomienda posean los equipos basados en las buenas prácticas dadas en los benchmarks de CISecurity y las recomendaciones de SAFE, que ayudarán a mitigar las amenazas de los diferentes módulo de la arquitectura. Los puntos que aquí se consideran son un resumen del análisis con los benchmarks de CISecurity y las recomendaciones de implementación de cada módulo dadas por SAFE. Configuración de los Elementos Activos. Utilizar SSH para la administración remota del dispositivo. SSH permite que la información viaje encriptada, limitando a terceros obtener datos como nombres de usuarios y contraseñas. Establecer un tiempo de espera para el bloqueo automático de sesiones de usuario, para evitar que terceros puedan acceder a secciones iniciadas por usuarios legítimos.
59
Habilitar ACLs para el acceso a los dispositivos. Las ACLs limitarán el acceso al dispositivo por parte de usuarios no autorizados. Estas deberían permitir el acceso a los dispositivos de red únicamente al personal del departamento de TI encargado de la administración. También limitarán las amenazas de abuso de confianza. Visualizar un mensaje de advertencia al inicio de sesión en cualquier dispositivo, para advertir a un posible atacante de las consecuencias legales de acceder a un dispositivo sin estar autorizado. Deshabilitar, cuando sea posible, el protocolo HTTP para la administración del dispositivo mediante un navegador, en lugar de este protocolo utilizar HTTPS. HTTP es un protocolo inseguro y está sujeto a ataques tipo Man in The Middle que pueden permitir que un atacante obtener información confidencial como nombres de usuarios y contraseñas.
Configuración de las Estaciones de Trabajo.
Habilitar las actualizaciones automáticas. De esta manera se instalan los parches que corrigen las vulnerabilidades que podría presentar el sistema operativo. Establecer un tiempo máximo para la caducidad de las contraseñas de las cuentas de los usuarios.
Establecer un número máximo de intentos fallidos de inicio de sesión, antes de que el computador se bloquee, para prevenir intentos no autorizados de inicio se sesión. Habilitar la opción de “Canal de Transmisión de datos seguro de dominio”. De esta manera, las credenciales y la información de seguridad para poder agregar un dispositivo al dominio de la organización se mantendrán seguros, transmitiéndose por un canal dedicado del Sistema Operativo.
Deshabilitar la opción de “Almacenamiento de credenciales de autenticación en la red”. Si esta característica se mantiene habilitada, la información de autenticación en la red de datos se almacenará en el equipo, dejándola expuesta a acceso de parte de intrusos (posibles atacantes).
Se debe restringir la opción de instalar y permitir el acceso a nuevos dispositivos (específicamente USB) en los equipos. Esto previene la infección de virus provenientes de fuentes externas y el robo de información.
Mantener actualizado el antivirus para limitar amenazas como virus, troyanos y de software malicioso.
Configuración de los Servidores.
60
Estas recomendaciones involucran a todos los servidores de los módulos de Servidores, de Gestión y de la DMZ en el módulo de Internet. Crear particiones separadas para los directorios, para restringir el tipo de archivos en cada partición y utilizar diferentes opciones de montaje, ayudando a limitar la ejecución de software malicioso. Utilizar las últimas versiones del sistema operativo, para tener instalados los últimos parches de seguridad que corrijan problemas de seguridad, y limitar las amenazas de ataques a la capa de aplicación. Instalar AIDE (Ambiente Avanzado de Detección de Intrusos). Esta es una herramienta que permite verificar la integridad de un archivo, detectar un cambio no autorizado y alertar cuando el archivo ha sido modificado. Habilitar SELinux (Security - Enhanced Linux) para proteger al sistema de la ejecución de aplicaciones maliciosas que pueden perjudicar o destruir el sistema. Configurar las opciones de arranque, para prevenir que en el reinicio del sistema algún intruso pudiese acceder al servidor y comprometer su seguridad. Deshabilitar servicios que vienen por defecto en el sistema y que no se estén utilizando, para reducir la superficie de ataque. Mantener servidores dedicados a tareas específicas, para reducir la superficie de ataque. Instalar TCP Wrappers. Esta herramienta permite establecer listas de control de acceso (ACLs) en las que se permite establecer los equipos que tienen permitido o denegado la conexión con el servidor. Ayudará a limitar ataques de abuso de confianza. Habilitar IPTables que permite una protección adicional para el sistema limitando las comunicaciones entrantes y salientes por direcciones IP y por puertos. Monitorear los eventos ocurridos en el servidor para detectar accesos no autorizados o modificación de datos. Para el acceso remoto al servidor utilizar SSH, porque este protocolo permite que la información viaje de manera encriptada, limitando a terceros obtener datos como usuarios y contraseñas. Deshabilitar cuentas de administrador que no van a ser utilizadas. De esta manera se evita que usuarios no autorizados accedan a estas cuentas y puedan realizar cambios.
61
Establecer avisos para intentos de acceso a los servicios. Que permitan mostrar mensajes de advertencia para el ingreso al sistema, con el fin de informar al usuario de las consecuencias legales del acceso no autorizado. Remover información del Sistema Operativo de los avisos de advertencia. Los Sistemas Operativos basados en UNIX generalmente despliegan información acerca del su versión cuando se accede al sistema. Se debe deshabilitar esta característica porque proporciona información útil para posibles atacantes. Instalar HIDS para minimizar amenazas de ataques a la capa de aplicaciones, redirección de puertos, virus y troyanos. La implementación de estas recomendaciones ayudará a brindar seguridad de la red, en estaciones de trabajo, servidores y elementos activos.
62
CONCLUSIONES
a) Se realizó el análisis de la red datos de JEDA INSPIRON TECNOLOGIES en base a la arquitectura modular de SAFE y los benchmarks de CISecurity. Se determinaron los problemas que existen con el diseño actual y los requerimientos con los que debe cumplir el nuevo diseño. Se desarrolló una propuesta que corrige los problemas detectados en el análisis y que cumple con los requerimientos de ejecución de servicios, redundancia de los módulos y disponibilidad de la red, manteniendo la línea tecnológica que posee el diseño actual.
b) Se realizó el análisis de los elementos activos y terminales de red utilizando benchmarks de CISecurity. Al aplicar estos benchmarks se determinó que los dispositivos analizados no poseen una configuración de seguridad recomendada para su funcionamiento dentro de la red de JEDA INSPIRON TECNOLOGIES. Como resultado de este análisis se obtuvieron las configuraciones de seguridad que se deberían aplicar en los dispositivos analizados. De esta manera, las aplicaciones y servicios de la compañía se ejecutarán dentro de un entorno seguro abriendo paso al teletrabajo e implementación de modelos como BYOD.
c) La propuesta de nuevo diseño de la red JEDA INSPIRON TECNOLOGIES incluye la implementación de una red privada virtual (VPN) y de BGP. De esta manera, se cumplen con los requerimientos de seguridad (para la administración de equipos remotos) redundancia y disponibilidad en el módulo de Internet.
d) La implementación del módulo de Gestión permitirá realizar la administración centralizada de toda la arquitectura de red. Este módulo ayudará a monitorear el funcionamiento de la red, mantener un proceso de autenticación, resolución de problemas e incidentes, realizar tareas de auditoría y correlación de eventos.
e) La implementación de la DMZ permitirá separar las aplicaciones y servicios públicos de las aplicaciones y servicios internos. De esta manera, se restringe el acceso de los usuarios externos y posibles atacantes únicamente hasta el módulo de Internet, agregando seguridad a los datos, aplicaciones y servicios almacenados en la red interna. Para prevenir ataques internos se agregaron listas de control de acceso y se propuso la creación de VLANs por departamentos.
63
BIBLIOGRAFÍA
Anastacio, M. M. B., & Maldonado, C. B. G. (2016). Análisis de la seguridad en los sistemas
de e-Gobierno mediante el problema SAT. INGE CUC, 12(1), 73-79. Andrade, L., Alexander, J., & Rivera Pastrano, D. M. (2014). Diseño de una infraestructura
tecnológica para la escuela de formación de tecnólogos de la Escuela Politécnica Nacional. Quito: Universidad de las Amèricas, 2014.
Ariganello, E., & Sevilla, E. B. (2014). Redes Cisco: guía de estudio para la certificación CCNA Routing y Switching: Ra-Ma.
Burston, J. (2016). The Future of Foreign Language Instructional Technology: BYOD MALL. The EuroCALL Review, 24(1), 3-9.
Cárdenas, Y. M., Arévalo, Y. A., & Bautista, D. W. R. (2017). Alineación estratégica bajo un enfoque organizacional de gestión tecnológica: ITIL & ISO 20000. Revista Tecnura, 20, 82-94.
Fava, L. A. (2016). Gerenciamiento de Redes de Datos usando Java & SNMP. Facultad de Informática.
López Armengol, M. A., Suárez Maestre, A., & Rubbini, N. I. (2016). El teletrabajo en las organizaciones. Bit & Byte, 2.
Reyes Prieto, D. G., Forero Torres, F. A., Gómez Arias, L. M., Henríquez, R., & Andrés, J. (2017). Proyecto actualización firewall de servicios.
Stan, G., Patricia, E., Linares, M., & Michael, J. (2016). Diseño de un Plan de Buenas Prácticas para la Administración y Gestión de Servicios Ti por Medio de la Metodología Itil Versión 3, Con el Fin de Incrementar la Eficiencia en el Uso de las Ti en la Empresa Service Management Solutions.
Tolosa, G. (2014). Protocolos y Modelo OSI: Recuperado de http://www. tyr. unlu. edu. ar/TYR-publica/02-Protocolosy-OSI. pdf.
Vera, M., Antonio, A., & Arredondo Becerril, J. M. (2015). Control centralizado de las redes de los sistemas de acceso empleando un cisco access control server ACS.
Villanueva Morocho, R. I. (2015). Establecimiento de objetivos de control a los firewalls de una institución financiera alineados a cobit v 4.1. Espol.
Vishwanath, A., Hinton, K., Ayre, R. W., & Tucker, R. S. (2014). Modeling energy consumption in high-capacity routers and switches. IEEE Journal on Selected Areas in Communications, 32(8), 1524-1532.
64
INFOGRAFIA
27000.es, I. (2 de 2 de 2012). ISO 27000. Obtenido de http://www.iso27000.es/otros.html ccm. (8 de 10 de 2013). ccm.net. Obtenido de http://es.ccm.net/contents/253-lan-red-de-area-
local ISO27000. (7 de 7 de 2012). ITIL. Obtenido de http://www.iso27000.es/otros.html microsoft. (1 de 2 de 2015). microsoft. Obtenido de http://windows.microsoft.com/es-
xl/windows/what-is-firewall#1TC=windows-7 sifra. (2 de 2 de 2013). fase de planificacion. Obtenido de
http://www.sifra.net.mx/metodolog%C3%ADa/ppdioo.aspx sifra. (2 de 2 de 2013). fase-diseño. Obtenido de
http://www.sifra.net.mx/metodolog%C3%ADa/ppdioo.aspx SIFRA. (8 de 4 de 2014). Ciclo de vida Cisco. Obtenido de
http://www.sifra.net.mx/metodolog%C3%ADa/ppdioo.aspx tp-link. (01 de 02 de 2014). tplink. Obtenido de http://www.tp-link.es/FAQ-28.html
65
ANEXOS
.
66
Anexo A. Diagrama de red-Propuesta de Nuevo Diseño
Modulo Wan
Modulo de Servidores
Modulo de Distribución del edificio
sw swsw
Modulo del Edificio
sw
Modulo de Gestion
NTR
Modulo Central
SNMP
AAA
LOGs
Gestion
telefonia Info JEDA Camaras TramitesFinanzas Tecnologia Orange RRHH
Modulo de Internet
Internet
Internet
Firewall1 IPSISP A
ISP-B
Modulo de Servidores
Switch de aceso
telefonia Info JEDA Camaras Tramites Finanzas
BGP
15Mbps
15Mbps
A3
Sucursales
Corporativas JEDA
15Mbps
ISP A: 99,6%
Firewall2
