CONECTIVIDAD Y MEDIO FISICO DMZ (Zona Desmilitarizada

Anuncio
CONECTIVIDAD Y MEDIO FISICO
DMZ (Zona Desmilitarizada)
Hemos creado para nuestra red una Zona Desmilitarizada “DMZ” con la siguiente finalidad:
Los usuarios y equipos de las redes internas (Topología Bus y FDDI de nuestra red) podrán acceder al exterior
(Internet) y a la Zona Desmilitarizada donde se encuentran los servidores de bases de datos y web, mediante el
Router DMZ .
Mientras que los usuarios que vengan fuera de la red (Internet), no podrán ver ni tener acceso a los equipos
servidores de la Zona Neutra.
Todo esto establecido y configurado bajo las características de DMZ como media de seguridad de la
comunicaciones internas.
La estructura básica de una DMZ consiste en ubicarla “entre” la red interna y externa de una organización,
colocando en ella los servidores Web, DNS y FTP y otros de carácter público.
Nosotros hemos utilizado dos Firewall para la configuración de la DMZ :
Uno conectado en la red interna y otro a la red externa mediante el Router DMZ (Creando para la Zona un
cortafuegos de tipo subred monitoreada (Screened Subnet firewall).
Los cortafuegos serán configurados abriendo al exterior, los puertos de los servicios que pretendemos ofrecer con
los servidores DMZ
Servidor Proxy
El servidor proxy 192.168.2.10 gestionará las conexiones de red, sirviendo de intermediario entre las peticiones
de servicios de los clientes (Http,FTP,Telnet etc..) creando una caché de registros de las peticiones y respuestas de
los servidores externos.
La finalidad de este proxy es poder servir más rápidamente las conexiones (guardadas en caché), y poder acceder
a ellas sin tener que acceder de nuevo al los servidores externos
Podemos ofrecer diferente servicios con este proxy, (Cache Web,NAT,Anónimo o Abierto).
Alberto Sánchez-Oro Gómez
Red FDDI
Para el alojamiento de nuestros servidores hemos elegido una Red en Topología de doble anillo FDDI
(Tecnología de red compartida “Puede transmitir a más de un equipo al mismo tiempo” con la finalidad de
disponer una alta disponibilidad y velocidad de acceso (Fibra óptica).
Emplearemos un cableado FFDI que operará a 100 Mbps admitiendo más de 500 equipos y distancias de 1000km.
Funcionamiento FDDI
Normalmente, el tráfico sólo circula por el anillo principal. Si el anillo principal falla, automáticamente FDDI
reconfigura la red, de forma que los datos circulen por el anillo secundario en la dirección opuesta.
Una de las ventajas de la topología de doble anillo es la “redundancia”. Uno de los anillos se utiliza para la
transmisión y el otro actúa como anillo de seguridad o reserva.
Si aparece un problema, como un fallo en el anillo o una ruptura del cable, se reconfigura el anillo y continúa la
transmisión.
¿Por qué hemos elegido fibra óptica?
•
•
•
•
Por que es inmune a interferencias o ruido electromagnético.
Es seguro, el cable de fibra óptica no emite una señal que puede ser monitorizada ni intervenida.
Capaz de transmitir sobre distancias largas antes de necesitar un repetidor.
Además, FDDI se puede utilizar sobre cable de cobre, conocido como interfaz de datos distribuidos en
cobre (CDDI), pero limitará seriamente sus posibilidades en cuanto a distancia.
En nuestro Esquema hemos utilizado 7 Servidores dentro del rango de red privada 10.0.0.0/28 ,dedicados cada
uno a una función especifica (Podemos reducir el numero de servidores, implementado más de una función por
cada uno de ellos aunque esta medida podría afectar a la disponibilidad)
Esta red contará con la conexión a un “Puente de Red” (Dispositivo utilizado para conectar las redes que
funcionan con el mismo protocolo, analizando la Mac de los dispositivos y almacenando datos en tablas para
recordar la trama origen, destino) que será redirigido al Router DMZ.
Topología Interna (Subredes)
Utilizaremos para las redes ASIR 1, 2 y 3 la Topolgía en Bus (Con cableado RJ45 Categoría 6 para la instalación
de Redes GigaBit Ethernet compatible con las versiones anteriores “Cat-3 y Cat-5e”)
Esta topología nos permite utilizar un único canal de comunicaciones (Backbone) donde se conectarán los
diferentes dispositivos. De esta forma todos los equipos comparten el mismo canal para comunicarse entre sí.
Cada red estará conectados a un “Switch” que permitirá interconectar los segmentos de red de manera similar a
los puentes de red , pasando datos de un segmento a otro de acuerdo con la dirección MAC de destino de las
tramas en la red.
*La diferencia radica en que los switches toman decisiones basándose en las direcciones MAC y los hubs no toman ninguna decisión
Además, otra red 192.168.2.129 será dedicada a puntos de acceso “Wifi” con varios repetidores para poder tener
acceso de manera interna y externa (Dependiendo de la configuración realizada).
Todo esto conectará con un “Router” encargado de asegurar el direccionamiento de paquetes de datos y
determinar la mejor ruta que deben tomar, para comunicar con el Router DMZ.
Alberto Sánchez-Oro Gómez
ESQUEMA COMPLETO DE RED
Esquema realizado por:
Jose María Canelo y Alberto Sánchez-Oro Gómez
Alberto Sánchez-Oro Gómez
Descargar