CONECTIVIDAD Y MEDIO FISICO DMZ (Zona Desmilitarizada) Hemos creado para nuestra red una Zona Desmilitarizada “DMZ” con la siguiente finalidad: Los usuarios y equipos de las redes internas (Topología Bus y FDDI de nuestra red) podrán acceder al exterior (Internet) y a la Zona Desmilitarizada donde se encuentran los servidores de bases de datos y web, mediante el Router DMZ . Mientras que los usuarios que vengan fuera de la red (Internet), no podrán ver ni tener acceso a los equipos servidores de la Zona Neutra. Todo esto establecido y configurado bajo las características de DMZ como media de seguridad de la comunicaciones internas. La estructura básica de una DMZ consiste en ubicarla “entre” la red interna y externa de una organización, colocando en ella los servidores Web, DNS y FTP y otros de carácter público. Nosotros hemos utilizado dos Firewall para la configuración de la DMZ : Uno conectado en la red interna y otro a la red externa mediante el Router DMZ (Creando para la Zona un cortafuegos de tipo subred monitoreada (Screened Subnet firewall). Los cortafuegos serán configurados abriendo al exterior, los puertos de los servicios que pretendemos ofrecer con los servidores DMZ Servidor Proxy El servidor proxy 192.168.2.10 gestionará las conexiones de red, sirviendo de intermediario entre las peticiones de servicios de los clientes (Http,FTP,Telnet etc..) creando una caché de registros de las peticiones y respuestas de los servidores externos. La finalidad de este proxy es poder servir más rápidamente las conexiones (guardadas en caché), y poder acceder a ellas sin tener que acceder de nuevo al los servidores externos Podemos ofrecer diferente servicios con este proxy, (Cache Web,NAT,Anónimo o Abierto). Alberto Sánchez-Oro Gómez Red FDDI Para el alojamiento de nuestros servidores hemos elegido una Red en Topología de doble anillo FDDI (Tecnología de red compartida “Puede transmitir a más de un equipo al mismo tiempo” con la finalidad de disponer una alta disponibilidad y velocidad de acceso (Fibra óptica). Emplearemos un cableado FFDI que operará a 100 Mbps admitiendo más de 500 equipos y distancias de 1000km. Funcionamiento FDDI Normalmente, el tráfico sólo circula por el anillo principal. Si el anillo principal falla, automáticamente FDDI reconfigura la red, de forma que los datos circulen por el anillo secundario en la dirección opuesta. Una de las ventajas de la topología de doble anillo es la “redundancia”. Uno de los anillos se utiliza para la transmisión y el otro actúa como anillo de seguridad o reserva. Si aparece un problema, como un fallo en el anillo o una ruptura del cable, se reconfigura el anillo y continúa la transmisión. ¿Por qué hemos elegido fibra óptica? • • • • Por que es inmune a interferencias o ruido electromagnético. Es seguro, el cable de fibra óptica no emite una señal que puede ser monitorizada ni intervenida. Capaz de transmitir sobre distancias largas antes de necesitar un repetidor. Además, FDDI se puede utilizar sobre cable de cobre, conocido como interfaz de datos distribuidos en cobre (CDDI), pero limitará seriamente sus posibilidades en cuanto a distancia. En nuestro Esquema hemos utilizado 7 Servidores dentro del rango de red privada 10.0.0.0/28 ,dedicados cada uno a una función especifica (Podemos reducir el numero de servidores, implementado más de una función por cada uno de ellos aunque esta medida podría afectar a la disponibilidad) Esta red contará con la conexión a un “Puente de Red” (Dispositivo utilizado para conectar las redes que funcionan con el mismo protocolo, analizando la Mac de los dispositivos y almacenando datos en tablas para recordar la trama origen, destino) que será redirigido al Router DMZ. Topología Interna (Subredes) Utilizaremos para las redes ASIR 1, 2 y 3 la Topolgía en Bus (Con cableado RJ45 Categoría 6 para la instalación de Redes GigaBit Ethernet compatible con las versiones anteriores “Cat-3 y Cat-5e”) Esta topología nos permite utilizar un único canal de comunicaciones (Backbone) donde se conectarán los diferentes dispositivos. De esta forma todos los equipos comparten el mismo canal para comunicarse entre sí. Cada red estará conectados a un “Switch” que permitirá interconectar los segmentos de red de manera similar a los puentes de red , pasando datos de un segmento a otro de acuerdo con la dirección MAC de destino de las tramas en la red. *La diferencia radica en que los switches toman decisiones basándose en las direcciones MAC y los hubs no toman ninguna decisión Además, otra red 192.168.2.129 será dedicada a puntos de acceso “Wifi” con varios repetidores para poder tener acceso de manera interna y externa (Dependiendo de la configuración realizada). Todo esto conectará con un “Router” encargado de asegurar el direccionamiento de paquetes de datos y determinar la mejor ruta que deben tomar, para comunicar con el Router DMZ. Alberto Sánchez-Oro Gómez ESQUEMA COMPLETO DE RED Esquema realizado por: Jose María Canelo y Alberto Sánchez-Oro Gómez Alberto Sánchez-Oro Gómez