Gestión de seguridad

Anuncio
Instituto Tecnológico de Costa Rica
Escuela de Ingeniería en Computación y Escuela de Administración de
Empresas
Proyecto 1
Curso: Infraestructura Tecnológica II
Profesor: Alfredo Solano Alfaro
Realizado por:
Aldo Mora Fernández
José David Chaverri Pérez
Diego Sánchez Quirós
Joshua Hernández Bonilla
Javier Sales Carreto
Fecha de entrega:
04/09/2013
Infraestructura Tecnológica II
Proyecto 1
Índice
1.
Introducción a la Gestión de Redes....................................................................................... 3
2.
Marco Teórico ....................................................................................................................... 6
2.1 Topología de red ................................................................................................................. 6
2.2 Hardware ............................................................................................................................. 6
2.3 Software .............................................................................................................................. 8
2.3.1 Packet Tracer ................................................................................................................ 8
2.3.2 Wireshark ..................................................................................................................... 8
2.3.3 HyperTerminal Private Edition ..................................................................................... 9
3.
Modelos sugeridos para la aplicación empresarial ............................................................ 10
3.1 Caso CCSS .......................................................................................................................... 10
3.2 Solución del caso ............................................................................................................... 11
3.3 Inconvenientes Enfrentados ............................................................................................. 12
4.
Conclusiones........................................................................................................................ 13
5.
Recomendaciones ............................................................................................................... 13
6.
Bibliografía .......................................................................................................................... 14
7.
Anexos ................................................................................................................................. 15
7.1 Monitoreo del tráfico de la red ......................................................................................... 15
7.2 Análisis del paquete transmitido....................................................................................... 16
7.3 Configuración de la estación de trabajo en red del Hospital 2 ......................................... 17
7.4 Configuración de la estación de trabajo en red del Hospital 1 ......................................... 18
7.5 Propiedades del archivo transferido ................................................................................. 19
7.6 Carpeta compartida para la trasmisión de archivos entre estaciones de trabajo ............ 20
Pág. 2 / 20
Infraestructura Tecnológica II
Proyecto 1
1. Introducción a la Gestión de Redes
Como todo proyecto de ingeniería la gestión de redes cuenta con un conjunto de
procedimientos, fases y buenas prácticas diseñadas con el objetivo brindar un marco de
referencia en los procesos de diseño, implementación y mantenimiento de redes de
computadoras.
A grosso modo la gestión de redes incluye las siguientes fases o etapas:
 Despliegue
 Integración
 Coordinación de hardware, software y recursos humanos.
 Monitoreo
 Probar funcionalidades
 Sondear
 Configurar
 Analizar
 evaluar
 Controlar
 Analizar el desempeño.
Para llevar a cabo estas funciones se recomienda contar con un NOC (del inglés Network
Operations Center ) o Centro de Operaciones de Red. Este centro es el encargado de
monitorizar y gestionar las redes ya sea de un departamento, compañía o ciudad dado el caso.
Algunas de las principales preocupaciones de del NOC son:
 Mantener información con respecto a disponibilidad actual, información histórica y
planeada a futuro.
 Estado de la red y estadísticas de los sistemas.
 Monitorear y gestionar fallas en la red, la cual incluye medidas de prevención,
mitigación y solución.
Según el International Organization for Standardization (ISO), la gestión de las redes está
dividida en los siguientes componentes:




Gestión de configuraciones y cambios
Gestión de desempeño y disponibilidad.
Gestión de fallas.
Gestión de seguridad
A continuación se describen los componentes supracitados:
Gestión de configuraciones
Básicamente consiste en mantener información relativa al diseño de la red y su configuración
actual. Concierne a aspectos tales como la topología (Estático, dinámico, ¿que está instalado? ,
cómo está conectado, estado operacional de los elementos de la red, estado de la conexión de
cada dispositivo. ) Además contempla aspectos de inventario, mantenimiento de directorios,
Pág. 3 / 20
Infraestructura Tecnológica II
Proyecto 1
coordinación del esquema de nombres para nodos y aplicaciones.
Otra de las partes importantes de la gestión de la configuración son los métodos de acceso,
tales como el SNMP (Simple Protocol Management Protocol) y el acceso fuera de banda (OOB).
EL SNMP es un sistema tipo consulta respuesta con el cual se puede obtener diversa
información con respecto a un dispositivo, como las variables estándares, y las variables
específicas del fabricante, este sistema utiliza una base de datos llamada MIB(Management
Information Base). Los usos más comunes de un SNMP consiste en consultar la siguiente
información de enrutadores y switches.







Octetos entrantes y salientes.
Carga de CPU
Memoria utilizada / Disponible
Tiempo de operación
Estado de las sesiones BGP
Tablas ARP
Tablas de reenvío.
Gestión del Rendimiento
Básicamente consiste en garantizar los niveles consistentes de rendimiento. Esta formado por
un conjunto de datos usados como indicadores de rendimiento los cuales se mencionan a
continuación.





Estadísticas de interfaces
Tráfico
Tasas de error
Utilización
Disponibilidad porcentual
Se establecen análisis con base en estos indicadores y además se prevén pronósticos del
rendimiento de la red en diversos escenarios. Planificación de la capacidad de las instalaciones.
Gestión de fallas
En esta fase uno de los principales objetivos es la identificación de la falla la cual se realiza
mediante un sondeo regular de los elementos de la red. Procedimientos para aislar la falla, así
como la forma de reaccionar ante la falla y la solución de la misma.
Un aspecto de suma importancia es la detección de la falla, esto se puede realizar de varias
formas desde herramientas de monitoreo que se encargan de evaluar la red en búsqueda de
fallas de manera periódica o mediante un de los métodos quizás menos deseados por lo
encargados de administrar de la red que es la reporte o aviso de una falla por parte
del usuario o cliente de la red.
Pág. 4 / 20
Infraestructura Tecnológica II
Proyecto 1
Gestión de seguridad
En la era de la información en la que se encuentra actualmente el planeta, la información ha
pasado a ser de los activos más importantes en las organizaciones privadas como públicas,
ante esto el resguardo de la información de es de suma importancia.
Básicamente la gestión de la seguridad consiste en controlar el acceso a los recursos de la red
de acuerdo a políticas bien definidas.
Esto se logra mediante el uso periódico de herramientas para analizar y controlar el uso
legítimo de la red, también existen técnicas como la distribución de certificados.
Pág. 5 / 20
Infraestructura Tecnológica II
Proyecto 1
2. Marco Teórico
En el proyecto que decidimos desarrollar se requerían algunas conceptos vistos durante clases,
sin embargo con solo esos no era suficiente por lo que tuvimos que profundizar con ciertos
temas más técnicos. En esta es sección del documento se repasaran algunos conceptos vistos
durante las lecciones así como también se hará referencias a otros más técnicos con el fin de
guiar a las personas que no están muy relacionadas con el tema de redes.
2.1 Topología de red
Los primero que vamos a explicar es la estructura que compone nuestra red, a esto se le
conoce como topología de red. Existen varios tipos de topología los más conocidos son: punto
a punto, bus, anillo, malla, estrella y estrella extendida. Cada una cuenta con características
diferentes que cumplen requerimientos diferentes por lo que al diseñador de rede se le
presentan varas opciones de donde escoger al momento de realizar un diseño. A continuación
un cuadro con las topologías anteriores.
Punto a Punto
Bus
Anillo
Malla
Estrella
Estrella Extendida
Es la estructura que comunica únicamente dos nodos mediante una
sola conexión directa.
Esta topología se caracteriza por usar únicamente un solo canal de
comunicaciones para conectar varios equipos.
En esta topología cada nodo cuenta con una conexión de entrada y
otra de salida, además se establece que la información solo viaje en
una dirección.
Esta topología es similar a la de punto a punto, sin embargo se realiza
una conexión con un número mayor de nodos, esto manteniendo la
idea de conectar directamente un nodo con otro. En otras palabras
cada estación cuenta con varias conexiones y cada conexión lleva a
otra estación directamente.
Es una red en la que todas las estaciones están conectadas
directamente a un punto central y todas las comunicaciones pasan a
través de este punto.
A grandes rasgos se puede definir como la conexión entre dos o más
topologías de estrella.
Con esta pequeña introducción a las topologías de red, podemos continuar con los dispositivos
físicos que componen una red.
2.2 Hardware
Algunos de los dispositivos más comunes que componen una red y que utilizamos para
desarrollar este proyecto son los routers, los switches, los cables UTP y conectores RJ-45.
Pág. 6 / 20
Infraestructura Tecnológica II
Proyecto 1
Routers o enrutadores: La función principal de enrutador es evaluar las rutas hacia un destino,
y establece según el protocolo utilizado cuál es la más óptima para enviar el paquete, a estos
dispositivos se les puede ingresar una serie de comandos con esto se puede modificar el
funcionamiento; por ejemplo se puede cambiar el protocolo que utiliza para comunicase con
otras estaciones u otros enrutadores.
Switches o Conmutador: es un dispositivo que recibe un mensaje desde otro dispositivo
conectado y transmite el mensaje únicamente al dispositivo para él iba destinado, sin importar
que existan otras estaciones conectadas al switch. El mediante un proceso interno lee el
destino para el cual ve y elije la interfaz por la cual necesita salir, para realizar una
comunicación exitosa.
Cables UTP: también conocido como cableado de par trenzado es un tipo de cableado en el
que dos conductores de un solo circuito están trenzados para evitar la interferencia
electromagnética de fuentes externas. Estos cables se unen con los conectores RJ-45 para
realizar la mayoría de conexiones de redes. Este cable está compuesto por 8 “sub cables”
trenzados dentro de él, estos “sub cables” se pueden ordenar de formas específicas para
permitir la comunicación entre diferentes dispositivos. Los ordenamientos más tradicionales
son conocidos como Plano o Crossover. En la imagen presentada a continuación se muestra
con mayor claridad estos ordenamientos.
Pág. 7 / 20
Infraestructura Tecnológica II
Proyecto 1
2.3 Software
Algunos de los productos de software que utilizamos durante este proyecto fueron Packet
Tracer, Wireshark y HyperTerminal Private Edition.
2.3.1 Packet Tracer
Es un programa de simulación de red que permite a los usuarios experimentar con el
comportamiento de la red, Packet Tracer ofrece simulación, visualización, creación, evaluación
y capacidades de colaboración y facilita la enseñanza y el aprendizaje de conceptos de
tecnología compleja.
2.3.2 Wireshark
Wireshark es un analizador de paquetes de red, que tratará de capturar paquetes de red y
trata de mostrar los paquetes tan detallados como sea posible. Algunas de sus posibles usos
son:
Pág. 8 / 20
Infraestructura Tecnológica II
Proyecto 1




Para examinar los problemas de seguridad
Para depurar implementaciones de algún protocolo
Para aprender acerca de protocolo de red
Para visualizar el tránsito de los paquetes a través de una red
2.3.3 HyperTerminal Private Edition
HyperTerminal Private Edition es un programa de emulación de terminal que soporta las
comunicaciones a través de redes TCP / IP, módems de acceso telefónico, y puertos serie COM.
Este programa fue utilizado para realizar la comunicación entre la máquina de configuración y
los dispositivos de red, mediante esta aplicación y con un cable de consola se configuraron las
interfaces de red que se iba a utilizar.
Pág. 9 / 20
Infraestructura Tecnológica II
Proyecto 1
3. Modelos sugeridos para la aplicación empresarial
3.1 Caso CCSS
La CCSS desea implementar a nivel nacional el proyecto Expediente Electrónico, por lo que
requiere comunicar la red de hospitales y EBAIS del país.
El proyecto propone dividir la implementación en tres fases. La primera fase consta de
compartir los expedientes médicos de sus pacientes, ya que se considera de alta prioridad. La
segunda fase, la transmisión de archivos multimedia sobre cirugías, documentales, entre otros
temas de interés. Y la tercera etapa, plantea incorporar video para que los doctores puedan
capacitarse vía videoconferencia e inclusive puedan comunicarse para comentar algún caso de
un paciente de interés.
Sin embargo, cada ente (hospital y EBAIS) requiere conservar la mayor parte su infraestructura
interna con la que cuentan en la actualidad con el fin de no exceder el presupuesto estimado.
El plan piloto del proyecto inicia en una semana y nos solicitan realizar un primer entregable,
conectar dos hospitales (San Juan de Dios y Calderón Guardia).
Para solucionar el problema se plantea realizar dos redes LAN que representan la red interna
de cada hospital; y mediante una red WAN se establecerá la comunicación entre hospitales.
Cada hospital actualmente posee un cableado estructurado, organizado de acuerdo a una
topología tipo estrella.
Pág. 10 / 20
Infraestructura Tecnológica II
Proyecto 1
3.2 Solución del caso
Después de plantear un caso real, como el descrito anteriormente, procedimos a buscar
soluciones del mismo.
Al inició se planteó la solución mediante Packet Tracer. A continuación se presenta el
esquema:
Se pretendió simular el proveedor de Servicio de Internet por medio de un router el cual tiene
las direcciones estáticas (220.200.30.0/30 y 220.200.30.4/30).
Luego se continuó con dos nodos que simularían los enrutadores de perímetro de cada uno de
los sitios de los hospitales. Seguido a esto se distribuyen los enlaces con switches para
conectar los servidores (con servicios de HTTP y FTP) y máquinas para probar las conexiones.
Otras consideraciones:
• No se implementaron diferentes VLANs en las redes por lo que el nivel de seguridad es bajo.
• El protocolo de enrutamiento es eigrp con área del sistema 10.
• No se aplicaron listas de accesos para permitir accesos restringidos.
• No hubo servidor de dominio para manejar la autentificación.
• Se implementó el servicio TelNet para la administración remota de los equipos.
• Las IPs fueron asignadas estáticamente. No se implementó servidor DHCP-
Pág. 11 / 20
Infraestructura Tecnológica II
Proyecto 1
3.3 Inconvenientes Enfrentados
Al implementar la solución del problema en el laboratorio de África, toda la instalación se
realizó de manera fluida y en cuestión de una tarde se probó la red mediante Wireshark. El
lunes 02 de setiembre del 2013, debido a que no se reservó el laboratorio para la revisión del
proyecto, nos trasladamos al laboratorio del CIC, sin prever que los equipos eran muy nuevos,
por lo que muchos de los comandos desarrollados y probados debían ser modificados, para su
correcto funcionamiento en equipos (routers y switches) con soporte a la tecnología Gigabit.
También, se tuvo que idear una forma de conectar los equipos a la corriente, ya que la UPS se
encontraba dañada y la regleta del rack tenía un enchufe especial para la UPS.
Cuando todo estaba conectado y funcionando, se tuvo que instalar el software necesario para
manipular la configuración de los router y switches (soft Hyperterminal) ya que los equipos
disponibles en el laboratorio no lo tenían.
Durante la instalación, al realizar la conexión entre routers en los equipos modernos, generaba
un error de que el neighbor especificado no le era conocido, en ambos, debido a que se
presentaba una incorrecta instalación de los puertos en los equipos y se estaban utilizando
cables planos en lugar de crossover.
Un inconveniente que parece insignificante, pero fue de suma importancia para el proyecto
fue de que el conector RJ-45 se encontraba dañado (se le quebró la prensa de la cabecilla). Al
tener quebrado este soporte se salía constantemente del puerto, impidiendo la transmisión de
información, por lo que se tuvo que delegar la tarea a un compañero para que sostuviera los
cables para asegurar el paso de la información.
Pág. 12 / 20
Infraestructura Tecnológica II
Proyecto 1
4. Conclusiones




El equipo de trabajo encontró muchos atrasos a la hora de empezar a configurar la red,
puesto que no se tomó en cuenta aspectos que tenían que ver con el equipo, es decir,
determinamos que no solo se debe tener en cuenta consideraciones lógicas (teoría,
configuraciones del equipo, esquema, entre otras cosas), sino que también se debe
atender aspectos físicos como el equipo adecuado.
En cuanto a la transferencia de un archivo, se obtuvieron buenos resultados. Se logró
transferir un archivo de aproximadamente 367 MB en 1 minuto con 43 segundo o su
equivalente que es 103 segundos, obteniendo una transmisión de datos de 28.5 Mbps,
lo cual es favorable porque es el máximo rendimiento de Ethernet.
Wireshark es una herramienta que nos permitió el análisis de red, sin embargo, de
entrada captura todo el tráfico de la red por lo que se usó el filtro para capturar lo que
nos interesaba de la red, en este caso se trató del protocolo TCP (utilizado para realizar
una conexión y enviar un flujo de datos a través de esta).
Wireshark establece tres zonas de datos. La primera zona muestra un listado de los
paquetes capturados, la cual contiene datos del origen, destino, protocolo
involucrado, entre otros. La segunda zona muestra información de la trama capturada
(frame), en la sección de Ethernet muestra información perteneciente a la capa de
enlace de datos (contiene direcciones MAC, etc), la sección TCP es información del
protocolo involucrado (puerto origen y destino, segmento de datos). Y la tercera zona
es el TCP Segment Data, que contiene los datos de la parte del archivo que se está
enviando.
5. Recomendaciones




Realizar un análisis previo del equipo que se va a configurar, así como también el
estado en el que se encuentra el mismo, con el fin de evitar fallos a la hora de
configurar la parte lógica del proyecto.
Contar con estrategias alternativas ante eventos externos a la realización del proyecto
para evitar complicaciones.
Verificar que el equipo físico utilizado sea el adecuado, para así lograr un resultado
funcional.
Asegurarse que la configuración de enrutamiento sea la adecuada (las ip’s
pertenecieran a una misma subred).
Pág. 13 / 20
Infraestructura Tecnológica II
Proyecto 1
6. Bibliografía

Cisco. (10 de 03 de 2010). Cisco Packet Tracer. Obtenido de
http://www.cisco.com/web/learning/netacad/course_catalog/docs/Cisco_PacketTrace
r_AAG.pdf

Dominguez, C. (2007). http://www.cristobaldominguez.com/. Obtenido de
http://www.cristobaldominguez.com/ficheros/switch.pdf

Lara, E. (s.f.). Obtenido de Funcionamiento de un router:
http://personals.ac.upc.edu/elara/documentacion/INTERNET%20-%20UD4%20%20Funcionamiento%20Router.pdf

rnds.com.ar. (2010). www.rnds.com.ar. Obtenido de Cable de par trenzado:
http://www.rnds.com.ar/articulos/052/RNDS_136W.pdf

Seguridad y Redes. (14 de 02 de 2008). Obtenido de
http://seguridadyredes.wordpress.com/2008/02/14/analisis-de-red-con-wiresharkinterpretando-los-datos/

Sharpe, R. (2004). Wireshark User's Guide. Obtenido de
http://www.wireshark.org/docs/
Pág. 14 / 20
7. Anexos
7.1 Monitoreo del tráfico de la red
Infraestructura Tecnológica II
Proyecto 1
7.2 Análisis del paquete transmitido
Pág. 16 / 20
7.3 Configuración de la estación de trabajo en red del Hospital 2
Infraestructura Tecnológica II
Proyecto 1
7.4 Configuración de la estación de trabajo en red del Hospital 1
Pág. 18 / 20
Infraestructura Tecnológica II
Proyecto 1
7.5 Propiedades del archivo transferido
Pág. 19 / 20
Infraestructura Tecnológica II
Proyecto 1
7.6 Carpeta compartida para la trasmisión de archivos entre estaciones
de trabajo
Pág. 20 / 20
Descargar