Gestión de seguridad
Anuncio
Instituto Tecnológico de Costa Rica Escuela de Ingeniería en Computación y Escuela de Administración de Empresas Proyecto 1 Curso: Infraestructura Tecnológica II Profesor: Alfredo Solano Alfaro Realizado por: Aldo Mora Fernández José David Chaverri Pérez Diego Sánchez Quirós Joshua Hernández Bonilla Javier Sales Carreto Fecha de entrega: 04/09/2013 Infraestructura Tecnológica II Proyecto 1 Índice 1. Introducción a la Gestión de Redes....................................................................................... 3 2. Marco Teórico ....................................................................................................................... 6 2.1 Topología de red ................................................................................................................. 6 2.2 Hardware ............................................................................................................................. 6 2.3 Software .............................................................................................................................. 8 2.3.1 Packet Tracer ................................................................................................................ 8 2.3.2 Wireshark ..................................................................................................................... 8 2.3.3 HyperTerminal Private Edition ..................................................................................... 9 3. Modelos sugeridos para la aplicación empresarial ............................................................ 10 3.1 Caso CCSS .......................................................................................................................... 10 3.2 Solución del caso ............................................................................................................... 11 3.3 Inconvenientes Enfrentados ............................................................................................. 12 4. Conclusiones........................................................................................................................ 13 5. Recomendaciones ............................................................................................................... 13 6. Bibliografía .......................................................................................................................... 14 7. Anexos ................................................................................................................................. 15 7.1 Monitoreo del tráfico de la red ......................................................................................... 15 7.2 Análisis del paquete transmitido....................................................................................... 16 7.3 Configuración de la estación de trabajo en red del Hospital 2 ......................................... 17 7.4 Configuración de la estación de trabajo en red del Hospital 1 ......................................... 18 7.5 Propiedades del archivo transferido ................................................................................. 19 7.6 Carpeta compartida para la trasmisión de archivos entre estaciones de trabajo ............ 20 Pág. 2 / 20 Infraestructura Tecnológica II Proyecto 1 1. Introducción a la Gestión de Redes Como todo proyecto de ingeniería la gestión de redes cuenta con un conjunto de procedimientos, fases y buenas prácticas diseñadas con el objetivo brindar un marco de referencia en los procesos de diseño, implementación y mantenimiento de redes de computadoras. A grosso modo la gestión de redes incluye las siguientes fases o etapas: Despliegue Integración Coordinación de hardware, software y recursos humanos. Monitoreo Probar funcionalidades Sondear Configurar Analizar evaluar Controlar Analizar el desempeño. Para llevar a cabo estas funciones se recomienda contar con un NOC (del inglés Network Operations Center ) o Centro de Operaciones de Red. Este centro es el encargado de monitorizar y gestionar las redes ya sea de un departamento, compañía o ciudad dado el caso. Algunas de las principales preocupaciones de del NOC son: Mantener información con respecto a disponibilidad actual, información histórica y planeada a futuro. Estado de la red y estadísticas de los sistemas. Monitorear y gestionar fallas en la red, la cual incluye medidas de prevención, mitigación y solución. Según el International Organization for Standardization (ISO), la gestión de las redes está dividida en los siguientes componentes: Gestión de configuraciones y cambios Gestión de desempeño y disponibilidad. Gestión de fallas. Gestión de seguridad A continuación se describen los componentes supracitados: Gestión de configuraciones Básicamente consiste en mantener información relativa al diseño de la red y su configuración actual. Concierne a aspectos tales como la topología (Estático, dinámico, ¿que está instalado? , cómo está conectado, estado operacional de los elementos de la red, estado de la conexión de cada dispositivo. ) Además contempla aspectos de inventario, mantenimiento de directorios, Pág. 3 / 20 Infraestructura Tecnológica II Proyecto 1 coordinación del esquema de nombres para nodos y aplicaciones. Otra de las partes importantes de la gestión de la configuración son los métodos de acceso, tales como el SNMP (Simple Protocol Management Protocol) y el acceso fuera de banda (OOB). EL SNMP es un sistema tipo consulta respuesta con el cual se puede obtener diversa información con respecto a un dispositivo, como las variables estándares, y las variables específicas del fabricante, este sistema utiliza una base de datos llamada MIB(Management Information Base). Los usos más comunes de un SNMP consiste en consultar la siguiente información de enrutadores y switches. Octetos entrantes y salientes. Carga de CPU Memoria utilizada / Disponible Tiempo de operación Estado de las sesiones BGP Tablas ARP Tablas de reenvío. Gestión del Rendimiento Básicamente consiste en garantizar los niveles consistentes de rendimiento. Esta formado por un conjunto de datos usados como indicadores de rendimiento los cuales se mencionan a continuación. Estadísticas de interfaces Tráfico Tasas de error Utilización Disponibilidad porcentual Se establecen análisis con base en estos indicadores y además se prevén pronósticos del rendimiento de la red en diversos escenarios. Planificación de la capacidad de las instalaciones. Gestión de fallas En esta fase uno de los principales objetivos es la identificación de la falla la cual se realiza mediante un sondeo regular de los elementos de la red. Procedimientos para aislar la falla, así como la forma de reaccionar ante la falla y la solución de la misma. Un aspecto de suma importancia es la detección de la falla, esto se puede realizar de varias formas desde herramientas de monitoreo que se encargan de evaluar la red en búsqueda de fallas de manera periódica o mediante un de los métodos quizás menos deseados por lo encargados de administrar de la red que es la reporte o aviso de una falla por parte del usuario o cliente de la red. Pág. 4 / 20 Infraestructura Tecnológica II Proyecto 1 Gestión de seguridad En la era de la información en la que se encuentra actualmente el planeta, la información ha pasado a ser de los activos más importantes en las organizaciones privadas como públicas, ante esto el resguardo de la información de es de suma importancia. Básicamente la gestión de la seguridad consiste en controlar el acceso a los recursos de la red de acuerdo a políticas bien definidas. Esto se logra mediante el uso periódico de herramientas para analizar y controlar el uso legítimo de la red, también existen técnicas como la distribución de certificados. Pág. 5 / 20 Infraestructura Tecnológica II Proyecto 1 2. Marco Teórico En el proyecto que decidimos desarrollar se requerían algunas conceptos vistos durante clases, sin embargo con solo esos no era suficiente por lo que tuvimos que profundizar con ciertos temas más técnicos. En esta es sección del documento se repasaran algunos conceptos vistos durante las lecciones así como también se hará referencias a otros más técnicos con el fin de guiar a las personas que no están muy relacionadas con el tema de redes. 2.1 Topología de red Los primero que vamos a explicar es la estructura que compone nuestra red, a esto se le conoce como topología de red. Existen varios tipos de topología los más conocidos son: punto a punto, bus, anillo, malla, estrella y estrella extendida. Cada una cuenta con características diferentes que cumplen requerimientos diferentes por lo que al diseñador de rede se le presentan varas opciones de donde escoger al momento de realizar un diseño. A continuación un cuadro con las topologías anteriores. Punto a Punto Bus Anillo Malla Estrella Estrella Extendida Es la estructura que comunica únicamente dos nodos mediante una sola conexión directa. Esta topología se caracteriza por usar únicamente un solo canal de comunicaciones para conectar varios equipos. En esta topología cada nodo cuenta con una conexión de entrada y otra de salida, además se establece que la información solo viaje en una dirección. Esta topología es similar a la de punto a punto, sin embargo se realiza una conexión con un número mayor de nodos, esto manteniendo la idea de conectar directamente un nodo con otro. En otras palabras cada estación cuenta con varias conexiones y cada conexión lleva a otra estación directamente. Es una red en la que todas las estaciones están conectadas directamente a un punto central y todas las comunicaciones pasan a través de este punto. A grandes rasgos se puede definir como la conexión entre dos o más topologías de estrella. Con esta pequeña introducción a las topologías de red, podemos continuar con los dispositivos físicos que componen una red. 2.2 Hardware Algunos de los dispositivos más comunes que componen una red y que utilizamos para desarrollar este proyecto son los routers, los switches, los cables UTP y conectores RJ-45. Pág. 6 / 20 Infraestructura Tecnológica II Proyecto 1 Routers o enrutadores: La función principal de enrutador es evaluar las rutas hacia un destino, y establece según el protocolo utilizado cuál es la más óptima para enviar el paquete, a estos dispositivos se les puede ingresar una serie de comandos con esto se puede modificar el funcionamiento; por ejemplo se puede cambiar el protocolo que utiliza para comunicase con otras estaciones u otros enrutadores. Switches o Conmutador: es un dispositivo que recibe un mensaje desde otro dispositivo conectado y transmite el mensaje únicamente al dispositivo para él iba destinado, sin importar que existan otras estaciones conectadas al switch. El mediante un proceso interno lee el destino para el cual ve y elije la interfaz por la cual necesita salir, para realizar una comunicación exitosa. Cables UTP: también conocido como cableado de par trenzado es un tipo de cableado en el que dos conductores de un solo circuito están trenzados para evitar la interferencia electromagnética de fuentes externas. Estos cables se unen con los conectores RJ-45 para realizar la mayoría de conexiones de redes. Este cable está compuesto por 8 “sub cables” trenzados dentro de él, estos “sub cables” se pueden ordenar de formas específicas para permitir la comunicación entre diferentes dispositivos. Los ordenamientos más tradicionales son conocidos como Plano o Crossover. En la imagen presentada a continuación se muestra con mayor claridad estos ordenamientos. Pág. 7 / 20 Infraestructura Tecnológica II Proyecto 1 2.3 Software Algunos de los productos de software que utilizamos durante este proyecto fueron Packet Tracer, Wireshark y HyperTerminal Private Edition. 2.3.1 Packet Tracer Es un programa de simulación de red que permite a los usuarios experimentar con el comportamiento de la red, Packet Tracer ofrece simulación, visualización, creación, evaluación y capacidades de colaboración y facilita la enseñanza y el aprendizaje de conceptos de tecnología compleja. 2.3.2 Wireshark Wireshark es un analizador de paquetes de red, que tratará de capturar paquetes de red y trata de mostrar los paquetes tan detallados como sea posible. Algunas de sus posibles usos son: Pág. 8 / 20 Infraestructura Tecnológica II Proyecto 1 Para examinar los problemas de seguridad Para depurar implementaciones de algún protocolo Para aprender acerca de protocolo de red Para visualizar el tránsito de los paquetes a través de una red 2.3.3 HyperTerminal Private Edition HyperTerminal Private Edition es un programa de emulación de terminal que soporta las comunicaciones a través de redes TCP / IP, módems de acceso telefónico, y puertos serie COM. Este programa fue utilizado para realizar la comunicación entre la máquina de configuración y los dispositivos de red, mediante esta aplicación y con un cable de consola se configuraron las interfaces de red que se iba a utilizar. Pág. 9 / 20 Infraestructura Tecnológica II Proyecto 1 3. Modelos sugeridos para la aplicación empresarial 3.1 Caso CCSS La CCSS desea implementar a nivel nacional el proyecto Expediente Electrónico, por lo que requiere comunicar la red de hospitales y EBAIS del país. El proyecto propone dividir la implementación en tres fases. La primera fase consta de compartir los expedientes médicos de sus pacientes, ya que se considera de alta prioridad. La segunda fase, la transmisión de archivos multimedia sobre cirugías, documentales, entre otros temas de interés. Y la tercera etapa, plantea incorporar video para que los doctores puedan capacitarse vía videoconferencia e inclusive puedan comunicarse para comentar algún caso de un paciente de interés. Sin embargo, cada ente (hospital y EBAIS) requiere conservar la mayor parte su infraestructura interna con la que cuentan en la actualidad con el fin de no exceder el presupuesto estimado. El plan piloto del proyecto inicia en una semana y nos solicitan realizar un primer entregable, conectar dos hospitales (San Juan de Dios y Calderón Guardia). Para solucionar el problema se plantea realizar dos redes LAN que representan la red interna de cada hospital; y mediante una red WAN se establecerá la comunicación entre hospitales. Cada hospital actualmente posee un cableado estructurado, organizado de acuerdo a una topología tipo estrella. Pág. 10 / 20 Infraestructura Tecnológica II Proyecto 1 3.2 Solución del caso Después de plantear un caso real, como el descrito anteriormente, procedimos a buscar soluciones del mismo. Al inició se planteó la solución mediante Packet Tracer. A continuación se presenta el esquema: Se pretendió simular el proveedor de Servicio de Internet por medio de un router el cual tiene las direcciones estáticas (220.200.30.0/30 y 220.200.30.4/30). Luego se continuó con dos nodos que simularían los enrutadores de perímetro de cada uno de los sitios de los hospitales. Seguido a esto se distribuyen los enlaces con switches para conectar los servidores (con servicios de HTTP y FTP) y máquinas para probar las conexiones. Otras consideraciones: • No se implementaron diferentes VLANs en las redes por lo que el nivel de seguridad es bajo. • El protocolo de enrutamiento es eigrp con área del sistema 10. • No se aplicaron listas de accesos para permitir accesos restringidos. • No hubo servidor de dominio para manejar la autentificación. • Se implementó el servicio TelNet para la administración remota de los equipos. • Las IPs fueron asignadas estáticamente. No se implementó servidor DHCP- Pág. 11 / 20 Infraestructura Tecnológica II Proyecto 1 3.3 Inconvenientes Enfrentados Al implementar la solución del problema en el laboratorio de África, toda la instalación se realizó de manera fluida y en cuestión de una tarde se probó la red mediante Wireshark. El lunes 02 de setiembre del 2013, debido a que no se reservó el laboratorio para la revisión del proyecto, nos trasladamos al laboratorio del CIC, sin prever que los equipos eran muy nuevos, por lo que muchos de los comandos desarrollados y probados debían ser modificados, para su correcto funcionamiento en equipos (routers y switches) con soporte a la tecnología Gigabit. También, se tuvo que idear una forma de conectar los equipos a la corriente, ya que la UPS se encontraba dañada y la regleta del rack tenía un enchufe especial para la UPS. Cuando todo estaba conectado y funcionando, se tuvo que instalar el software necesario para manipular la configuración de los router y switches (soft Hyperterminal) ya que los equipos disponibles en el laboratorio no lo tenían. Durante la instalación, al realizar la conexión entre routers en los equipos modernos, generaba un error de que el neighbor especificado no le era conocido, en ambos, debido a que se presentaba una incorrecta instalación de los puertos en los equipos y se estaban utilizando cables planos en lugar de crossover. Un inconveniente que parece insignificante, pero fue de suma importancia para el proyecto fue de que el conector RJ-45 se encontraba dañado (se le quebró la prensa de la cabecilla). Al tener quebrado este soporte se salía constantemente del puerto, impidiendo la transmisión de información, por lo que se tuvo que delegar la tarea a un compañero para que sostuviera los cables para asegurar el paso de la información. Pág. 12 / 20 Infraestructura Tecnológica II Proyecto 1 4. Conclusiones El equipo de trabajo encontró muchos atrasos a la hora de empezar a configurar la red, puesto que no se tomó en cuenta aspectos que tenían que ver con el equipo, es decir, determinamos que no solo se debe tener en cuenta consideraciones lógicas (teoría, configuraciones del equipo, esquema, entre otras cosas), sino que también se debe atender aspectos físicos como el equipo adecuado. En cuanto a la transferencia de un archivo, se obtuvieron buenos resultados. Se logró transferir un archivo de aproximadamente 367 MB en 1 minuto con 43 segundo o su equivalente que es 103 segundos, obteniendo una transmisión de datos de 28.5 Mbps, lo cual es favorable porque es el máximo rendimiento de Ethernet. Wireshark es una herramienta que nos permitió el análisis de red, sin embargo, de entrada captura todo el tráfico de la red por lo que se usó el filtro para capturar lo que nos interesaba de la red, en este caso se trató del protocolo TCP (utilizado para realizar una conexión y enviar un flujo de datos a través de esta). Wireshark establece tres zonas de datos. La primera zona muestra un listado de los paquetes capturados, la cual contiene datos del origen, destino, protocolo involucrado, entre otros. La segunda zona muestra información de la trama capturada (frame), en la sección de Ethernet muestra información perteneciente a la capa de enlace de datos (contiene direcciones MAC, etc), la sección TCP es información del protocolo involucrado (puerto origen y destino, segmento de datos). Y la tercera zona es el TCP Segment Data, que contiene los datos de la parte del archivo que se está enviando. 5. Recomendaciones Realizar un análisis previo del equipo que se va a configurar, así como también el estado en el que se encuentra el mismo, con el fin de evitar fallos a la hora de configurar la parte lógica del proyecto. Contar con estrategias alternativas ante eventos externos a la realización del proyecto para evitar complicaciones. Verificar que el equipo físico utilizado sea el adecuado, para así lograr un resultado funcional. Asegurarse que la configuración de enrutamiento sea la adecuada (las ip’s pertenecieran a una misma subred). Pág. 13 / 20 Infraestructura Tecnológica II Proyecto 1 6. Bibliografía Cisco. (10 de 03 de 2010). Cisco Packet Tracer. Obtenido de http://www.cisco.com/web/learning/netacad/course_catalog/docs/Cisco_PacketTrace r_AAG.pdf Dominguez, C. (2007). http://www.cristobaldominguez.com/. Obtenido de http://www.cristobaldominguez.com/ficheros/switch.pdf Lara, E. (s.f.). Obtenido de Funcionamiento de un router: http://personals.ac.upc.edu/elara/documentacion/INTERNET%20-%20UD4%20%20Funcionamiento%20Router.pdf rnds.com.ar. (2010). www.rnds.com.ar. Obtenido de Cable de par trenzado: http://www.rnds.com.ar/articulos/052/RNDS_136W.pdf Seguridad y Redes. (14 de 02 de 2008). Obtenido de http://seguridadyredes.wordpress.com/2008/02/14/analisis-de-red-con-wiresharkinterpretando-los-datos/ Sharpe, R. (2004). Wireshark User's Guide. Obtenido de http://www.wireshark.org/docs/ Pág. 14 / 20 7. Anexos 7.1 Monitoreo del tráfico de la red Infraestructura Tecnológica II Proyecto 1 7.2 Análisis del paquete transmitido Pág. 16 / 20 7.3 Configuración de la estación de trabajo en red del Hospital 2 Infraestructura Tecnológica II Proyecto 1 7.4 Configuración de la estación de trabajo en red del Hospital 1 Pág. 18 / 20 Infraestructura Tecnológica II Proyecto 1 7.5 Propiedades del archivo transferido Pág. 19 / 20 Infraestructura Tecnológica II Proyecto 1 7.6 Carpeta compartida para la trasmisión de archivos entre estaciones de trabajo Pág. 20 / 20