Inform - Escuela de Ingeniería Eléctrica
Anuncio
Universidad de Costa Rica Facultad de Ingeniería Escuela de Ingeniería Eléctrica IE – 0502 Proyecto Eléctrico “Propuesta de implementación de un sistema para automatizar la administración de la red del Banco Nacional de Costa Rica” Por: Andrea Benavides Vargas Ciudad Universitaria Rodrigo Facio Julio del 2008 “Propuesta de implementación de un sistema para automatizar la administración de la red del Banco Nacional de Costa Rica” Por: Andrea Benavides Vargas Sometido a la Escuela de Ingeniería Eléctrica de la Facultad de Ingeniería de la Universidad de Costa Rica como requisito parcial para optar por el grado de: BACHILLER EN INGENIERÍA ELÉCTRICA Aprobado por el Tribunal: _________________________________ Ing. Andrew Sheehy Protti Profesor Guía _________________________________ Ing. David Ramirez Rodriguez Profesor lector _________________________________ Ing. Nowell Rowe Williams Profesor lector i DEDICATORIA A papi y mami ii RECONOCIMIENTOS iii Índice general ÍNDICE DE FIGURAS................................................................................................................................... 8 ÍNDICE DE TABLAS................................................................................................................................... 10 NOMENCLATURA........................................................................................................................................ 1 RESUMEN ...................................................................................................................................................... 4 CAPITULO 1: Introducción ........................................................................................................................... 5 1.1 Realidad de la infraestructura de la red Banco Nacional de Costa Rica ............................................. 5 1.2 Problemática en la administración de la infraestructura de la red ......................................................... 5 1.3 Objetivos del proyecto ............................................................................................................................. 7 1.3.1 Objetivo general ................................................................................................................................................................. 7 1.3.2 Objetivos específicos .......................................................................................................................................................... 7 1.4 Solución propuesta................................................................................................................................... 9 1.4.1 Implementación de la herramienta “Common Services” ................................................................................................. 9 1.4.2 Implementación de la herramienta “Resource Manager Essentials” ............................................................................. 9 1.5 Metodología de trabajo. ......................................................................................................................... 10 CAPITULO 2: Marco Teórico ...................................................................................................................... 14 2.1 Principios de Redes ................................................................................................................................. 14 iv 2.1.2 Configuración.................................................................................................................................................................... 17 2.1.3 Niveles de acceso .............................................................................................................................................................. 18 2.1.3.1 Modo EXEC usuario ................................................................................................................................................... 19 2.1.3.2 Modo EXEC privilegiado............................................................................................................................................ 20 2.1.3.3 Modo de configuración global ................................................................................................................................. 20 2.1.4 Seguridad de acceso a los dispositivos de red ................................................................................................................ 21 2.1.4.1 Filtrado de tráfico ...................................................................................................................................................... 21 2.1.4.2 Listas de control de acceso (ACL) ............................................................................................................................. 21 2.1.4.3 Restricción del acceso a una terminal virtual.......................................................................................................... 23 2.1.4.4 Restricción del acceso a la consola .......................................................................................................................... 23 2.2 Fundamentos de la gestión de red .......................................................................................................... 24 2.3 Normativas y estándares en la administración de redes ....................................................................... 30 2.3.1 ITIL ...................................................................................................................................................................................... 30 2.4 “CiscoWorks” .......................................................................................................................................... 40 2.4.1 Aplicaciones del LMS ................................................................................................................................................... 41 2.4.1.1 “Common Services” (CS) ........................................................................................................................................... 41 2.4.1.2 LMS Portal.................................................................................................................................................................. 41 2.4.1.3 "CiscoWorks Assistant” ............................................................................................................................................. 42 2.4.1.4 “Campus Manager” (CM) ......................................................................................................................................... 42 2.4.1.5 “Internet Performance Monitor” (IPM) ................................................................................................................... 42 2.4.1.6 “Device Fault Manager” (DFM) ................................................................................................................................ 43 2.4.1.7 "Resource Manager Essentials" (RME) .................................................................................................................... 43 2.4.1.8 Health Utilization Monitor (HUM) .......................................................................................................................... 44 2.4.2 Descripción detallada de la herramienta CS ................................................................................................................... 44 2.4.3 Descripción detallada de la herramienta RME. .............................................................................................................. 46 2.4.4 Métodos de autenticación........................................................................................................................................... 48 2.4.4.1 ACS Mode ............................................................................................................................................................. 48 2.4.4.2 Non ACS Mode ..................................................................................................................................................... 48 2.4.4.3 Ventajas del modo ACS ........................................................................................................................................ 49 2.4.5 Jerarquías de administración de red. ............................................................................................................................... 49 2.4.5.1 Jerarquía de acceso a la infraestructura de la red. ................................................................................................ 49 2.4.5.2 Creación de dominios. .............................................................................................................................................. 49 2.4.5.3 Creación de roles. ..................................................................................................................................................... 50 2.4.5.4 Creación de cuentas. ................................................................................................................................................ 50 2.4.5.5 Creación de grupos. ................................................................................................................................................. 50 CAPITULO 3: Desarrollo el proyecto ......................................................................................................... 52 3.1 Gestión actual de la red del Banco Nacional de Costa Rica................................................................. 52 3.1.1 Jerarquía de administración de red del BNCR.................................................................................................................. 52 3.1.2 Herramientas utilizadas para la gestión de la red del BNCR actualmente .................................................................... 54 3.1.3 Uso dado a la herramienta CiscoWorks en la gestión de red BNCR actualmente ......................................................... 57 3.2 Propuesta de implementación de la herramienta “CiscoWorks” en la gestión de red BNCR ........... 73 3.2.1 Propuesta de implementación de la aplicación “Common Services” de CiscoWorks.................................................... 75 3.2.1.1 Propuesta de implantación de los roles y permisos haciendo uso del modo de autenticación ACS. ................. 75 3.2.2 Propuesta de implantación del RME de CiscoWorks ....................................................................................................... 80 3.2.2.1 Propuesta de implantación de los grupos y dominios............................................................................................ 80 3.2.2.2 Propuesta de implantación de la calendarización .................................................................................................. 81 3.2.2.3 Propuesta de implantación de la generación automática de reportes ................................................................. 83 3.2.2.4 Propuesta de implantación del inventariado automático ...................................................................................... 88 CAPITULO 4: Conclusiones y recomendaciones ....................................................................................... 89 4.1 Conclusiones ........................................................................................................................................... 89 4.2 Recomendaciones.................................................................................................................................... 91 4.2.1 Uso de los mapas topológicos .......................................................................................................................................... 91 4.2.2 Mantenimiento de las aplicaciones propuestas .............................................................................................................. 92 4.2.3 Actualización y respaldo del sistema................................................................................................................................ 96 4.2.3.1 Respaldo de la base de datos de CiscoWorks.......................................................................................................... 96 4.2.3.2 Actualización del sistema CiscoWorks ..................................................................................................................... 97 4.2.4 Integración CiscoWorks con HP OpenView ...................................................................................................................... 98 4.2.5 Certificación ISO 20000 ..................................................................................................................................................... 98 BIBLIOGRAFIA .........................................................................................................................................100 APENDICES ...............................................................................................................................................102 ÍNDICE DE FIGURAS Figura 1.1 Acceso a la red ............................................................................................................................... 6 Figura 2. 1 Modos de acceso ........................................................................................................................ 19 Figura 3. 1 Jerarquía de administración BNCR .......................................................................................... 53 Figura 3. 2 Prototipo de requerimiento ........................................................................................................ 57 Figura 3. 3 Acceso a la herramienta CiscoWorks ........................................................................................ 58 Figura 3. 4 Cuentas de CiscoWorks ............................................................................................................. 59 Figura 3. 5 Herramienta poblada .................................................................................................................. 60 Figura 3. 6 Grupos de dispositivos............................................................................................................... 61 Figura 3. 7 Grupos regionales ...................................................................................................................... 62 Figura 3. 8 Grupos regionales ...................................................................................................................... 63 Figura 3. 9 No hay registros ......................................................................................................................... 65 Figura 3. 10 Permisos mal asignados ........................................................................................................... 66 Figura 3. 11 Mapa topológico creado por CW [Y] ..................................................................................... 68 Figura 3. 12 Dispositivo con el protocolo CDP habilitado ......................................................................... 69 Figura 3. 13 Dispositivo con el protocolo CDP deshabilitado ................................................................... 70 Figura 3. 14 Autenticacion Local ................................................................................................................. 71 Figura 3. 15 Calendarización de tareas habilitada....................................................................................... 72 Figura 3. 16 Calendarización en mal funcionamiento ................................................................................ 73 Figura 3. 17 Registro de configuración actual en texto plano .................................................................... 85 Figura 3. 18 Comparación de registros de cambios realizados en un dispositivo ..................................... 87 Figura 4. 1 Información del estado del servidor.......................................................................................... 94 Figura 4. 2 Anuncio de actualizaciones de “CiscoWorks” ......................................................................... 97 ÍNDICE DE TABLAS Tabla 3.1 Comparación Jerarquías de Administración "Cisco Works" - BNCR. “Mode Non ACS” ..... 77 Tabla 3.2 Comparación Jerarquías de Administración "Cisco Works" - BNCR. “Mode ACS”............. 79 NOMENCLATURA AAA: del inglés “Authentication Authorization Accounting”, en español: autenticación, autorización y contabilidad. ACL: del inglés “Access Control List”, en español Lista de Control de Acceso. ACS: del inglés “Access Control Server”, en español: servidor de control de acceso. ANI: del inglés “Automatic Number Identification”, en español: número de identificación automática. API: del inglés “Application Program Interface”, en español: interfaz de programación de aplicaciones. ARP: del inglés “Address Resolution Protocol”, en español: protocolo de resolución de direcciones. ASCII: del inglés “American Standard Code for Information Interchange”, en español código estadounidense estándar para el intercambio de información. BNCR: Siglas de Banco Nacional de Costa Rica CDP: del inglés “Cisco Discovery Protocol”, en español: protocolo de descubrimiento de Cisco. CLI: del inglés “Command Line Interface”, en español: línea de comandos. CMF: “Common Management Foundation”: aplicación de CiscoWorks CPU: del inglés “Central Processing Unit”, en español: unidad central de procesamiento. CS: “Common Services”, aplicación de CiscoWorks. CM: Campus Manager, aplicación de CiscoWorks. CMDB: del inglés “Configuration Managment Data Base”, en español: base de datos de la gestión de las configuraciones. 1 CDP: del inglés “Cisco Discovery Protocol”, en español: protocolo de descubrimiento Cisco. CW: Siglas de CiscoWorks DFM: del inglés “Device Fault Manager”, en español: dispositivo cisco administrador de fallas. HTTP: del inglés “HyperText Transfer Protocol”, en español: protocolo de transferencia de hipertexto. HTTPS: del inglés “HyperText Transfer Protocol Secure”, en español: protocolo de transferencia de hipertexto. HUM: “Health Utilization Monitor”, aplicación de CiscoWorks ICE: Instituto Costarricense de Electricidad. IEC: del inglés “International Electrotechnical Commission”. IOS: del inglés “Internetwork Operating System”, en español: sistema operativo de interconexión de redes. IPM: del inglés “Internet Performance Monitor”, en español: monitor de rendimiento de internet. IP: del inglés “Internet Protocol”, en español: protocolo de internet. IT: del inglés “Information Technologies”, en español: tecnologías de la información. ISO: del inglés “International Organization for Standardization”, en español: organización internacional de normalización. ITEM: del inglés “IP Telephony Environment Monitor”, en español monitor del ambiente de telefonía IP. ITIL: del inglés “Information Technology Infrastructure Library”, en español: biblioteca de infraestructura de tecnologías de información. II: departamento de Ingeniería e Infraestructura LAN: del inglés “Local Area Network”, en español: red de área local. 2 LMS: del inglés “LAN Management Solution”, en español: sistema de gestión de aprendizaje LAN. MD5: del inglés “Message-Digest Algorithm 5”, en español: algoritmo de resumen del mensaje 5. MIB: del inglés “Management Information Base”, en español: base de información gestionada. NMS: del inglés “Network Management Station”, en español: sistema de administración de la red. OSPF: del inglés “Open Shortest Path First”, en español: protocolo de enrutamiento jerárquico de pasarela interior. RAM: del inglés “Random Access Memory”, en español: memoria de acceso aleatorio. RME: “Resource Manager Essentials”, aplicación de CiscoWorks. ROM: del inglés “Read Only Memory”, en español: memoria de sólo lectura. SNMS: del inglés “Small Network Management Solution”, en español: la solución de gestión para pequeñas y medianas empresas. TCP: del inglés “Transmission Control Protocol”, en español: protocolo de control de transmisión. TI: Tecnologías de la información. URL: del inglés “Uniform Resource Locator”, en español: localizador uniforme de recurso. VTP: del inglés “Virtual Terminal Protocol”, en español protocolo de terminal virtual. VLAN: del inglés “Local Area Network”, en español: red de área local virtual. WAN: del inglés “Wide Area Netwok”, en español red de comunicación extendida. 3 RESUMEN El objetivo principal de este proyecto es presentar una propuesta de automatización de red, que se ajuste a los objetivos del proceso de reingeniería por el cual está pasando la gestión de red del BNCR, haciendo uso de las herramientas tecnológicas con que cuenta, especialmente la herramienta CiscoWorks. Antes de empezar el desarrollo de la propuesta se llevo a cabo un estudio detallado sobre las normativas ITIL, ya que el proceso de reingeniería del departamento de IT del BNCR ha basado sus objetivos en este estándar. Posterior al estudio de las bases teóricas del proceso de reingeniería del BNCR, se procedió a hacer un estudio de la banda de trabajo de este departamento, específicamente, de las unidades que velan por el mantenimiento y administración de la red, de este estudio se concluyó que si bien es cierto las bases teóricas y administrativas de este proyecto están bien definidas, en la práctica, estas normas no se están cumpliendo en su totalidad. Para realizar la propuesta de automatización de la red, se llevo a cabo una exploración de las herramientas tecnológicas con que cuenta el BNCR, haciendo énfasis en la herramienta CiscoWorks, llegando a concluir que esta herramienta se encuentra en estado de subutilización. Finalmente se presenta la propuesta de implantación de la herramienta antes mencionada, basada en los objetivos teóricos buscados, haciendo énfasis en la implantación de los roles y permisos, para poder llevar a cabo y mantener un control más detallado sobre el acceso a la red y las acciones llevadas a cabo por parte del personal en cargo en cada uno de sus accesos. La propuesta además hace énfasis en el respaldo automatizados de las configuraciones, así como también en la generación automática de registros minuciosos de cambios implementados en los dispositivos. Como parte de la propuesta, se sugiere implementar el uso de la calendarización, método a través del cual se propone agilizar la banda de trabajo entre las diferentes unidades del departamento de ingeniería, así como también se busca conseguir un mejor aprovechamiento del tiempo de gestión de la red BNCR. Se presentan, además, los requerimientos del mantenimiento de la herramienta propuesta para garantizar un mejor rendimiento de las mismas, y un nivel de seguridad en la configuración de los dispositivos mayor. 4 CAPITULO 1: Introducción 1.1 Realidad de la infraestructura de la red Banco Nacional de Costa Rica En la actualidad el departamento encargado de la administración y mantenimiento de la infraestructura de red del Banco Nacional de Costa Rica no hace uso de ninguna herramienta que permita llevar a cabo esta tarea de manera automática, motivo por el cual la gestión de red es hoy en día una práctica propensa a errores, que además demanda mucho tiempo por parte del personal a cargo. 1.2 Problemática en la administración de la infraestructura de la red • Uso ineficiente del tiempo: Al no contar con una herramienta que permita dar configuración a múltiples dispositivos de iguales requerimientos, el personal encargado de la administración de los dispositivos que forman la red tiene la tediosa labor de realizar los ajustes necesarios a cada dispositivo uno a uno, sin considerar las similitudes entre ellos. • Alta probabilidad de error: Ante la falta de un mecanismo automatizado de configuración, las probabilidades de cometer errores por parte del personal encargado del mantenimiento y administración de la red es alto. • Inexistencia de un registro de cambios: El Banco Nacional de Costa Rica no cuenta actualmente con mecanismo alguno que se encargue de guardar el historial de los cambios realizados en los dispositivos de la red, lo cual conlleva a problemáticas tales como el desconocimiento de la raíz de un problema ocasionado por el cambio en una configuración. • Acceso de usuarios no autorizados a la red: Hoy en día el Banco Nacional de Costa Rica cuenta con un único usuario para acceder los dispositivos de la red. Dicho usuario tiene los privilegios de superusuario, es decir, no tiene limitaciones de acceso. Por consiguiente todo el personal con acceso a la infraestructura de la red (es decir, cuya IP este autorizada) tiene acceso a todos los 5 dispositivos y configuraciones, lo cual pone en riesgo toda la infraestructura de esta, ya que cualquier usuario no autorizado o no capacitado podría modificar parámetros cruciales en los dispositivos de la red. El personal encargado de la gestión de red del BNCR cuenta con un único tipo de usuario para accesar a las herramientas de administración de la red básicas, con las cuales, es posible accesar las herramientas de más alto nivel de gestión de la red, este acceso se lleva a cabo a través del comando telnet a uno de los servidores con este tipo de herramientas, por ejemplo, para tener acceso al gestor de red CiscoWorks, se debe hacer telnet al servidor que contiene dicha herramienta, posterior a este comando, cuando ya se está dentro de este servidor, existe un único tipo de usuario, con más permisos asignados de lo necesario. En la Figura 1 se puede observar lo antes descrito. Figura 1.1 Acceso a la red • Detección de errores deficiente: La realidad actual en la administración de la infraestructura de 6 la red BNCR no cuenta con ningún mecanismo de detección de fallas, lo cual quiere decir, que en caso de colapsar la red se debe ir revisando dispositivo por dispositivo, enlace por enlace, configuración por configuración, hasta encontrar el error. • Control de acceso: Actualmente, en la infraestructura de la red del Banco Nacional de Costa Rica no se controla el acceso a la infraestructura de la red, es decir, no existe un record de accesos a los dispositivos por usuario y por consiguiente no existe manera de saber que usuario entró o editó alguna configuración, lo cual es altamente riesgoso, ya que todos los usuarios con acceso a la infraestructura de la red tienen privilegios de superusuario. 1.3 Objetivos del proyecto La necesidad de implementar un mecanismo de automatización en la administración de la infraestructura de la red del Banco Nacional de Costa Rica es una realidad actual; La red crece día con día y con ella sus requerimientos, necesidades de mantenimiento y configuración. Así pues, no contar con una herramienta que haga todo esto de una manera práctica, eficiente y segura es un riesgo. Ante dicha necesidad surge la motivación de hacer uso de las todas las facilidades que ofrece una herramienta que actualmente el Banco Nacional de Costa Rica posee, pero no se encuentra totalmente implementada: “CiscoWorks”. 1.3.1 Objetivo general Llevar a cabo una propuesta de implementación de las herramientas del sistema “CiscoWorks” concernientes al control de la configuración y de seguridad en el acceso a la infraestructura de la red del Banco Nacional de Costa Rica, tal que cumpla con las normativas teóricas buscadas por la gestión de la infraestructura de red del BNCR. 1.3.2 Objetivos específicos 7 • Describir los aspectos básicos sobre el acceso, configuración y administración de una infraestructura de red. • Estudiar detalladamente la jerarquía de administración de la red Banco Nacional de Costa Rica. • Describir detalladamente las bases teóricas de las normativas de gestión de red propuestas por ITIL. • Explicar las características y el funcionamiento del sistema “Cisco Works”, haciendo énfasis en las herramientas concernientes al control de la configuración y de seguridad en el acceso a la infraestructura de una red. • Estudiar y detallar el uso dado a la herramienta “CiscoWorks” actualmente en la gestión de la infraestructura de red del Banco Nacional de Costa Rica. • Realizar una propuesta de implementación que contemple de manera detallada la puesta en marcha de los dominios, roles y cuentas para el acceso a la infraestructura de la red del Banco Nacional de Costa Rica mediante el uso de la aplicación “Common Services” del sistema “CiscoWorks” y del servidor AAA del Banco Nacional de Costa Rica. • Hacer una propuesta de implementación para la aplicación de la herramienta “Resource Manager Essentials” del sistema “CiscoWorks” para controlar la configuración de los dispositivos que forman la red del Banco Nacional de Costa Rica, así como también para generar registros de forma automática y personalizada de los cambios implementados en la configuración de los dispositivos de la red. 8 1.4 Solución propuesta 1.4.1 Implementación de la herramienta “Common Services” Como solución al problema de los accesos no autorizados a los dispositivos que forman la infraestructura de red del Banco Nacional de Costa Rica, se propone la implementación de la herramienta “Common Services” (CS) del sistema “CiscoWorks”. Esta herramienta permitirá compartir un modelo común para el intercambio de datos, usuarios, grupos, privilegios de acceso y protocolos de seguridad entre los diferentes dispositivos de la red. ”Common Services” permitirá a cada usuario acceder a aquellos dispositivos a los cuales este previamente autorizado, así como también monitorear y/o editar únicamente dispositivos sobre los cuales tenga permisos asignados. 1.4.2 Implementación de la herramienta “Resource Manager Essentials” Una vez implementada y puesta en marcha la herramienta CS de “CiscoWorks”, es posible empezar a implementar el “Resource Manager Essentials” (RME) para controlar las configuraciones de los dispositivos. Se debe completar primero la implementación del CS, ya que el RME hace uso de la base de datos de CS, en la cual se encuentra el inventario de los dispositivos que forman la red. Sin embargo es posible también añadir o eliminar de manera manual un dispositivo a la red en el RME. La implementación de la herramienta “Resource Manager Essentials”, será la herramienta que dará solución al problema de la no automatización de la administración de la infraestructura de red del Banco Nacional de Costa Rica, pues es a través de esta que se logrará automatizar la mayor parte de las tareas respetando el orden jerárquico de la administración de la red del Banco Nacional de Costa Rica. Una vez implementado “Resourse Manager Essentials” cada vez que se registre un cambio en un dispositivo o enlace en la red, este quedará debidamente registrado, y se podrán guardan cuantos 9 registros se desee. Cada registro contendrá el cambio aplicado, la hora de aplicación, y el usuario responsable del mismo, lo cual brindará a la infraestructura de red del Banco Nacional de Costa Rica un alto nivel de seguridad. Además la herramienta “Resource Manager Essentials”, permitirá la manipulación masiva de dispositivos, lo que significa un ahorro significativo de tiempo por parte del personal a cargo, ya que esta permitirá agrupar los dispositivos necesarios para aplicar los cambios requeridos de manera grupal. 1.5 Metodología de trabajo. Este proyecto dará inicio con un estudio acerca de los estándares de administración de red internacionales, así como también se llevará a cabo un estudio sobre el actual proceso de gestión de red llevado a cabo por el departamento de ingeniería del Banco Nacional. Se procederá luego de esto a realizar una ardua investigación acerca de los dispositivos necesarios para crear una red de computadoras a mediana y grande escala, esto con el objetivo de obtener los conocimientos necesarios tanto para analizar el desempeño de una red de trabajo, así como también para obtener la habilidad de reconocer tanto las fortalezas como las debilidades del proceso de gestión de red llevado a cabo por el BNCR, con el objetivo de construir una propuesta que permita dar inicio al proceso de automatización de la administración de esta red, haciendo uso de los recursos con que cuenta el Banco Nacional de Costa Rica. Durante el estudio del funcionamiento de una red de computadoras, se dará un especial énfasis al estudio de la gestión de las redes de trabajo, incluyendo en éste los estándares más utilizados en la actualidad para lograr un análisis y desempeño optimo de red. A través de este estudio se espera lograr una adecuada descripción funcional de las tareas típicas de la gestión de red, así como también de los procedimientos que favorecen la comunicación y tramitación de eventos de interés en el desempeño, administración y configuración de la red, se busca también obtener los conocimientos necesarios sobre 10 los diversos recursos técnicos utilizados para la administración de redes hoy en día, y sobre todo su adaptación con los recursos humanos con que se cuenta. Luego de llevar a cabo el estudio necesario sobre la creación, configuración, mantenimiento y administración de redes de computadoras en una empresa, de media o grande escala, se procederá a poner en práctica los conocimientos adquiridos, llevando a cabo un estudio en la infraestructura de red del Banco Nacional de Costa Rica. Siendo de previo conocimiento, que el departamento de Tecnología del Banco Nacional de Costa Rica está siendo sometido a un proceso de reestructuración, tratando de seguir las normativas propuestas por el estándar ITIL, se hará un estudio profundo de éstas normativas para poder proceder a desarrollar una propuesta de automatización de la gestión de la red BNCR, que se acople a las normativas estudiadas, para lograr esto, se llevará a cabo un estudio detallado tanto de las tareas llevadas a cabo por la administración de la red, como también los recursos tecnológicos y humanos con que cuenta esta. Se dará un énfasis especial, en el uso de la herramienta CiscoWorks, ya que su implementación es uno de los principales objetivos del proceso de reestructuración al cual está siendo sometido el departamento de Ingeniería del BNCR. Una vez terminado el estudio necesario sobre la gestión de redes, y sabiendo que el primer paso en la automatización de una red consiste en fijar las políticas de seguridad de la misma, así como en delimitar el acceso a esta, y tener un control exacto y preciso de todos los encargados de la administración y mantenimiento de la red, se procederá a realizar la propuesta de implementación del uso de la herramienta de administración de red “CiscoWorks”, La propuesta de esta herramienta se hará teniendo en cuenta todo lo previamente investigado. Siendo el primer paso la creación de los usuarios y sobre todo, la correcta asignación de los permisos necesarios a cada cual. 11 Ya que un buen sistema de administración de identidad es crucial tanto para las operaciones remotas como locales y sustenta las bases de cualquier red o sistema seguro, el facilitar o denegar el acceso a aplicaciones o recursos de la red de acuerdo con ciertos derechos y privilegios específicos del usuario es una importante tarea. El sistema de administración de identidad y confianza de “CiscoWorks” se centra en el control de admisión basado en la red. Tras confirmar la identidad de un usuario o dispositivo así como su cumplimiento de la política de seguridad de la compañía, puede habilitarse el acceso a determinados dispositivos o aplicaciones de la red. Así mismo, la red es responsable de la identificación, autorización y cumplimiento de dicha política. Por este motivo es que el primer paso en la automatización de la administración de la infraestructura de red del Banco Nacional de Costa Rica va a consistir en delimitar de manera adecuada el acceso a la misma, para prevenir el acceso de personas no autorizadas o no capacitadas a los equipos de la red. Una vez delimitado el acceso a los dispositivos de la red, se procederá a delimitar los privilegios a cada usuario, de manera tal, que cada cual tenga acceso únicamente a aquellas aplicaciones que se les faculte. El proceso de implementación de los permisos de accesos y ejecución de tareas se propondrá llevar a cabo mediante el uso de la herramienta “Common Services” de “CiscoWorks”, sincronizado con un servidor AAA que posee el Banco Nacional de Costa Rica. Para garantizar un buen nivel de seguridad a la infraestructura de red del Banco Nacional de Costa Rica se requiere implementar una herramienta que se encargue del proceso de archivar los cambios realizados a cada dispositivo, permitiendo tener acceso a un historial de las configuraciones aplicadas a cada dispositivo de la red, así como también de los usuarios responsables de la aplicación de cada uno de esos cambios. Este proceso se propone llevar a cabo con la implementación de la 12 aplicación RME de “CiscoWorks”, la cual debe ser implementada posterior a la implementación del CS, ya que RME hace uso de la base de datos de esta. Tras la correcta implantación del “Resource Manager Essentials”, se es necesario realizar la configuración necesaria para poder hacer uso de una de sus aplicaciones más importantes en el proceso de automatización: la calendarización. Esta aplicación permitirá que la banda de trabajo del departamento de Tecnología del Banco Nacional de Costa Rica trabaje de manera jerárquica y automatizada. 13 CAPITULO 2: Marco Teórico 2.1 Principios de Redes Una red de computadoras se define como una interconexión de dispositivos computadores para compartir información, recursos y servicios. Esta interconexión puede ser a través de un enlace físico (alambrado) o inalámbrico. Cuando se interconectan tres o más computadores, es necesario hacer uso de dispositivos de red que hagan posible este flujo de información. Es usual que se prefieran dispositivos de una misma plataforma en redes de mediana a grande escala para poder hacer uso de todos los beneficios de la interconexión de estos dispositivos. Entre más grande sea la infraestructura de una red, mayor será el numero de dispositivos de red contenidos y más alto será el nivel de complejidad de algunos de estos. 2.1.1 Dispositivos de red Los dispositivos que forman una red se clasifican en dos grandes grupos. El primer grupo está compuesto por los dispositivos de usuario final. Los dispositivos de usuario final, usualmente conocidos con el hombre de “host” incluyen los computadores, impresoras, escáneres, y demás dispositivos que brindan servicios directamente al usuario. El segundo grupo está formado por los dispositivos de red, que son los que conectan entre sí a los dispositivos de usuario final, posibilitando su intercomunicación. Estos transportan los datos que deben transferirse entre los dispositivos de usuario final, proporcionando el tendido de las conexiones de cable, la concentración de conexiones, la conversión de los formatos de datos y la administración de transferencia de datos. Algunos ejemplos de dispositivos que ejecutan estas funciones son los repetidores, “hubs”, puentes, “switches” y enrutadores. 14 • Repetidor: Su función es regenerar señales analógicas o digitales que se distorsionan a causa de pérdidas en la transmisión producidas por la atenuación. Un repetidor no toma decisiones inteligentes acerca del envío de paquetes como lo hace un enrutador o puente. • “Hub”: Se utilizan para concentrar las conexiones, permitiendo que la red trate un grupo de “hosts” como si fuera una sola unidad, sin interferir en la transmisión de datos. Existe una clase de “hub” llamada “hub” activo el cual no sólo concentra “hosts”, sino que además regenera señales. • Puente: Su objetivo principal es brindar conectividad entre redes de área local LAN (del inglés Local Area Network),. Además verifican los datos para determinar si los datos deben o no pasar por el, aumentando la eficiencia de la red. Además, convierten los formatos de transmisión de datos de la red. • “Switch”: Los “switches” aportan las funciones básicas de administración de una red. De manera específica, estos administran las transferencias de datos de una manera muy eficiente, determinando si los datos deben permanecer o no en una LAN, además transfieren los datos únicamente a la conexión que necesita esos datos. A diferencia de los puentes, los “switch” no convierten formatos de transmisión de datos. • “Content Switches”: Son dispositivos de red inteligentes que ayudan a mejorar el desempeño de la red ya que se encargar de distribuir el trafico de red a partir de aplicaciones de capa 7. Usualmente estos dispositivos se encuentran conectados directamente a servidores, para poder monitorear directamente las cargas de red e inteligentemente distribuir las conexiones entrantes basándose en el tiempo de respuesta, número de conexiones disponibles y demás. • “Router”: Estos dispositivos de red poseen todas las capacidades indicadas arriba: regenerar 15 señales, concentrar múltiples conexiones, convertir formatos de transmisión de datos, y manejar transferencias de datos. También pueden conectarse a una WAN (del inglés Wide Area Netwok), lo que les permite conectar LANs que se encuentran separadas por grandes distancias. Ninguno de los demás dispositivos puede proporcionar este tipo de conexión. Existen otros tipos de dispositivos que permiten el llevar a cabo el funcionamiento de las redes de computadores de manera eficiente y práctica. Un claro ejemplo de este tipo de dispositivos son los servidores. Servidores: El término de servidor puede ser interpretado de dos maneras, haciendo referencia al tipo de software que realiza diversas tareas en nombre de sus usuarios, o bien al dispositivo físico en el cual se aloja ese software. Existen diversos tipos de servidores clasificados según el tipo de tareas que estos lleven a cabo. Por la naturaleza de este proyecto, es de especial interés los servidores AAA (por sus siglas en inglés: Authentication, Authorization, Accounting), que son servidores de control de acceso altamente escalable y de alto rendimiento que proveen un control de los accesos a los recursos y dispositivos de la red a través de las siguientes funciones: • Autenticación: Durante este proceso se valida el usuario y sus permisos, es decir, este proceso es el encargado de dar autorización a un usuario a acceder a los servicios y/o dispositivos de la red a los que está previamente autorizado. • Contabilidad: Es el proceso en el cual se recopila y envía la información del usuario a un servidor AAA encargado del registro de los accesos del usuario (numero de accesos, duración de la sesión, etc) y los servicios accesados, esta información es de gran importancia para la creación de reportes y auditorias. • Autorización: Durante este proceso el servidor construye un conjunto de atributos que regulen las tareas que el usuario pueda realizar, esto se realiza mediante una base de datos con la 16 información de cada usuario o grupo de ellos. Así pues, mediante un servidor de esta naturaleza, los administradores de red pueden controlar el acceso de los usuarios a la red, autorizar diferentes servicios de red para usuarios o grupos de usuarios y mantener un registro de contabilidad de todas las acciones realizadas por los usuarios en la red. Así como también, los administradores de la red pueden usar la misma estructura de AAA para gestionar las tareas administrativas y los grupos, y controlar cómo cambian, acceden a la red y la configuran a nivel interno. 2.1.2 Configuración Las redes de datos del mundo entero trabaja en una gran mayoría bajo una plataforma de trabajo Cisco, según Synergy, empresa dedicada a la investigación de la industria de las telecomunicaciones y redes; nuestro país no es la excepción, motivo por el cual esta sección se enfoca en la configuración de dispositivos de esta plataforma. Los equipos configurables son básicamente los “switches” y los “enrutadores”. Estos dispositivos contienen básicamente tres tipos de conexiones externas, dos de las cuales proporcionan conexiones de red para la transmisión de datos, mientras que la otra se encarga de la configuración interna del dispositivo. A continuación se detallan un poco más estas conexiones. • Interfaz LAN: A través de estos puertos es posible comunicar al dispositivo con los medios de la red del área local. • Interfaz WAN: Permite a través de un proveedor de servicios comunicarse con sitios geográficamente lejanos o a la Internet. • Puertos de administración: Estos puertos proporcionan una conexión basada en texto para la 17 configuración y diagnóstico de fallas del dispositivo. Cuando el dispositivo de red entra en servicio por primera vez, los parámetros de la red no están configurados, y por lo tanto no será posible comunicarse con ninguna red. Para configurar estos dispositivos se requiere de una conexión a través de un cable de consola conectado del puerto de consola del dispositivo hasta un puerto serial del computador. Una vez establecida la conexión física se requiere que el computador emule una terminal ASCII para poder ingresar los comandos de configuración mediante la línea de comandos del dispositivo (CLI). Los emuladores de terminales ASCII más comunes son: Hyperterminal para el entorno Windows, Minicom para el entorno Unix/Linux y ProComm para Macintosh. Otra manera de llevar a cabo la configuración del dispositivo de red es de manera remota, accediendo a la línea de comandos mediante una conexión telnet, para lo cual es necesario una configuración previa de al menos una interfaz, además de la configuración de las conexiones y contraseñas de las sesiones de terminales virtuales. Al igual que una computadora, los dispositivos de red configurables necesitan de un sistema operativo para funcionar, ya que sin un sistema operativo el hardware no puede realizar ninguna función. En el caso particular de los dispositivos Cisco, este sistema operativo se llama Cisco IOS. Este software utiliza la línea de comandos (CLI) como el entorno de consola tradicional. 2.1.3 Niveles de acceso La interfaz de línea de comando de Cisco usa una estructura jerárquica. Esta estructura requiere el ingreso a distintos modos para realizar tareas particulares. Por ejemplo, para configurar una interfaz en específico, el usuario debe ingresar al modo de configuración de interfaces. Desde el modo de configuración de interfaces, todo cambio de configuración que se realice tendrá efecto únicamente en esa interfaz en particular y al ingresar en cada uno de estos modos específicos la petición de entrada del 18 dispositivo cambia para señalar el modo de configuración en uso en el cual sólo acepta los comandos que son adecuados para ese modo. Como característica de seguridad, el software Cisco IOS posee dos niveles de acceso principales. Estos niveles son el modo EXEC usuario y el modo EXEC privilegiado, llamado también modo “enable”. 2.1.3.1 Modo EXEC usuario El modo EXEC usuario permite sólo una cantidad limitada de comandos de monitoreo básicos y no permite ningún comando que pueda cambiar la configuración del enrutador. Figura 2. 1 Modos de acceso La petición de entrada del modo EXEC usuario se muestra al iniciar la sesión en el dispositivo. Los comandos disponibles en este nivel de usuario son un subconjunto de los comandos disponibles también en el nivel EXEC privilegiado. En su mayor parte, estos comandos permitidos en este modo permiten que el usuario vea la información sin cambiar la configuración del dispositivo. El modo EXEC usuario se puede reconocer por la petición de entrada: ">". Ver 19 Para acceder al conjunto completo de comandos, se debe ingresar al modo EXEC privilegiado. 2.1.3.2 Modo EXEC privilegiado El modo EXEC privilegiado da acceso a todos los comandos del dispositivo. Se puede configurar este modo para que solicite una contraseña del usuario antes de dar acceso para mayor protección. También se puede configurar para que solicite una ID de usuario, lo cual permite que sólo los usuarios autorizados puedan ingresar al dispositivo con estos privilegios, ya que este modo permite ejecutar los comandos de configuración y administración. El modo EXEC privilegiado permite la configuración de las interfaces, líneas virtuales, interfaces, subinterfaces, mapas de enrutamiento y la configuración del dispositivo mismo. El modo EXEC privilegiado se puede reconocer por la petición de entrada "#". Ver fig 2 2.1.3.3 Modo de configuración global El modo de configuración global, es el modo de configuración principal, a través de este se ingresa a los modos de configuración de interfaz, línea, subinterfaz y enrutador entre otros. Al ingresar a estos modos específicos, la petición de entrada del enrutador cambia para señalar el modo de configuración en uso y todo cambio de configuración que se realice estando en estos modos tendrá efecto únicamente en las interfaces o procesos relativos a ese modo en particular. El modo de configuración global se distingue de los otros modos de acceso por la petición de entrada siguiente: (conf term). 20 2.1.4 Seguridad de acceso a los dispositivos de red 2.1.4.1 Filtrado de tráfico Cuando se trata de seguridad en el acceso a una red, el filtrado de tráfico es un parámetro elemental, parámetro del cual carecen las herramientas tradicionales de seguridad como las contraseñas, dispositivos de seguridad física y equipos de “callback”. A través del filtrado de tráfico es posible impedir el acceso no a autorizado a la red, permitiendo al mismo tiempo el acceso de los usuarios autorizados a los servicios requeridos. Por ejemplo, es posible que un administrador de red permita que lo usuarios tengan acceso Internet, pero impedir que usuarios externos tengan acceso remoto a la red LAN en cuestión. Los dispositivos de red que tienen la opción de trabajar con filtrado de trafico son los enrutadores, los cuales llevan a cabo su labor de filtrado a través del uso de las listas de control de acceso, conocidas frecuentemente como ACLs, (del inglés Access Control List) 2.1.4.2 Listas de control de acceso (ACL) Las listas de control de acceso surgen como parte de una solución de seguridad y constituyen una herramienta de seguridad de red que permite restringir el tipo de tráfico que circula a través de la interfaz del enrutador a través de una lista secuencial de sentencias de permisos que detallan puertos de servicio o nombres de dominios de redes que están disponibles en una terminal o dispositivo de red, cada uno de ellos con una lista de terminales y/o redes que cuentan con el permiso para usar el servicio. Es decir, estas sentencias le indican al dispositivo que paquetes aceptar o rechazar para asegurar a través de estas el tráfico desde y hacia una red. Estas sentencias operan en orden secuencial lógico, por lo cual si se cumple una condición, el paquete se permite o deniega, y el resto de las sentencias de la ACL no se verifican. 21 Las listas de control de acceso proveen un nivel básico de seguridad en el acceso a la red, ya que pueden permitir o denegar el acceso a la red o a una porción de esta a un host. Algunos de los puntos de decisión de ACL son direcciones origen y destino, protocolos y números de puerto de capa superior. Por consiguiente, se debe definir una ACL para cada protocolo habilitado en la interfaz. Las ACL controlan el tráfico en una dirección por vez en una interfaz, es decir, se necesita crear una ACL por separado para cada dirección, una para el tráfico entrante y otra para el saliente. Sabiendo que cada interfaz puede contar con varios protocolos y direcciones definidas, si el enrutador tiene n interfaces configuradas para un determinado número de protocolos, se necesitará una ACL para cada uno de estos protocolos por cada número de puerto para cada dirección entrante o saliente, es decir, en resumen se necesita una lista por puerto, por dirección, por protocolo. Las ACLs pueden ser tan simples como una sola línea destinada a permitir paquetes desde un host específico o hasta conformar un conjunto de reglas y condiciones extremadamente complejas que definan el tráfico de forma precisa, modelando a través de estas el funcionamiento de los procesos del enrutador. Si las ACLs no están configuradas en el enrutador, todos los paquetes que pasen a través del enrutador tendrán acceso a todas las partes de la red. Sabiendo que existen dos maneras diferentes de tener acceso a la configuración de un dispositivo de red configurable, ya sea de manera local o remota y mediante diferentes métodos, existen normas de seguridad para impedir que un usuario no autorizado entre en contacto con la configuración de estos dispositivos. Dentro de las prácticas preventivas más usuales contra accesos no autorizados a los dispositivos de red sobresalen las siguientes: 22 2.1.4.3 Restricción del acceso a una terminal virtual Del mismo modo que los dispositivos de red tienen puertos físicos o interfaces, como “fastethernet” y seriales, los dispositivos de red también tienen puertos virtuales. Estos puertos virtuales se denominan líneas VTY. Existen cinco líneas VTY, a las cuales se accesa a través del protocolo telnet para realizar una conexión no física con el dispositivo. Para regular el acceso a la consola a través ya sea de puertos físicos, como virtuales existen un conjunto de reglas antes mencionadas, conocidas como ACLs, que detallan los puertos de servicio disponibles en una terminal, así como también los dominios y/o redes autorizados para hacer uso de ellos. 2.1.4.4 Restricción del acceso a la consola Las contraseñas son la primera defensa en contra de los accesos no autorizados, una forma de mejorar al máximo el uso de contraseñas es mantenerlas en un servidor de autenticación. Dado a que las contraseñas restringen el acceso a los dispositivos de red, se acostumbra configurar contraseñas para las líneas de terminales virtuales, así como también para la línea de consola. Esto se hace con el objetivo de controlar el acceso al modo EXEC privilegiado y que solo los usuarios autorizados puedan hacer cambios en la configuración del dispositivo. Existen diversos métodos para autenticar estas contraseñas, los más comunes son mediante texto plano y haciendo uso del algoritmo MD5 (del inglés Message-Digest Algorithm 5, en español algoritmo del resumen del mensaje). Cuando se emplea la autenticación mediante texto plano la contraseña es fácilmente rastreable, ya que esta se incluye en cada actualización del enrutador, por el contrario, cuando se hace uso del algoritmo MD5, cada vez que la contraseña debe viajar por la red es cifrada a través de una función, la cual es enviada en lugar de la contraseña misma, evitando de esta manera que la contraseña sea leída fácilmente, ya que de lo contrario esta podría ser fácilmente vista en 23 texto plano al consultar el archivo de configuración del dispositivo. 2.2 Fundamentos de la gestión de red Las redes de comunicaciones han evolucionado con el paso del tiempo ante la necesidad de satisfacer las demandas de los diferentes servicios de telecomunicaciones, que día a día necesitan un mayor ancho de banda y una mejor calidad de servicio para las nuevas aplicaciones que se han venido desarrollando hasta la actualidad. La tecnología de redes ha incrementado su complejidad generándose la necesidad de contar con una mejor administración de los recursos de estos sistemas, lo cual ha favorecido la evolución conjunta de la gestión de redes. La gestión de redes tiene como propósito la utilización y coordinación de los recursos para planificar, organizar, mantener, supervisar, evaluar, y controlar los elementos de las redes de comunicaciones para adaptarse a la calidad de servicio necesaria, a un determinado costo. Su campo de aplicación es amplio y de gran importancia dadas las características tecnológicas que poseen los sistemas de telecomunicaciones y los servicios que ofrecen. Mantiene un cierto grado de complejidad al interactuar con sistemas heterogéneos que involucran diversos fabricantes con productos eminentemente propietarios, así como productos apegados a estándares en forma total o parcial. El objetivo principal de la administración de red es en mantener operativa la red satisfaciendo las necesidades de los usuarios, motivo por el cual la utilización de herramientas adecuadas permite realizar de forma centralizada la administración de múltiples redes de gran tamaño compuestos de cientos de dispositivos como por ejemplo enrutadores, switches, hubs, y estaciones de trabajo finales. Normalmente las herramientas de administración de red forman un conjunto muy heterogéneo de aplicaciones provenientes de múltiples fuentes, por ejemplo, el sistema de gestión de red, el Help Desk, brindado por el fabricante de los dispositivos, así como las herramientas autónomas e 24 independientes. Además muchas de estas herramientas suelen tener APIs (Application Program Interface) que permiten el acceso por programación. Hoy en día estas herramientas corren sobre diferentes sistemas operativos y suelen tener la característica de disponer de una interfaz gráfica de usuario basado en ventanas, lo cual permite una sencilla manipulación de la misma. Los agentes y consolas son los conceptos claves en la administración de redes. Siendo las consolas una estación de trabajo convenientemente configurada para visualizar la información recogida por los agentes, que son programas especiales que están diseñados para recoger información específica de la red. Las herramientas de administración de red están basadas en software frente a monitores y analizadores basados en hardware y son transparentes a los usuarios, además permiten ser ejecutados en los puestos de trabajo sin afectar al rendimiento de los mismos. Usualmente, estos programas la información que recogen la almacenan en bases de datos relacionales que después son explotadas a través de las consolas. Este “software” puede realizar las mismas tareas que los analizadores y además hace un mayor procesamiento de la información que obtiene. Dentro de los principales objetivos de los programas de administración de red sobresalen los siguientes: • Visualizar y manipular información de la red. • Mantener el inventario del hardware. • Gestión y configuración del software remoto. • Recibir notificación de alarmas de red. • Soportar y gestionar la impresión en red. 25 • Automatizar tareas como copias de seguridad y detección de anomalías. • Monitorear la utilización recursos. • Establecer y gestionar la seguridad en la red. • Procesar “scripts”. Gestión de usuarios La gestión de usuarios es la actividad referida a la creación y mantenimiento de cuentas de usuarios, así como la de asignación de recursos y mantenimiento de la seguridad en los accesos a la red. Las tareas principales en la gestión de usuarios son: • Altas, bajas y modificaciones de usuarios en la red. • Establecimiento de políticas de contraseñas, como lo son su longitud, tiempo de vida, seguridad de la base de datos de contraseñas, etc. • Asignación de permisos para la utilización de recursos de red. • Monitorización de la actividad de los usuarios. • Establecimiento de políticas generales y de grupo que faciliten la configuración de usuarios. Gestión del hardware La gestión del hardware es una actividad esencial para el control del equipamiento y sus costes asociados así como para asegurar que los usuarios disponen de los dispositivos necesarios para cubrir sus necesidades. Se busca evitar la visita física a los equipos, y en su lugar hacer uso de aplicaciones que se ejecuten en los diferentes dispositivos de red y puestos de trabajo para que realicen el inventario del hardware de forma autónoma y remota. Una vez que la información de inventario es recogida, la administración de red puede hacer las siguientes funciones: 26 • Añadir información relativa a puestos de trabajo no instalados en red. • Añadir información sobre otros aspectos como la localización física, condiciones en que se encuentra, etc. • Establecimiento de parámetros de configuración en los ficheros de configuración del sistema operativo del dispositivo. • Realizar el seguimiento de averías de los componentes de los diferentes dispositivos de red. • Anotar información al inventario referente a los componentes que forman la estación de trabajo (memorias, tarjetas, discos, etc). El inventario se realiza periódicamente ya sea cada vez que se ponen en marcha los puestos, o bien durante su tiempo de funcionamiento. Normalmente los datos que se recogen son variados: • Parámetros del sistema operativo del dispositivo. • Parámetros de configuración del dispositivo. • Características de los dispositivos • Imagen cargada en memoria del dispositivo durante su funcionamiento. Este monitoreo permite analizar el comportamiento de la red y sus dispositivos, para en caso de ser necesario, detectar nuevas necesidades y adaptar las características ya sean de hardware o configuración del dispositivo en cuestión. Gestión de las configuraciones. Las actividades relativas a la gestión de software permiten a la administración de red determinar si los parámetros de configuración implementados son los mejores, así como también permiten el seguimiento de las actualizaciones del software de los dispositivos, entre otras. Monitorización de la actividad de red. 27 Las funciones de la monitorización de red se llevan a cabo a través de software que realizan el seguimiento y registro de la actividad de red, la detección de eventos y la comunicación de alertas al personal responsable del buen funcionamiento de la red. Las tareas típicas de monitoreo encierran las siguientes labores: • Ejecución de tareas como pueden ser realización de copias de seguridad o búsqueda errores de configuración. • Registro del estado de la red. • Registro de los cambios que se producen en el inventario de hardware. • Registro de las entradas y salidas de los usuarios en la red. • Registro del tráfico de red. • Errores en el arranque de las aplicaciones, etc. En función de la prioridad que tengan asignados los eventos y de la necesidad de intervención se pueden utilizar diferentes métodos de notificación como son: • Mensajes en la consola: se suelen codificar con colores en función de su importancia. • Mensajes por correo electrónico: conteniendo el nivel de prioridad y el nombre e información del evento. • Mensajes a móviles: cuando el evento necesita intervención inmediata se suele comunicar a los técnicos de guardia a través de este método. Además de los métodos antes mencionados, un evento importante es el monitoreo del tráfico de red: en el cual se toman nuevas medidas sobre aspectos de los protocolos, colisiones, fallos, paquetes, etc. Se almacenan en bases de datos especializadas para su posterior análisis. Del análisis se obtienen 28 conclusiones, bien para resolver problemas concretos o bien para optimizar la utilización de la red. Planificación de procesos: En vez de tener que recordar y realizar trabajos periódicos o en horas no laborables, el administrador puede programar un agente que realiza las tareas programadas en los momentos previstos. Además, estos agentes recogen información sobre el estado de finalización de los procesos para un posterior análisis por el administrador. Los procesos típicos que se suelen planificar son: copias de seguridad, creación de registros de cambios, búsqueda de incongruencias en las configuraciones, distribución de software, impresiones masivas, actualización de mapas topológicos, etc. La planificación de procesos permite también aprovechar los períodos en que la red está más libre como las noches y los fines de semana. Algunos de los software de gestión de red que permiten llevar a cabo estas calendarizaciones son: AT de Windows NT, CRON de Unix y CiscoWorks de Cisco, estas herramientas permiten ejecutar diversos procesos especificando un momento determinado y una frecuencia dada, normalmente también se suelen usar “scripts” para programar a estos agentes planificadores. Gestión de la seguridad de la red La seguridad es un aspecto que afecta a todas las áreas de administración que se han comentado anteriormente. Para cada recurso en la red, el administrador debe disponer los mecanismos para establecer permisos de utilización, así como monitorizar el uso que se hace de los recursos. Debido al grado de complejidad de estas, se implementas políticas de seguridad, las cuales permiten establecer aspectos de seguridad a manera de perfiles que afectan a determinados grupos de usuarios. Una vez definidas las políticas, el administrador sólo tiene que añadir los usuarios a los grupos establecidos con lo que adquieren los perfiles de seguridad. De esta forma la actualización de medidas de seguridad se hace sobre las políticas y no sobre los usuarios directamente. 29 Otro aspecto a considerar es el de la monitorización y registro de las actividades de los usuarios de la red, pudiendo denegar el acceso de los usuarios a realizar tareas para las que no tienen permiso. 2.3 Normativas y estándares en la administración de redes Existen normativas para la administración de redes que funcionan como estándares alineados con el conjunto de normas publicadas por ISO (del inglés International Organization for Standardization) e IEC (del inglés International Electrotechnical Commission), desarrolladas por comités técnicos específicos, así como también métodos y guías de referencia de buenas prácticas dedicadas a las tecnologías de la información, y más específicamente, a la gestión de redes, un ejemplo de estas es ITIL (del inglés “Information Technology Infrastructure Library”, es decir Biblioteca de Infraestructura de Tecnologías de Información). 2.3.1 ITIL ITIL se ha convertido en el estándar mundial en el campo de la gestión de servicios informáticos y de la información, este nace como un código de buenas prácticas dirigidas a alcanzar metas en la gestión de servicios de las tecnologías de la información a través de un enfoque sistemático del servicio TI centrado en los procesos y procedimientos, así como también haciendo uso del establecimiento de estrategias para la gestión operativa de la infraestructura TI. Las principales metas buscadas por estas normativas son: • Proporcionar una adecuada gestión de la calidad de TI. • Aumentar la eficiencia de los servicios brindados por las tecnologías de la información. • Alinear los procesos de negocio y la infraestructura TI. • Reducir los riesgos asociados a los servicios TI ITIL contempla una serie de normativas para una práctica de las siguientes tareas de TI: 30 2.3.1.1 Gestión de incidentes Un incidente es cualquier evento que no forma parte de la operación estándar de un servicio y que causa, o puede causar, una interrupción o una reducción de calidad del mismo. Objetivos: • Detectar cualquier alteración en los servicios TI. • Registrar y clasificar estas alteraciones. • Asignación del personal encargado de restaurar el servicio según la banda de trabajo. • Mejorar la productividad de los servicios. • Cumplimiento de los niveles de servicio según la banda de trabajo. • Mayor control de los procesos y monitorización del servicio. • Optimización de los recursos disponibles. • Una CMDB (del inglés Configuration Managment Data Base, es decir base de datos de la gestión de las configuraciones.) precisa, en la que se registran los cambios realizados en las configuraciones de los dispositivos. El objetivo de la gestión de problemas es mejorar el funcionamiento de la infraestructura TI y para evaluar su eficacia es imprescindible realizar un continuo seguimiento de los procesos relacionados y evaluar su rendimiento. En particular una buena gestión de problemas debe traducirse en una disminución del número de incidentes y una más rápida resolución de los mismos, procurar una mayor eficiencia en la resolución de problemas y principalmente brindar una gestión proactiva que permita identificar problemas potenciales antes de que estos se manifiesten o provoquen una seria degradación de la calidad del servicio. 31 La correcta elaboración de informes permite evaluar el rendimiento de la gestión de problemas y aporta información de vital importancia a otras áreas de la infraestructura TI. Se requiere una gestión de problemas capaz de determinar claramente quienes son los responsables de cada proceso. Sin embargo, en pequeñas organizaciones es recomendable no segmentar en exceso las responsabilidades para evitar los costes asociados, ya que sería poco eficaz y contraproducente asignar recursos humanos desproporcionados al proceso de identificación y solución de problemas. 2.3.1.2 Gestión de problemas La gestión de problemas puede ser una medida reactiva que analice los incidentes ocurridos en la plataforma de servicios de TI con el objetivo de descubrir su causa y proponer soluciones a los mismos o bien proactiva, al monitorear la calidad de la infraestructura TI, analizando su configuración con el objetivo de prevenir incidentes, incluso antes de ocurrir estos. Cuando algún tipo de incidente se convierte en recurrente o tiene un fuerte impacto en la infraestructura TI es la función de la gestión de problemas el determinar sus causas y encontrar posibles soluciones. Objetivos de la gestión de problemas: • Identificar, registrar y clasificar los problemas. • Dar soporte a la gestión de incidentes proporcionando información y soluciones temporales o parches. • Analizar y determinar las causas de los problemas y proponer soluciones. • Elevar las peticiones de cambio requeridas a la gestión de cambios para llevar a cabo los cambios necesarios en la infraestructura TI. • Realizar un seguimiento post-implementación de todos los cambios para asegurar su correcto funcionamiento. • Realizar informes que documenten no sólo los orígenes y soluciones a un problema sino que también sirvan de soporte a la estructura TI en su conjunto. 32 • Analizar tendencias para prevenir incidentes potenciales. 2.3.1.3 Gestión de configuraciones La gestión de configuraciones es uno de los pilares de la metodología ITIL por sus interrelaciones e interdependencias con el resto de procesos. Por ello su implantación es particularmente compleja. Una falta de planificación conducirá con total certeza a una gestión de configuraciones defectuosa con las graves consecuencias que esto supondrá para el resto de los procesos. Además es evidente que no se pueden administrar dispositivos que no se conocen, es por eso que es vital conocer en detalle la infraestructura TI de la organización en cuestión para poder obtener el mayor provecho posible, es por este motivo que la gestión de configuraciones se encarga de mantener un registro actualizado de todos los elementos de configuración de la infraestructura TI junto con sus interrelaciones. Objetivos: • Proporcionar información precisa y fiable al resto de la organización de todos los elementos que configuran la infraestructura TI. • Mantener actualizada la base de datos de configuraciones. 2.3.1.4 Gestión de cambios En principio, todo cambio no estándar debe considerarse tarea de la gestión de cambios, sin embargo a veces resulta poco práctico gestionar todos los cambios mediante ésta, aún así el alcance de la gestión de cambios debe ir en paralelo con el de la gestión de configuraciones: todos los cambios realizados en los dispositivos de la infraestructura de TI en la CMDB deben ser correctamente supervisados y registrados. Objetivos: 33 • Monitorizar y dirigir todo el proceso de cambio. • Registrar, evaluar y aceptar o rechazar los requerimientos recibidos. • Solicitar aprobación a quien corresponda en la banda de trabajo, excepto en el caso de cambios menores, para la aprobación de los requerimientos en cuestión, así como también de la calendarización de los mismos. • Coordinar el desarrollo e implementación del cambio. • Evaluar los resultados del cambio y proceder a su cierre en caso de éxito. 2.3.1.5 Gestión de versiones Las complejas interrelaciones entre todos los elementos que componen una infraestructura de servicios de TI convierten en tarea delicada la implementación de cualquier cambio, es por esto motivo que la gestión de cambios se encarga de aprobar y supervisar todo el proceso, sin embargo, es tarea específica de la gestión de versiones el diseñar, poner a prueba e instalar en el entorno de producción los cambios preestablecidos. La gestión de versiones es la encargada de la implementación y control de calidad de todo el software y hardware instalado en el entorno de producción de la infraestructura de servicios de TI, la gestión de versiones debe colaborar estrechamente con la gestión de cambios y de configuraciones para asegurar que toda la información relativa a las nuevas versiones se integra adecuadamente en la CMDB de forma que ésta se encuentre correctamente actualizada y ofrezca una imagen real de la configuración de la infraestructura TI. Objetivos: • Establecer una política de implementación de nuevas versiones de hardware y software. • Implementar las nuevas versiones de software y hardware en el entorno de producción tras 34 su verificación en un entorno realista de pruebas. • Garantizar que el proceso de cambio cumpla las especificaciones de los requerimientos correspondientes. • Asegurar, en colaboración con la gestión de cambios y configuraciones, que todos los cambios se vean correctamente reflejados en la CMDB. • Archivar copias idénticas del software en producción, así como de toda su documentación asociada. 2.3.1.6 Gestión de niveles de servicio La gestión de niveles de servicio es el proceso por el cual se definen, negocian y supervisan la calidad de los servicios TI ofrecidos. El objetivo primordial de la gestión de niveles de servicio es definir, negociar y monitorizar la calidad de los servicios TI ofrecidos. Si los servicios no se adecuan a las necesidades del cliente, la calidad de los mismos es deficiente o sus costes son desproporcionados, se produce un servicio poco satisfactorio y la organización TI es la responsable de las consecuencias que se deriven de ello. Objetivos: • Planificación: o Asignación de recursos. o Elaboración de un catálogo de servicios. o Herramientas para la monitorización de la calidad del servicio. o Análisis e identificación de las necesidades de la plataforma de servicios ofrecidos por TI o Elaboración del los documentos con las especificación de los servicios y 35 planes de calidad de los servicios brindados por TI. • • Implementación de los acuerdos de nivel del servicio: o Negociación. o Acuerdos de nivel de operación. o Contratos de soporte. Supervisión y revisión de los acuerdos de nivel de servicio: o Elaboración de informes de rendimiento de los servicios brindados. o Control de los proveedores externos. o Elaboración de programas de mejora de los servicios ofrecidos por TI. 2.3.1.7 Gestión financiera La gestión financiera de los servicios informáticos tiene como objetivo principal administrar de manera eficaz y rentable los servicios y la organización TI. Por regla general, a mayor calidad de los servicios mayor es su coste, por lo que es necesario evaluar cuidadosamente las necesidades del cliente para que el balance entre ambos sea óptimo, por este motivo es que uno de los objetivos principales de la gestión financiera de los servicios informáticos es el de evaluar y controlar los costes asociados a los servicios TI de forma que se ofrezca un servicio de calidad a los clientes con un uso eficiente de los recursos TI necesarios Objetivos: • Evaluar los costes reales asociados a la prestación de servicios. • Proporcionar a la organización TI toda la información financiera precisa para la toma de decisiones y fijación de precios. • Asesorar al cliente sobre el valor añadido que proporcionan los servicios TI prestados. 36 • Evaluar el retorno de las inversiones hechas para la prestación de los servicios brindados por TI. • Llevar la contabilidad de los gastos asociados a los servicios TI. 2.3.1.8 Gestión de la capacidad La gestión de la capacidad es la encargada de que todos los servicios TI se vean respaldados por una capacidad de proceso y almacenamiento suficiente y correctamente dimensionada. Sin una correcta gestión de la capacidad los recursos no se aprovechan adecuadamente y se realizan inversiones innecesarias que acarrean gastos adicionales de mantenimiento y administración. O aún peor, los recursos son insuficientes con la consecuente degradación de la calidad del servicio. El objetivo primordial de la gestión de la capacidad es poner a disposición de clientes, usuarios y el propio departamento TI los recursos informáticos necesarios para desempeñar de una manera eficiente sus tareas y todo ello sin incurrir en costes desproporcionados. Objetivos: • Desarrollo de un plan de capacidad. • Modelado y simulación de diferentes escenarios de capacidad. • Monitorización del uso y rendimiento de la infraestructura TI. • Gestión de la demanda. • Creación y mantenimiento de la base de datos de capacidad. • Conocer el estado actual de la tecnología y previsibles futuros desarrollos. • Conocer los planes de negocio y acuerdos de nivel de servicio para prever la capacidad necesaria. • Analizar el rendimiento de la infraestructura para monitorizar el uso de la capacidad 37 existente. • Realizar modelos y simulaciones de capacidad para diferentes escenarios futuros previsibles. • Dimensionar adecuadamente los servicios y aplicaciones alineándolos a los procesos de negocio y necesidades reales del cliente. • Gestionar la demanda de servicios informáticos racionalizando su uso. 2.3.1.9 Gestión de la continuidad del servicio La gestión de la continuidad del servicio se preocupa de impedir que una imprevista y grave interrupción de los servicios TI, debido a desastres naturales u otras fuerzas de causa mayor, tenga consecuencias catastróficas para el negocio. Objetivos: • Garantizar la pronta recuperación de los servicios críticos brindados por TI tras un desastre. • Establecer políticas y procedimientos que eviten, en la medida de lo posible, las perniciosas consecuencias de un desastre o causa de fuerza mayor. 2.3.1.10 Gestión de la disponibilidad La gestión de la disponibilidad es responsable de optimizar y monitorizar los servicios TI para que estos funcionen ininterrumpidamente y de manera fiable, a un coste razonable. El objetivo primordial de la gestión de la disponibilidad es asegurar que los servicios TI estén disponibles y funcionen correctamente siempre que se requiera hacer uso de ellos. Objetivos: • Determinar los requisitos de disponibilidad en estrecha colaboración con los clientes. 38 • Garantizar el nivel de disponibilidad establecido para los servicios TI. • Monitorizar la disponibilidad de los sistemas TI. • Proponer mejoras en la infraestructura y servicios TI con el objetivo de aumentar los niveles de disponibilidad. • Determinar cuáles son los requisitos de disponibilidad reales del negocio. • Desarrollar un plan de disponibilidad donde se estimen las necesidades de disponibilidad futura a corto y medio plazo. • Mantenimiento del servicio en operación y recuperación del mismo en caso de fallo. • Realizar diagnósticos periódicos sobre la disponibilidad de los sistemas y servicios. • Evaluar el impacto de las políticas de seguridad en la disponibilidad. • Asesorar a la gestión del cambio sobre el posible impacto de un cambio en la disponibilidad. 2.3.1.11 Gestión de la seguridad La gestión de la seguridad debe conocer en profundidad el negocio y los servicios que presta la organización TI para establecer protocolos de seguridad que aseguren que la información esté accesible cuando se necesita por aquellos que tengan autorización para utilizarla, Asimismo tener en cuenta los riesgos generales a los que está expuesta la infraestructura de TI, para asegurar, en la medida de lo posible, que no representan un peligro para la continuidad del servicio. Es importante que la gestión de la seguridad sea proactiva y evalúe a priori los riesgos de seguridad que pueden suponer los cambios realizados en la infraestructura, nuevas líneas de negocio, etcétera. Objetivos: 39 • Evitar interrupciones del servicio causadas por virus, ataques informáticos, etcétera. • Minimización del número de incidentes. • Acceso a la información cuando se necesita y preservación de la integridad de los datos. • Preservar la confidencialidad de los datos y la privacidad de clientes y usuarios. • Cumplimiento de los reglamentos sobre protección de datos. • Mejorar la percepción y confianza de clientes y usuarios en lo que respecta a la calidad del servicio. 2.4 “CiscoWorks” Cuando se habla de "CiscoWorks", se habla de un paquete de herramientas desarrolladas por “Cisco System” con el objetivo de automatizar la administración y mantenimiento de las redes de computadoras basadas en su plataforma (plataforma Cisco). Este paquete de herramientas está constituido por tres grandes conjuntos de aplicaciones: • “LAN Management Solution” (LMS): Dirigido a la administración de redes grandes. • “Small Network Management Solution” (SNMS): Orientado a la administración de redes pequeñas. • “IP Telephony Environment Monitor” (ITEM): Orientado a la administración de telefonía IP De este conjunto de aplicaciones, la herramienta “LAN Management Solution” es la que se utilizará para lograr los objetivos de este proyecto. A continuación se detalla brevemente cada una de las aplicaciones del LMS. 40 2.4.1 Aplicaciones del LMS 2.4.1.1 “Common Services” (CS) Su principal función es la de proveer las bases necesarias para poder compartir un mismo modelo de almacenamiento de información, usuarios, permisos, privilegios de acceso, protocolos de seguridad, entre otros, creando un estándar de administración para el manejo de funciones. Además la aplicación “Common Services” provee un ambiente multiservidor, con mecanismos seguros de comunicación y transferencia de datos. “Common Services” proporciona una serie de utilidades, dentro de las cuales sobresalen las siguientes: • Ayuda al descubrimiento de dispositivos mediante el uso de múltiples protocolos como lo son CDP, ARP y OSPF entre otros. • Provee un mecanismo que permite agrupar dispositivos lógicamente para poder compartirlos con otras aplicaciones de "CiscoWorks" para la ejecución de tareas que así lo requieran. • Cuenta con múltiples herramientas de depuración, que permiten probar los dispositivos y sus problemas de conexión, entre otros. 2.4.1.2 LMS Portal Es la primera página mostrada al acceder a la aplicación LMS de “CiscoWorks”, funciona como interface de navegación de primer nivel y permite un acceso inmediato a las funciones de uso más frecuento del LMS. Mediante esta interfaz es posible realizar las tareas detalladas a continuación: • Accesar rápidamente datos estadísticos de importancia. • Brindar accesos directos a las demás aplicaciones LMS. • Personalización y edición de accesos directos, barras de navegación y demás. • Permite abrir todas las aplicaciones simultáneamente para observar el comportamiento de la 41 red. 2.4.1.3 "CiscoWorks Assistant” La aplicación “CiscoWorks Assistant” es una aplicación que se accesa a través de la red (“WebBased Aplication”) y que a través de un flujo de trabajo da soporte en las tareas de administración de la red mediante la compilación de una serie de tareas que brindan una guía de las tareas del LMS. El soporte que brinda “CiscoWorks Assistant” comprende los siguientes rubros: • Simplifica la puesta en ejecución del LMS. • Ayuda a determinar las causas del fallo de un dispositivo o enlace, de tipo end-host o telefonía IP inclusive. • Crea un reporte individual de cada aplicación ejecutada en un dispositivo para una mejor detección de fallas. 2.4.1.4 “Campus Manager” (CM) Esta aplicación brinda una protección a la red haciendo uso de herramientas optimizadas para el monitoreo, administración y configuración de servicios de conectividad de capa 2. Las herramientas que brinda el CM son a continuación detalladas: • Administración de dispositivos de capa dos y capa tres presentes en la red. • Permite algunas configuraciones de capa 2, como vlans, trunking y STP entre otras. • Tiene la opción de visualizar la topología física de la red. • Monitoreo la conectividad de los dispositivos administrados. • Brinda acceso a información de end-host y teléfonos IP conectados a la red. 2.4.1.5 “Internet Performance Monitor” (IPM) Esta aplicación de administración de red permite monitorear el rendimiento de las redes 42 multiprotocolo, mide los tiempos de respuesta y la disponibilidad de las redes IP, así como también el tiempo de respuesta entre enrutadores. Esta aplicación permite configurar las siguientes herramientas: • Ejecución de un eficiente monitoreo de la red. • Evaluación de la disponibilidad de un dispositivo. • Cálculo de la latencia entre dos dispositivos. 2.4.1.6 “Device Fault Manager” (DFM) La aplicación “Device Fault Manager” es la encargada de el monitoreo y la administración de fallas en tiempo real que pueden perjudicar la latencia y el desempeño de la red. DFM despliega una interfaz gráfica de la red en la cual muestra alertas y errores en tiempo real, además permite llevar a cabo otras tareas pertinentes, como los son: • Detección, aislamiento, notificación y corrección de errores en la red de manera rápida y sencilla. • Ejecución de configuraciones específicas y algunas tareas de administración. • Reenvío de alertas y eventos tales como mensajes del sistema (syslog) y correos electrónicos. • Permite observar eventos y alertas de hasta treinta y un días atrás. 2.4.1.7 "Resource Manager Essentials" (RME) El objetivo principal de esta aplicación es evitar el error humano, así como también eliminar las tareas manuales asociadas con la administración y mantenimiento de una red. A través de las siguientes tareas RME ayuda a optimizar el rendimiento y administración de la red. • Reducción del tiempo de administración de la red, y por lo tanto el riesgo de errores por parte del personal. 43 • Automatización de las tareas dificultosas y/o tediosas. • Ofrece poderosas herramientas de detección y resolución de problemas. • Archivo automático de todo el inventario de configuraciones, y cambios en el software de los dispositivos de la red. • Creación automática de reportes personalizados de cambios en las configuraciones de los dispositivos de red. 2.4.1.8 Health Utilization Monitor (HUM) Monitorea la utilización y disponibilidad de los dispositivos seleccionados, así como sus parámetros de desempeño. • Crea y provee plantillas de MIB según convenga al usuario. • Permite editar las frecuencias de las pruebas. • Provee historiales de tendencias en los reportes. • Alerta y notifica violaciones según las políticas de seguridad. Se trabajará específicamente con el conjunto de herramientas de las aplicaciones “Common Services” y “Resource Manager Essentials” para lograr los objetivos de este proyecto. Por consiguiente se describen en más detalle a continuación: 2.4.2 Descripción detallada de la herramienta CS El conjunto de aplicaciones de “CiscoWorks”: “Common Services”, también llamada “Common Management Foundation” (CMF), proporciona las bases para una infraestructura de aplicaciones permitiendo que todas las aplicaciones “CiscoWorks” compartan un modelo común para el intercambio de datos, “login”, definiciones de usuarios, privilegios de accesos y protocolos de seguridad, lo cual 44 solventa en mucho la problemática que enfrenta hoy en día la administración de la red del Banco Nacional de Costa Rica. “Common Services” permite que tras el “Device Management”, se puedan utilizar todas las herramientas de “CiscoWorks” con todos los dispositivos allí incluidos, dejando de lado la práctica manual de agregar cada dispositivo a cada aplicación, además, los cambios hechos a un dispositivo en el “Device Management” son aplicados a el dispositivo desde cada aplicación que se llame de manera automática. La herramienta CMF brinda cinco categorías de servicios, las cuales son a continuación detalladas: • “Homepage”: Provee accesos directos a las aplicaciones más utilizadas. • “Security”: Brinda servicios de manera local o remota mediante el uso de un servidor AAA de manera segura, así como también una comunicación segura entres servidores, permitiendo de esta manera que se compartan recursos de manera protegida. • “Device Management”: Conforma el banco de dispositivos utilizado por todas las herramientas de "CiscoWorks", que permite además agrupar dichos dispositivos para detección y resolución de fallas, así como también la creación de reportes. • “Software Center”: Permite realizar actualizaciones del software utilizado por las múltiples aplicaciones de "CiscoWorks". • “Administration”: Brinda servicios de administración tales como: creación de respaldos, herramientas de diagnostico entre otras. • La herramienta “Common Services” provee dos tipos de autenticación: Mediante el servidor local, haciendo uso de los roles creados por el sistema, o haciendo uso de los roles creados en un servidor AAA (por sus siglas en ingles, (“Accounting”, “Authorization”, “Authentication” o 45 autenticación, autorización y contabilidad en español)). 2.4.3 Descripción detallada de la herramienta RME. El conjunto de aplicaciones que provee la herramienta RME, que al igual que el resto de las herramientas proporcionadas por “CiscoWorks” son accesadas por medio de la red a través de un buscador, permite contar con un acceso remoto, actualizado y seguro a la información crítica de la red, permitiendo de esta manera, a quien esté autorizado, monitorear y editar, entre otras cosas, las configuraciones de los dispositivos de la red. Esta herramienta mantiene una base actualizada de toda la información de la red y puede además generar una gran diversidad de reportes que pueden ser utilizados para realizar pruebas de funcionamiento o planeamiento. RME permite generar reportes de tipo hardware y software, además de los reportes de archivos de configuración, para asegurar de esta manera el almacenamiento de una información completa, confiable y actualizada de la red. Es importante destacar que RME archiva de manera automática cada cambio realizado a los dispositivos de la red, haciendo muy sencillo no solo determinar los cambios realizados a cada aparato, sino también identificar por quien fueron realizados dichos cambios. Así pues, RME hace sencillo observar y manipular no solo los archivos de configuración, sino también las imágenes de los dispositivos de la red en uso actual y previo. La correcta implementación del “Resource Manager Essentials” permite automatizar muchas de las tareas de administración y mantenimiento de la infraestructura de red del BNCR a través de la calendarización, aplicación que permite un flujo de trabajo jerárquico, temporizado y automatizado, a través de la cual, cada grupo de usuarios llevará a cabo una labor determinada en un tiempo preestablecido que será automáticamente retomada por otro grupo de usuarios, el cual se encargará de continuar el proceso, repitiéndose este patrón hasta lograr el objetivo deseado, el cual será frecuentemente la aplicación de una configuración en un dispositivo de la red. 46 La herramienta RME brinda nueve categorías de servicios, las cuales son a continuación detalladas: • “Devices”: Lleva a cabo tareas de inventariado de red, colecta información de los dispositivos de la red de manera automática o manual, y además permite crear grupos de dispositivos según convenga. • “Config Mgmt”: Permite editar los archivos de configuración en uso, además modificar el número de configuraciones archivadas a guardar. • “Software Mgmt”: Hace posible tener un control sobre el software utilizado por cada dispositivo, así como también de las actualizaciones pertinentes y su calendarización. Permite además guardar copias de seguridad de las imágenes de cada dispositivo. • “Job Mgmt”: Lleva a cabo la calendarización de todas las tareas realizables con la herramienta RME, además cuenta con la opción de notificar a un “job approver” la ejecución de cada tarea, y requerir de su aprobación para su ejecución. • “Reports”: Brinda reportes no solo de las actividades pertinentes a estas herramientas, sino que también genera reportes de el estado de la red, es decir de todas las tareas realizadas por "CiscoWorks". • “Tools”: Permite calendarizar auditorías de cambios de la red. Recolecta mensajes de error del sistema (“syslog”). • “Admin”: Lugar donde se lleva a cabo toda la administración de la herramienta RME, su personalización y ajustes de uso. • “Cwcli Framework”: Interfaz CLI, encargada de autentificar el ingreso de usuarios, así como de dar acceso remoto. Hace el papel de “parser” entre CLI y las aplicaciones. 47 • “RME Device Center”: Hace posible ver de manera individual cada dispositivo y las herramientas que pueden hacer uso del mismo. 2.4.4 Métodos de autenticación La herramienta “CiscoWorks” tiene la opción de autenticar a sus usuarios mediante dos métodos, haciendo uso de un servidor local, “Non ACS Mode” o haciendo uso de un servidor AAA (ACS Mode). 2.4.4.1 ACS Mode Cuando se utiliza el modo ACS, “CiscoWorks” posee la opción de sincronizarse con un servidor AAA, esto a través de la herramienta “Common Services”, siendo una de las principales ventajas de esta sincronización la función AAA en los “switches” y enrutadores de Cisco, ya que esta tiene la flexibilidad de proporcionar un elevado nivel de derechos de acceso y de crear zonas de cuarentena para los puntos terminales que presenten una no conformidad, además de la posibilidad de bloquear completamente todo acceso no autorizado. 2.4.4.2 Non ACS Mode Este modo de autenticación es el modo de autenticación que utiliza CiscoWorks por defecto, cuando se decide utilizar esta método de autenticación local se pierden una serie de ventajas relacionadas con la seguridad y buen desempeño de la gestión de red de redes de mediana o gran escala, ya que únicamente se lleva a cabo el proceso de autenticación, dejando de lado el proceso de autorización y auditoria de los usuarios registrados en la red. 48 2.4.4.3 Ventajas del modo ACS La principal diferencia entre sincronizar "CiscoWorks" con un servidor AAA y no hacerlo es básicamente que cuando este trabaja sincronizado con este servidor, este no solo autentica al usuario, si no que también se encarga de asignarle los permisos correspondientes al mismo de manera personalizada, es decir no existe la limitante de roles predefinidos de “CiscoWorks”, si no que permite la creación de roles personalizados. Otro de los beneficios de la utilización de un servidor AAA para la autenticación del “Common Services”, es que a través de este servidor se puede administrar de manera simultánea todos los servidores “CiscoWorks”. La sincronización del “Common Services” con un servidor AAA, permite además, restringir o autorizar tareas en un dispositivo específico o en un grupo de ellos, lo cual no sería posible si la autenticación utilizada fuese de tipo global. 2.4.5 Jerarquías de administración de red. 2.4.5.1 Jerarquía de acceso a la infraestructura de la red. Cuando un usuario intenta acceder a un equipo de la red, el usuario y contraseña ingresados por este son comparados con la base de datos del servidor AAA, luego de esta autenticación, la autorización del usuario se basa en los privilegios que le han sido asignados al mismo. Un privilegio es una tarea u operación definida dentro de una aplicación; un conjunto de privilegios forman un rol y este dicta la cantidad y tipo de acceso a la red que tiene el usuario. El proceso de creación de usuarios y privilegios se compone de tres pasos básicamente: 2.4.5.2 Creación de dominios. Por dominio debe entenderse un grupo de dispositivos, interfaces y servicios. Existen tres 49 dominios predeterminados, los cuales no pueden ser modificados ni borrados, estos son: • All: Incluye todos los dispositivos descubiertos • Devices: Incluye todos los dispositivos de red descubiertos. • Services: Incluye todos los servicios de la red. Se pueden crear nuevos dominios según sea necesario. 2.4.5.3 Creación de roles. Existen cinco roles predefinidos, los cuales pueden ser modificados únicamente si se trabaja con un servidor AAA: • System Administrator: Encargado de la configuración del servidor y administración de las cuentas de los usuarios. • Network Administrator: A su cargo está la configuración de los dispositivos de red. • Network Operator: Tiene accesos a toda la información de la red, pero no tiene derechos de edición. • Approver : Aprueba aquellas tareas que conllevan un cambio en la configuración o software de los dispositivos de red y las lleva a cabo. • Help Desk: Posee un acceso restringido a los reportes de red. 2.4.5.4 Creación de cuentas. En esta sección se crean los usuarios, y a estos se les asignan roles y dominios. Una cuenta puede tener asignado múltiples roles, y múltiples dominios. Todos los usuarios tienen asignado el rol de Help Desk por defecto. 2.4.5.5 Creación de grupos. La creación de grupos es una herramienta que provee RME que permite agrupar los dispositivos 50 según las características que convengan, lo cual hace más fácil y eficiente la tarea de administración de la red, pues permite entre otras cosas el manejo masivo de dispositivos para fines de configuración. 51 CAPITULO 3: Desarrollo el proyecto 3.1 Gestión actual de la red del Banco Nacional de Costa Rica Como primer paso en la propuesta de automatización de la gestión de la administración de la red BNCR corresponde un estudio detallado de las tareas llevadas a cabo actualmente por las unidades que tienen parte en el proceso de ésta gestión, para poder de esta manera analizar los las debilidades y fortalezas de la misma, además para asentar un punto de partida en la propuesta, en busca de una mejora realizable. 3.1.1 Jerarquía de administración de red del BNCR El departamento de ingeniería del Banco Nacional de Costa Rica se encuentra actualmente pasando por un proceso de reestructuración, con el objetivo de descentralizar la administración de la infraestructura de red del mismo, se busca lograr una banda de trabajo en la cual cada unidad desarrolle un conjunto de tareas definidas y claramente delimitadas, de manera tal, que el producto final buscado sea el resultado de una labor segmentada y corroborada paso a paso por cada una de las unidades responsables del proceso en curso. La base teórica en la cual se está apoyando la administración de red del BNCR para llevar a cabo esta segmentación de funciones, y dar lugar a una mejor y más eficiente y efectiva banda de trabajo es el conjunto de normativas dictadas por ITIL, ya que este conjunto de normas constituye un muy buen marco de trabajo a seguir, describiendo los procesos necesarios para una gestión de procesos de tecnologías de la información que garantice la calidad de los servicios y productos ofrecidos por este. Actualmente, la administración de la red de conectividad del BNCR, está a cargo del Departamento de Tecnología de esta institución, el cual esta subdividido en las siguientes direcciones: 52 • Análisis del negocio de Tecnologías de la Información. • Dirección de arquitectura de servicios de Tecnologías de la Información. • Ingeniería de Tecnologías de la Información. • Implantación de Servicios de Tecnologías de la Información. • Producción de Servicios de Tecnologías de la Información. En la Figura 3. 1 se presenta más en detalle la jerarquía de administración de la dirección de ingeniería del Banco Nacional de Costa Rica. Figura 3. 1 Jerarquía de administración BNCR Actualmente la gestión de la red del BNCR se lleva a cargo de la siguiente manera: El departamento de Análisis del Negocio recibe las peticiones de nuevos servicios, esta petición se analiza y aprueba o rechaza, de ser esta petición aprobada, se procede a pasar la propuesta a la dirección de Arquitectura, dirección que es la encargada de crear el diseño enviado por la dirección de Analisis del Negocio, es decir, crea o modifica las configuraciones necesarias para llevar a cabo la 53 propuesta del diseño enviado por la dirección de arquitectura. Una vez que las configuraciones están listas, son direccionadas a la dirección de Implantación, esta dirección tiene la tarea de someter las configuraciones creadas o modificadas por la unidad de Ingeniería e Infraestructura a un ambiente de pruebas para corroborar que esta fue correctamente creada y que puede ser puesta en marcha por la dirección de Producción, sin afectar de manera negativa los servicios que se encuentran en producción, dirección a la cual se le manda la configuración necesaria ya probada y aprobada para que procedan a implementarla en los equipos necesarios. A pesar de que la jerarquía de funciones antes expuesta se respeta en una gran mayoría, durante la gestión de la red del BNCR, existen problemáticas, detalladas más adelante, a las cuales se les puede dar solución, en una gran parte, implementando correctamente y haciendo uso de las herramientas de gestión con las cuales cuenta el Banco Nacional de Costa Rica. 3.1.2 Herramientas utilizadas para la gestión de la red del BNCR actualmente Existen varios tipos de herramientas de gestión de red, estas herramientas, pueden ser clasificadas en dos grandes grupos: herramientas de administración de red, y herramientas propietarias de administración de red. La diferencia entre una y otra radica en que la primera, si bien es cierto, tiene la capacidad de administrar dispositivos creados bajo diferentes casas, esta no cuenta con un nivel de control tan especializado como si lo hacen las herramientas propietarias, que son desarrolladas para realizar la gestión de un grupo de dispositivos en especifico. El BNCR cuenta actualmente con varias herramientas para la gestión de la infraestructura de la red, como lo son: HPOpenView, VitalSuite y CiscoWorks, cada una de ellas se utiliza para una función diferente en la gestión de la red: • HPOpenView: Esta herramienta es llamada “el gestor de gestores” ya que es capaz de interactuar con otros gestores, permitiendo recopilar y procesar información obtenida a partir de 54 otros gestores, usualmente de tipo propietarios. Este tipo de sistemas permite administrar la infraestructura de una red de manera homogénea, es decir, sin importar que plataforma trabaje cada dispositivo, es capaz de administrar dispositivos de múltiples marcas, ya que no actúa directamente sobre el dispositivo, sino más bien, con su gestor propietario, interactuando con él de manera transparente al usuario. En el BNCR esta herramienta se utiliza para obtener la topología de la infraestructura de la red del BNCR de manera gráfica, así como también para realizar “trouble shooting” de primer nivel: monitoreos del estado del enlace y pruebas sencillas de conectividad (ping y telnet) de manera grafica. • VitalSuite: Esta herramienta de la casa Lucent, ofrece visibilidad y control sobre la infraestructura de información completa. Además, analiza la evolución de la red y predice su desempeño futuro, para asignar recursos en forma planificada hacia las áreas más comprometidas. VitalSuite está formado por dos grandes aplicaciones: Vital Network que se encarga del monitoreo general de la redes y VitalApps que se encarga de dar monitoreo a las aplicaciones. En la gestión de red del BNCR, esta se utiliza llevar a cabo el “trouble shooting” de más alto nivel, ya que esta herramienta permite investigar las posibles causas de los problemas de conectividad. Esta herramienta permite tener acceso a gráficos del estado de las interfaces en varios intervalos de tiempo de hasta 8 días máximo. VitalSuite permite además generar gráficos de diversas índoles como los son los gráficos de la utilización del CPU. • CiscoWorks: Esta herramienta se encuentra parcialmente implementada, según se hizo mención anteriormente, y sólo se utiliza para monitorear la red. Cabe destacar que la infraestructura de red del Banco Nacional de Costa Rica está formada en una gran mayoría por dispositivos Cisco, motivo por el CiscoWorks es una herramienta capaz de desempeñar una gran variedad de tareas relacionadas con la administración de la infraestructura de red BNCR, sin embargo, como se detallará más adelante, esta herramienta se encuentra en estado de subutilización. Además de las herramientas antes mencionadas, la dirección de Tecnología del BNCR, encargada de gestionar la red, hace uso de otro tipo de herramientas como lo son RationalSoftware, herramienta 55 de la casa Lucent, que se utiliza para intercomunicar las diferentes direcciones del departamento de Ingeniería del BNCR, es decir, es a través de esta herramienta que la dirección de Análisis del Negocio informa y solicita a la dirección de Ingeniería e Infraestructura un cambio en la configuración de la infraestructura de red, usualmente la configuración se envía como una archivo de texto adjunto entre una dirección y otra, en resumen esta herramienta es utilizada para la solicitud y seguimiento de requerimientos. En Figura 3. 2 se puede observar un prototipo de requerimiento. 56 Figura 3. 2 Prototipo de requerimiento 3.1.3 Uso dado a la herramienta CiscoWorks en la gestión de red BNCR actualmente La primer fase experimental de este proyecto se llevo a cabo a través de una exploración detallada de la herramienta CiscoWorks, para poder tener un plano detallado de las funciones que realiza este, así como también del uso que se le da a al mismo. El acceso a la herramienta CiscoWorks se hace a través de un navegador de páginas web, el cual no necesita de ninguna configuración en especial. El acceso a CiscoWorks se puede realizar desde cualquier parte de la red que sea capaz de encontrar el servidor que aloja la herramienta vía HTTP (del inglés HyperText Transfer Protocol, en español protocolo de transferencia de hipertexto), durante la instalación de la herramienta se puede configurar que puerto se desea utilizar, siendo comúnmente el puerto TCP 1741 el más utilizado. Asi pues, el acceso a la herramienta CW consta de introducir el URL (del inglés Uniform Resource Locator, en español localizador uniforme de recursos), en el navegador de preferencia. En la Figura 3. 3 se observa lo antes mencionado. Para el caso particular del BNCR, el acceso a esta herramienta, se hace a través del puerto 443, via HTTPs, que es un protocolo mas seguro, 57 ya que la información viaja a través de un canal cifrado. Figura 3. 3 Acceso a la herramienta CiscoWorks La gran mayoría del personal involucrado en la administración de la red BNCR cuenta con un “User ID” con su respectiva contraseña para poder acceder al sistema, además estos datos son personales y confidenciales, Error! Reference source not found. lo cual quiere decir que la mayoría de cuentas necesarias para lograr el objetivo propuesto en este proyecto están creadas. Ver Figura 3. 4. 58 Figura 3. 4 Cuentas de CiscoWorks Se han implementado dos posibles maneras de trabajar esta herramienta, una de ellas es como usuario “System Administrator”, mientras que la otra es siendo un “Network Administrator”, ya que son los únicos dos perfiles que se encuentran implementados y en uso en esta. El perfil de “System Administrator” se tiene asignado en la Unidad de Producción, al personal encargado de administrar la herramienta, por su parte, el perfil de “Network Administrator” se encuentra asignado a todos los demás usuarios que hacen uso de esta herramienta. El primer parámetro a considerar a la hora de utilizar una herramienta de gestión de red, como lo es CiscoWorks es la población de la herramienta, es decir, lo más importante es estar seguro que la herramienta cuenta con una base de datos completa de los dispositivos con los cuales esta debe 59 interactuar. Es decir, la herramienta debe de estar en capacidad de descubrir todos los dispositivos meta. CiscoWorks crea una base de datos, como la que se muestra en la Figura 3. 5, con todos los dispositivos que son gestionados a través de él, los cuales, son en este caso todos los dispositivos de la infraestructura de red BNCR. Figura 3. 5 Herramienta poblada Dado este estado de población, la herramienta está en capacidad de llevar a cabo una serie de labores de gestión de red sobre estos dispositivos, más a delante, durante la exploración del uso dado actualmente a esta herramienta se podrá saber más a fondo cuales de estas funciones están siendo utilizadas para administrar la infraestructura de red BNCR. Durante el estudio del estado de utilización de la herramienta se pudo identificar que se encuentran 60 implementados los grupos, según se puede observar en la Figura 3. 6, no solo están implementados los grupos por defecto, si no también existen grupos creados por el personal encargado de la gestión. En Figura 3. 6 se observan los dispositivos organizados en dos grandes grupos “Devices Types Groups” y “User Defined Groups”. Figura 3. 6 Grupos de dispositivos Grupo “Devices Types Groups”: Este grupo de dispositivos se crea automáticamente en el sistema, es decir es parte de los parámetros por defecto de CiscoWorks. • “Routers”: que contiene todos los enrutadores de la infraestructura de red BNCR • “Swithches” and “Hubs”: Con los dispositivos de esta naturaleza. 61 • “Content Networking”: Grupo que contiene los dispositivos de red tipo “content”. Figura 3. 7 Grupos regionales Grupo “User Defined Groups”: El departamento de tecnología encargado de la administración de CiscoWorks ha creado una serie de subgrupos, designados según su ubicación geográfica mayormente. En la Figura 3. 7 se pueden observar los subgrupos mencionados. 62 Figura 3. 8 Grupos regionales 63 Explorando la herramienta, en su estado actual, fue posible evidenciar la subutilización de la herramienta, se detectaron parámetros claves en desuso. Uno de los principales objetivos de la gestión de la infraestructura de red del Banco Nacional de Costa Rica, es lograr mantener un registro de cambios realizados en los dispositivos bien documentado, es decir, se busca poder realizar y mantener actualizo un registro en el cual se puedan observar todos los cambios realizados en las configuraciones de los dispositivos de red, así como también la fecha, hora y responsable del cambio. Esto con la finalidad de llevar un control sobre la evolución de la configuración de la red, así como también mantener un grado de seguridad tal que si algún dispositivo falla por motivos de configuración, sea posible volver fácilmente a un estado previo de funcionamiento. CiscoWorks permite realizar este tipo de registros de manera automática, de manera tal que puede ser configurado para que cada vez que un dispositivo reporte un cambio en su configuración, cree un reporte con todos los datos del mismo, es posible también configurar la herramienta de manera tal que esta guarde una imagen del dispositivo de manera periódica, en intervalos de tiempo configurables. La infraestructura de red del Banco Nacional de Costa Rica no cuenta actualmente con un registro de cambios minucioso, además el método que se lleva a cambio para mantener este registro de cambios es manual, con lo cual se incurre más fácilmente en errores, así como también puede tornarse complicado mantener este registro actualizado. En la Figura 3. 9 se puede observar una imagen en la cual se puede observar como los dispositivos que interactúan con CiscoWorks no presentan registro alguno de los cambios realizados en ellos. 64 Figura 3. 9 No hay registros La administración de la infraestructura de red del BNCR, apoyada en la teoría de ITIL busca crear una banda de trabajo en la cual todo cambio realizado sea propuesto, creado, verificado e implementado por diferentes entes, es decir, se busca que cada unidad del departamento de ingeniería del BNCR desarrolle una tarea en especifico, y que la misma sea corroborada por otra unidad antes de llevar a ser puesta en funcionamiento. Este objetivo requiere que cada usuario de CiscoWorks tenga únicamente asignados los permisos necesarios para llevar a cabo su labor evitando de así que permisos innecesarios serian asignados tanto a personal no autorizado como a personal no calificado. CiscoWorks permite llevar a cabo una asignación de tanto de perfiles predeterminados que se ajustan bastante bien, sin embargo, según se mencionó anteriormente, existen únicamente dos tipos de perfiles asignados en este momento, lo cual propicia que personal no autorizado lleve a cabo tareas para las 65 cuales no está calificado o autorizado. En la Figura 3. 10, se puede observar como un usuario de la dirección de Ingeniería e Infraestructura tiene los permisos necesarios para alterar los grupos de dispositivos, tarea que no corresponde, según los ideales buscados, al departamento en cuestión, sin embargo es el fenómeno que se presenta, debido al mal uso de los perfiles y roles de CiscoWorks. Figura 3. 10 Permisos mal asignados 66 Los dispositivos Cisco, cuentan con un protocolo de red propietario, es decir únicamente aceptado por dispositivos de ésta marca, para el descubrimiento de dispositivos vecinos llamado CDP (del inglés “Cisco Discovery Protocol”, en español protocolo de descubrimiento Cisco), este protocolo permite a los dispositivos intercambiar información sobre los dispositivos conectados directamente. El intercambio de información entre dispositivos se lleva a cabo mediante el envío de mensajes a la dirección de destino de multidifusión en periodos de tiempo configurables, que por defecto es cada 60 segundos, todos los dispositivos que tengan la opción CDP habilitada, guardan la información enviada por los dispositivos directamente conectados a él en un tabla, la información que se envía en estos mensajes puede variar entre un dispositivo y otro, sin embargo los siguientes datos son usualmente contenidos en esta tabla de datos: versión del sistema operativo, el nombre de equipo, todas la direcciones de todos los protocolos configurados en el puerto al que se envía la trama CDP (por ejemplo, la dirección IP), el identificador del puerto desde el que se envía el anuncio, el tipo y modelo de dispositivo, la configuración duplex/simplex, el dominio VTP , la VLAN nativa, el consumo energético, etc. Esta información proporcionada por el protocolo CDP permite a CiscoWorks crear un mapa topológico de la infraestructura de la red que gestiona. En la Figura 3. 11 se muestra un ejemplo de un mapa topológico creado por CW. 67 Figura 3. 11 Mapa topológico creado por CW [Y] Sin embargo, otro aspecto detectado durante la exploración de la herramienta es que la topología grafica no se encuentra en uso. El motivo por el cual el personal encargado de la administración de la red del BNCR ha decidido no hacer uso de esta aplicación es que si bien es cierto, parte de proceso de reingeniería por el cual está pasando el departamento de ingeniería del Banco Nacional de Costa Rica, corresponde a unificar la plataforma de trabajo de los dispositivos de la infraestructura de red a la plataforma Cisco, esto ha sido un proceso gradual, lo cual implica que a pesar de estar trabajando en este momento con dispositivos Cisco en una casi totalidad, aún se encuentran en existencia, y en uso equipos de otras marcas, lo cual implica que se encuentran trabajando equipos que no soportan el protocolo CDP, lo cual entorpecería el proceso de creación de los mapas topológicos, pues el proceso de descubrimiento antes mencionado culminaría al llegar a uno de estos dispositivos, omitiendo todos los dispositivos que se encuentren detrás de éste. Por este motivo no se utiliza esta facilidad de la herramienta, y es por eso que se está desactivando gradualmente esta opción, en cada uno de los dispositivos de red con el 68 propósito de ahorrar el ancho de banda que consume el envío de los mensajes con a la información antes mencionada. En la Figura 3. 12 y Figura 3. 13 se puede observar el fenómeno antes descrito, según el cual existen dispositivos que permiten identificar a sus vecinos, como también dispositivos cuyo protocolo CDP ha sido ya deshabilitado. Figura 3. 12 Dispositivo con el protocolo CDP habilitado 69 Figura 3. 13 Dispositivo con el protocolo CDP deshabilitado Existe otro motivo por el cual el personal encargado de la gestión de la infraestructura de red del BNCR no hace uso del protocolo CPD para generar las topologías graficas de la infraestructura de red del BNCR, y es que la interconexión de las LAN de esta red la proporciona el ICE a través de líneas dedicadas, las cuales no soportan el protocolo CDP, por ser un protocolo propietario CISCO. Para el caso de la figura B, se puede observar el fenómeno de la deshabilitación del protocolo CDP en la columna de estatus, en la cual el estado “unreachable” corresponde a una búsqueda fallida de un dispositivo, es decir, un dispositivo vecino, que al tener el protocolo CDP inhabilitado se vuelve no rastreable para sus dispositivos vecinos. Otro aspecto de gran relevancia durante el estudio del funcionamiento dado a la herramienta CW durante la gestión de red del Banco Nacional de Costa Rica está relacionado con los diferentes métodos de autenticación que posee este sistema. Se pudo obtener durante el estudio del funcionamiento de la herramienta que no se está haciendo uso del mejor método de autenticación que contiene CW. Según se puede observar en la Figura 3. 14, el proceso de autenticación utilizado actualmente es de tipo local, 70 es decir “Non ACS Mode”. Con lo cual se están perdiendo muchos beneficios antes mencionados. Figura 3. 14 Autenticacion Local Se observa en la Figura 3. 15 que la función de calendarización de proyectos se encuentra habilitada, con lo cual, los usuarios de CW están en capacidad de programar diversas tareas en el sistema para ser recordadas e implementadas de manera automática cuando y a quién corresponda. Sin embargo, se puede observar en la Figura 3. 16 que esta utilidad no se encuentra correctamente implementada, ya que tareas previamente calendarizadas no se han podido llevar a cabo con éxito. 71 Figura 3. 15 Calendarización de tareas habilitada 72 Figura 3. 16 Calendarización en mal funcionamiento 3.2 Propuesta de implementación de la herramienta “CiscoWorks” en la gestión de red BNCR Para evidenciar un poco mejor la banda de trabajo que se desea proponer en este escrito para la gestión de red BNCR se presenta a manera ilustrativa un caso ejemplo: Caso: Se necesita agregar un dispositivo nuevo a la infraestructura de red, además existe un empleado nuevo encargado de la red. Flujo de trabajo: La dirección de Producción es notificada sobre el ingeniero nuevo, así que esta procede a crearle al mismo un usuario, con sus respectivos permisos y grupos según se requiera, esto a 73 través de una modificación hecha al rol de Help Desk para esta dirección, en la cual se le dan los permisos necesarios para agregar o eliminar usuarios y/o dispositivos del inventario, ya que el único rol por defecto que puede hacer esto es el System Administrator. A su vez, la dirección de Ingeniería e Infraestructura procede a realizar la configuración necesaria al nuevo dispositivo y la calendariza para ser puesta en ejecución cinco días después, esto va a ocasionar que se genere un correo electrónico de manera automática al personal del departamento de Implantación, el cual está a cargo de revisar esta configuración en un periodo de tiempo determinado, bajo el rol de Job Approver, y de estar correcta, dar su aprobación, pero de no ser aprobada, se generará un correo al departamento de Infraestructura e Ingeniería señalando que dicha configuración no fue aprobada, y entonces dicha configuración debe ser revisada de nuevo y calendarizarse de nuevo, en caso de que sea requerido así por motivos de tiempo. Una vez aprobada la configuración por el departamento de implantación, la configuración será aplicada a el o los dispositivos según el día y la hora calendarizados por el departamento de Soluciones de Ingeniería e Infraestructura de Servicios TI, al mismo tiempo, se generará una notificación sobre los cambios realizados. Por su parte, la dirección de producción tendrá únicamente derechos de monitoreo y de lectura de todos los reportes que se generen, mas no tendrá derechos de edición. Su principal tarea será de monitorear y darle mantenimiento a la red a un nivel básico. En caso de presentarse algún tipo de error en la configuración de la red detectado por la dirección de producción, esta deberá notificarlo a la dirección de implantación, la cual corroborará y/o detectara la falla para ser comunicada a la dirección de Ingeniería e Infraestructura la cual en caso de ser necesario hará los cambios correspondientes, según lo explicado previamente. Si existiese una situación de emergencia, a la cual se le debe dar solución de manera inmediata, sin tener tiempo de respetar la jerarquía de funciones, existirá un superusuario para uso de extrema emergencia, el cual contará con una clave para ser utilizada una única vez, ya que se configurará para 74 que esta caduque después de ser utilizada, esto para evitar que esta clave sea de dominio público y se rompa el orden jerárquico de administración de la infraestructura de la red, sin embargo, cuando esta sea usada, y por ende caducada, debe ser informado al “System Administrator” para que se proceda a la creación de una nueva y diferente clave para ser utilizada cuando vuelva a presentarse una situación de esta naturaleza. 3.2.1 Propuesta de implementación de la aplicación “Common Services” de CiscoWorks El objetivo de la propuesta de implantación del “Common Services” tiene como objetivo principal mantener un control minucioso sobre el personal que accesa la infraestuctura de red del BNCR, asi como también limitar la ejecución de tareas de aquellos que hacen uso de la misma. 3.2.1.1 Propuesta de implantación de los roles y permisos haciendo uso del modo de autenticación ACS. Como primer punto, en la automatización de la gestión de la infraestructura de una red de una empresa corresponde segmentar las funciones llevadas por cada uno de los miembros encargados de la gestión, para poder proceder luego a la limitación y asignación de los permisos necesarios para que cada miembro pueda llevar a cabo su labor de manera controlada. Esta asignación de roles y permisos se puede llevar a cabo a través de CiscoWorks, ya que según se mencionó con anterioridad esta herramienta cuenta con una serie de roles y permisos, posteriormente detallados, que se ajustan bien a la jerarquía de administración de red del BNCR. Durante la asignación de roles y permisos, se busca descentralizar la administración de la red, y tener un control minucioso sobre las tareas ejecutadas por cada usuario, lo cual es posible mediante CiscoWorks, sin embargo, a pesar de que CiscoWorks cuenta con una serie de roles y permisos predeterminados que se acercan bastante a las necesidades de ejecución de cada departamento 75 involucrado en la administración de la red BNCR, estos roles y permisos podrían ser configurados de una manera más precisa, logrando ajustar cada perfil a las necesidades de cada departamento, evitando tratar de adecuar las necesidades de cada departamento a los permisos asignados por defecto a cada rol predeterminado de CiscoWorks. Según se mencionó anteriormente, existen dos maneras diferentes de llevar a cabo el proceso de autenticación, y basados en el estudio previo tanto de la herramienta como de su utilización dentro de la gestión de red BNCR y la jerarquía de trabajo buscada por esta institución, se pueden distinguir diferencias sustanciales en el uso de un modo u otro. Básicamente la diferencia entre una autenticación y la otra consiste en que haciendo uso de un servidor AAA para llevar a cabo este proceso, es posible implementar nuevos roles en CiscoWorks, además de los cinco roles con se cuenta por defecto, permitiendo de esta manera crear roles a los cuales se les asignen los permisos justos necesarios en cuestión. Teniendo en cuenta que dentro de la infraestructura de red del BNCR se cuenta con un servidor RADIUS, que se utiliza como un servidor AAA, lo más útil, conveniente y recomendado es hacer uso de este dispositivo para poder desarrollar nuevos roles en el sistema que se adecuen de manera exacta a las necesidades de cada una de las unidades de la dirección de ingeniería del BNCR. CiscoWorks cuenta con una amplia gama de posibles tareas a realizar en la gestión de red, para cada una de ellas es necesario contar con el permiso pertinente para poder ejecutarse, con lo cual se tiene una gran cantidad de permisos que pueden ser asignados a los roles creados cuando se trabaja utilizando el método de autenticación ACS. No existen limitantes durante la asignación de permisos a los roles personalizables. A continuación se muestra la asignación de roles y permisos para cada método de autenticación para ser analizados posteriormente. En la Tabla 3.1 se presenta la mejor asignación de roles posible haciendo uso del método de 76 autenticación “Non ACS”. Tabla 3.1 Comparación Jerarquías de Administración "Cisco Works" - BNCR. “Mode Non ACS” Rol “CiscoWorks” Dirección BNCR Permisos / Tareas Encargado de la configuración del System Administrador Producción servidor y administración de las cuentas de los usuarios. Puede agregar o eliminar dispositivos y tareas en ejecución. Tiene accesos a toda la información Network Administrador Ingeniería y Soluciones de Infraestructura de la red, pero no tiene derechos de edición. Puede modificar o eliminar tareas en ejecución. Crea tareas (configuraciones) y las Network Operator Ingeniería y Soluciones de calendariza. Infraestructura Realiza cambios en las políticas de revisión. Aprueba aquellas tareas que Job Approver Implantación conllevan un cambio en la configuración o software de los dispositivos de red. Posee permisos de lectura de Help Desk Producción. reportes. (monitoreo y mantenimiento) 77 Como puede observarse de la Tabla 3.1, los roles con los que cuenta CiscoWorks por defecto se ajustan bien a la jerarquía de administración de la red BNCR, sin embargo, los permisos necesarios para llevar a cabo la labor asignada a cada unidad del departamento de ingeniería del BNCR, se puede observar que en algunos casos no es suficiente, tras la asignación de un solo rol, como es el caso de la unidad de Ingeniería y Soluciones de Infraestructura, unidad que requiere de los permisos asignados tanto al rol de “Network Administrator” como al rol “Network Operator”, con lo cual se cae en un situación no deseada, en la cual se le estarían asignando permisos a la unidad de Ingeniería e Infraestructura para llevar a cabo labores que no le corresponden a este departamento, labores para las cuales estos no tienen autorización idealmente, pero para las cuales contarían con los permisos prácticos necesarios para llevarlas a cabo si se usa la asignación presentada en la Tabla 3.1, que es la mejor asignación posible haciendo uso del método de autenticación “Non ACS”. Como solución a la poco conveniente situación ante descrita, se propone utilizar como método de autenticación el método ACS, con el cual, se propone crear uno rol para cada unidad del departamento de ingeniería del BNCR y a cada uno de estos roles creados, se le asignarán los permisos correspondientes a la asignación de funciones descrita en la sección anterior. En la Tabla 3.2 se presenta la propuesta de creación de roles con sus respectivos permisos y asignaciones para las unidades correspondientes del departamento de ingeniería del BNCR 78 Tabla 3.2 Comparación Jerarquías de Administración "Cisco Works" - BNCR. “Mode ACS” Rol “CiscoWorks” Dirección BNCR Permisos / Tareas Administrador del Sistema Ingeniería y Soluciones de Agregar y eliminar cuentas, Infraestructura grupos y dominios. Modificar permisos de cuentas. Administrador de Red Ingeniería y Soluciones de Creación de configuraciones. Infraestructura Creación de calendarizaciones. Operador de Red Producción Creación y lectura de registros. Revisión de Configuraciones Implantación Revisar y probar y aprobar configuraciones. Monitoreo Producción Lectura de registros y archivos de configuración. Según se ha mencionado anteriormente, la herramienta CiscoWorks cuenta con una extensa lista de tareas a realizar, con su respectivo permiso, esta amplia gamas de tareas se describe en el apéndice AError! Reference source not found., además cabe destacar que los permisos descritos en el apéndice A Error! Reference source not found., en donde también se indica a que roles se encuentran asignados por defecto en CiscoWorks, son aplicables a cuales quiera de los roles personalizables creados con el método propuesto “ACS Mode”. Al utilizar el método de autenticación propuesto, cualquier cambio en las labores asignadas a cada unidad del departamento de ingeniería del BNCR es fácil y rápidamente aplicable a los roles propuestos en la Tabla 3.2, ya que la asignación o eliminación de permisos a cada rol es altamente flexible, haciendo que la implantación de CiscoWorks en la administración de la red del BNCR sea fácil y eficiente, y sobre todo que cumpla con los ideales teóricos de administración buscados por la gestión de red del BNCR. 79 3.2.2 Propuesta de implantación del RME de CiscoWorks El objetivo principal de la propuesta de implementación de la utilidad “Resource Manager Essentials” de CiscoWorks en la plataforma de trabajo del BNCR se basa principalmente en el manejo de las configuraciones de los dispositivos, se pretende con esta propuesta ofrecer al personal encargado de la administración y mantenimiento de la infraestructura de red del BNCR una forma fácil de verificar la configuración actual de los dispositivos administrados mediante el uso de los reportes. Con esto se pretende implementar además la generación automática de reportes de cambios en las configuraciones personalizados, para lograr mantener una base de datos actualizada de los cambios realizados en los dispositivos, con fechas de aplicación, asi como las responsables de dichos cambios. Se busca además seguir las normativas ITIL antes propuestas, con lo cual RME se propone ser utilizado para la generación y mantenimiento de una base de datos del inventario de los dispositivos que forman la red Banco Nacional de Costa Rica. 3.2.2.1 Propuesta de implantación de los grupos y dominios Dado a que en cada unidad de trabajo del departamento de ingeniería del BNCR, existen grupos de trabajo que tienen asignadas labores limitadas a un grupo especifico de dispositivos, se propone crear los dominios necesarios para cada grupo de trabajo. Es decir, aquellos grupos de trabajo, como lo son los técnicos ubicados en las sucursales de trabajo del BNCR, les serán otorgados los permisos que se requieran para llevar a cabo su labor, pero únicamente aplicables a los dispositivos sobre los cuales este grupo de trabajo actúe, con esto se busca incrementar el nivel de seguridad de la infraestructura de red del BNCR, impidiendo que información de tipo confidencial sobre la configuración de los dispositivos de la red llegue a ser utilizado por personal externo al BNCR. 80 Mediante la implantación de los grupos y dominios en la infraestructura de red del BNCR se propone crear diversos grupos de dispositivos, no sólo de manera geográfica, según se mencionó previamente, sino también de manera lógica, es decir, se propone crear grupos de dispositivos que cuenten con configuraciones, ya sea en su totalidad, o parcialmente iguales, esto con el fin de poder hacer cambios sustancialmente iguales y necesarios a un grupo de dispositivos a la vez, con lo cual se ahorraría el tiempo que actualmente requiere, dar la configuración a cada uno de los dispositivos de manera individual. La creación de grupos de dispositivos con configuraciones iguales, ya sea total o parcialmente permite la manipulación masiva de estos, lo cual se vuelve particularmente útil cuando se trata de actualizar el sistema operativo de dispositivos de la misma serie, entre otras cosas. Lo que se busca con esta propuesta es tanto mejorar el nivel de seguridad de información critica de la red, ya que se propone limitar a los usuarios, no solo en sus permisos de ejecución, si no que se busca restringir también el número de dispositivos manipulables por cuenta, así como también maximizar el uso del tiempo de la gestión de la infraestructura de la red, ya que se propone crear los parámetros necesarios tanto para administrar como para monitorear dispositivos de manera masiva cuando esto sea realizable. 3.2.2.2 Propuesta de implantación de la calendarización La herramienta CiscoWorks, dentro de las aplicaciones que posee en pro de la automatización de la gestión de red cuenta con una utilidad de calendarización, a través de la cual se pueden mejorar muchas de las tareas llevadas a cabo actualmente por las unidades de la dirección de Ingeniería del BNCR. Esta calendarización se lleva a cabo a través de la herramienta RME de CiscoWorks, y es capaz de ubicar y asignar y liberar los recursos necesarios automáticamente. Se propone hacer uso de la calendarización CiscoWorks con el objetivo de hacer la banda de trabajo de la dirección de ingeniería del BNCR más fluida. 81 Actualmente se hace uso del software Rational, según se mencionó anteriormente, para intercomunicar a las diferentes unidades de la dirección de Ingeniería del BNCR. Los requerimientos de los niveles más altos de jerarquías son comunicados a través de este programa al nivel de jerarquía que corresponda, la especificación de los requerimientos son adjuntados en documentos de texto, así como también lo son las soluciones dadas. Una vez que una unidad cumple con lo solicitado, la persona encargada de la finalización de la tarea en cuestión procede a redactar un correo electrónico a el jefe de la unidad, quien es el encargado de direccionar los requerimientos recibidos en su unidad de trabajo, notificándole la finalización de de la tarea. La calendarización permite llevar a cabo labores críticas, como lo es la aplicación de cambios en la configuración de los equipos, por lo cual CiscoWorks tiene como medida de seguridad, que todo cambio implementado debe ser previamente aprobado por algún usuario con el rol de “Approver”. Es de importante mención que se puede crear una lista de “approvers” para cada tipo de trabajo, sin embargo solo es necesaria la aprobación de uno de estos para que el cambio se ejecute. Con la puesta en ejecución de la calendarización de CiscoWorks, este proceso se torna mucho más fluido, ya que las más altas jerarquías solamente necesitarían calendarizar el requerimiento necesitado, y automáticamente se generaría una notificación a las unidades pertinentes sobre la tarea pendiente, así como de su prioridad y periodo de tiempo disponible, y una vez finalizada esta labor, son notificadas la unidades correspondientes de manera automática para continuar el flujo de trabajo. Cabe señalar que actualmente, cuando se requiere hacer un cambio critico en un equipo de alta demanda, este debe hacerse en horas en las cuales el uso de la red sea mínimo, esto para que el impacto en el desempeño de la red no sea sustancial, usualmente, estos cambios los lleva a cabo el personal en cuestión en altas horas de la noche y durante días no laborales, que son los lapsos de tiempo en que la red reporta menos tráfico. Este tipo de labores requiere de uso de recursos económicos y humanos que 82 podrían ser aprovechados en otro tipo de actividades luego de implementarse la calendarización, ya que a través de esta, los requerimientos que son procesados y aprobados, según sea especificado en el momento de su generación, se aplicarán de manera automática por el sistema en la hora y fecha que sea indicado por parte de la unidad a cargo. Lo que se busca con esta propuesta es básicamente, hacer más fluida la banda de trabajo de las direcciones encargadas de la administración de la infraestructura de red del BNCR, optimizando el número de horas empleadas en la gestión de ésta. El Banco cuenta con una infraestructura de comunicaciones, distribuida tanto en la red de las Oficinas Centrales como en las oficinas de red WAN, en los cuales se incluyen equipos de enrutamiento y conmutación de paquetes con funciones comunes, como por ejemplo; en la oficinas de Guadalupe y Moravia, ubicadas en la red WAN del Banco, tienen equipos de comunicaciones del mismo tipo con una base de configuración, variando únicamente en algunas políticas diseñadas específicamente para cada caso en particular. Para este tipo de oficinas, con los mismos tipos de equipos, se pueden integrar en un grupo de configuración, para realizar cambios en su configuración base de forma simultánea. 3.2.2.3 Propuesta de implantación de la generación automática de reportes Fue previamente explicado como CiscoWorks provee la facilidad de generar reportes de cambios automáticos, fue también mencionado el sistema que utiliza la dirección de Ingeniería para generar, en la medida de lo posible estos reportes, este es el motivo por el cual se propone suplantar el método actual, a través del cual se incurre en la posibilidad de que no sean generados estos reportes con una frecuencia optima, así como también evitar las debilidades del actual formato de almacenamiento. La generación automática de reportes permite mantener una base de datos actualizada tanto y 83 tan frecuentemente como se desee de las configuraciones de cada uno de los dispositivos de la plataforma Cisco de la red, lo cual constituye más de un 90% de la infraestructura de la red BNCR Se propone implementar esta función con el objetivo principal de brindar una mayor seguridad a la infraestructura de la red, ya que en caso de que ocurriera una situación extraordinaria en la que un dispositivo, por motivos de configuración dejara de funcionar, se contaría con un respaldo de las últimas configuraciones implementadas en el dispositivo. Cada uno de los cambios realizados en la configuración de un dispositivo queda debidamente registrado indicando la fecha y hora de su modificación, así como también la cuenta desde la cual se realizó el cambio, con lo cual se garantiza un grado de seguridad mucho más alto que el que se maneja actualmente, en el cual, a pesar de existir un registro de cambios realizados a la configuración de los equipos, estos registros, por realizarse de manera manual, no registra datos exactos sobre su implementación, es decir, no queda debidamente documentado aspectos de gran importancia, como lo es la cuenta responsable del cambio. A diferencia del método actual a través del cual se intenta realizar un registro actualizado de configuraciones de los equipos, el método proporcionado por CiscoWorks que realiza estos registros de manera automática, el formato en que se generan estos reportes permite llevar a cabo una serie de tareas que simplifican y hacen más eficiente la labor de la gestión de la infraestructura de red. El formato en el que se generan actualmente estos registros es un formato de texto plano, sobre el cual no se puede trabajar tan detalladamente cómo se propone en este proyecto, según es detallado a continuación: 84 Figura 3. 17 Registro de configuración actual en texto plano 85 • Generación de reportes personalizados: esta característica permite llevar a cabo solicitudes especificas al sistema sobre los reportes generados, de esta manera si se requiere especial atención a la configuración de una interfaz en especial, puede configurarse un record de registros únicamente sobre esa interfaz, con una periodicidad específica para el reporte en cuestión. • Comparación de cambios realizados entre dos registros: El método a través del cual se generan los registros de cambios permite realizar comparativas entre dos registros diferentes, lo cual es particularmente útil en casos extraordinarios, en los cuales una configuración dejara de funcionar, es posible solicitar al sistema una comparación entre dos registros, el sistema se encargará entonces de resaltar tantos los comandos comunes en ambos registros, como también resaltará los comandos presentes en sólo uno de ellos (ver Figura 3. 17) . Esto facilita en gran medida la búsqueda de errores en la configuración fallida, ya que actualmente, este tipo de búsqueda debe de hacerse de manera manual generando un gasto innecesario de tiempo, que en situaciones críticas puede acarrear otro tipo de problemáticas. En la Error! Reference source not found. se muestran algunas de las utilidades de esta aplicación, se puede apreciar las siguientes opciones: o Diff Only: Muestra las diferencias entre dos archivos de configuración. o All: Muestra ambos archivos en su totalidad. o Ip, Interface, IP routing: Muestra características propias del comando, o de la interfaz indicada por su nombre. 86 Figura 3. 18 Comparación de registros de cambios realizados en un dispositivo • Fácil manipulación de registros resalta cambios: Este tipo de registros permite navegar por el archivo de configuración de manera segmentada según sea más conveniente, según se observa en la Figura 3. 18, es posible observar el registro de cambios realizados únicamente en una interfaz, o revisar sus listas de acceso, o cualquier otro detalle en especifico, para no tener que recorrer todo el registro en busca de un dato, como si se tiene que hacer con el archivo de texto plano en el que se genera actualmente el registro de cambios realizados, un prototipo de este tipo de archivo es mostrado en la Figura 3. 18. La cantidad de archivos de registro es un configurable, ya que ésta podría crecer hasta llenar el espacio del disco, sin embargo, para controlar este crecimiento se propone utilizar un script para crear un respaldo de los archivos de registro y limpiar el directorio utilizado. 87 3.2.2.4 Propuesta de implantación del inventariado automático Parte de la documentación de red sugerida por las normativas ITIL, se refiere al control de los dispositivos de la red, con el objetivo de tener un mejor control sobre los recursos con que se cuenta, así como también el uso que se le da a éstos. A través de la herramienta RME, es posible configurar al sistema para que genere de manera automática un reporte de inventario, en el cual se detalle ubicación topológica del dispositivo, descripción del equipo, número de serie, detalles de las memorias ROM, RAM y Flash, así como también la versión de firmware dependiendo del dispositivo es, también posible configurar al sistema para que detalle información especificada por el usuario según sea necesario. 88 CAPITULO 4: Conclusiones y recomendaciones 4.1 Conclusiones La tendencia en lo que a gestión de redes concierne en la actualidad, corresponde a la descentralización de las funciones, es decir, se busca lograr implementar una banda de trabajo en la cual exista un grupo diferente de personas asignadas a cada una de las labores, de manera excluyente, lo cual es uno de los principales objetivos del proceso de reingeniería del BNCR, sin embargo, las pautas marcadas hasta el momento por la directivas de BNCR, no se cumplen a cabalidad, sin embargo, se están tomando medidas, como la propuesta en este proyecto para hacer cumplir estas normativas. El proceso de reingeniería por el cual está pasando el departamento de Tecnologías de la Información del BNCR, podría ser más eficiente, si se incorporan no solo los recursos humanos con que cuenta, sino también los recursos tecnológicos, ya que la reasignación de labores puede llevarse a cabo de una manera más eficiente y controlada haciendo uso de los recursos con que cuenta actualmente. A pesar de que la gestión de red del BNCR marcha bien, es decir, la red funciona correctamente, las labores que hacen esto posible podrían ser más eficientes, el proceso de reingeniería tiene pautado seguir las normativas ITIL, antes expuestas, con lo cual es de esperar que cuando concluya este proceso de reingeniería, la red no solo funcione correctamente, si no que su funcionamiento y mantenimiento, así como el consumo de recursos tanto humanos como tecnológicos de estos procesos sea el más óptimo. Los recursos tecnológicos con que cuenta la dirección de Tecnologías de la Información del BNCR, son muchos, sin embargo, durante la elaboración de estudio planteado en este proyecto se pudo 89 detectar como algunas de estas herramientas se encuentran subutilizadas, como es el caso de CiscoWorks. Muchas de las labores de gestión de red llevadas a cabo por el personal a cargo de la administración y mantenimiento de la red del BNCR podrían ser automatizadas mediante el uso de las herramientas tecnológicas con que cuenta el BNCR, logrando un mejor distribución del tiempo de gestión de red y un mejor rendimiento de la red, dada la precisión con que trabajan estas herramientas. Así como también podrían ser implementadas de manera automática muchas de las prácticas recomendadas por el marco teórico con que se rige esta gestión. La implementación de las herramientas propuestas en esta propuesta es factible, ya que son herramientas que el Banco Nacional de Costa Rica ya posee y que inclusive se encuentran parcialmente implementadas, con lo cual, los recursos necesarios para ponerlas en funcionamiento son pocos y los beneficios a obtener son muchos. Las comparativas realizadas en este documento acerca de la implementación de las herramientas propuestas haciendo uso o no de un servidor AAA, servidor que el BNCR posee, evidencian la necesidad de utilizar el modo de autenticación que permite la creación de los roles personalizados y con esto lograr una mejor adecuación de la herramienta CiscoWorks a la jerarquía de administración del BNCR. Finalmente, la conclusión más importante de este proyecto no es sólo la necesidad de iniciar un proceso de automatización en una red de las dimensiones de la red BNCR, que además se encuentra en un constante crecimiento, si no que el proceso de automatización puede y debe llevarse a cabo con las herramientas que el Banco Nacional de Costa Rica posee actualmente, herramientas que se encuentra en un grado de subutilización notable, como fue el caso analizado durante este proyecto, con la herramienta “CiscoWorks”. 90 4.2 Recomendaciones 4.2.1 Uso de los mapas topológicos Durante la elaboración de este proyecto, en la cual se llevó a cabo un estudio profundo sobre la utilización de la herramienta CiscoWorks, se encontró que además de lo propuesto en el capitulo anterior existen otras muchas aplicaciones de esta herramienta que podrían contribuir en mucho tanto al proceso de reingeniería en el que se encuentra, como también al proceso de automatización de la gestión de la infraestructura de la red Banco Nacional de Costa Rica. Sin embargo, se consideró como una herramienta de las más útiles, fuera de las antes propuestas, la utilidad de los mapas topológicos, ya que CiscoWorks permite a través de la aplicación CiscoView generar mapas topológicos, como el mostrado en la Figura 3. 11Error! Reference source not found., que permitirían llevar a cabo un monitoreo rápido de la red, y una pronta detección de errores, ya que a través de estos mapas es posible ver el estado del enlace de los dispositivos, sin embargo, como fue previamente mencionado, esta utilidad no se encuentra implementada en su totalidad, debido a la existencia de equipos que no soportan este protocolo. Esta situación, que se encuentra progresivamente mejorando, permitirá a mediano plazo poder implementar esta funcionalidad de manera segmentada, lo cual permitirá llevar cabo mapas topológicos de las distintas LAN de la red BNCR, que faciliten la labor tanto de monitoreo como de detección de fallas, además su aporte a la documentación sugerida por las normativas ITIL sería de gran valor, ya que permitiría enriquecer la información topológica y de equipos en existencia en la infraestructura de la red en funcionamiento. Las diversas LAN que forman la red del BNCR se encuentran comunicadas entre sí mediante líneas dedicadas proporcionadas por el ICE. Las líneas dedicadas son conexiones, no conmutadas entre un punto y otro, para lo cual se utiliza la infraestructura ya existente en el ICE. Estas conexiones se 91 hacen a través de distintos medios y son soportadas en pares de cobre, utilizando enlaces de transporte en forma dedicada y compartiendo la plataforma de transporte de datos digital del ICE. Debe señalarse que no es posible generar un mapa topológico de toda la red del Banco Nacional de Costa Rica bajo este sistema, debido a que las diferentes LAN del BNCR se encuentran intercomunicadas a través de líneas dedicas del ICE, como fue previamente mencionado y estas líneas no soportan el protocolo CDP. Sin embargo, si la opción de utilizar los mapas topológicos fuese totalmente descartada, la opción de envío de mensajes CDP, debería ser totalmente desactivada de los equipos, lo cual se realizaría de una manera verdaderamente sencilla, haciendo un ajuste masivo a los dispositivos, indicando su desactivación mediante el uso de los grupos antes propuestos, ya que el envío de estos mensajes, que por defecto se realiza cada 60 segundos se encontraría consumiendo un ancho de banda innecesariamente. 4.2.2 Mantenimiento de las aplicaciones propuestas El objetivo principal de la propuesta presentada en este proyecto fue presentar un proyecto mediante el cual se pudiera dar inicio al proceso de automatización de la gestión de la red del Banco Nacional de Costa Rica. La propuesta se basó en las normativas ITIL aplicadas mediante algunas de las aplicaciones de la herramienta CiscoWorks en la gestión de red, sin embargo, se debe mencionar que las propuestas antes presentadas: Implementación de las aplicaciones RME y CS, deben ser procedidas de un plan de mantenimiento, para asegurar que estas funcionen de una manera óptima. Con respecto al mantenimiento de estas herramientas, se recomienda dar especial énfasis a los siguientes aspectos: 92 • Administración de los trabajos: Cuando se utiliza la calendarización, si bien es cierto, los trabajos calendarizados generalmente se ubican, asignan y liberan los recursos automáticamente, si un trabajo es detenido o está corrupto, éste puede quedar en estado de abandono, consumiendo los recursos por un periodo de tiempo indefinido, motivo por el cual se debe supervisar periódicamente el estado de los trabajos calendarizados, para asegurarse que no se están consumiendo recursos del sistema o de la red innecesariamente. • Administración de los archivos de registro: Según se mencionó previamente, cuando se utiliza la generación de registros de cambios automáticos, se tiene la posibilidad de que el tamaño de estos crezca hasta llenar el espacio en disco si no es controlado o monitoreado su crecimiento periódicamente, sin embargo, CiscoWorks provee un script que permite al administrador del sistema controlar el tamaño de estos archivos. Este script realiza un respaldo de los archivos que alcanzan el 90 % del límite y limpia el archivo original, implementar el uso de este script es una práctica altamente recomendada, el único cuidado especial que debe tenerse, es considerar el espacio en el cual se van a ubicar los archivos de respaldo. 93 • Mantenimiento del servidor: Los usuarios con el rol de administrador de sistema, administrador de red u operador de red, asignado, deben recolectar información sobre el estado del servidor periódicamente utilizando “CiscoWorks” posee facilidades para monitorear el estado del mismo, además es posible programar al sistema para que cree reportes que colecten información sobre la base de datos del servidor, sistema operativo y demás. En la Figura 4. 1 se puede observar uno de estos reportes. Figura 4. 1 Información del estado del servidor • Administración de los paquetes instalados: Con el principal objetivo de optimizar el uso tanto de los recursos del sistema como de la red y el servidor, se debe de dar un mantenimiento periódico a las bases de datos del sistema, dando especial atención a la base de datos que contiene los paquetes del sistema instalados, por ser uno de los recursos con mayor consumo de espacio en disco. Para esto es necesario que aquellos usuarios con el rol de administrador del sistema asignado, lleven a cabo monitoreos periódicos a estas bases de datos, para detectar, 94 desinstalar y borrar paquetes de dispositivos que ya no están en uso. Se debe tener en cuenta que solo puede borrar paquetes de un cliente a la vez. • Administración de la base de datos de los dispositivos descubiertos: Para asegurar que la información que brinda CiscoWorks refleja el estado actual de la red, es necesario mantener la base de datos de dispositivos descubiertos actualizada, como se mencionó previamente, el descubrimiento de dispositivos puede ser configurado para darse de manera automática o manual, una vez que un dispositivo es descubierto la información de este permanece en la base de datos hasta ser borrada, motivo por el cual se recomienda que cuando un equipo es asignado a un nuevo dominio o es removido de la red, remover sus entradas de la base de datos, para evitar entradas desactualizadas tanto en la base de datos como en el inventario de la red. Es recomendable revisar el módulo “Fault Management” para obtener información adicional en cuanto a dispositivos no administrados que permanecen en el inventario y redescubrir el inventario cuando se han removido físicamente dispositivos o componentes de ellos del inventario. • Administración de los archivos imagen de software: Con el objetivo de dar un máximo aprovechamiento a los recursos con que se cuenta, se recomienda dar un cuidado especial a los archivos de las imágenes de software que se almacenan en el inventario de RME, ya que cada uno de estos archivos consume entre 2Mb y 8Mb de espacio en el disco, por lo cual es una sana practica borrar aquellos archivos de imágenes que no corren en ningún dispositivo o versiones viejas de estos cuando existen versiones más recientes, sin embargo, se debe mantener al menos una versión previa de cada imagen, en caso de que fuera necesario restaurar un equipo con ella. 95 • Administración de los archivos de inventarios: Cuando se realizan muchos cambios en el inventario, software o archivos de configuración, el número de registros que se generan en la base de datos del inventariado crece rápidamente. Sin embargo, para evitar el consumo innecesario de recursos, puede programarse el sistema para que estos registros sean eliminados periódicamente, esta tarea puede ser también llevada a cabo de manera manual. • Actualización del sistema operativo de los equipos: El administrador del sistema debe velar por que el sistema operativo de los dispositivos de la infraestructura de red se encuentre actualizado, además dado que cada vez que una imagen de software se importa o distribuye, se crea un archivo de control de trabajo que almacena información detallada del trabajo y el estado del mismo, por lo que se debe tener el cuidado de remover de manera inmediata o periódicamente los trabajos viejos de la base de datos, y con ellos información que ya no es necesaria. 4.2.3 Actualización y respaldo del sistema 4.2.3.1 Respaldo de la base de datos de CiscoWorks En casos extremos de emergencia, en que el sistema pudiera colapsar, es necesario contar con un respaldo de la base de datos del sistema, realizar este respaldo debe encontrarse en una ubicación diferente a la ubicación en que está instalado CiscoWorks. El sistema mismo, permite realizar respaldos de la base de datos, el respaldo creado por CW consiste básicamente en dos bases de datos: • Base de datos del CMF: Esta base de datos contiene las aplicaciones del servidor CiscoWorks. • Base de datos ANI: Esta base de datos contiene todos los datos de la infraestructura de red en detalle, es decir está formada por los datos recolectados de los dispositivos que forman la infraestructura de la red. 96 Se recomienda conservar varios archivos de respaldo previos. 4.2.3.2 Actualización del sistema CiscoWorks Se recomienda mantener el sistema CiscoWorks actualizado, es decir procurar estar al tanto y tener instaladas las actualizaciones al sistema publicadas por Cisco, ya que estas usualmente infieren mejoras en la seguridad del sistema. Periódicamente “Cisco Systems” anuncia actualizaciones para el LMS de “CiscoWorks” a través de su página web Cisco.com, así como también en la ventana de anuncios que se encuentra en el desktop de CiscoWorks, ver Figura 4. 2. Figura 4. 2 Anuncio de actualizaciones de “CiscoWorks” 97 Cabe señalar que no se puede realizar un “upgrade” a partir de una versión previa a la anterior y que se debe realizar un respaldo antes de realizar la actualización. 4.2.4 Integración CiscoWorks con HP OpenView CiscoWorks cuenta con la posibilidad de ser integrado con otros gestores de red de manera muy sencilla, bastando con instalar la aplicación “Integration Utility” en la la misma plataforma que el NMS y el respectivo adaptador NMS. Siendo de previo conocimiento que dentro de los recursos con que cuenta el BNCR se encuentra la herramienta HPOpenView, el gestor de gestores, sería de gran utilidad para la administración de la infraestructura de red del BNCR lograr integrar CiscoWorks con este sistema, de manera tal que la red pueda ser administrada uniformemente a través de esta herramienta cuando esto sea requerido. Esta utilidad de CiscoWorks se recomienda llevar a cabo una vez implementadas las aplicaciones propuestas en el capítulo 3, con el objetivo de dar un mayor aprovechamiento a las herramientas con que cuenta el Banco Nacional de Costa Rica. 4.2.5 Certificación ISO 20000 En un futuro cercano, cuando el objetivo de la gestión de la infraestructura de red del Banco Nacional de Costa Rica, de implementar la normativa ITIL, es posible considerar la posibilidad de buscar una certificación ISO 20000, ya que esta se encuentra basada en las normativas ITIL. ISO 20000 es el estándar internacional para la gestión del servicio TI, universalmente adoptado por empresas y organizaciones de todos los sectores de actividad de tecnologías de la información. Es un estándar basado en ITIL, que está siendo ampliamente implementado en todo los sectores IT. Con esta certificación el departamento de Ingeniería del Banco Nacional de Costa Rica, 98 encargado de la gestión de la red contaría con una certificación que haga valer las practicas de gestión de red como las mejores, definiendo la gestión de servicios brindados como procesos relacionados y altamente integrados, que brindan un servicio de calidad reduciendo el coste total de propiedad, al bajar los costes de gestión, soporte y mantenimiento. 99 BIBLIOGRAFIA Libros: 1. Barba Martí, A., Casal, J. “Gestión de Red” Editorial UPC, 1999. 2. Cisco Systems, “CWENT Student Guide”, Vol 1 Editorial Cisco Press, 2002, 3. Cisco Systems, “CWENT Student Guide”, Vol 2, Editorial Cisco Press, 2002. 4. Cisco Systems Inc, “IT Essentials: PC Hardware and Software-Course Catalog”, Editorial Cisco Press, 2004. 5. Cisco Systems Inc, “Cisco Networking Simplified”, 2 edición, Editorial Cisco Press, 2002. 6. Cisco Systems Inc, “Network Security Principles and Practices”, Pearson Education, 2006. 7. Cisco Systems Inc, “Internetworking troubleshooting handbook: An Essential Reference for Solving Difficult Networking Problems”, Editorial Cisco Press, 2001. 8. Doyle, J., DeHaven Carroll, J., “Routing TCP/IP: Routing TCP/IP”, Editorial Cisco Press, 1998. 9. Tanenbaum, A. “Redes de Computadoras”, 4 edición, Editorial Pearson, México, 2003. 10. Bon, J., Pieper, M., “Foundations of IT service management: based on ITIL”, Editorial Van Haren, 2005. Páginas web: 1. “Internetworking Technologies Handbook” http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc /ethernet.htm 2. “Fundamentos de la gestión IT”, http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_I TIL/que_es_ITIL.php 100 3. “What is ITIL”, http://www.itil-officialsite.com/AboutITIL/WhatisITIL.asp 4. “ITIL Survival”, http://www.itilsurvival.com/ 5. “ITIL Glossary”, http://www.itilfoundations.com/glossaries/itil/ 101 APENDICES 102
