UNIVERSIDAD NACIONAL ABIERTA AREA DE INGENIERIA CARRERA INGENIERIA DE SISTEMAS PROYECTO DE GRADO PLATAFORMA DE SOFTWARE PARA LA ADMINISTRACION TECNICA DE LA RED DE AREA LOCAL (L.A.N., LOCAL AREA NETWORK) EN LA U. N. A. - CENTRO LOCAL CARABOBO Miguel Figueroa Valencia, 2004 UNIVERSIDAD NACIONAL ABIERTA AREA DE INGENIERIA CARRERA INGENIERIA DE SISTEMAS PROYECTO DE GRADO PLATAFORMA DE SOFTWARE PARA LA ADMINISTRACION TECNICA DE LA RED DE AREA LOCAL (L.A.N., LOCAL AREA NETWORK) EN LA U. N. A. - CENTRO LOCAL CARABOBO Autor: Br. Miguel Figueroa, C.I.: 4.458.331 Tutor Académico: Prof. Rosa Belén Pérez, C.I.: 8.833.341 Tutor Empresarial : Prof. Norexa Márquez, C.I.: 3.922.081 Valencia, Centro Local Carabobo Junio, 2004 UNIVERSIDAD NACIONAL ABIERTA AREA DE INGENIERIA CARRERA INGENIERIA DE SISTEMAS RESUMEN PLATAFORMA DE SOFTWARE PARA LA ADMINISTRACION TECNICA DE LA RED DE AREA LOCAL (L.A.N., LOCAL AREA NETWORK) EN LA U. N. A. - CENTRO LOCAL CARABOBO Autor: Br. Miguel Figueroa Tutor Académico: Prof. Rosa Belén Pérez Tutor Empresarial : Prof. Norexa Márquez El presente trabajo de investigación aborda uno de los temas más relevantes de las organizaciones modernas: las redes, pues representan un recurso cuyo potencial abarca todos los procesos de gestión de información. En el ámbito universitario, las redes representan una oportunidad para el mejoramiento continuo, a través del uso de las Tecnologías de Información y Comunicaciones, desde el punto de vista administrativo y académico, sin embargo, esta instalación debe garantizar seguridad e integridad de la data, frente a amenazas como virus e intrusos, controlando efectivamente la navegación y permisología de los usuarios, a través de perfiles aprobados por las autoridades de la institución. Es así como en este trabajo se presenta una estrategia para el acertado manejo de una Plataforma de Software para la administración técnica de la red de Área Local de la UNA, Centro Local Carabobo, bajo la modalidad de un proyecto factible y tomando en cuenta normas internacionales relacionadas con el tema, incorporando el uso de criterios técnicos convenientemente validados, para ofrecer un servicio de altísima calidad. Palabras Claves: Redes LAN, Administración Técnica, Unix, Seguridad, Navegación Controlada. ii CONTENIDO INTRODUCCION CAPITULO I PLANTEAMIENTO DEL PROBLEMA 1. Planteamiento del Problema 11 2. Objetivo General 15 3. Objetivos Específicos 15 4. Justificación 16 5. Delimitacion y Alcance 17 CAPITULO II MARCO TEORICO 1. Antecedentes 18 2. Bases Teóricas 19 2.1. Comunicación de Computadoras 19 2.1.1. Redes de Área Local (Local Área Network) 21 2.1.1.1 Niveles de Componentes de una Red 26 2.2. Estándares para Redes 30 2.2.1. Control de Acceso 33 2.2.1.1. Anillo con pase de testigo y FDDI 36 2.3. Direcciones IP en Redes 39 2.3.1. Formatos de Direcciones IP 40 2.3.2. Clases de Direcciones 40 2.3.2.1.Asignación de Direcciones Clase C 2.3.3. Subredes o Subnetting 41 42 2.3.3.1. Mascara de Subred 46 2.4. Telefonía IP (VoIP) 47 3. Requerimientos de Seguridad en la Red 48 3.1. Seguridad Lógica 48 3.2. Firewall 53 3.3. Seguridad Fisica 54 3.4. Administración de Seguridad 55 3.4.1. Métodos de Protección 58 4. Gestión de Redes 61 5. Sistemas Operativos 62 CAPITULO III METODOLOGIA 1. Tipo de Investigación 65 1.1. Fase de Diagnostico 68 1.2. Fase de Factibilidad 71 1.2.1. Recursos Técnicos 71 iv 1.2.1.1Criterios Técnicos 72 1.2.2. Recursos Humanos 74 1.2.3. Recursos Financieros 75 1.3. Fase de Diseño 75 1.3.1. Indicadores 76 1.3.2 . Inter/Extranet 78 1.3.3. Intranet 82 1.3.4. Administración 85 1.3.5. Seguridad 89 1.4. Fase de Implantacion 91 1.5. Fase de Validación 96 1.5.1. Logs 97 1.5.2. Revisiones en Línea 98 CAPITULO IV CONCLUSIONES 100 BIBLIOGRAFIA 102 ANEXOS. v INDICE DE GRAFICOS Figura 01. Red Área Local ( Local Área Network) 25 Figura 02. Modelo de Capas OSI 30 Figura 03. Manejo de Información entre Capas 31 Figura 04. Administrador de Seguridad 50 Figura 05. Evolución del Sistema Operativo UNIX 64 Figura 06. Esquema de División entre Intranet y Extranet 78 Figura 07. Logo FreeBSD – Unix. 79 Figura 08. Servicio de Resolución de Nombre 80 Figura 09. Servicio de Navegación Proxy – Squid 81 Figura 10. Logo de Servicio de Cuenta de Correo 81 Figura 11. Publicidad Windows 2003 Server 82 Figura 12. Norton Antivirus Corporativo 83 Figura 13. Diagrama de Plataforma del Software de la Red 84 Figura 14. Interfaz Grafica del Webmin 85 Figura 15. Pantalla del Sistema 86 Figura 16. Pantalla de Gestión de Proceso 87 Figura 17. Pantalla de Servicios Instalados 88 Figura 18. Configuración de Servicios 89 Figura 19. Disposición de las Capas de Seguridad 90 vi INDICE DE CUADROS Cuadro 01. Diseño Metodológico con Técnicas e Instrumentos 66 Cuadro 02. Comparación de Software de Redes 72 Cuadro 03. Costos de Implantacion 75 vii INTRODUCCION El avance de la tecnología relacionado con los sistemas de plataformas de redes en términos globales, obliga a las instituciones y organizaciones en general, a incursionar en proyectos de incorporación de las Tecnologías de Información y Comunicaciones (TIC) en tareas rutinarias y repetitivas, a fin de contar con herramientas automatizadas para los procesos de control administrativo, industrial, organizativo, entre otros, los cuales repercuten favorablemente en los programas de mejoramiento continuo y aprendizaje organizacional. Con ello, la mayoría de los responsables de tales empresas, garantizan un mejor rendimiento en los procesos de comunicación, gestión de la información y procesamiento de datos, haciéndose extensibles hacia los más novedosos esquemas comerciales en la Web (e-commerce). En este Trabajo de investigación, se presenta una interesante estrategia para garantizar seguridad e integridad en la data de una red L.A.N. universitaria, cuyos requerimientos en la materia son elevados y estrictos, dado que se manejan documentos relacionados con los procesos de evaluación, registro y control de estudios que se llevan a cabo en la institución. A través del abordaje metodológico de un proyecto factible, se han definido etapas para controlar el desarrollo del mismo, tomando en cuenta las regulaciones internacionales que rigen los principios y normas en la implantacion del software para la administración técnica de redes LAN. Así mismo, se ha realizado un adecuado diseño de capas de seguridad, la selección de sistemas operativos que minimicen la entrada de virus e intrusos a la red, selección de software antivirus y antiespia, configurándose así un ambiente confiable que pueda ser la base de investigaciones y proyectos de tecnología de avanzada, en el ámbito universitario, tomándose en cuenta esta iniciativa del Centro Local Carabobo. En cada uno de los capítulos que se narran a continuación, se establece el paso a paso de las rutinas de implantación de la plataforma de software para la administración técnica de la red L.A.N. En el capitulo I, se describe la situación problemática detectada en la configuración inicial de la administración técnica de esta red, haciendo énfasis en las necesidades de la institución. En el capitulo II, se aborda teóricamente el diseño de esta estrategia de administración mencionando involucrando las normas mas novedosas en la materia. En el capitulo III se presentan las fases metodologicas, técnicas e instrumentos utilizados, que van desde el Diagnostico de las necesidades institucionales, hasta la validación de cada una de ellas y sin descuidar los lineamientos del enfoque sistémico y el método científico. Con este trabajo se permite establecer claramente, el antes y el después de la configuración de la plataforma de administración técnica de la red del Centro Local Carabobo, haciendo énfasis en un mejor control y seguridad de todos los servicios de la intranet, la efectiva delimitacion de los perfiles de los usuarios (estudiantil, administrativo y docente) para el uso de la Red y el acceso a los beneficios que pone a disposición Internet, tal como se señala en el Macroproyecto de Conectividad de la U.N.A., y el proyecto Alma Mater de la Opsu (Oficina de Planificación del Sector Universitario) CAPITULO I PLANTEAMIENTO DEL PROBLEMA 1. Planteamiento del Problema. Hablar de redes, es hablar de un recurso común pero de singular importancia en la infraestructura comunicacional de una organización. Su principal beneficio deriva en la posibilidad de ahorrar tiempo y dinero, pues permiten compartir equipos y propiciar procesos dinámicos de intercambio de información con los usuarios, dentro y fuera del edificio de la institución, tanto a nivel nacional como internacional (Palmer, 2000). Sin embargo, mas allá de instalar la plataforma de Hardware de una Red L.A.N., se abre la posibilidad de incrementar la productividad de los servicios de información que fluyen a través de ella. Por esto, puede hablarse de administrar capacidades para: • Servicios de acceso y control de archivos y programas. • Servicios de respaldo automático de data. • Servicios de flujo e impresión de documentos. • Servicios de utilización del software. 12 • Servicios de correo electrónico para la Intranet e Internet.. • Servicios de Internet e Intranet. • Servicios de Comercio Electrónico (e-commerce), de acuerdo a la modalidad que se ajuste a la visión de la institución. • Servicios de creación y supervisión de perfiles de usuarios en la Red. • Servicios de seguridad de acceso y de la data compartida en la Red (Cimino, 1997). Dentro de las enormes ventajas que las redes electrónicas tienen y ofrecen a sus usuarios, destaca el control sobre el acceso a la información en menor tiempo que los que tomarían otros procesos tradicionales. Adicionalmente, los procesos controlados ofrecen la ventaja de poder ser revisados, medidos y ajustados a nuevos requerimientos, según las necesidades de la organización y los usuarios. En la Universidad Nacional Abierta (U.N.A.), Centro Local Carabobo, se cuenta con una Red de área local (L.A.N., Local Área Network ), la cual fue diseñada e instalada tomando en cuenta los estándares internacionales de la IEEE - EIA/TIA 586B, obteniéndose con ello su certificación por un ente externo. Con esta Red L.A.N., se logro, conectar a los usuarios internos del Centro Local para que pudieran tener acceso a los servicios de Internet. Sin embargo, la estrategia utilizada para conectar a dichos usuarios, consistió en otorgar direcciones IP para cada estación de 13 trabajo, en vista de que no se contaba con un sistema cliente servidor, para la administración técnica de dicha Red. Esta instalación inicial, ha traído como consecuencia, el mínimo aprovechamiento de los recursos de la red L.A.N., además de una serie de problemas técnicos relacionados con el control de la navegación de los usuarios, quienes libremente tienen acceso a todo tipo de paginas Web, lo cual atenta directamente contra la seguridad física de la red, al propiciar la entrada de virus, software espía, e instalación de programas para entretenimiento (música y juegos). Estas rutinas han generado vicios en el uso de Internet, lo cual repercute en lentitud, y fallas severas en el rendimiento del ancho de banda. Con esta configuración, se requiere una especial dedicación del recurso humano del área de computación, al tener que supervisar constantemente la descarga de programas, presencia de virus, actualización de antivirus, reparación de equipos contaminados y pérdida de data valiosa. Sin embargo, a pesar de tratar de sensibilizar a los usuarios, estos son recurrentes en sus hábitos de navegación. Por tales razones, se hace necesario la definición e implantación de una plataforma de software que permita dar cumplimiento con los lineamientos del Macroproyecto de conectividad académica de la Universidad Nacional Abierta, donde se destaca que todos los Centros Locales deben contar con “Laboratorios Tecnológicos de Comunicación y Desarrollo”, dotados con equipos que permitan la conexión a Internet y a la Intranet universitaria, fomentando la formación de los usuarios (docentes, alumnos y personal administrativo) en el uso de las Tecnologías 14 de la Información y las Comunicaciones (TIC) apoyando la investigación; pero esto debe hacerse tomando en cuenta estrategias de administración que garanticen la seguridad de la red, así como el control de la navegación, el uso de aplicaciones autorizadas, y restricciones en la configuración de los equipos. Por estas razones, se requiere la definición de criterios técnicos institucionales, tecnológicos, comunicacionales, logísticos y de seguridad, para ser implantados en la red L.A.N., cuyo basamento toma en cuenta la normativas internacionales, así como los lineamientos del proyecto Alma Mater de la Oficina de Planificación del Sector Universitario (OPSU), relacionados con la administración técnica de la salas telemáticas, pues el Centro Local Carabobo de la UNA, será próximamente favorecido con este programa. Este trabajo representa una excelente oportunidad en el inicio de una plataforma de software para la Administración Técnica de la Red de Area Local (L.A.N.) en la U.N.A. Centro Local Carabobo, tomando como base criterios técnicos especializados en la materia. 15 2. Objetivo General: - Implantar la Plataforma de Software para la Administración Técnica de la Red de Área Local (L.A.N., Local Area Network) en la Universidad Nacional Abierta, Centro Local Carabobo, siguiendo la normativa de la institución, así como las internacionales relacionadas con el tema. 3. Objetivos Específicos: • Diagnosticar los requerimientos institucionales, tecnológicos, comunicacionales, logísticos y de seguridad, a implantar en la plataforma de software para la administración técnica de la red L.A.N. en la Universidad Nacional Abierta, Centro Local Carabobo. • Determinar la factibilidad de implantación de la plataforma de software, para la administración técnica de la red L.A.N., en la Universidad Nacional Abierta, Centro Local Carabobo. • Diseñar los lineamientos tecnológicos, metodológicos y de seguridad para la implantación de la plataforma de software para la administración técnica de la red L.A.N., en la Universidad Nacional Abierta, administración Centro Local Carabobo. • Instalar la plataforma de software diseñada para la administración técnica de la red de área local en la U.N.A., Centro Local Carabobo. 16 • Validar la plataforma de software para la administraron técnica instalada en la U.N.A. Centro Local Carabobo, garantizando su adecuada documentación. 4. Justificación La relevancia del presente proyecto, radica en el diseño y puesta en marcha de una Plataforma de Software para la Administración Técnica de la Red de Área Local (L.A.N., Local Área Network) de la Universidad Nacional Abierta, en el Centro Local Carabobo, siguiendo la normativa internacional relacionada con el tema, avalado teóricamente con el uso de tecnología de avanzada, y soportado con el rigor científico de un proyecto factible para su desarrollo metodológico. Con este proyecto se garantiza un eficiente servicio de administración técnica de la red L.A.N., el manejo de políticas de seguridad eficaces, frente a riesgos de virus, piratas informaticos (hackers), programas espías y control de las faenas de navegación de los usuarios. Todo ello favorece en gran medida a los procesos de intercambio de información de tareas administrativas y académicas de la institución, axial como el buen aprovechamiento de los recursos de la red a nivel de la Intranet y del Internet. 17 5. Delimitación y Alcance Este proyecto se concreta en la definición e implantación de una plataforma de software que se ajuste a las característica técnicas de la red LAN de la UNA, Centro Local Carabobo; es decir a los programas relacionados con los sistemas operativos y componentes a utilizar, para la administración técnica, relacionadas con las tareas de control del servicio de Internet e Intranet, para la navegación de los usuarios. De esta forma se aprovecharan eficientemente los recursos de la red. Por otra parte, se definirá la configuración de las capas de seguridad de la plataforma de software y las políticas que en esta materia, deben seguirse para garantizar su protección integral, tomando en cuenta los lineamientos del Proyecto Alma Mater de la OPSU, para la Administración Técnica de Salas Telemáticas. Esto implica la puesta en servicio, así como el manejo eficiente de cuarenta y ocho (48) puntos instalados en la plataforma de hardware de la red. CAPITULO II MARCO TEORICO 1. Antecedentes A continuación se presentan las referencias de trabajos relacionados con la instalación y administración de redes LAN, que han servido como referencia para el desarrollo de esta investigación. En primer lugar, debe mencionarse el trabajo de Pasantia “Plataforma de Hardware para la Red de Área Local (L.A.N., Local Area Network ) (Figueroa, 2003) en el cual se llevó acabo un proyecto factible para hacer una eficiente instalación de la plataforma del hardware sobre la base de normas internacionales. Complementariamente se realizó una revisión en la Biblioteca del Centro Local Carabobo sobre los trabajos de investigación, tales como pasantías y tesis, relacionados con este tema, utilizándose como apoyo la base de datos SIBIUNA (Sistema Bibliotecario de la UNA), obteniéndose lo siguiente: 19 En el proyecto” desarrollo de una plataforma tecnológica basada en redes de comunicación, para la Estación Experimental Jaime Henao Jaramillo” (UNA – C. L. Aragua) (Galindo,2002) se presenta un diseño de una red tomando en cuenta un interesante abordaje teórico en la materia. El proyecto de “Red para la Automatización de Actividades de Ingeniería” (Díez, 1996) (UNA C. L. Bolívar) igualmente presenta un estudio sobre Redes de información y sus aplicaciones en ingeniería. 2. Bases Teóricas Las bases teóricas están orientadas a sustentar el diseño de una estrategia efectiva para la administración eficiente de la red LAN del Centro Local Carabobo. 2.1 Comunicación de computadoras. Las computadoras se comunican por medio de redes. La red más sencilla es una conexión directa entre dos computadoras. Sin embargo, también pueden conectarse a través de grandes redes que permiten a los usuarios intercambiar datos, comunicarse mediante correo electrónico y compartir recursos, por ejemplo, impresoras. 20 Una red es un conjunto de técnicas, conexiones físicas y programas informáticos empleados para conectar dos o más computadoras. (Stalling, 1999) Las redes de comunicación permiten la posibilidad de compartir con carácter universal la información entre grupos de computadoras y sus usuarios; un componente fundamental en la era de la información. La generalización del computador personal (PC) y de la red de área local (LAN) durante la década de los ochenta ha dado lugar a la posibilidad de acceder a información en bases de datos remotas, cargar aplicaciones desde puntos de ultramar, enviar mensajes a otros países y compartir ficheros, todo ello desde un computador personal. Las redes que permiten todo esto son equipos avanzados y complejos. Su eficacia se basa en la confluencia de muy diversos componentes. El diseño e implantación de una red mundial de computadores es uno de los grandes ‘milagros tecnológicos’ de las últimas décadas: Internet (Cimino,1997). Todavía en la década de los setenta las computadoras eran máquinas caras y frágiles que estaban al cuidado de especialistas y se guardaban en recintos vigilados. Para utilizarlas y acceder desde un lugar remoto se podía conectar un terminal directamente o mediante una línea telefónica y un módem. Debido a su elevado costo, solían ser recursos centralizados a los que el usuario accedía por cuenta propia. Durante esta época surgieron muchas organizaciones, las empresas de servicios, que ofrecían tiempo de proceso en un mainframe. Las redes de computadoras no estaban 21 disponibles comercialmente. No obstante, se inició en aquellos años uno de los avances más significativos para el mundo de la tecnología: los experimentos del Departamento de Defensa de Estados Unidos con vistas a distribuir los recursos informáticos como protección contra los fallos. Este proyecto se llama ahora Internet. 2.1.1 Redes de Área Local (L.A.N. Local Area Network) Uno de los sucesos más críticos para la conexión en red lo constituye la aparición y la rápida difusión de la red de área local (LAN) como forma de normalizar las conexiones entre las máquinas que se utilizan como sistemas informáticos. Como su propio nombre indica, constituye una forma de interconectar una serie de equipos informáticos. A su nivel más elemental, una LAN no es más que un medio compartido junto con una serie de reglas que rigen el acceso ha dicho medio y que normalmente, el área de servicio esta limitado a un piso, una zona de la oficina o un edificio. La LAN más difundida, Ethernet, utiliza un mecanismo conocido como Carrier Sense Multiple Access/Colission Detection (CSMA/CD). Esto significa que cada equipo conectado sólo puede utilizar el cable cuando ningún otro equipo lo está utilizando. Si hay algún conflicto, el equipo que está intentando establecer la conexión la anula y efectúa un nuevo intento más tarde. Ethernet transfiere datos a 10/100 Mbits/s, lo suficientemente rápido para hacer inapreciable la distancia entre los diversos equipos y dar la impresión de que están conectados directamente a su destino (Cimino,1997). 22 -Topologia Hay topologías muy diversas (bus, estrella, anillo) y diferentes protocolos de acceso. A pesar de esta diversidad, todas las LAN comparten la característica de poseer un alcance limitado (normalmente abarcan un edificio) y de tener una velocidad suficiente para que la red de conexión resulte invisible para los equipos que la utilizan. Además de proporcionar un acceso compartido, las LAN modernas también proporcionan al usuario multitud de funciones avanzadas. Hay paquetes de software de gestión para controlar la configuración de los equipos en la LAN, la administración de los usuarios y el control de los recursos de la red. Una estructura muy utilizada consiste en varios servidores a disposición de distintos usuarios. Los servidores, que suelen ser máquinas más potentes, proporcionan servicios a los usuarios, por lo general computadoras personales, como control de impresión, ficheros compartidos y correo electrónico (Palmer, 2002). -Anillo En una configuración en anillo, los datos se transmiten a lo largo del anillo, y cada computadora examina los datos para determinar si van dirigidos a ella. Si no es así, los transmite a la siguiente computadora del anillo. Este proceso se repite hasta 23 que los datos llegan a su destino. Una red en anillo permite la transmisión simultánea de múltiples mensajes, pero como varias computadoras comprueban cada mensaje, la transmisión de datos resulta más lenta (Palmer, 2002). - Bus En una configuración de bus, las computadoras están conectadas a través de un único conjunto de cables denominado bus. Un computador envía datos a otro transmitiendo a través del bus la dirección del receptor y los datos. Todas las computadoras de la red examinan la dirección simultáneamente, y la indicada como receptor acepta los datos. A diferencia de una red en anillo, una red de bus permite que un computador envíe directamente datos a otro. Sin embargo, en cada momento sólo puede transmitir datos a una de las computadoras, y las demás tienen que esperar para enviar sus mensajes (Palmer, 2002). - Estrella En una configuración en estrella que es la utilizada en el Centro Local Carabobo, las computadoras están conectadas con un elemento integrador llamado concentrador (hub). Las computadoras de la red envían la dirección del receptor y los datos al hub, que conecta directamente las computadoras emisor y receptor. Una red 24 en estrella permite enviar simultáneamente múltiples mensajes, pero es más costosa porque emplea un dispositivo adicional —el hub— para dirigir los datos. - Infraestructura. La implementación de una infraestructura para la red LAN. en una organización, representa una necesidad en la que se debe incursionar, dados los cambios que la globalización demanda en relación al uso de la tecnología. En especial, en una universidad donde se gestionan además de las tareas de control administrativo, actividades referidas a la formación profesional del recurso humano, es decir, se genera y gestiona conocimiento. (Artur et al, 2001) Las redes están formadas por conexiones entre grupos de computadoras y dispositivos asociados que permiten a los usuarios la transferencia electrónica de información. La red de área local, representada en la igura 01), es un ejemplo de la configuración utilizada en muchas oficinas y empresas. Las diferentes computadoras se denominan estaciones de trabajo y se comunican entre sí a través de un cable o línea telefónica conectada a los servidores. Éstos son computadoras como las estaciones de trabajo, pero poseen funciones administrativas y están dedicados en exclusiva a supervisar y controlar el acceso de las estaciones de trabajo a la red y a los recursos compartidos (como las impresoras). La línea roja representa una 25 conexión principal entre servidores de red; la línea azul muestra las conexiones locales. Un concentrador(hub) permite a las computadoras transferir información a través de las líneas telefónicas normales. El módem ubicado en cada computador convierte las señales digitales a analógicas y viceversa, y permite la comunicación entre computadoras muy distantes entre sí. Figura 01 . Red de Área Local (L.A.N.) Topologia Estrella CISCO SYSTEMS IDC IDC CISCO SYSTEMS 26 2.1.1.1 Niveles de Componentes de una Red. Una red tiene tres niveles de componentes: software de aplicaciones, software de red y hardware de red. El software de aplicaciones está formado por programas informáticos que se comunican con los usuarios de la red y permiten compartir información (como archivos, gráficos o vídeos) y recursos (como impresoras o unidades de disco). Un tipo de software de aplicaciones se denomina cliente-servidor. Las computadoras cliente envían peticiones de información o de uso de recursos a otras computadoras llamadas servidores, que controlan datos y aplicaciones. Otro tipo de software de aplicación se conoce como 'de igual a igual' (peer to peer). En una red de este tipo, las computadoras se envían entre sí mensajes y peticiones directamente sin utilizar un servidor como intermediario (Palmer, 2000). - Software de Red. El software de red consiste en programas informáticos que establecen protocolos, o normas, para que las computadoras se comuniquen entre sí. Estos protocolos se aplican enviando y recibiendo grupos de datos formateados denominados paquetes. Los protocolos indican cómo efectuar conexiones lógicas entre las aplicaciones de la red, dirigir el movimiento de paquetes a través de la red física y minimizar las posibilidades de colisión entre paquetes enviados simultáneamente (Artur et al, 2001) 27 Una red tiene dos tipos de conexiones: conexiones físicas —que permiten a las computadoras transmitir y recibir señales directamente— y conexiones lógicas, o virtuales, que permiten intercambiar información a las aplicaciones informáticas, por ejemplo a un procesador de textos. Las conexiones físicas están definidas por el medio empleado para transmitir la señal, por la disposición geométrica de las computadoras (topología) y por el método usado para compartir información. Las conexiones lógicas son creadas por los protocolos de red y permiten compartir datos a través de la red entre aplicaciones correspondientes a computadoras de distinto tipo, como un Apple Macintosh y un PC de IBM. Algunas conexiones lógicas emplean software de tipo cliente-servidor y están destinadas principalmente a compartir archivos e impresoras. El conjunto de Protocolos de Control de Transmisión y Protocolo de Internet (TCP/IP, siglas en inglés), desarrollado originalmente por el Departamento de Defensa estadounidense, es el conjunto de conexiones lógicas empleado por Internet, la red de redes planetaria. El TCP/IP, basado en software de aplicación de igual a igual, crea una conexión entre dos computadoras cualesquiera (Palmer, 2000). El medio empleado para transmitir información limita la velocidad de la red, la distancia eficaz entre computadoras y la topología de la red. Los cables bifilares de cobre o los cables coaxiales proporcionan velocidades de transmisión de algunos miles de bps (bits por segundo) a largas distancias y de unos 100 Mbps (millones de 28 bits por segundo) a corta distancia. Las fibras ópticas permiten velocidades de entre 100 y 1.000 Mbps a largas distancias. - Protocolo de Conexión. Cuando las computadoras comparten conexiones físicas para transmitir paquetes de información, se emplea un conjunto de protocolos de Control de Acceso al Medio (MAC siglas en inglés), para que la información fluya sin problemas a través de la red. Un protocolo MAC eficiente garantiza que el medio de transmisión no esté sin utilizar si alguna computadora tiene información que transmitir. También evita colisiones debidas a la transmisión simultánea, que desperdiciarían capacidad de transmisión. Los protocolos MAC también permiten que las distintas computadoras accedan al medio de forma equitativa. Un tipo de protocolo MAC es el Ethernet, empleado en topologías de bus o en estrella. Un computador conectado al Ethernet comprueba antes de nada si el medio compartido está siendo utilizado. Si no es así, el computador transmite la información. Como el computador puede comprobar si el medio está en uso la vez que envía paquetes, continúa vigilando la conexión compartida y deja de transmitir información si ocurre una colisión. Ethernet puede transmitir información a una velocidad de 10 Mbps (Sánchez et al, 2000). 29 Las computadoras también pueden utilizar protocolos MAC del tipo Token Ring, que transmiten un mensaje especial (en inglés, token) a través de la red. Esta contraseña da permiso a la computadora que lo recibe para que envíe un paquete de información por la red. En caso de que no tenga ningún paquete que enviar, pasa la contraseña al siguiente computador. Como sólo hay una contraseña en toda la red, en cada momento no hay más que una computadora que pueda transmitir información. La gestión de la red y la administración del sistema son cruciales para que un sistema complejo de computadoras y recursos interconectados pueda funcionar. El gestor de una red es la persona o el equipo responsable de configurar la red para que opere de forma eficiente. Por ejemplo, el gestor de la red puede tener que conectar directamente computadoras que se comunican con frecuencia para reducir la interferencia con otras computadoras. El administrador del sistema es la persona o el equipo responsable de configurar las computadoras y su software para emplear la red. Por ejemplo, el administrador del sistema puede instalar software de red y configurar el sistema de archivos de un servidor para que los computadores clientes puedan acceder a los ficheros compartidos. Las redes pueden ser objeto de acceso ilegal, por lo que los archivos y recursos deben protegerse. Un intruso que se introdujera en la red podría espiar los paquetes enviados por la red o enviar mensajes ficticios. En el caso de información sensible, el cifrado de los datos (la codificación de la información mediante 30 ecuaciones matemáticas) hace que un intruso no pueda leer los paquetes que lleguen a su poder. La mayoría de los servidores también emplean sistemas de autentificación para garantizar que una petición de leer o modificar un fichero o de utilizar recursos procede de un cliente legítimo y no de un intruso. - 2.2 Estándares Para Redes. En 1984, la Organización Internacional de Estandarización (ISO) desarrolló un modelo llamado OSI (Open Systems Interconection, Interconexión de sistemas abiertos), el cual es usado para describir el uso de datos entre la conexión física de la red y la aplicación del usuario final. Este modelo es el mejor conocido y el más usado para describir los entornos de red. Figura 02. Modelo de Capas OSI. 7.- Capa de Aplicación 6.- Capa de Presentacion 5.- Capa de Sesión 4.- Capa de transporte 3.- Capa de Red 2.- Capa de Enlace 1.- Capa Física 31 Las capas OSI están numeradas de abajo hacia arriba. Las funciones más básicas, como poner los bits de datos en el cable de la red están en la parte de abajo, mientras las funciones que atienden los detalles de las aplicaciones del usuario están arriba. En este modelo, el propósito de cada capa es proveer los servicios para la siguiente capa superior, resguardando la capa de los detalles de como los servicios son implementados realmente. Las capas son abstraídas de tal manera que cada capa cree que se está comunicando con la capa asociada en la otra computadora, cuando realmente cada capa se comunica sólo con las capas adyacentes de la misma computadora . Figura 03. Manejo de Información entre Capas. Computadora A Computadora B Aplicacion Aplicacion Presentacion Presentacion Sesion Sesion Transporte Transporte Red Red Enlace Enlace Fisica Fisica Medio Fisico (Cable de Red) 32 En esta figura se puede apreciar que a excepción de la capa más baja del modelo OSI, ninguna capa puede pasar información directamente a su contraparte en la otra computadora. La información que envía una computadora debe de pasar por todas las capas inferiores, La información entonces se mueve a través del cable de red hacia la computadora que recibe y hacia arriba a través de las capas de esta misma computadora hasta que llega al mismo nivel de la capa que envió la información. Por ejemplo, si la capa de red envía información desde la computadora A, esta información se mueve hacia abajo a través de las capas de Enlace y Física del lado que envía, pasa por el cable de red, y sube por las capas de Física y Enlace del lado de el receptor hasta llegar a la capa de red de la computadora B. La interacción entre las diferentes capas adyacentes se llama interfase. La interfase define que servicios la capa inferior ofrece a su capa superior y como esos servicios se pueden acceder. Además, cada capa en una computadora actúa como si estuviera comunicándose directamente con la misma capa de la otra computadora. La serie de las reglas que se usan para la comunicación entre las capas se llama protocolo . 33 2.2.1.Control de Acceso Otro problema de diseño es como realizar el control de acceso, ya que con un medio compartido resulta necesario algún mecanismo para regular el acceso al medio de forma eficiente y rápida. Los esquemas más comunes son: -Ethernet y ethernet de alta velocidad (CSMA/CD). Estas redes utilizan banda base sensible a la portadora y detección de colisiones. Algunas utilizan banda ancha. El estándar más utilizado es el IEEE 802.3. -Control de acceso al medio en IEEE 802.3 En estas redes, no hay un tiempo preestablecido de acceso al medio sino que cualquier estación puede acceder a él de forma aleatoria. Los accesos son de tipo competitivo. La técnica más antigua utilizada es la ALOHA, que consiste en que si una estación quiere transmitir una trama, lo hace y espera el tiempo suficiente para que la estación de destino le de tiempo para confirmar la llegada de la trama. Si no llega la confirmación en ese tiempo, la estación vuelve a enviar la trama. Este proceso lo repite hasta que o bien recibe la confirmación o bien lo ha intentado una serie 34 determinada de veces sin conseguir la confirmación. La estación receptora recibe la trama y si detecta que no hay error (mediante unos códigos) envía una confirmación. Puede ocurrir que dos tramas se interfieran (colisión) y entonces las dos son rechazadas, es decir que el receptor no envía confirmación (Palmer, 2000). El sistema ALOHA, aunque es muy sencillo, permite pocas cargas en la red ya que si hay muchas tramas circulando a la vez, la probabilidad de que interfieran (y sean erróneas) es muy grande. La eficiencia de ALOHA es grande cuando las distancias entre estaciones es poca, ya que podría implementarse un mecanismo para que todas las estaciones dejaran de transmitir cuando una trama circulara por la red (ya que la espera sería muy pequeña al ser la distancia poca). A esta técnica más sofisticada se le llama CSMA, es decir, con CSMA, la estación que desee transmitir escucha el medio para ver si hay ya una trama en él, y si no la hay emite su trama y espera confirmación para cerciorarse de que ha llegado a su destino correctamente. Las colisiones sólo se producirán si dos estaciones emiten tramas casi en el mismo instante. Para evitar esta última ineficiencia, CSMA hace: 1. El emisor transmite si la línea está libre y si no, se aplica 2. 2. En caso de que el medio esté ocupado, se espera hasta que esté libre. 35 3. Si se detecta una colisión, el emisor que la ha detectado envía una señal de interferencia para que todas las estaciones sepan de la colisión y dejen de transmitir (para dejar de colisionar). 4. Después de emitir la interferencia, se espera un poco y se vuelve a emitir la trama. De esta forma, CSMA sólo desaprovecha el tiempo en que se tarda en detectar una colisión. Dependiendo de la técnica de transmisión, la detección de colisión cambia (Palmer, 2000). -Especificaciones IEEE 802.3 a 10 Mbps (Ethernet) 1. Especificación 10base-5: Utiliza cable coaxial, topología en bus, señalización digital Manchester, longitud máxima de segmento de cable (entre cada par de repetidores) es 500 metros, sólo hay un camino posible entre dos repetidores. 2. Especificación 10base-2: similar a la anterior pero con cable más fino y menos costoso. 3. Especificación 10base-t: se usa cable de par trenzado apantallado aunque permite menor distancia, topología en estrella, debido al tipo de cable , las distancias máximas permitidas rondan los 100 metros . 36 4. Especificación 10Ancha-36: utiliza cable coaxial y banda ancha, cables de unos 2000 metros, modulación por desplazamiento de fase, codificación diferencial. 5. Especificación 10Base-F: fibra óptica, codificación Manchester. -Especificaciones IEEE 802.3 a 100 Mbps (Ethernet a alta velocidad) Se utiliza MAC, dos enlaces físicos entre nodos (cada uno en una dirección), pares trenzados apantallados o no apantallados de alta calidad o fibra óptica, topología en estrella, codificación FDDI (Allende et al, 2000). 2.2.1.1. -Anillo con paso de testigo y FDDI. -Control de acceso al medio (MAC) en IEEE 802.5. Este método consiste en que existe una trama pequeña llamada testigo, que circula por la red cuando no hay ninguna estación transmitiendo. Cuando una estación desea transmitir, cuando le llega el testigo, lo toma, le cambia un cierto BIT y le añade la trama de datos. Después envía la trama obtenida a su destino. Como el testigo ya no existe, las demás estaciones no pueden trasmitir. Cuando la trama enviada da toda la vuelta a la red, es captada otra vez por el emisor y éste introduce un nuevo testigo en la red. De esta forma, ya es posible que otra estación pueda 37 emitir. Para baja carga de la red, este sistema es poco eficiente, pero para cargas altas, es similar a la rotación circular, sistema muy eficiente y equitativo. Una desventaja seria es que se pierda el testigo, en cuyo caso toda la red se bloquearía. Los bits que se modifican en el anillo indican si la trama que acompaña al anillo ha llegado a su destino, si no ha llegado o si ha llegado pero no se ha copiado. Esta información de control es muy importante para el funcionamiento del sistema -Prioridad en redes en anillo con paso de testigo. La trama consta de un campo de reserva de trama y un campo de prioridad de la propia trama, además de otros campos de control de errores y de los datos. Este estándar admite la posibilidad de utilizar prioridades. El algoritmo es: 1. Una estación que desee transmitir debe esperar un testigo con prioridad inferior a la suya propia. 2. Si el emisor detecta una trama de datos, si su prioridad es superior a la de la reserva, pone su prioridad en un campo de reserva de la trama. Si lo recibido es una trama de testigo, si la prioridades mayor que la de la reserva y que la del propio 38 testigo, pone su prioridad en el campo de reserva del testigo, eliminando a la que había. 3. Cuando un emisor consigue el testigo, pone su prioridad en el campo de prioridad del testigo y pone a 0 el campo de reserva de testigo. -Especificación de la capa física de IEEE 802.5 Se utiliza un par trenzado apantallado con codificación Manchester Diferencial . - Control de acceso al medio en FDDI. FDDI no contiene bits de prioridad ni de reserva. FDDI, cuando recibe una trama de testigo, lo cancela y no lo repite hasta que no ha enviado sus tramas de datos (por lo que no es posible implementar prioridades de esta forma). FDDI envía un testigo de liberalización cuando ha enviado su última trama de datos, aun cuando no la haya recibido de vuelta del anillo. Mediante unos bits concretos en la trama. El emisor puede detectar que la trama ha sido recibida, que no lo ha sido con éxito o que la estación de destino no existe. 39 Para permitir algún tipo de compartición de la red entre todas las estaciones, éstas pueden solicitar su inclusión en un turno de rotación de tiempo de acceso síncrono (igual para todas las estaciones que están "dadas de alta " en este sistema). Además, se mantiene el tipo de acceso asíncrono con paso de testigos. La topología es en anillo. Se utiliza fibra óptica o pares trenzados apantallados o sin apantallar 2.3. Direcciones IP en Redes. El protocolo de IP usa direcciones para identificar los host y encaminar los datos hacia ellos. Todos los host o nodos deben tener una dirección IP única para poder ser identificados en la red. El nombre de host se traduce a su dirección de IP consultando el nombre en una base de datos de pares nombre – dirección. Cuando se diseñaron las direcciones de IP, nadie se imaginó que llegase a existir millones de computadores en el mundo y que muchas de éstas requerirían una dirección IP para ser identificadas. Los diseñadores pensaron que tenían que satisfacer las necesidades de un modesto puñado de universidades, entidades gubernamentales e instituciones militares. Para ello se eligió un diseño que parecía razonable para aquel entonces. Una dirección de IP es un número binario de 32 bits (4 octetos) claramente, la dirección se 40 eligió para que encajase convenientemente en un registro de 32 bits de una computadora. El espacio de direcciones resultado, es decir, el conjunto de todos los números de direcciones posibles contiene 232 (4294.967.296) números. La notación punto se invento para leer y escribir fácilmente las direcciones de IP. Cada octeto (8bits) de una dirección IP se convierte a su número decimal y los números se separan por puntos (Palmer, 2000). 2.3.1. Formatos de direcciones IP Una dirección de IP tiene un formato de dos partes que son la dirección de red y la dirección local. La dirección de red identifica la red a la que está conectado el nodo. La dirección local identifica a un nodo particular dentro de la red de una organización. Todas las computadoras deben tener una dirección de IP única en el rango de sistemas con los que se comunica (Palmer, 2000). 2.3.2. Clases de direcciones Toda organización que planee una red LAN basada en protocolo IP o conectarse a la Internet debe conseguir un bloque de direcciones de IP únicas. Las 41 direcciones se reservan en la autoridad de registro apropiada por ejemplo la InterNIC (Network Information Center Cooperation). Por conveniencia, las NIC delegan esta función a los IPS asignándoles grandes bloques de direcciones de IP. De esta forma, las organizaciones pueden obtener sus direcciones de sus proveedores de servicios en lugar de un NIC de registro (Palmer, 2000). 2.3.2.1. Asignación de direcciones clase (C) La autoridad de registro asigna los tres primeros octetos y la organización se encarga de gestionar el último octeto. Este es el caso más numeroso ya que en la actualidad existen millones de compañías pequeñas que no exceden el número de 254 espacios reservados en la Internet. Para las Redes Clase C, los tres primeros bits del primer octeto son 1, 1 y 0, lo que indica que quedan 21 bits para crear las direcciones de red. 2 exponente 21 nos da como resultado 2.097.152 (2 millones), de números de redes. Los tres primeros octetos se refieren a la red y el octeto restante al Nº de hosts: 42 Para el caso de este proyecto el número de Red asignado por el proveedor de servicio es el 210.10.10.0. Por lo que se debe asignar a los host de la misma todas las direcciones IP del rango comprendido entre 210.10.10.1 al 210.10.10.254. Las formas de construir una LAN bajo el protocolo TCP/IP dependerá de las necesidades que se tengan en dicha Red, debe haber una planeación objetiva de que es lo que se quiere, cómo se quiere y de las posibilidades a largo plazo que se requieren (Cimino, 1997). 2.3.3. Subredes o Subnetting. Cuando se trabaja con una red pequeña, con pocos host conectados, el administrador de red puede fácilmente configurar el rango de direcciones IP usado para conseguir un funcionamiento óptimo del sistema. Pero conforme la red va creciendo se hace necesaria una división en partes de la misma. En primer lugar, porque conforme se va extendiendo la red va aumentando de forma pareja el dominio de colisión, llegando un momento en el que el rendimiento de la red se ve afectado seriamente. Esto se puede mitigar segmentando la red, dividiendo la misma en una serie de segmentos significativos, de tal forma que mediante switches se pueda limitar estos dominios de colisión, enviando las tramas tan sólo al segmento en el que se encuentra el host destino. 43 En segundo lugar, y aunque se segmente la red, conforme aumenta el número de host aumenta también el número de transmisiones de broadcast (cuando un equipo origen envía datos a todos los dispositivos de la red), llegando un momento que dicho tráfico puede congestionar toda la red de forma inaceptable, al consumir un ancho de banda excesivo. Esto es así porque todos los host están enviando de forma constante peticiones de este tipo: peticiones ARP, envíos RIP, peticiones DNS, etc. Para solventar este hecho es preciso dividir la red primaria en una serie de subredes, de tal forma que cada una de ellas va a funcionar luego, a nivel de envío y recepción de paquetes, como una red individual, aunque todas pertenezcan a la misma red principal (y por lo tanto, al mismo dominio). De esta forma, aunque la red en su conjunto tendrá una dirección IP única, administrativamente, a nivel administrativo se consideran subredes bien diferenciadas, consiguiendo con ello un control del tráfico de la red y una limitación de las peticiones de broadcast que la atraviesan. Es por ello que los administradores de Redes deben trabajar con lo poco que se tiene para acomodarse mejor a los requerimientos de la red y la reducida oferta de direcciones (Cimino, 1997). -Número de subredes válidas: 23 = 8 -Dirección IP: 210.10.10.0 Expresión en Binario de la dirección: 00000 11010010.00001010.00001010.000 44 Si se toman 3 bit del host tenemos: Parte de red: 11010010.00001010.00001010.000 Parte de host: 00000 Por otro lado el número de host posibles es de 30. Como n = 3, se tiene que el número válido de host por subred es 25 – 2 = 30. (Ya que una de las direcciones de host es la dirección de la subred, y otra está reservada para el broadcast, de allí que se resten 2) Las direcciones de subred las obtenemos haciendo las combinaciones posibles con los 3 bits tomados: 11010010.00001010.00001010.00000000 a 1010010.00001010.00001010.000 11111. 11010010.00001010.00001010.00100000 a 11010010.00001010.00001010. 00111111 = 210.10.10.32 a 210.10.10.63 Subred válida, con dirección de red = 210.10.10.32, broadcast = 210.10.10.63 y 30 direcciones IP para host, que son las comprendidas entre las dos anteriores (de la 210.10.10.33 a la 210.10.10.62). 11010010.00001010.00001010.010 00000 a 45 11010010.00001010.00001010.010 11111 = 210.10.10.64 a 210.10.10.95 Subred válida, con dirección de red = 210.10.10.64, broadcast = 210.10.10.95 y 30 direcciones IP para host, que son las comprendidas entre las dos anteriores (de la 210.10.10.65 a la 210.10.10.94). 11010010.00001010.00001010.011 00000 a 11010010.00001010.00001010.011 11111 = 210.10.10.96 a 210.10.10.127 Subred válida, con dirección de red = 210.10.10.96, broadcast = 210.10.10.127 y 30 direcciones IP para host, que son las comprendidas entre las dos anteriores (de la 210.10.10.97 a la 210.10.10.126). 11010010.00001010.00001010.100 00000 a 11010010.00001010.00001010.100 11111 = 210.10.10.128 a 210.10.10.159 Subred válida, con dirección de red = 210.10.10.128, broadcast = 210.10.10.159 y 30 direcciones IP para host, que son las comprendidas entre las dos anteriores (de la 210.10.10.129 a la 210.10.10.158). 11010010.00001010.00001010.101 00000 a 11010010.00001010.00001010.101 11111 = 210.10.10.160 a 210.10.10.191 46 Subred válida, con dirección de red = 210.10.10.160, broadcast = 210.10.10.191 y 30 direcciones IP para host, que son las comprendidas entre las dos anteriores (de la 210.10.10.161 a la 210.10.10.190). 11010010.00001010.00001010.110 00000 a 11010010.00001010.00001010.110 11111 = 210.10.10.192 a 210.10.10.223 Subred válida, con dirección de red = 210.10.10.192, broadcast = 210.10.10.223 y 30 direcciones IP para host, que son las comprendidas entre las dos anteriores (de la 210.10.10.193 a la 210.10.10.222). 11010010.00001010.00001010.11100000 a 11010010.00001010.00001010. 11111111 = 210.10.10.224 a 210.10.10.255 (Cimino, 1997). 2.3.3.1. Máscara de subred para todas ellas: La máscara de subred es la herramienta que utilizan los routers para dirigir correctamente los paquetes que circulan entre las diferentes subredes. Para obtener la máscara de subred se colocan las direcciones propias de la red en binario. Posteriormente se colocan a 1 todos los bits que se dejan para la parte de red (incluyendo los prestados a la porción de host) y a 0 los bits que quedaron para el 47 host. Finalmente se pasa la dirección binaria resultante a formato decimal y esa será la máscara de subred. Se tiene entonces la máscara de subred para todas ellas, la cuál es: 11111111.11111111.11111111.11100000 = 255.255.255.224 2.4. Telefonía IP (VoIP) El teléfono es una herramienta de negocios esencial en esta era del dominio de la computación. Aunque las redes de datos se utilizan ampliamente en el transporte de información dentro y entre organizaciones, es más fácil imaginarse una empresa que sobreviva sin una red de datos que una que lo haga sin teléfonos. El teléfono y la computadora personal son dos elementos básicos de cualquier escritorio de negocios de hoy en día; sin embargo, existen años luz de distancia entre ambos, debido a diferencias en tecnología (Cimino, 1997). La telefonía sobre redes, IP o LAN está haciendo que los sistemas telefónicos convencionales se vuelvan tan imprácticos como el telégrafo. Estas soluciones se aprovechan de la LAN Ethernet existente para ofrecer comunicaciones de voz ricas en funciones y capacidades empresariales sofisticadas. Debido a que la telefonía sobre redes está basada en Ethernet, es menos costosa de instalar y operar que los sistemas telefónicos empresariales tradicionales y mucho más fácil de usar. 48 Los usuarios se benefician de la integración con Mensajería Unificada (una sola bandeja de entrada para el correo de voz y el e-mail). Además, la telefonía sobre redes brinda soporte al trabajo remoto permitiendo que los empleados ingresen a la red remotamente y envíen y reciban llamadas telefónicas y correos electrónicos como si estuvieran en la oficina. La convergencia de voz y datos en una sola red elimina la necesidad de tener infraestructuras separadas de cables para teléfonos y LANs de datos, reduciendo enormemente los costos de implementación. También se ve una reducción en los costos continuos de propiedad con la eliminación de una infraestructura separada de voz y la administración integrada que se enfoca en una sola red para todas las comunicaciones. (Stalling, 1999). 3. Requerimientos de Seguridad en la Red (Seguridad y Protección de la Red y de la Información) 3.1. Seguridad Lógica El activo más importante que se posee es la información, y por lo tanto deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la Seguridad Lógica. Es decir que la Seguridad Lógica consiste en la "aplicación de barreras y 49 procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo”. Existe un viejo dicho en la seguridad informática que dicta que "todo lo que no está permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lógica. Los objetivos que se plantea este tipo de seguridad serán: a. Restringir el acceso a los programas y archivos. b. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan. c. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. d. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. e. Que la información recibida sea la misma que ha sido transmitida. f. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. g. Que se disponga de pasos alternativos de emergencia para la transmisión de información (Cruz et al, 2003). La guerra de la información se basa en captar la información de los adversarios y bloquear sus funciones a fin de controlarlo en su empresa y no se vea 50 involucrada en este tipo de ataques, se debe asumir que las amenazas que ponen en riesgo la información están siempre presentes. Es necesario proteger los datos de forma constante y cuidadosa; y la mejor manera de mantenerse protegido es crear una defensa aplicando medidas de seguridad. El establecimiento de políticas referidas al uso de antivirus, es fundamental para garantizar la integridad y ciclo de vida de la información que transitará por la red. A tal fin se deben estudiar estrategias que permitan combatir los males en Figura 04. Administrador de Seguridad torno al tema. El personal de Directivo de la empresa y los responsables Informática y Telecomunicaciones deben valorar la importancia de la seguridad de red. A tal fin, este grupo de profesionales debe: - Reconocer las diversas áreas dentro de las redes en las que hay que establecer el cumplimiento de ciertos objetivos de seguridad. 51 - Conocer las amenazas planteadas por Internet. - Discutir alternativas para: - Establecer un perímetro para la defensa de la red corporativa. - Permitir un acceso externo seguro. - Proporcionar autentificación antes del acceso a los recursos. - Preservar la integridad y la privacidad de las transacciones de negocio. - Gestionar los procesos de seguridad (Cruz et al, 2003). El proyecto de seguridad de la red deben considerar, al menos, los siguientes aspectos: · Filtrado IP · Traslación de dirección IP (NAT) · L2TP · IPSec e IKE · Consideraciones de configuración TCP/IP · Funciones de seguridad de las aplicaciones TCP/IP · Puntos de escape de la aplicación TCP/IP · Soporte de FTP Anónimo · Seguridad del servidor HTTP · Servidor Proxy y Servidor SOCKS, Proxy Inverso · Autentificación y encriptación de servidor con SSL · Autentificación SSL de cliente · Certificados Digitales y PKI 52 · Correo electrónico SMTP, encriptación y filtrado · Búsqueda de Virus · Aplicaciones y Objetos firmados digitalmente · PPP PAP y CHAP, métodos de autentificación fuerte · Servidor de Control de Acceso, RADIUS y TACACS+ · Proxy de Autentificación · LDAP · IDS: HIDS, NIDS, scanner · SyslogD · SSH · Aspectos de seguridad en el diseño DNS · Procesador Criptográfico. - Routers que brinden el servicio de Firewall, es decir que examinen todo el tráfico de entrada y salida de las diferentes redes, permitiendo solamente el tráfico autorizado. - De igual manera resultaría necesario que el router que brinda conexión con el exterior también brinde un servicio Firewall para proporcionarle seguridad a toda la red, particularmente en lo que se refiere el acceso a Internet, que representa la amenaza más importante a la seguridad de la empresa . 53 3.2. FireWall Un Firewall es una solución que actúa como único punto de defensa, para controlar el acceso entre redes privadas y redes públicas. Dentro de las experiencias consultadas con expertos en la implementación de soluciones de seguridad, destacan algunas tan simples como utilizar un Router que filtre paquetes o Soluciones tan complejas como un Gateway que combine el filtro de paquetes con el filtro a nivel de Aplicaciones. Con esto se puede ofrecer servicios de seguridad a nivel de aplicaciones para tráfico entrante y saliente estableciendo un sistema o grupo de sistemas configurados para reforzar las políticas de seguridad entre dos redes. Por otra parte, se tiene a Command que presenta su nuevo antivirus multiplataforma en un único software, incorporando además una máquina de rastreo totalmente rediseñada para detectar y desinfectar la nueva generación de virus, así como un revolucionario sistema de instalación y administración centralizada. El nuevo Command AntiVirus®, ampliamente premiado por su superioridad en detección y desinfección de virus, era anteriormente conocido como Command FPROT Professional. Command AntiVirus®, responde a la demanda por una solución económica, fácil de operar y que pueda ser usado en ambientes multiplataforma. Command 54 AntiVirus® otorga una completa protección a usuarios de Windows 97, Windows 98, Windows NT, Windows 3.x, OS/2 y DOS en un solo CD, reduciendo así el número de productos a manejar y facilitando la actualización de licencias para los clientes corporativos de Command Software System. Versiones para Novell se encuentran disponibles separadamente . 3.3. Seguridad Física. Es muy importante ser consciente que por más que una empresa sea la más segura desde el punto de vista de ataques externos, Hackers, Cracker, virus, etc., la seguridad de la misma será nula si no se ha previsto como combatir un incendio. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma. Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial". Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. 55 Las principales amenazas que se prevén en la seguridad física son: 1. Desastres naturales, incendios accidentales tormentas e inundaciones. 2. Amenazas ocasionadas por el hombre. 3. Disturbios, sabotajes internos y externos deliberados. Ya se trate de actos naturales, errores u omisiones humanas y actos intencionales, cada riesgo debería ser atacado de las siguientes maneras: 1. Minimizando la posibilidad de su ocurrencia. 2. Reduciendo al mínimo el perjuicio producido, si no ha podido evitarse que ocurriera. 3. Diseño de métodos para la más rápida recuperación de los daños experimentados. 4. Corrección de las medidas de seguridad en función de la experiencia recogida 3.4. Administración de Seguridad. Es posible dividir las tareas de administración de seguridad en tres grandes grupos: 1. Autenticación: Se refiere a establecer las entidades que pueden tener acceso al universo de recursos de cómputo que cierto medio ambiente puede ofrecer. 56 2. Autorización: Es el hecho de que las entidades autorizadas a tener acceso a los recursos de cómputo, tengan acceso únicamente a las áreas de trabajo sobre las cuales ellas deben tener dominio. 3. Auditoria: Se refiere a la continua vigilancia de los servicios en producción. Entra dentro de este grupo el mantener estadísticas de acceso, estadísticas de uso y políticas de acceso físico a los recursos. Por regla general las políticas son el primer paso que dispone a una organización para entrar en un ambiente de seguridad, puesto que refleja su voluntad de hacer algo que permite detener un posible ataque antes de que éste suceda. Es importante tener una política de seguridad de red bien concebida y efectiva que pueda proteger la inversión y los recursos de información de la compañía. Vale la pena implementar una política de seguridad si los recursos y la información que la organización tiene en sus redes merecen protegerse. La mayoría de las organizaciones tienen en sus redes información delicada y secretos importantes; esto debe protegerse del acceso indebido del mismo modo que otros bienes valiosos como la propiedad corporativa y los edificios de oficinas. Si los usuarios tienen acceso irrestricto a la red, puede ser difícil aplicar una política que limite ese acceso. También se debe tomar en cuenta que la política de seguridad que se debe usar es tal, que no deben disminuir la capacidad de la 57 organización. Una política de red que impide que los usuarios cumplan efectivamente con sus tareas, puede traer consecuencias indeseables: los usuarios de la red quizá encuentren la forma de eludir la política de seguridad, lo cual la vuelve inefectiva. La política de seguridad del sitio debe tomar en cuenta la protección de estos recursos. Debido a que el sitio está conectado a otras redes, la política de seguridad del sitio debe considerar las necesidades y requerimientos de seguridad de todas las redes interconectadas. Una política de seguridad en redes efectiva es algo que todos los usuarios y administradores de redes pueden aceptar y están dispuestos a aplicar (Cruz et al, 2003). Podemos definir política de seguridad de la información como el conjunto de normas, reglas, procedimientos y prácticas que regulan la protección de la información contra la pérdida de confidencialidad, integridad o disponibilidad, tanto de forma accidental como intencionada. La Política de seguridad indica: • Qué hay que proteger • Qué Principios hemos de tener en cuenta 58 • Cuáles son los Objetivos de Seguridad a conseguir • La asignación de cometidos y responsabilidades La Política de Seguridad se expresa mediante Principios y Objetivos. Un principio es una norma o idea fundamental que rige la Política de Seguridad, y que se acepta en esencia. Un objetivo de seguridad es la declaración expresa de la intención de conseguir algo que contribuye a la seguridad de la información, bien porque se opone a una de las amenazas identificadas o bien porque satisface una exigencia de la política de seguridad de la información. 3.4.1. Métodos de Protección. • Sistema de Detección de Intrusos: Son sistemas que permiten analizar las bitácoras de los sistemas en busca de patrones de comportamiento o eventos que puedan considerarse sospechosos, sobre la base de la información con la que han sido previamente alimentados. Pueden considerarse como monitores. • Sistemas Orientados a Conexión de Red: Monitorizan las conexiones que se intentan establecer en una red o equipo en particular, siendo capaces de efectuar una acción sobre la base de métricas como: origen y destino de la conexión, servicio solicitado, permisos, etc. Las acciones que pueden 59 emprender suelen ir desde el rechazo de la conexión hasta la alerta al administrador. En esta categoría están los Firewalls o cortafuego (Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce una política de seguridad establecida, además de ser un mecanismo encargado de proteger una red confiable de una que no lo es como por ejemplo Internet) y los Wrappers. • Sistemas de Análisis de las Vulnerabilidades: Analizan sistemas en busca de vulnerabilidades conocidas anticipadamente. La desventaja de estos sistemas es que pueden ser utilizados tanto por personas autorizadas como por personas que buscan acceso no autorizado al sistema. • Sistemas de Protección a la Integridad de la Información: Son sistemas que mediante criptografía o sumas de verificación tratan de asegurar que no ha habido alteraciones indeseadas en la información que se intenta proteger. Algunos ejemplos son los programas que implementan algoritmos como Message Digest (MD5) o Secure Hash Algorithm (SHA), o bien sistemas que utilizan varios de ellos como PGP, Tripwire y DozeCryp. • Sistemas de Protección a la Privacidad de la Información: Son herramientas que utilizan criptografía (consiste en una técnica de cifrado y 60 descifrado de mensajes mediante claves codificadoras que, dependiendo de su longitud, nos darán una protección mayor o menor) para asegurar que la información sólo sea visible para quién tiene autorización. Su aplicación se realiza principalmente en las comunicaciones entre dos entidades. Dentro de este tipo de herramientas se puede citar a Pretty Good Privacy (PGP), Secure Sockets Layer (SSL) y los certificados digitales. • Penetration Test: Es un conjunto de metodologías y técnicas, para realizar una evaluación integral de las debilidades de los sistemas informáticos. Consiste en un modelo que reproduce intentos de acceso a cualquier entorno informático, de un intruso potencial desde los diferentes puntos de entrada que existan tanto internos como remotos. También se conoce como prueba de vulnerabilidad o Ethical Hacking. Resumiendo un modelo de seguridad debe estar formado por múltiples componentes o capas que pueden ser incorporadas de manera progresiva al modelo global de seguridad en la organización, logrando así el método más efectivo para disuadir el uso no autorizado de sistemas y servicios de red.(O’ Brien, 2001) 61 -Se pueden considerar que estas capas son: 1. Política de Seguridad de la organización. 2. Auditoria. 3. Sistemas de Seguridad a nivel de Router-Firewall. 4. Sistema de detección de intrusos. 5. Plan de respuesta a incidentes. 6. Penetration Test. 4. Gestión de Redes Un gerente de redes en la gestión del sistema debe considerar: - Monitoreo del funcionamiento de la red: Los indicadores del funcionamiento de la red son: • Disponibilidad: es el porcentaje de tiempo durante el cual el dispositivo de red, el componente o aplicación están disponible al usuario. • Tiempo de respuesta: tiempo que tarda el sistema en reaccionar a una determinada petición. • Precisión: capacidad del sistema para ofrecer una transmisión correcta. • Productividad: cantidad de trabajo realizado en un periodo de tiempo. 62 • Utilización: porcentaje de tiempo durante el cual un dispositivo está ocupado, es decir, se determina las zonas de congestión. - Monitoreo de fallos: Algunos indicadores son: • Registro de fallas por equipo en un periodo de tiempo determinado • Tiempo fuera de servicio por equipo en un periodo de tiempo determinado . 5. Sistemas Operativos Para el proyecto, se ha decidido utilizar como sistemas operativos de forma distribuida e integrada el Windows 2003 Server de Microsoft, sistema ampliamente utilizado por muchas empresas a nivel internacional y líder en manejo de recursos de redes, seguridad y acceso a la información. La decisión se baso en la facilidad de uso, así como la reducida curva de aprendizaje para los administradores y operadores de la red, al ser un sistema operativo funcional. Su alcance de funcionamiento, estará enmarcado en la autenticación de los usuarios, políticas de acceso a los recursos de la red, proxy para el uso de Internet de forma controlada y segura, antivirus corporativo y servicios de DHCP y DNS. 63 También se ha considerado la utilización del sistema operativo FreeBSD como una herramienta de seguridad y control de acceso a Internet. Este sistema operativo esta basado en el Unix System V, de los laboratorios Bell de los Estados Unidos. A pesar de los sistemas abiertos, la historia de UNIX está dominada por el ascenso y caída de los sistemas hardware. UNIX nació en 1969 en una mainframe 635 de General Electric. A la vez, los Laboratorios Bell de AT&T había completado el desarrollo de Multics, un sistema multiusuario que falló por su gran demanda de disco y memoria. En respuesta a Multics, los ingenieros de sistemas Kenneth Thompson y Dennis Ritchie inventaron el UNIX. Inicialmente, Thompson y Ritchie diseñaron un sistema de archivos para su uso exclusivo, pero pronto lo cargaron en una Digital Equipment Corp. (DEC) PDP-7, una computadora con solo 18 kilobytes de memoria. Este suministraba una larga serie de puertos. En 1970, fue cargado en una PDP-11, y el runoff, el predecesor del troff, se convirtió en el primer procesador de texto de UNIX. En 1971, UNIX recibió reconocimiento oficial de AT&T cuando la firma lo usó para escribir manuales. 64 Figura 05. Evolución del Sistema Operativo UNIX.( Afzal, 1997) La segunda edición de UNIX fue realizada en 1971. La segunda edición dio forma al UNIX moderno con la introducción del lenguaje de programación C y sobre los 18 meses siguientes, el concepto de los pipes. Los pipes fueron importantes por muchas razones. Representaron una nueva forma de tratamiento de datos. Desde un punto de vista moderno, los pipes son un mecanismo orientado a objetos, porque entregan datos desde un objeto, o programa, a otro objeto (Afzal, 1997) El alcance del FreeBSD para lo referente al proyecto estará enmarcado en ofrecer los servicios de sitio Web, SMTP y POP3. CAPITULO III METODOLOGIA 1. Tipo de Investigación. Este proyecto se enmarca en la modalidad de investigación de proyecto factible que consiste: en la investigación, elaboración y desarrollo de una propuesta de un modelo operativo viable para solucionar problemas, requerimientos o necesidades de organizaciones o grupos sociales, puede referirse a la formulación de políticas, programas, tecnologías, métodos o procesos. El proyecto debe tener apoyo en una investigación de tipo documental, de campo o un diseño que incluya ambas modalidades (Universidad Pedagógica Experimental Libertador UPEL, 1998), motivo por el cual la metodología esta basada en cinco (5) fases: - Diagnostico - Factibilidad - Análisis de los Software para la Administración de la Red - Implantación de los Software - Validación de los Software 66 Estas fases están en correspondencia con los objetivos planteados en esta investigación, así como los instrumentos y recursos utilizados, para alcanzar lo que ellos proponen. En el cuadro de diseñó metodológico que se incorpora a continuación se refleja la estrecha relación entre los objetivos, la metodología así como las técnicas e instrumentos asociadas a cada una de las fases antes mencionadas. Cuadro No. 01. Diseño metodológico con técnicas e instrumentos 1.1.-Fase de Diagnostico: Objetivos Específicos Metodología Técnicas e Instrumentos • Diagnosticar los requerimientos institucionales, tecnológicos, comunicacionales y logísticos a implantar en la plataforma de software para la administración técnica de la red L.A.N. en la Universidad Nacional Abierta, Centro Local Carabobo. Se identificaron las necesidades de la institución relacionadas con la implantación de la plataforma de software, de acuerdo de los siguientes elementos: Misión Visión Macroproyecto de conectividad UNA Proyecto tecnológico una centro local Carabobo Proyecto Alma Mater Entrevistas con las autoridades del Centro Local. Revisión de Evaluación de Requerimientos del Proyecto de Conectividad Revisión de Evaluación de Requerimientos del Proyecto Alma Mater. 67 1.2.-Fase de Factibilidad Determinar la factibilidad de implantación de la plataforma de software, para la administración técnica de la red L.A.N., en la Universidad Nacional Abierta, Centro Local Carabobo. Se identificaron los elementos relacionados con la factibilidad para la implantación de la plataforma de software lo cual incluye la previsión de recursos técnicos, financieros e institucionales. Normas para Evaluación de proyectos. Organización de equipos para instalación de administración técnica de redes LAN Perfiles de usuarios requeridos para la red Normas para la Evaluación de Administración técnica de redes de la OPSU – Proyecto Alma Mater Requisitos Institucionales de Seguridad de la red LAN. Objetivos Específicos Metodología Técnicas e Instrumentos Diseñar los lineamientos tecnológicos y metodológicos para la implantación de la plataforma de software para la administración técnica de la red L.A.N., en la Universidad Nacional Abierta, administración Centro Local Carabobo, tomando en cuenta los estándares internacionales IEEE. Se identificaron los lineamientos metodológicos para abordar técnica y organizacionalmente la implantación de la plataforma de software. Se recopilaron todas las informaciones referidas a las normas vigentes internacionales de la IEEE – EIA/TIE, en cuanto a la administración de redes. Cuadro No. 02 – Comparación de software de redes Normas vigentes internacionales de la IEEE – EIA/TIE 802.3, en cuanto a la administración de redes. 1.3.-Fase de Diseño: 68 1.4.-Fase de Implantación Implantar la plataforma de software para la administración técnica de la red de área local en la U.N.A., Centro Local Carabobo. Se llevo a cabo la instalación del software de administración de la red del Centro Local, según un plan de trabajo aprobado por las autoridades del centro local Se definieron los tópicos requeridos para la adecuada documentación técnica y metodológica de la administración de redes. Cronograma de Actividades para la Implantacion del Servicio de Administración técnica (punto 1.4) 1.5.-Fase de Validación Validar la plataforma de software para la administraron técnica instalada en la U.N.A. Centro Local Carabobo. Se realizaron las pruebas Criterios para Validación de operatividad de cada (punto 1.5) una de las estaciones de trabajo de la red. 1.1.- Fase de Diagnostico La fase de diagnostico se inicio haciendo una revisión documental de aquellos documentos de la Institución en los cuales se han establecido las necesidades y metas a alcanzar desde el punto de vista tecnológico, comunicacional y educativo. 69 Es axial como se tomo en cuenta la misión de la Universidad Nacional Abierta, donde se establece: “la formación de profesionales en las áreas requeridas por el país, que actúen como agentes transformadores de su entorno a través del desarrollo, implementación y administración de nuevas estrategias de enseñanzasaprendizaje, aptos para responder a las necesidades de formación y capacitación de poblaciones heterogéneas dispersas geográficamente”. De esta misión destaca la necesidad de formar a los estudiantes para el buen uso de la tecnología, de acuerdo a las mas recientes reformas curriculares universitarias que demanda el desarrollo industrial, lo cual esta fundamentado por la Declaración sobre la Ciencia y el uso del saber científico de la UNESCO (1999). En la visión de la Universidad Nacional Abierta, igualmente se plantea la necesidad de “convertirse en una Institución nacional con excelencia académica pertinente en el saber profesional, líder en Educación a Distancia, en el contexto latinoamericano, autónoma y gestionada en su desarrollo, intervenida por los procesos de transformación nacional”. Se entiende aquí que la universidad visualiza su liderazgo académico, apoyado en una plataforma tecnológica para su desarrollo confiable, auditable y con alta capacidad de crecimiento. Una prueba contundente de ello, se plantea en el Macroproyecto Conectividad UNA, el cual constituye una acción de amplio alcance emprendida por el Rectorado de la Universidad Nacional Abierta; donde se destaca como objetivo “conectar a los 70 miembros de la comunidad universitaria, a través del uso de las Tecnologías de la Información y de la Comunicación, con miras a alinear la gestión de la Universidad con las más recientes tendencias en materia de Educación Abierta y a Distancia”. Es axial como las autoridades del Centro Local Carabobo han asumido responsablemente los retos en materia de tecnología, deben materializarse para el logro de tales metas. A través de entrevistas no estructuradas, se lograron definir las limitaciones y carencias de la estrategia para la administración de la red implantada inicialmente en el Centro Local, destacándose lo siguiente: - Ataques continuos de virus informáticos. - Instalación de software espía. - Acceso a todo tipo de página web. - Descarga de música y juegos, utilizando programas que violentan la seguridad de la red. Este grupo de requerimientos, conforman el cuadro de necesidades sujetas a ser superadas a través de la implantacion un servicio de administración de la red. Esta fase se complemento con una revisión exploratoria, referida a los perfiles de los usuarios del Centro Local, tomando en cuenta su capacidad de cómputo, 71 comunicación y servicios de navegación para la acertada atención a los estudiantes en las distintas áreas de la Universidad. 1.2.-Fase de Factibilidad. En esta fase se analizaron los elementos requeridos para la implantación de la plataforma de administración técnica de la red LAN para este proyecto, por lo que se consideraron: 1.2.1.- Recursos Técnicos Los componentes principales, para el manejo central de la información, seguridad y administración, surgen de la necesidad de contar con un servidor para la red y otro para el sitio web. A estos equipos se les ha aplicado una estrategia de instalación y configuración de acuerdo a las necesidades de la Institución y a los datos obtenidos de la fase de diagnóstico. Los recursos de software se han escogido por ser estándares probados en muchas instalaciones alrededor del mundo. Se ha decidido utilizar una combinación de software gratuito para el ambiente Unix y software estándar Microsoft para el ambiente de intranet. 72 1.2.1.1- Criterios Técnicos Para la toma de decisiones sobre los distintos software disponibles en el mercado para el proyecto, se realizaron las siguientes comparaciones: Cuadro No. 02 – Comparación de software de redes Ambiente de Software Ventajas Muy utlizado a nivel de PC en redes Windows 2003 Server Desventajas -El ambiente grafico genera sobrecarga Altamente practico muy grande a los procesos Imagen Publicitaria -Sistema Operativo y aplicaciones de Producto tiene fama mundial servicios son muy costosos Confiabilidad -Alta vulnerabilidad en penetración de Virus e Soporte Técnico Intrusos Herramientas robustas para Administración Herramientas fáciles para sitios Web Infraestructura de seguridad estándar Facilidad para entrenamiento Curva de aprendizaje muy baja para los administradores de la red Mandrake Linux Gratis -Se han descubierto agujeros de seguridad Ha incrementado su penetración en el -No es Standard con Unix ni con los ambiente corporativo demás Linux Mayor velocidad y menor sobrecarga del -El soporte esta disgregado por las ambiente grafico en los procesos diferentes versiones Las aplicaciones de servicios son también -Las fuentes de soporte no están gratis Centralizadas Muy solidó y estable -La curva de aprendizaje es mucho Mayor -Se requieren conocimientos de unix -El manejo de usuarios es pobre -La integración con el Pc es nula 73 FreeBSD Unix Gratis -La curva de aprendizaje es mucho mayor Tiene una solida participación en el ámbito -Se requieren conocimientos de unix corporativo en internet -El manejo de los usuarios es pobre Es soportado por su versión paga (NetBSD) -La integración con el Pc es nula El soporte es centralizado además de -Muy poco vulnerable ante Virus o Intrusos gozar de muchos sitios que también lo ofrecen Mínimo sobrecarga de la interfaz grafica. De hecho no se instala por defecto como Linux Todas las aplicaciones de servicios son gratis Extremadamente solidó y estable Para el ambiente Unix, la totalidad de los servicios a ser ofrecidos e instalados se encuentran en la distribución del sistema operativo, ó disponibles para ser descargados de Internet sin ningún costo adicional. Para el ambiente de Intranet, además del sistema operativo Windows 2003 Server, se escogieron los programas Symantec Corporate Antivirus y el Microsoft Exchange Server MSN Messenger Option (licencia de prueba), para mensajería interna. - Software para Servidor UNIX: • Aplicaciones para Sistema Operativo para Redes Unix FreeBSD. • Software de control de Website: Apache • IPFW Firewall (Corta fuego) • Servicios DNS, SMTP y POP3. Direccionamiento. • Administración: WebMin 74 -Aplicaciones para el Servidor Dominio Windows: • MS Windows 2003 Server (licencia de prueba), autenticación y administración de usuarios y políticas de acceso a los recursos de red. Servidor de Archivos. • Administración de la seguridad de Windows y archivos mediante Servicios de Directorio de Windows 2003 Server (Directory Services) (licencia de prueba) • ICQ Groupware para mensajeria interna (Intranet) • Antivirus Corporativo Centralizado Norton Symantec (licencia de prueba). • DHCP, DNS. –Aplicaciones para el Cliente (Workstation): • Windows XP ó Windows 2000 Profesional (licencia de prueba) • Microsoft Outlook 2000 (licencia de prueba) • Office XP (licencia de prueba) • Cliente de Symantec Corporate Antivirus (licencia de prueba) • Cliente de Microsoft Firewall (licencia de prueba) 1.2.2. Recursos Humanos El recurso humano ha sido organizado un equipo de trabajo a fin de abordar un proyecto tecnológico, dentro del cual se han identificado roles tales como: 75 • Un Tutor Académico, • Un Tutor Empresarial, • Un Responsable del proyecto de la tesis (tesista) • Un Especialista en administración de redes en ambiente Unix y Microsoft. 1.2.3. Recursos Financieros. La empresa Coinstel, C.A. asumió todos los costos a manera de donación asociados al proyecto de implantacion distribuidos de la siguiente forma: Cuadro No. 03. Costos de Implantacion Descripción Integrador de Sistemas Asistente de Integrador Horas/Hombre 47.00 47.00 Precio/Unitario Bs. 45,000.00 15,000.00 Total General Precio/Total Bs. 2,115,000.00 705,000.00 2,820,000.00 1.3. Fase de Diseño Se definieron dos ambientes principales. Un ambiente de Inter/Extranet, y un ambiente de Intranet. El ambiente de Inter/Extranet se refiere a toda la transmisión de información con la Internet y en específico con los entes exteriores ó ajenos a los predios de la institución. 76 1.3.1-Indicadores: La Política de seguridad indica: • Qué hay que proteger o El sitio Web de la UNA Centro Local Carabobo o Las cuentas de correo de los usuarios en el servidor Unix o Los datos de los usuarios en sus Pc o La transmisión de los datos desde y hacia internet • Qué Principios hemos de tener en cuenta o Ningún sistema esta suficientemente protegido, hay que tener sentido común para asegurarnos que las fallas en seguridad sean mínimas o Ningún usuario externo puede ser confiable o Ningún archivo que no haya sido revisado puede ser declarado como limpio o Ningún usuario esta suficientemente entrenado, hay que darle todas las herramientas posibles para protegerlo • Cuáles son los Objetivos de Seguridad a conseguir o Mínima posibilidad de infección de virus a los archivos de los usuarios o Máximo nivel de servicio en navegación en internet o Máximo tiempo “en línea” del sitio web o Evitar el 100% de los ataques de entes externos • La asignación de cometidos y responsabilidades 77 o Se requiere involucrar un administrador de la red que se encargue de las labores de mantenimiento de los usuarios y revisión periódica de los registros de seguridad en todas las capas que se definen como: 1ra capa: Simplemente ejecutar intentos de violación de la configuración del enrutador cisco para verificar su funcionalidad (1 vez al mes) 2da capa: Revisar los archivos en el directorio /var/log dentro del servidor Unix para detectar alguna posible intromisión de entes externos (diario) 3ra capa: Revisar los registros de escaneo de virus y la base de datos de cuarentena. además asegurarse que el antivirus este actualizado (diario) 4ta capa: Revisar el visor de eventos de Windows Server 2003 y detectar cualquier posibilidad de violación del login de los usuarios. Asegurarse que los usuarios estén utilizando claves completas y difíciles de romper. (diario) La Política de Seguridad se expresa mediante Principios y Objetivos. Un principio es una norma o idea fundamental que rige la Política de Seguridad, y que se acepta en esencia. Un objetivo de seguridad es la declaración expresa de la intención de conseguir algo que contribuye a la seguridad de la información, bien porque se 78 opone a una de las amenazas identificadas o bien porque satisface una exigencia de la política de seguridad de la información.(Stanek, 2003). Figura 06. Esquema de División entre Intranet y Extranet Ambos ambientes se encuentran física y lógicamente separados, solamente interconectados por una sola interfaz LAN del servidor Unix el cual tendrá ejecutándose un software Firewall ó cortafuegos. De esta forma, se mantiene la integridad de la seguridad del acceso tanto de la intranet hacia el exterior, y se controlan los accesos desde el exterior hacia la intranet. 1.3.2. -Inter/Extranet El ambiente más delicado, y por lo tanto el que mayores esfuerzos en el área de seguridad debe dedicárseles es el de Internet/Extranet, no solo debido a que está conectado con el exterior, sino por estar permanentemente en línea con Internet, y es ampliamente conocido los persistentes intentos de agentes extraños que se dedican de 79 forma reiterada a tratar de violar la seguridad de las empresas e instituciones del mundo. La decisión de que fuera el sistema operativo FreeBSD el idóneo para este trabajo se debe a las siguientes razones: Figura 07. Logo FreeBSD-Unix. 1. El FreeBSD está basado en Unix System V, estándar internacional en seguridad en Internet. Esto significa que la instalación está probada de forma plena en aplicaciones en producción con un mínimo de soporte y con todo el respaldo de la comunidad de Unix internacional. 2. No existen hasta el momento ningún reporte de ataques de virus ó Worms a los servidores basados en Unix, por lo tanto lo hace mucho menos susceptible a ataques de este tipo. Por este motivo, también es innecesario la utilización de software antivirus en este ambiente. 3. Al ser un sistema operativo basado en una plataforma de texto, sin que tenga una interfaz gráfica pesada que tome sus recursos solo para belleza de presentación, se le está dando un uso casi del cien por ciento a las labores para que fue destinado. 80 Entre los servicios adicionales que estarán funcionando en el FreeBSD se encuentran el servicio de resolución de nombres (Domain Name Server) ó DNS, el cual permite hacer la conversión de dirección ip a nombre de dominio de forma interna, con lo cual se acelera de forma definitivamente la navegación en Internet. El software que se utilizará para este servicio viene preinstalado con el FreeBSD y se llama “BIND 8”, y es el más utilizado en Internet. Figura 08. Servicio de resolución de Nombre El servicio de Proxy permite canalizar la navegación de todos los usuarios por un mismo servidor, con lo cual se obtienen las siguientes ventajas: 1. Uso más eficiente de el ancho de banda 2. El Cache permite acelerar la navegación al alojar las páginas, imágenes ó fragmentos de página que más se visitan, haciendo el acceso a las mismas casi inmediato. 3. Las reglas de navegación y el control de puertos permite un mejor control del tipo de páginas y servicios a que los usuarios tendrán acceso, haciendo un uso eficiente del servicio de Internet. 81 Para este servicio se utilizará un software que viene incluido en la distribución de FreeBSD denominado SQUID. Figura 09. Servicio de navegación Proxy- Squid Los servicios POP3 y SMTP sirven para ofrecer a los usuarios cuentas de correo con el sufijo del dominio de la Institución. El software utilizado será el POPPER para el servidor de POP3 y el Sendmail para el SMTP. Figura 10. Logo del Servicio de Cuenta de Correo El principal servicio de información que funcionará en este servidor es sin duda el http, ó servicio de Página Web. La página del Centro Local Carabobo estará 82 alojada en este servidor, con lo cual se requiere también de un software rápido y seguro. Para este servicio se ha escogido un software estándar de Internet, y que igualmente viene incluido en la distribución de FreeBSD denominado Apache. Para facilitar el manejo y operación básica de este ambiente UNIX, en Anexo “A” Se ha incorporado un Manual Básico de Operación UNIX 1.3.3.- Intranet Para el ambiente de intranet se seleccionó el sistema operativo Windows 2003 Server, por ser también un estándar internacional en sistemas de redes de alto rango, y porque la curva de aprendizaje en el área de administración es considerablemente menor. Figura 11. Publicidad Windows 2003 Server Este servidor, llevara toda la carga de autenticación de usuarios, seguridad de los datos y otros servicios de uso interno de la Institución. Las labores de 83 administración son mayores, debido entre otras cosas a que alojará el bosque del directorio activo de usuarios y seguridad (Active Directory Forest). Igualmente se instalará en este servidor el antivirus corporativo Symantec, cuyas ventajas se enumeran a continuación: 1. Se instala en el servidor, y se distribuye un cliente de antivirus a los PC de los usuarios. 2. Se actualiza la huella de detección y eliminación de virus en el servidor, y esta es transmitida y distribuida de forma automática a todos los PC en que se hayan instalado el cliente de antivirus. 3. Se pueden programar labores de revisión de los discos de los usuarios de forma automática, reduciendo las visitas máquina por máquina. Figura 12. Norton Antivirus Corporativo. En el ambiente de Intranet se activarán diversos servicios que van a reducir las labores de administración, y además se ofrecerán servicios que darán valor agregado a la plataforma, como son el de mensajería interna. 84 En el servidor Windows 2003 Server se activará el servicio DHCP (Dynamic Host Configuration Protocol) con lo cual el servidor asignará la dirección IP de forma automática a cada una de las PC de la institución que la solicite. Con esto no solo se reduce el trabajo de llevar una base de datos de direcciones IP, sino que se evitan conflictos a la hora de dar mantenimiento e instalar nuevos PC en la red (Ver Anexo “B” Perfiles de Usuario). Se instalará un servicio de mensajería interna para la institución basado en Microsoft Messenger, con el cual los usuarios podrán intercambiar ideas sin necesidad de utilizar el servicio telefónico, además de enviar y recibir archivos sin necesidad de utilizar los disquetes que tantos problemas de seguridad y virus han traído a todas las empresas e instituciones que aún los usan. Figura 13. Diagrama de Plataforma del Software de la Red. 85 1.3.4.-Administración La administración de ambos ambientes se realiza utilizando herramientas diferentes, pero equivalentes. Por un lado el servidor Windows 2003 Server posee toda la interfaz gráfica de Windows, la cual toda persona que haya utilizado un PC conoce. En el caso del sistema operativo FreeBSD existe una herramienta denominada Webmin para administración de servidores, la cual presenta una interfaz gráfica basada en Web para la administración de las labores más frecuentes. Figura 14. Interfaz grafica del Webmin 86 Esta es la página inicial de Webmin. Se pueden observar los distintos menús de administración del servidor, como son Sistema, Servidores, Trabajando en Red, etc. Figura 15. Pantalla del Sistema. Se pueden apreciar los íconos para acceder a las pantallas de administración de usuarios, procesos, clases de acceso, arranque y parada del servidor, paquetes de software, etc. 87 Figura 16. Pantalla de Gestión de Proceso. Se pueden observar todos los procesos que se están ejecutando en el servidor en tiempo real. Se puede cambiar la prioridad de ejecución, cancelar ó reiniciar procesos. 88 Figura 17. Pantalla de Servicios Instalados. En esta pantalla se muestran todos los servicios instalados y que pueden ser administrados por la interfaz. Se destacan el Sendmail para correos, el Squid como servidor Proxy, el BIND como servidor DNS, Apache como servidor Web, etc. 89 Figura 18. Configuración de Servicios. Aquí se ve la página inicial de la configuración del servidor Web, Apache. 1.3.5.-Seguridad El tema de la seguridad se debe abordar desde dos puntos de vista para el alcance de la fase de diseño: Seguridad de Acceso y Seguridad de Datos. 90 La seguridad de acceso se refiere a los protocolos y servicios de control de acceso que se implementen tanto en el enrutador, como capa primaria de la seguridad y en el servidor FreeBSD como capa secundaria definida básicamente por la configuración del firewall. La seguridad de los datos, estaría conformada por la detección y eliminación de virus y la seguridad de los datos de los usuarios en el servidor, ó en cada uno de los PC de la red. La tercera capa de seguridad estaría definida por el control de usuarios de dominio y políticas de seguridad (Security Policy). La cuarta capa de seguridad está definida por el software de Antivirus. Figura 19. Disposición de las Capas de Seguridad 91 1.4. Fase de Implantación Para esta fase, se definen preliminarmente el cronograma de actividades para la implantación y puesta a punto de la plataforma. 1. Instalar FreeBSD en servidor de Inter/Extranet 2. Configurar DNS, IPFW, SMTP, POP3 3. Configurar Squid y dar acceso a los usuarios para la navegación 4. Instalar y configurar Webmin. Crear perfiles de administración 5. Instalar Windows 2003 Server (software de prueba) en servidor de Intranet 6. Instalar Symantec Corporate Antivirus (software de prueba) 7. Configurar acceso del servidor a Internet vía el Proxy 8. Crear perfiles de todos los usuarios. Definir grupos de autorización 9. Configurar políticas básicas de seguridad y acceso 10. Instalar servicio Messenger 11. Configurar PC de los usuarios con todos los servicios A continuación se detallan las labores de implantación. 1. Instalar FreeBSD en servidor de Inter/Extranet 92 Se arrancará el servidor FreeBSD con el CD de instalación y se llenarán los formularios con los datos correspondientes a la implantación. Las particiones se crearán de la siguiente forma: / (Root, raíz del disco) Æ 5 % del espacio disponible /usr (Aplicaciones y datos) Æ 60% del espacio disponible /var (Temporales y archivos de ejecución) Æ 30% del espacio disponible Swap (Paginación de memoria) Æ 5% ó 3 veces el RAM Una vez instalado y reiniciado el sistema operativo, se procederá a configurar las interfaces de red. La interfaz WAN irá conectada directamente con un cable cruzado (586A---586B) al enrutador. La interfaz LAN irá conectada al switch de la red. La dirección WAN deberá ser 172.24.14.1 con máscara 255.255.0.0, y la ip de la interfaz LAN deberá ser 192.168.100.1, con máscara 255.255.255.0 2. Configurar DNS, IPFW, SMTP, POP3 y HTTP El DNS se configurará con los datos del dominio carabobo.una.edu.ve. Se configurará un registro MX para el servidor de correo mail.carabobo.una.ve. 93 El servicio IPFW se deberá configurar con los valores por defecto, y se activarán ó desactivarán ciertos puertos IP, de acuerdo con los requerimientos de seguridad. Para los servicios SMTP y POP3, los valores por defecto generalmente son suficientes, habiendo que configurar solamente los usuarios que tendrán su dirección de correos definida en la institución y sus accesos. La configuración del servidor http (Apache) es un poco más complicada, ya que requiere la configuración de la página del Centro Local Carabobo. Se deberá verificar que toda la página funciona correctamente, y se instalarán los módulos adicionales que sean requeridos. 3. Configurar Squid y dar acceso a los usuarios para la navegación El Squid se instalará y los valores por defecto son suficientes para acceso básico a la navegación. Se configurará el puerto 8080 como puerto de navegación y se reinicializará el Cache. Se deberá permitir o denegar el acceso a la navegación por rango de direcciones IP. Se configurarán los protocolos y servicios que serán permitidos y se eliminarán los que serán denegados. Una vez finalizada la configuración se puede dar acceso a los usuarios a la navegación y verificar su funcionalidad. 94 4. Instalar y configurar Webmin. Crear perfiles de administración Se deberá descargar de Internet la última versión de Webmin, porque la versión más actualizada contiene las últimas actualizaciones de seguridad para la herramienta. Se instala, y los valores por defecto son suficientes. Una vez instalada, se creará el usuarios “admin.” con todos los privilegios. Adicionalmente se crearán usuarios con privilegios reducidos para labores de administración de menos nivel, como crear usuarios, revisar colas de correo, administración del sitio Web, entre otros. 5. Instalar Windows 2003 Server en servidor de Intranet Se instalará el Windows 2003 Server (programa de prueba) en el servidor de Intranet configurándolo como PDC (Primary Domain Controller), con servicios de directorio activo (Active Directory Forest). 6. Instalar Symantec Corporate Antivirus Se recomienda la instalación del SCAV de inmediato para evitar cualquier intromisión de virus al momento de conectar el servidor a la red. De esta forma está asegurado en las primeras fases de la implantación. 95 7. Configurar acceso del servidor a Internet vía Proxy Se configurará la interfaz de red del servidor con la IP 192.168.100.2, con máscara 255.255.255.0 y como Default Gateway se colocará el servidor de Inter/Intranet. Asimismo al navegador se deberá colocar como dirección Proxy la del servidor de Inter/Intranet con puerto 8080. 8. Crear perfiles de todos los usuarios Seguidamente se configurarán todos los usuarios de la red. Se definirán grupos de autorización, dependiendo de la estructura organizativa de la institución. Se creará un usuario Visitante, un usuario Alumno y un usuario Profesor, con el mínimo posible de autorizaciones de seguridad, ya que son usuarios temporales y que no poseen un PC fijo, por lo que utilizarán los PC de los laboratorios de Computación. 9. Configurar políticas básicas de seguridad y acceso Las políticas de seguridad por defecto son muy poco detalladas, por lo cual se deberán definir las políticas generales del dominio, y restringir las políticas de usuarios por grupos de usuarios. Para ello se utilizará el Policy Editor Snap-in del Microsoft Management Console (MMC). 96 10. Instalar servicio Messenger Se instalará el software Microsoft Exchange Server, MSN Messenger Option para los servicios de mensajería. Estos servicios serán utilizados con la interfaz básica del Messenger que todos los PC poseen. 11. Configurar Pc de los usuarios con todos los servicios Se procedió a verificar cada PC de los usuarios de la red LAN, para configurarlas como miembros del dominio. Se le configurarán de tal forma, que tomen la dirección IP automáticamente del servidor. Se le asignará al usuario su cuenta y se probará el acceso a todos los servicios. Igualmente, se instalará el software Symantec Antivirus (en forma de cliente) y se le configurará el servicio Messenger. 1.5 – Fase de Validación Para la consecución de esta fase solo es necesario revisar los diferentes archivos de registro (LOGS) del sistema en sus diferentes capas. Además se realizaran pruebas de seguridad en línea. 97 1.5.1 - LOGS: FreeBSD-Unix: - Revisar todos los archivos del directorio /var/log. Entre los mas importantes se destacan: • Access.log: Seguridad de acceso al servidor • Maillog: transmisión de correo electrónico • Messages: Mensajes por consola Una vez efectuada esta revisión se verifico que todos los archivos de seguridad, transmisión de correo y mensajes por consola estaban activados y funcionaban de manera óptima. Windows 2003 Server - Revisar el visor de eventos (Event Viewer) de sistema, aplicaciones y seguridad. - Revisar los listados y reportes de revisión de escaneo de virus en el Symantec Antivirus Corporate - Se generaran reportes diarios, semanales y mensuales de toda esta información para asegurarse que la plataforma se comporta de la manera adecuada. 98 A través del reporte en pantalla se constato que tanto el visor de eventos de aplicaciones, escaneo de virus y la generación de reportes semanales y mensuales estaban activados y en buena funcionabilidad. 1.5.2 – Revisiones en Línea Para verificar el nivel de seguridad de acceso a la información, así como de la funcionalidad, existen diversos sitios que revisan la plataforma realizando pruebas externas. - Para revisar el acceso externo y las aperturas de los puertos del firewall, basta con ir al sitio: www.firewtest.com y ejecutar la revisión de seguridad - Para verificar la apertura del servidor de correo a correo no solicitado (SPAM) se debe ingresar al sitio: www.spamtest.com y ejecutar la prueba - Para verificar la velocidad de la navegación, se ingreso al sitio www.yahoo.com/speedtest y se ejecuto la prueba de velocidad de acceso a internet Las pruebas de verificación de la utilización de las distintas estaciones de trabajo en esta etapa se monitorearon, cuando al intentar un usuario ingresar a un software o herramienta en Internet no autorizada el sistema le negaba el acceso, igualmente la detección de virus por las capas de seguridad y la velocidad de navegación se incremento notablemente en comparación con el sistema instalado anteriormente. 99 CAPITULO IV CONCLUSIONES Después de la implantacion de la plataforma de software para la administración técnica de la Red Area Local (LAN Local Area Network) del Centro Local Carabobo, UNA , queda demostrado que toda organización sea de la naturaleza que sea, necesita un mínimo de seguridad para sus operaciones en línea, sobre todo cuando el acceso al exterior es parte del devenir diario de las operaciones. La seguridad es aun más necesaria, cuando existen usuarios externos que intentan acceder a información dentro de la organización, y cuando también existen usuarios itinerantes, que no hacen vida en la organización, pero regularmente visitan sus instalaciones y utilizan los computadores para generar información y navegación por internet. Luego de la consecución de este proyecto se obtuvieron los siguientes resultados: - La plataforma de redes se utiliza de forma adecuada considerando las políticas del acceso a Internet y utilización de dispositivos y software dispuestos por la directiva del Centro Local. 1 101 - La seguridad esta garantizada a un nivel de la sucesión de distintas capas, lo que disminuye la posibilidad de penetración de intrusos y virus adecuándose a las necesidades de la organización - La navegación y acceso a recursos en línea esta controlada, delimitando el uso de páginas restringidas ( Sexo, música, Juegos, Comercio, etc.) esta eliminado. - La factibilidad de acceso externo de personas ajenas esta controlado ya que cada usuario tiene su propio perfil que determina su clave de acceso a la red y al servicio de Internet. Tal como se puede demostrar, la estrategia utilizada para los servicios de administración técnica de la red LAN superan los requerimientos de la Universidad Nacional Abierta, Centro Local Carabobo, enmarcados en el Macroproyecto de Conectividad UNA, relacionado con la instalación de infraestructura para los laboratorios tecnológicos de comunicación y desarrollo, base para dar inicio a la plataforma segura para las tareas de índole administrativo, académico, de investigación y extensión. 2 BIBLIOGRAFÍA 1. Afzal, Amir (1997). “ Introducción a Unix” Ediciones Prentice Hall. Madrid. 2. Cimino, James ( 1997) “Intranets” Editorial Paraninfo. 3. Figueroa, Miguel (2003). Pasantia “Plataforma de Hardware para la Red de Area Local (L.A.N.,Local Area Network) en la U.N.A.- Centro Local Carabobo 4. Francés, A. (2001). “Estrategia para la Empresa en América Latina”. Ediciones IESA. Caracas. 5. O’ Brien, James A. (2001). “Sistemas de Información Gerencial”. Cuarta Edición. Editorial McGraw Hill. 6. Palmer, Michael J. (2000). “Redes Informáticas”. Editorial Paraninfo. 7. Plant R. (2001). “e-Commerce. Formulación de una Estrategia”. Editorial Finantial Times, Prentice Hall. Edición en español publicada por Pearson Education. S,A. 8. Universidad Pedagógica Experimental Libertador UPEL (1998).” Manual para Trabajos de Grado “ 9. Stanek, William. “ Manual del Administrador Windows Server 2003” Editorial McGraw Hill. 10. Stalling, W. (1999). “Comunicaciones y Redes de Computadoras”. Quinta Edición. Ediciones Prentice Hall. 11. Thompson Artur y Strickland, A.J. (2001). “Administración Estratégica”. Undécima Edición. Editorial McGraw Hill. 12. En el proyecto “Desarrollo de una plataforma tecnológica basada en redes de comunicación, para la Estación Experimental Jaime Henao Jaramillo” (Héctor Galindo Mundaray, 2002) ; tut. Mireya Delgado -Maracay 13. TESIS: Redes de información Tecnología de la información Mireya ; Galindo Mundaray, Héctor ; Delgado, 3 14. Proyecto de red para la automatización de actividades de ingeniería. / Marcelino. Díez Castro --Bolívar 277 h.il.28 cm TESIS: Redes de información Automatización ; Universidad Nacional Abierta (Venezuela). Centro Local Bolívar ; Díez Castro, Marcelino. Solicite el material por este código: T-I.Die.1996