REPÚBLICA BOLIVARIANA DE VENEZUELA UNIVERSIDAD RAFAEL BELLOSO CHACIN FACULTAD DE INGENIERÍA ESCUELA DE INFORMÁTICA PROYECTO FINAL REDES Y TELEPROCESO II SECUREWARE, S.A. PRESENTADO POR: Abner Nuñez Leandra Laguna PROFESOR: Ing. Luis G. Molero MSc. Maracaibo, Julio 2008 2 INTRODUCCIÓN El propósito principal de este proyecto es presentar un diseño de la red wan para la empresa Secureware, S.A, con sede principal en la ciudad de Caracas, que le permita conectarse con las localidades: Maracaibo, Barquisimeto, Cabimas y Buenos Aires (Argentina). Entre los servicios que tendrán acceso con este diseño se ofrecen: Acceso a Internet, Seguridad lógica y física, Servicios Web (Intranet/Extranet), Correo electrónico interno y externo, servicio de FPT, sistemas de VoIP, Videoconferencia, servicios de directorio activo, Gestión en todas las sedes. En la presente propuesta se seleccionaron las tecnologías de enlaces de Frame Relay para Caracas – Buenos Aires, Caracas – Barquisimeto, E1 para Caracas – Maracaibo, Maracaibo – Cabimas y enlace óptico inalámbrico (FSO) para conectar Maracaibo-Delicias con Maracaibo San Francisco. También se definen el hardware/software, especificaciones técnicas, configuraciones, implementaciones, proveedores seleccionados para cada servicio ofrecido. Se presenta presupuesto total de inversión en hardware y software, así como también los costos mensuales que deben pagar para mantener activo este diseño. 3 CASO DE ESTUDIO EMPRESA: SECUREWARE, S.A. SEDE PRINCIPAL: CARACAS Secureware S.A, es una empresa de software que desarrolla aplicaciones de seguridad basándose en tecnologías de reconocimiento visual, por voz y por detección de movimiento. Secureware S.A, ha creado un departamento de investigación a nivel de Latinoamérica para potenciar este tipo de tecnologías combinándolas con programas de inteligencia artificial. Clientes habituales de esta empresa son gestores de transporte público, como aeropuertos y líneas de metros y ferrocarriles, agencias de seguridad privada y pública de diferentes países y compañías con altos niveles de exigencia en cuanto a seguridad. Como hecho relevante, el éxito de un algoritmo de aceleración en los procesos de reconocimiento visual aplicando técnicas de difracción a las imágenes podría suponer una importante expansión de la empresa. En este sentido y debido a la envergadura de Secureware, S.A, se hace necesario el diseño completo de una red de tipo WAN que permita conectar las siguientes locaciones País Capital Argentina Buenos Aires Venezuela Caracas Venezuela Maracaibo Venezuela Barquisimeto 4 Habilitando para ello, los siguientes servicios comerciales. 1. Proveer Acceso a Internet controlado. 2. Seguridad lógica y física en todos los niveles de la organización. 3. Brindar el servicio Web para la publicación en Internet. 4. Brindar el servicio de correo electrónico para el uso interno y externo. 5. Proveer del servicio FTP. 6. Sistemas de VoIP y/ó esquemas de voz provistos por terceros. 7. Videoconferencia. 8. Servicios de directorio activo. 9. Gestión 10. Presupuesto. 5 DETALLE DE PROPUESTA DE DISEÑO DE RED WAN CASO DE ESTUDIO: SECUREWARE, S.A 1. CLASES DE TRAFICO Calculo de Ancho de Banda y Tipos de tráfico A continuación se especifican el tráfico que se estará manejándose entre sucursales: Tráfico Latencia SMTP Correo Electrónico http Navegación Internet TCP/UDP Videconferencia Active Directory Replication VOIP/Gatekeeper H323 tiempo=35ms TTL=126 Ancho de banda tiempo=10ms TTL=123 128 Kbps (1024 Kbps. DPL) 128Kbps (1024Kbps Fr768Kbps CIRC) 256 Kbps E1 (2048Kbps) 64 Kbps tiempo=25ms TTL=123 128Kbps FTP tiempo=30ms TTL=123 128Kbps HTTPS/http Extranet/Intranet tiempo=120ms TTL=123 64Kbps. tiempo=150ms TTL=135 tiempo=10ms TTL=123 2. TOPOLOGÍA DE LA RED Diseño Lógico Los esquema de configuración de Red LAN y WAN propuesto para Secureware, se pueden apreciar en los Anexos detallados a continucación: • Esquema Configuración Red Secureware Caracas • Esquema Configuración Servidores Secureware Caracas • Esquema Configuración WAN Áreas Regionales • Esquema Configuración Servidores Áreas Regionales 6 3. ESTIMACIÓN DE ANCHO DE BANDA Tabla de estimación Tráfico Caracas - Buenos Aires Caracas – Barquisimeto Caracas - Maracaibo Caracas – Internet Maracaibo - Cabimas Maracaibo – San Francisco Ancho de banda real 1024 Kbps CIRC 768Kbps 384 Kbps CIRC 256Kbps 2048 Kbps 1024 Kbps CIRC 768KBps 2048 Kbps 1.25 Gbps Ancho de banda estimado 896 Kbps 512 Kbps 17292 Kbps (McboCabimas) 512 Kbps 896 Kbps 896 Kbps 4. TECNOLOGÍA DE ENLACE Esquemas de conexión WAN ( Frame-Relay, E1, FSO) Especificaciones técnicas: Se utilizarán enlaces Frame Relay entre el área internacional con Caracas y enlaces de tipo E1 para la conexión de voz y datos entre las sucursales regionales a excepción de Barquisimeto – Caracas, la cual se estará usando enlace Frame-Relay. Caracas – Buenos Aires Argentina Frame relay 1024 Kbps CIRC 768 Kbps Maracaibo - Caracas E1 2048Kbps Maracaibo – Cabimas E1 2048kbps Barquisimeto – Caracas Frame relay 384 Kbps CIRC 256Kbps Maracaibo Delicias – San Francisco FSO Caracas – Internet Frame-relay 1024 kbps. 1.25Gbps 7 Se colocarán 5 Torres a lo largo de la Circunvalación 2, a fin de repetir la señal cada 2.5 Kmts. Tecnología Velocidad máxima Detalles de implementación .- Ultima Milla con pares de cobres desde CANTV hasta el FX-Base del Edificio. .- Instalación de DTU MainStreet 2801. .- Conectorizacion tipo V35 desde DTU hasta el router Cisco 3640 con CABLE DTE al puerto serial 0/0. .- Configuración de E1 Controller en el router cisco, definiendo un canal común de 20 canales, 10 entrantes y 10 salientes con señalización de tipo DTMF. .- Configuración de los Dial peer Pots con los prefijos de marcado y enrutamiento de paquetes de voz. .Implementación de políticas de QoS sobre el segmento de red de VoIP, aplicando técnicas de MAP-CLASS. CIRC I.- Instalación de ultima por parte de IMPSAT usando enlace Microondas entre Telecolor y azotea del edificio. .- Instalación de Mástil y RADIO-PAD BOSH. .Instalación y configuración de Multiplexor ACT Networks 9400 SDM. .- Configuración de PVC E1 2048Kbps FRAME-RELAY 1024Kbps 768Kbps 8 FSO Conexión 1000 de voz y datos. . -Asignación de prioridad en canales de tipo E&M. .- Instalación y montaje de la plataforma y el hardware. .- Montaje del FSO y conexión de cables. .- Sistema de Alineación. .- Verificar las conexiones y los alineamientos. 1,25Gbps Equipamiento de Enrutamiento Especificaciones técnicas: (1) Cisco 3640 (E1 Controller, 2 Wan Serial 2 Fast Ethernet, NVRAM 4048Kbyte, IOS 13.6. VERSION (4) Cisco 2620 (E1 Controller, 2 Wan Serial 2 fast Ethernet, NVRAM 4048Kbyte, IOS 12.4. VERSION (1) Cisco 2502 (2 Wan Serial 1 Ethernet, NVRAM 2048Kbyte, IOS 12.4. VERSION 5. SERVICIO DE INTERNET Proveedores del servicio CANTV Frame Relay Set de Direccionamiento Publico Dirección de red 200.44.56.137/27 Esquema de ancho banda Ancho de banda. 1024Kbps CIRC 768Kbps. Implementaciones de Software/Hardware Software: Implementación de Servidor Proxy Squid 2.0 (Sistema Operativo DEBIAN) 9 Cache limit Size : 20Gb (red Interna 172.28.36.11) Externa (200.44.56.139/24) Servicio de Filtrado de contenido Web. Aplicación Web Sense 3.0 Hardware: Hp Proliant DL-380 G4 Especificaciones Técnicas RAID 5, 4 HD 36 Gb, 2 Gb de Memoria RAM, Interfases Fast- ethernet 10/100Mbps 6. SEGURIDAD LÓGICA Y FÍSICA Firewall y Configuración FirewallCheckpoint NG 56 VPN-PRO Autenticación VPN Ipsec y MD5 Encriptación Definición de Reglas NAT: 1.- NAT INSIDE correo Registro MX CANTV 2.- NAT OUTSIDE Navegación Internet Servicio asociados a la navegación : (HHTP, HTTPS,DNS,FTP, ICMP,POP,SMTP) Configuraciones Definición de reglas de trafico. Validación de estaciones de administración. Administración de logs de seguridad y control de eventos. Implementación Segmentación física del área DMZ, a través de la utilización de un Switch Capa 2 y 3, para el manejo del rango publico definido. 10 200.44.56.136/27 Dirección red Frame Relay 200.44.56.136 Network Address 200.44.56.137 Fast Ethernet Cisco 2520. 200.44.56.138 Dirección Externa FW Checkpoint 200.44.56.139 Registro MX Secureware.com 200.44.56.140 NAT-OUTSIDE Proxy Squid 2.0 200.44.56.141 Extranet Secureware. 200.44.56.142 Videoconferencia INTERNET. 200.44.56.143 Broadcast Address 7. HOSPEDAJE WEB Implementaciones Indoor Equipamiento: Hp Proliant DL360 G5 RAID 5 36 Gb DD, 2 Gb RAM .- Microsoft Windows 2003 .- Internet information Server 5.0 .- .Net FrameWork. Configuraciones: Definición de 3 instancias de administración y servicios. 1.- Instancia de Intranet usuarios SecureWare .- Acceso OWA Outlook Web Access. .- Administración y control de solicitudes de servicios internos .- Área de Publicación y Actualización intranet 2.- Área de Extranet 11 Definición de Acceso DMZ en conexión con FW Checkpoint. Aplicaciones publicas y conexión a la base de datos de producción. Generación de peticiones de servicios Clientes Externos. Agenda de Videoconferencia. 8.- CORREO ELECTRÓNICO Implementaciones Indoor (2) Servidores Microsoft Exchange 2003. (Caracas y Buenos Aires) (1) Barracuda SPAM FIREWALL 300 Hosting de Registro MX CANTV.NET Servicios de IMAP, MAPI, POP3, WEBMAIL http: Equipamiento: Compaq Proliant DL380 G4 RAID 5 DE 172GB Configuraciones: Creación del Dominio de Correo Definición de la Organización Exchange SECUREWARE Creación de Site Exchange Creación y definición de plantillas de buzones Definición de conectores X-400 Definición de Virtual SMTP Server. (Salida o conexión NAT Internet) Configuración del Exchange Mailbox Store Creación de Buzones de Correo con Active Directory Definición de políticas para la convención de Nombres tipo DC-OU Búsqueda de nombres y objetos usando LDAP protocolo. 12 9. SERVICIOS FTP Implementaciones Indoor Equipamiento: Hp Proliant DL360 G5 RAID 5 70 Gb DD 2 Gb RAM, S.O. Linux DEBIAN 4.0, FTP Services Configuraciones: Implementación de acceso y seguridad se utilizará políticas de trafico y control basado en IPTABLES. ------------------------------------------------------------------------#Realiza el flush inicial de cache ARP y RARP. iptables -F iptables -t nat -F iptables -P INPUT DROP iptables -P FORWARD DROP modprobe ip_conntrack_ftp modprobe ip_nat_ftp iptables -A INPUT -j LOG #para negar paquetes icmp iptables -A INPUT -p ICMP -i eth0 --icmp-type echo-request -j DROP iptables -A INPUT -p tcp --dport 6000 -j DROP iptables -A INPUT -p udp --dport 6000 -j DROP iptables -A INPUT -p tcp --dport 23 -j DROP iptables -A INPUT -p udp --dport 23 -j DROP iptables -A INPUT -p tcp --dport 20 -j ACCEPT # ftp 13 iptables -A INPUT -p tcp --dport 21 -j ACCEPT # ftp #iptables -A INPUT -p tcp --dport 53 -j ACCEPT # dns #iptables -A INPUT -p udp --dport 53 -j ACCEPT # dns iptables -A INPUT -p tcp --dport 80 -j ACCEPT # http iptables -A INPUT -p tcp --dport 110 -j ACCEPT # pop #iptables -A INPUT -p tcp --dport 443 -j ACCEPT # https #iptables -A INPUT -p tcp --dport 10000 -j ACCEPT # webmin iptables -I INPUT -i lo -j ACCEPT iptables -I OUTPUT -o lo -j ACCEPT iptables -I FORWARD -j ACCEPT echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -I POSTROUTING -o eth0 -s 10.157.10.0/24 -j MASQUERADE iptables -I INPUT -s 10.157.10./24 -i eth1 -j ACCEPT # doy via libre a la red interna iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Permite el acceso de las redes internas o validadas con VPn Server al servicio FTP de Secureware. # ftp server iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 21 -j DNAT --to 10.157.10.11:21 iptables -A FORWARD -p tcp -i eth0 -d 10.157.10.11 --dport 21 -j ACCEPT 14 iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20 -j DNAT --to 10.157.10.11:20 iptables -A FORWARD -p tcp -i eth0 -d 10.157.10.11 --dport 20 -j ACCEPT iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT 10.- SISTEMA VOIP Se utilizará un servicio de H323 Gatekeeper de Cisco y la capacidad de Voip de las centrales NEC IPS 200 las cuales trabajan de manera Hibrida, es decir, proveen servicios de telefonía Analógica y telefonía Voz sobre IP a través de sus tarjetas IP-PAD y IPAD1 de compresión de voz. Equipamiento: (1) Cisco 1760 con IOS Call Manager Express. (4) Centrales NEC IPS 200 1 PIM por cada sede, menos Caracas, capacidad de 3 PIM ( 200 Extensiones Máxima) Software: IOS ver 13.6 con capacidades de compresión y enrutamiento de paquetes IP. Sistema Operativo NEC MatWorks 2.01 Configuraciones: 1.- En la sede Principal en Caracas, se tendrá un E1 de CANTV definido 15/15, es decir 30 canales. La posibilidad de recibir 200 números entrantes a través de un master, que serán recanalizados y enrutados a las diferentes sedes. Los esquema en el plan de numeración se reflejan como sigue : 15 Caracas 1xx 65 Usuarios Maracaibo 2xx. 45 Usuarios Cabimas 2xx 30 Usuarios Barquisimeto 3xx 30 Usuarios Argentina 25 Usuarios 4xx A través del sistema de Voip y el Call Manager Express de Cisco, se tiene la posibilidad de conectar Laptops, Pcs y Equipos de telefonía abierta usando el protocolo H323, el cual se podrá comunicar a los usuarios móviles entre sucursales. Los equipos que se conecten a la Pbx NEC IPS 200 tendrán la ventajas de utilizar todos los servicios instalados sobre ella, tales como: PADLOCL, LDN, LDI, Do not Distrub, call Back, Hunting Gorup, entre otros. En los routers la aplicación de dialpper y Pots permitirán enrutar el trafico de VoIP a través de las distintas sucursales, ahorrando costos y permitiendo una comunicación segura y confiable. Dial Peer Configuration Voice over IP Network Dial Destination Voice Peer Extension Prefix Pattern Type Port Session Target Router CISCO 3640 Caracas 1 1001 2 10012xx POTS 0:D — 2 1001 3 10013xx. POTS 0:D — 3 1001 4 10014xx POTS 0:D — 10 — — ------------ VoIP 10.157.20.21 — 10.157.30.21 10.157.40.1 16 10.157.50.1 Router CISCO 2620 Maracaibo, Cabimas, Barquisimeto, Argentina 1 1000, 1001, 1002, 1003 — 10012xx.. POTS 0:D — VoIP 10.157.10.21 10013xx.. 10014xx.. 10 — — 1408....... — 11. VIDEOCONFERENCIA Se instalarán Equipos Picturetel PT900 para cada área. Equipamiento (5) Polycom Picture TEL PT900 Software: Polycom Vx900s (Software para Pcs) Configuraciones: Definición inicial del Gatekeper 10.157.10.175 Extensión 1001101. Multipunto de videoconferencia. Configuración de PIP Picture and Picture. Definición de cámaras y ajuste automático para la detección de movimiento. Preajustes de comparticion de recursos y desktops remotos. Colaboración y servicios de ambientes digitales. Trabaja simultáneamente en un documento y controla los cambios desde cualquier sala. 12. SERVICIOS DE DIRECTORIO 17 Configuraciones: Creación inicial del Forest Primario Creación del Primer DC Domain Controller SECUWARE.COM Instalación y configuración del servicio DNS Definición del Reverse LookUp Zone Configuración del Servicio DHCP y sus respectivas zonas de Direccionamiento: Caracas 10.157.10.0/24 Maracaibo 10.157.20.0/24 Cabimas 10.157.30.0/24 Barquisimeto 10.157.40.0/24 Buenos Aires 10.157.40.0/24 Creación de parámetros a entregar por área en DHCP: Default Gateway 10.157.10.1 ROUTER CISCO3640 CCs, en cada area se instalará su respectivo Router DNS server : 10.157.10.15 Active Directory SECUWARE05 DOMAIN NAME : secuware.com BOOTP : NO .- Definición de Grupos Globales, Grupos locales y usuarios por Área .- Implementación de la OU Unidades organizaciones para la delegación de administración por área. .- Creación y definición de buzones de correo con Microsoft Exchange 2003. .- Implementación de Logins Scripts y políticas iniciales para la periodicidad de tiempos en cuentas de accesos a la red. Software: 18 (2) Servidores Microsoft Windows 2003 Advanced Server, se instalará uno (1) en Caracas y uno (1) en Buenos Aires. Gestión de red En Caracas Hardware (2) Swicht 3com 4400 de 24 puertos (1) Switch 3com 4900 de 12 puertos 10/100/1000 Bps Software: .- Monitoreo y control de flujo con Solarwinds de Orions .- Herramienta de monitoreo para los servicios LAN/WAN a través del protocolo ICMP, SNMP. En Áreas Regionales e Internacionales Hardware: (2) Swicth Cisco Catalyst 2960 de 24 Puertos Configuraciones: .- A través de puertos Gigaethernet se crearán Backbones de conexión trasera definiendo un arreglo único de de swicht por cada área. .- En el Swicht 3com 4900 Gigaethernet se colocarán los servidores de Active Directory, Mensajeria, Videconferencia, FTP y Web, a fin de ofrecer un mejor rendimiento en el acceso y uso de los datos. El área DMZ en la que esta el Firewall Checkpoint, el sistema BARRACUDA SMTP Antispan y los servidores WEB Y FTP, serán conectados en un dispositivo de capa 2 diferente a la red Local.