Subido por Christian Kichan

CASO 5 - CHRISTIAN SENZANO SOLIZ

Anuncio
UNIVERSIDAD PRIVADA DE SANTA CRUZ FACULTAD
DE EDUCACIÓN & TECNOLOGÍA
Carrera de Ingeniería en Redes y Telecomunicaciones
PROPUESTA DE RED DE GESTION Y SEGURIDAD PARA
CADENA DE COMIDA RAPIDA “Q’RAPIDA”
Trabajo de grado para optar al título de licenciado en
Ingeniería en Redes y Telecomunicaciones
DOCENTE: ING. GUSTAVO PEREZ F.
Christian Josel Senzano Soliz
Santa Cruz, Bolivia – 2018
2
CONTENIDOS
1 INTRODUCCIÓN .......................................................................................................... 6
2 MARCO TEORICO .......................................................................................................... 6
2.1 Redes de datos ............................................................................................................. 6
2.2 Servidores .................................................................................................................... 6
2.3 Protocolo de red .......................................................................................................... 7
2.4 LAN (local área network) ........................................................................................... 7
2.5 VLAN (virtual local area network) ............................................................................. 8
2.5.1 Beneficios de las Vlan .......................................................................................... 8
2.6 WAN (wide area network) .......................................................................................... 9
2.7 Seguridad de la Información ..................................................................................... 10
2.8 Seguridad informática ............................................................................................... 10
2.9 Gestion de Redes ....................................................................................................... 11
2.10 Áreas Funcionales de la gestion de Redes .............................................................. 11
2.10.1 Gestion de Configuraciones ............................................................................. 11
2.10.1 Gestion de Prestaciones.................................................................................... 11
2.10.1 Gestion de Fallos .............................................................................................. 12
2.10.1 Gestion de Seguridad ....................................................................................... 12
2.10.1 Gestion de Costos ............................................................................................. 12
2.11 Modelo de Gestion OSI ........................................................................................... 12
2.12 Virtualización .......................................................................................................... 12
3
2.13 Gestor de Red .......................................................................................................... 13
2.14 SNMP (Simple network Management Protocol) .................................................... 13
2.15 Modelo de Gestion TMN ........................................................................................ 14
2.15.1 Esquema de Arquitectura TMN ....................................................................... 14
2.15.2 Arquitectura Física TMN ................................................................................. 15
3 PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS .............................................. 16
3.1 Planteamiento del problema ...................................................................................... 16
3.1.1 Antecedentes .......................................................................................................... 16
3.1.2 Problemática .......................................................................................................... 17
3.2 OBJETIVOS ............................................................................................................. 17
3.2.1 Objetivo General .................................................................................................... 17
3.2.2 Objetivos Específicos............................................................................................. 18
4 DISEÑO Y DESARROLLO DEL PROYECTO ............................................................ 19
4.1 Rediseñar la red LAN Y WAN ................................................................................. 19
4.2 Realizar los cálculos del tendido de la fibra óptica para reemplazar al radio
enlace. ............................................................................................................................. 26
4.3 Plantear una arquitectura de firewall para el nuevo diseño de la red de todas las
sucursales, teniendo en cuenta los objetivos de la empresa. ........................................... 32
4.4 Se debe monitorear la red desde la oficina central implementando el modelo de
gestion TMN. .................................................................................................................. 33
4.5 Proponer medidas que permitan eliminar las problemáticas planteadas en el punto
anterior. ........................................................................................................................... 36
4.5.1 Perdida de Comunicación de algún enlace. ........................................................... 36
4
4.5.2 Equipos desactualizados de todos los usuarios. ..................................................... 36
4.5.3 Ataques a la Red. ................................................................................................... 37
4.5.4 Puertos Abiertos. .................................................................................................... 38
4.5.5 Software Malicioso. ............................................................................................... 48
4.5.6 Existen algunos días que la red deja de funcionar, la solución que tienen es apagar
dispositivos y volverlos a encender para que la red vuelva a dar servicio. .................... 49
4.5.7 Frecuentemente los usuarios no tienen acceso a las bases de datos....................... 50
4.5.8 Se presume que hay ataques de denegación de servicios ya que por momentos deja
de haber internet para los usuarios. ................................................................................. 50
4.5.9 No cuenta con los eventos de posibles vulnerabilidades que tiene la red. ............. 51
4.6 Los videos de las cámaras de vigilancia se deben monitorizar desde la central y
almacenar en el CPD. Se sugiere hacer los backup solo por las noches en forma
automática. ...................................................................................................................... 51
4.7 Se requiere un diseño a largo plazo (8 años) con redundancia en capa 2 y capa 3. .. 55
4.10 Centralizar el acceso a internet por la oficina central. ............................................ 56
4.11 Utilizar un servidor para hacer gestión de Fallas. ................................................... 56
4.12 Utilizar un servidor para hacer gestión de rendimiento. ......................................... 63
4.13 Utilizar un servidor para hacer gestión de seguridad de redes. ............................... 69
4.14 Utilizar un servidor para hacer gestión de configuración. ...................................... 73
4.15 El presupuesto que se tiene es de $us 35000 para el re diseño de la red LAN y WAN.
........................................................................................................................................ 77
5 CONCLUSIONES ........................................................................................................... 78
5
INTRODUCCIÓN
Los servicios de tecnologías de la informacion, la plataforma tecnológica, los
departamentos de sistemas, la conectividad y las líneas de comunicaciones se están
convirtiendo cada vez más en la base y columna vertebral sobre la que las organizaciones
gestionan sus negocios y se comunican y realizan transacciones. Dicha infraestructura
crece y se vuelve más compleja a medida que se introducen nuevos servicios con el objeto
de llegar a nuevos mercados o de mejorar la calidad.
La necesidad de estar en constante búsqueda de maneras más eficientes de utilizar los
recursos para la gestion de los equipos responsables de mostrar el estado del servicio en
subestaciones y centrales; para lo cual se contará con sistemas de gestion y control de los
procesos por medio de los cuales se garantiza un control, con el cual los operadores tienen
una supervisión sobre los procesos de los recursos de la red.
La información como uno de los activos más importantes para cualquier empresa, requiere
que se proteja y asegure su confidencialidad, disponibilidad e integridad. Para lo cual, al
interior de toda empresa o negocio, se generan estrategias en cuanto a seguridad de la
información, abarcando desde normativas o políticas empresariales hasta la implementación
de seguridad virtual y física.
Debido al avance tecnológico la información ha pasado de estar en medio físico a un medio
digital, el cual solo pueda ser accedido por las personas idóneas. Lo que hace necesario crear
un modelo de red que sea más segura y confiable, en donde los distintos niveles de
información, posean también distintos niveles de seguridad.
6
2 MARCO TEORICO
2.1 Redes de datos
Son redes de comunicación en las que se han diseñado para transmitir datos. Las redes de
datos es un método eficaz de compartir la información a los usuarios aumentando la
productividad mientras se ahorra dinero y evitar la duplicación del equipo y de los recursos.
2.2 Servidores
En un entorno de sistema operativo de red, los usuarios acceden y comparten recursos de
uno o varios servidores, por lo que deben estar equipados para soportar el acceso recurrente
de los usuarios y múltiples tareas, es recomendable adquirir el equipo con unidades de disco
de alta capacidad y velocidad.
Los sistemas operativos de red están diseñados para proporcionar procesos de red a los
clientes, estos servicios más frecuentes incluyen World Wide Web, compartición de
ficheros, intercambio de correo, administración remota, impresión, servicios de directorios.
Los servicios basados en este conjunto de protocolo son vulnerables a análisis no
autorizados y ataques maliciosos como DoS (Denial of Services) por lo que se recomienda
proteger los recursos mediante autenticación y encriptaciones.
7
2.3 Protocolo de red
Son un conjunto de reglas que permiten la comunicación de la red desde un host hasta otro
host pasando a través de las redes. Estos protocolos determinan el formato, la secuencia,
sincronización y el control de errores en la transmisión y recepción de datos.
2.4 LAN (local área network)
Es una red de datos que cubre un área geográficamente pequeña y limitada, que conectan
las estaciones de trabajo, terminales, dispositivos ya sea en un edificio, oficina o campus.
Una LAN consiste en computadoras, dispositivos periféricos, dispositivos de Red, Tarjetas
de Interface de Red (NICs). Proveen conectividad todas las 24 horas y utilizan las normas
de la capa física y la capa de enlace de datos del modelo OSI. Ehternet, FDDI y Token Ring
son algunas de las tecnologías LAN más comunes aunque el estándar más utilizado es el
Ethernet.
8
2.5 VLAN (virtual local area network)
Un grupo de dispositivos que están configurados de un modo que puedan comunicarse
como si estuvieran conectados por el mismo cable. Las VLAN segmentan lógicamente las
redes conmutadas basándose en las funciones. Se utilizan las VLAN para escalar, mayor
seguridad y administrar el flujo de tráfico.
2.5.1 Beneficios de las Vlan
Cada año las empresas crecen y se reorganizan continuamente, las VLAN facilitan el diseño
de una red para dar soporte a los objetivos de una organización. Los principales beneficios
en la implementación de las VLAN son los siguientes:
✓ Los usuarios que manejan datos sensibles están separados del resto de la red,
disminuyendo las posibilidades de comprometer los datos, garantizando mayor
seguridad.
✓ Reducir el uso ancho de banda haciendo más efectiva la red debido a que reduce el
tráfico de datos innecesarios.
✓ Reduce los dominios de difusión.
✓ Administración centralizada y efectiva para el administrador de red.
9
2.6 WAN (wide area network)
Las WANs interconectan LANs, es decir que abarcan áreas geográficamente grandes,
permitiendo a las empresas comunicarse entre sí a pesar de las distancias. Tiene la
capacidad de comunicarse en tiempo real con diferentes usuarios, permitiendo el acceso a
recursos de otras ciudades.
La principal variación entre WAN y LAN es la escalabilidad. Se espera que la WAN se
estire porque el requisito de cubrir varias ciudades, incluso países y continentes, es una
necesidad. Un grupo de conmutadores y enrutadores están interrelacionados con una red de
área amplia. Los conmutadores se pueden conectar en diversas localidades como red
completa y redes parciales también. Una red de área amplia puede ser confidencialmente
poseído o contratado de un proveedor de servicios, pero no se puede ignorar el hecho de
que cubre varios servidores.
10
2.7 Seguridad de la Información
Cuando se habla de Seguridad de la Información se indica que dicha información es muy
valiosa y se debe proteger, conociendo, gestionando y minimizando los riesgos o
amenazas, con mecanismos o conjuntos de medidas técnicas destinadas a la integridad,
confidencialidad y disponibilidad de la información, trazando planes de acción apoyándose
en la Seguridad Informática y políticas o normativas de Seguridad de esta manera se
protege la información de una organización, independientemente del lugar en que se
encuentre, papel, discos duros, memorias portables o medios digitales.
•
•
•
Integridad: Asegura que la información es completa, no modificada y completa, se
conoce el autor.
Confidencialidad: Asegura que a la información solo tiene acceso quien esté
autorizado debiendo ser legibles y modificables.
Disponibilidad: Asegura que la información siempre sea accesible en un momento
necesario.
2.8 Seguridad informática
La seguridad informática se encarga de implementar técnicas de protección, es decir, se
refiere a la protección de infraestructuras de las tecnologías de la información y
comunicación que soportan la operación de una organización, centrándose en hardware y
software, como son antivirus, firewalls, detección de intrusos, entre otros elementos,
además, de los enfoques técnicos los especialista en seguridad se manejan con las
vulnerabilidades y con amenazas bajo la forma de ataques, para poder mitigar los riesgos,
teniendo en cuenta políticas de seguridad para poder analizar y diseñar posibles
responsabilidades y reglas para evitar amenazas o minimizar los efectos.
11
Riesgos
Ausencias de normas
Errores del personal
Control insuficiente
Seguridad de la
Información
Vulnerabilidades &
Amenazas
Seguridad
Informática
Virus
Spam
Contraseñas
2.9 Gestion de Redes
Consiste en la monitorización, el sondeo, configuración, evaluación, análisis y control de
los recursos de una red para conseguir niveles de trabajo y adecuados a los objetivos de
una instalación y una organización; mediante tareas de despliegue, integración y
coordinación de hardware, software y elementos humanos.
2.10 Áreas Funcionales de la gestion de Redes
2.10.1 Gestion de Configuraciones
la gestión de configuración maneja el conjunto de recursos y procesos de red que operan
entre sí de forma apropiada. Asimismo, se ocupa de la inicialización, mantenimiento y
finalización de componentes individuales y subsistemas lógicos de la red. En tal sentido,
la gestión de configuración puede indicar el proceso de inicialización, identificando y
especificando las características de los componentes y recursos que constituyen. También,
se especifican valores iníciales o por defecto para los diferentes atributos, de forma que los
recursos gestionados comiencen a operar en los estados deseados, teniendo los valores de
atributos deseados y las relaciones adecuadas con otros componentes de la red.
2.10.1 Gestion de Prestaciones
La gestión de prestaciones asegura el correcto funcionamiento del entorno de red
empleando para ello criterios de grado y calidad de servicio. Asimismo, mantiene un
permanente monitoreo de la red para evitar embotellamientos, determina los parámetros
de calidad de servicio y recoge y procesa los datos medidos tales como tráfico para generar
los informes correspondientes. En esta gestión, se establecen los indicadores apropiados
para monitorizar adecuadamente las prestaciones de la red, entre ellos se encuentran:
medidas orientadas a servicios y orientadas a eficiencia; los cuales se describen a
continuación.
12
2.10.1 Gestion de Fallos
la gestión de fallos se encarga de detectar los fallos en la red lo más rápido posible, así
como también, identificar sus causas para corregirlos con el fin de mantener la red
disponible ante cualquier situación. Estas actividades se logran a través del monitoreo de
la red y estado del sistema (Enable, Unable, Disable: Activado, desactivado temporalmente
o desactivado), la recepción y procesamiento de alarmas, el diagnóstico permanente de los
elementos de red y las medidas de recuperación ante errores. A continuación, se describen
elementos importantes tales como: los archivos históricos, conocidos también como
archivos logs, y administrador de red; que son piezas importantes dentro de las actividades
descritas con anterioridad en función de la gestión de fallos.
2.10.1 Gestion de Seguridad
La gestión de seguridad se encarga de proteger el activo más importante de la organización
que corresponde a la información que se genera diariamente. Adicional a ello, se encarga
de proteger los equipos de comunicación, servidores y estaciones de trabajo de posibles
ataques proveniente de terceros para mantener la integridad del sistema.
2.10.1 Gestion de Costos
La gestión de costos conocida también como gestión de contabilidad, se basa en el registro
del uso de los recursos y servicios proporcionados por la red a los usuarios estudiando para
ello su distribución en relación con las políticas de tráfico todo esto, de acuerdo con las
necesidades de la organización. En esta gestión se hacen mención de: funciones, recursos
y datos obtenidos.
2.11 Modelo de Gestion OSI
Según Martí (1999) el modelo de gestión OSI comprende la administración de sistemas
que delimita la operación de cualquiera de las siete (7) capas del modelo OSI (capa n) y la
administración de los objetos gestionados (MOs), en los cuales se plantea el modelo de
información, organización, comunicación y función, considerados sub-modelos del
modelo OSI.
2.12 Virtualización
La virtualización es una tecnología que permite crear servicios de TI útiles, con recursos
que están unidos tradicionalmente al hardware. Permite utilizar toda la capacidad de una
máquina virtual, porque distribuye sus capacidades en varios usuarios o entornos.
13
2.13 Gestor de Red
El personal a cargo de la gestión de redes dentro de una empresa que trabaja con
tecnologías de la información tiene una gran responsabilidad. Debe asegurar que la red
funcione todo el tiempo, rastrear todos los dispositivos conectados, monitorear la
transferencia de datos y solucionar problemas con el ancho de banda. Para cumplir con
estas funciones, existe software de gestión de redes que ayuda para controlar la red y
observar inmediatamente aquellos problemas que requieren atención.
Ventajas principales del software de gestión de redes:
•
•
•
•
•
•
Minimiza el tiempo de caída del sistema de conexiones.
Detecta fallas en los dispositivos de red.
Es compatible para verificar el vínculo con diversos dispositivos que se incorporan
a la red (teléfonos móviles, ordenadores, tablets, impresoras).
Elabora un registro detallado de situaciones problemáticas, para ayudar a prevenir
que vuelvan a ocurrir.
Con la ayuda de diversos sensores, brinda alertas antes que se produzcan
situaciones críticas.
Permite adaptar su configuración a las características propias de la red de la
empresa.
2.14 SNMP (Simple network Management Protocol)
El Protocolo Simple de Administración de Red o SNMP (del inglés Simple Network
Management Protocol) es un protocolo de la capa de aplicación que facilita el intercambio
de información de administración entre dispositivos de red. Los dispositivos que
normalmente soportan SNMP incluyen routers, switches, servidores, estaciones de trabajo,
impresoras, bastidores de módem y muchos más. Permite a los administradores supervisar
el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento.
SNMP es un componente de la suite de protocolo de Internet como se define por el IETF.
Se compone de un conjunto de normas para la gestión de la red, incluyendo una capa de
aplicación del protocolo, una base de datos de esquema, y un conjunto de objetos de datos.
Las versiones de SNMP más utilizadas son SNMP versión 1 (SNMPv1) y SNMP versión
2 (SNMPv2).
SNMP en su última versión (SNMPv3) posee cambios significativos con relación a sus
predecesores, sobre todo en aspectos de seguridad; sin embargo, no ha sido
mayoritariamente aceptado en la industria.
14
2.15 Modelo de Gestion TMN
TMN se refiere a un conjunto de normas por la Unión Internacional de telecomunicaciones
(UIT-T) para la especificación de una red de gestión de las telecomunicaciones (por lo
tanto, el acrónimo TMN). TMN cubre una amplia gama de temas relacionados con los
principios de cómo manejar las redes de telecomunicaciones. Los temas se describen
formalmente en proveedores deben adherirse a las normas.
La importancia comercial de TMN es limitada y, de hecho, disminuye. Sin embargo, TMN
ampliamente se ha convertido en una referencia marco que proporciona una terminología
clara y ampliamente aceptada para la gestión de temas relacionados.
La jerarquía TMN, es un modelo de referencia que especifica un conjunto de capas de
gestión que construir uno encima del otro y abstracciones diferentes direcciones del
espacio de gestión. En la práctica, estas capas no son siempre claramente separadas en los
sistemas que implementan la funcionalidad correspondiente. Sin embargo, como
referencia, el concepto de capa es invaluable.
Según el modelo de referencia TMN, se clasifican en sistemas de gestión para las siguientes
capas que realizan funciones específicas y tienen un alcance específico:
•
•
•
•
•
Gestión empresarial: Una gestión capa responsable de la empresa total y no está
sujeto a la normalización.
Gestión de servicios: Una capa de gestión es ocupan y responsable, los aspectos
contractuales, incluyendo orden de servicio de manipulación, denuncia
manipulación y facturación de servicios que se suministran a los clientes o
disponible para nuevos clientes potenciales.
Administración de redes: Una gestión capa responsable de la gestión, incluyendo
la coordinación de la actividad, de una visión de la red.
Elemento de gestión: Una gestión capa que se encarga de la gestión de los
elementos de la red de forma individual o colectiva
Elementos de la red: Un concepto arquitectónico que representa el equipo de
telecomunicación (o grupos/partes de equipos de telecomunicaciones) y apoya el
equipo o cualquier elemento o grupos de artículos considerados pertenecientes al
entorno de las telecomunicaciones que realiza funciones de elemento de red (NEFs).
2.15.1 Esquema de Arquitectura TMN
1. Creciente heterogeneidad en la tecnología de redes de telecomunicación y coexistencia
de redes:
✓ Redes analógicas.
✓ Redes digitales banda estrecha.
✓ Redes digitales banda ancha.
15
2. Aumento en la demanda sobre:
✓
✓
✓
✓
✓
Posibilidad de introducir nuevos servicios.
Alta calidad de servicios.
Posibilidad de reorganizar las redes.
Métodos eficientes de trabajo para operar las redes.
Competencia entre empresas operadoras privada
2.15.2 Arquitectura Física TMN
Componentes de la arquitectura física:
a) Sistemas de operación (OS).
Realiza las funciones de un gestor de red.
b) Redes de comunicación de datos (DCN).
Transporta y encamina la información de gestión.
c) Estaciones de trabajo (WS).
Permite a los operadores de gestión acceder a la información de gestión.
d) Dispositivos de mediación (MD).
Realiza funciones de:
1. Conversión de protocolos, mensajes, direcciones.
2. Encaminamiento.
3. Procesamiento de la información.
e) Elementos de red (NE).
Elementos de la red de telecomunicación.
Tienen un agente de gestión.
f) Adaptadores Q (QA).
Convierten datos de un formato no-TMN a formato TMN y viceversa.
16
3 PLANTEAMIENTO DEL PROBLEMA Y
OBJETIVOS
3.1 Planteamiento del problema
3.1.1 Antecedentes
La cadena de comida rápida se está expandiendo rápidamente en nuestra ciudad, por lo
tanto, desean monitorizar su red para tener la información de todos los sucesos que pasan
en la red.
Se reporta constantes ataques a la red, amenazas a la red, lentitud de la red y caídas de
interconectividad con las sucursales por lo que espera una propuesta de rediseño de la red
donde tenga contemplado seguridad de redes y gestión a toda su infraestructura.
Cuenta con:
•
•
•
Una oficina central en la av. Cana Cotoca # 236.
La sucursal 1 4to anillo ventura Mall.
La sucursal 2 Doble vía a la guardia 8to anillo.
Para la interconexión de las oficinas se está utilizando radio enlaces que tienen mucha
perdida de paquetes, perdida de interconexión, etc
Se cuenta con 30 usuarios en la oficina central de los cuales 28 usuarios acceden a los
servidores de Base de Datos, todos los usuarios utilizan Internet y teléfonos IP y 5 cámaras
de video.
17
En la sucursal se tienen 15 trabajadores de los cuales 15 son usuarios de las bases de datos,
10 usuarios de internet, todos tiene teléfonos IP y 8 cámaras de video.
Todos los usuarios cuentan con correo electrónico.
Se cuenta con un CPD en la oficina central.
Para el acceso a internet se tiene proveedores independientes una para cada sucursal y otra
para la oficina central.
Se tiene un servidor de telefonía IP en cada oficina.
Los videos se almacenan en la cada oficina.
Los cajeros solo tienen la aplicación de cobranzas activada en su escritorio.
3.1.2 Problemática
La problemática identificada es que la red no cuenta con información de los
acontecimientos que pasan en la red, como:
•
•
•
•
•
•
•
•
•
Perdida de comunicación de algún enlace
Equipos desactualizados de todos los usuarios
Ataques a la red
Puertos abiertos
Software malicioso
Existen algunos días que la red deja de funcionar, la solución que tienen es apagar
dispositivos y volverlos a encender para que la red vuelva a dar servicio
Frecuentemente los usuarios no tienen acceso a las bases de datos.
Se presume que hay ataques de denegación de servicios ya que por momentos deja
de haber internet para los usuarios
No cuenta con los eventos de posibles vulnerabilidades que tiene la red
Por lo tanto, se tiene una red que presenta fallas de seguridad y no está gestionada.
3.2 OBJETIVOS
3.2.1 Objetivo General
Diseñar un modelo de red de toda la infraestructura basado en el modelo de gestion
TMN, según requerimientos que están influenciados por sus necesidades y
18
objetivos, los requisitos de seguridad y gestion, los procesos empleados y el tamaño
y estructura de la organización.
3.2.2 Objetivos Específicos
a. Rediseñar la red LAN Y WAN
b. Realizar los cálculos del tendido de la fibra óptica para reemplazar al radio enlace
c. Plantear una arquitectura de firewall para el nuevo diseño de la red de todas las
sucursales, teniendo en cuenta los objetivos de la empresa
d. Se debe monitorear la red desde la oficina central implementando el modelo de
gestion TMN
e. Los videos de las cámaras de vigilancia se deben monitorizar desde la central y
almacenar en el CPD. Se sugiere hacer los backup solo por las noches en forma
automática
f. Se requiere un diseño a largo plazo (8 años) con redundancia en capa 2 y capa 3
g. Se estima un crecimiento del 3% anual
h. Centralizar el acceso a internet por la oficina central
i. Utilizar un servidor para hacer gestión de Fallas
j. Utilizar un servidor para hacer gestión de rendimiento
k. Utilizar un servidor para hacer gestión de seguridad de redes
l. Utilizar un servidor para hacer gestión de configuración
m. El presupuesto que se tiene es de $us 35000 para el re diseño de la red LAN y WAN
19
4 DISEÑO Y DESARROLLO DEL PROYECTO
4.1 Rediseñar la red LAN Y WAN
Ubicación Actual de las Oficinas y las Sucursales:
Diseño actual de la Red:
20
Diseño propuesto:
Rediseño de la Red LAN y WAN tomando en cuenta redundancia en capa 2/3 y
centralizando el acceso a Internet:
21
Calculo de Ancho de Banda para Aplicaciones CPD
Oficina Central:
Aplicación Cobranzas cliente/servidor:
•
•
•
•
Almacenamiento de datos en la central.
Tamaño promedio de los datos 450 Kb.
28 usuarios concurrentes solo de la oficina Central.
Tiempo de transferencia hasta 250 seg.
Tamaño Promedio = 450 Kb
Tiempo de Transferencia = 250 seg
Usuarios = 28 Concurrentes
𝐵𝑊 =
450 𝐾𝑏
1024 𝐵𝑦𝑡𝑒 8 𝑏𝑖𝑡𝑠
1 𝑐𝑜𝑛𝑠𝑢𝑙𝑡𝑎
∗
∗
∗
∗ 28 = 5.7 𝑀𝑏𝑝𝑠
1 𝑐𝑜𝑛𝑠𝑢𝑙𝑡𝑎
1 𝐾𝑏
1 𝐵𝑦𝑡𝑒 250 𝑠𝑒𝑔𝑢𝑛𝑑𝑜𝑠
22
Sucursal 1:
Aplicación Cobranzas cliente/servidor:
•
•
•
•
Almacenamiento de datos en la central.
Tamaño promedio de los datos 450 Kb.
15 usuarios concurrentes
Tiempo de transferencia hasta 250 seg.
Tamaño Promedio = 450 Kb
Tiempo de Transferencia = 250 seg
Usuarios = 15 Concurrentes
𝐵𝑊 =
450 𝐾𝑏
1024 𝐵𝑦𝑡𝑒 8 𝑏𝑖𝑡𝑠
1 𝑐𝑜𝑛𝑠𝑢𝑙𝑡𝑎
∗
∗
∗
∗ 15 = 3.3 𝑀𝑏𝑝𝑠
1 𝑐𝑜𝑛𝑠𝑢𝑙𝑡𝑎
1 𝐾𝑏
1 𝐵𝑦𝑡𝑒 250 𝑠𝑒𝑔𝑢𝑛𝑑𝑜𝑠
Sucursal 2:
Aplicación Cobranzas cliente/servidor:
•
•
•
•
Almacenamiento de datos en la central.
Tamaño promedio de los datos 450 Kb.
15 usuarios concurrentes
Tiempo de transferencia hasta 250 seg.
Tamaño Promedio = 450 Kb
Tiempo de Transferencia = 250 seg
Usuarios = 15 Concurrentes
𝐵𝑊 =
450 𝐾𝑏
1024 𝐵𝑦𝑡𝑒 8 𝑏𝑖𝑡𝑠
1 𝑐𝑜𝑛𝑠𝑢𝑙𝑡𝑎
∗
∗
∗
∗ 15 = 3.3 𝑀𝑏𝑝𝑠
1 𝑐𝑜𝑛𝑠𝑢𝑙𝑡𝑎
1 𝐾𝑏
1 𝐵𝑦𝑡𝑒 250 𝑠𝑒𝑔𝑢𝑛𝑑𝑜𝑠
23
Aplicación E. VoIP
•
•
Se tiene un servidor de VoIP en cada oficina.
Todos los usuarios tienen el servicio de telefonía IP.
Usuarios
30
15
15
Sucursal
Central
Sucursal 1
Sucursal 2
Ancho de Banda por teléfono = 64Kbps
Códec G711 + carga útil = 87.2 kbps
BW Total Central = 87.2 Kbps ∗ 30 = 2616.2 Kbps = 2.616Mbps ≈ 2.7 Mbps
BW Total Suc. = 87.2 Kbps ∗ 15 = 1308.8 Kbps = 1.308 Mbps ≈ 1.4 Mbps
Aplicación F. Video vigilancia
•
•
•
•
El sistema de video vigilancia almacena información en la sucursal, se
monitorea desde la central.
Solo en horarios nocturnos se hacen las copias de seguridad.
La central cuenta con 5 cámaras.
Las sucursales cada uno con 8 cámaras.
Cámaras
5
8
8
Sucursal
Central
Sucursal 1
Sucursal 2
Se utilizará la página “http://www.stardot.com/bandwidth-and-storage-calculator” para
calcular el ancho de banda necesario para la central y sucursales.
24
Oficina Central:
Sucursales:
Cámaras
5
3
3
Sucursal
Central
Sucursal 1
Sucursal 2
BW*Cámara
1.6 Mbps
1.6 Mbps
1.6 Mbps
BW Total
8 Mbps
12.8 Mbps
12.8Mbps
25
Servidor de Correos:
•
Todos los usuarios cuentan con correo electrónico.
𝐴𝑛𝑐ℎ𝑜 𝑑𝑒 𝑏𝑎𝑛𝑑𝑎 = 𝑛ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑐𝑜𝑟𝑟𝑒𝑜𝑠 𝑝𝑜𝑟 ℎ𝑜𝑟𝑎 ∗ 𝑛ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑏𝑖𝑡𝑠 𝑝𝑜𝑟 𝑐𝑜𝑟𝑟𝑒o
𝐵𝑊 =
25 𝑐𝑜𝑟𝑟𝑒𝑜𝑠 74159 𝑏𝑦𝑡𝑒 8 𝑏𝑖𝑡𝑠
∗
∗
= 3.8 𝑀𝑏𝑝𝑠
3600 𝑠𝑒𝑔
1 𝐶𝑜𝑟𝑟𝑒𝑜 1 𝐵𝑦𝑡𝑒
𝐵𝑊 =
14 𝑐𝑜𝑟𝑟𝑒𝑜𝑠 74159 𝑏𝑦𝑡𝑒 8 𝑏𝑖𝑡𝑠
∗
∗
= 2.3𝑀𝑏𝑝𝑠
3600 𝑠𝑒𝑔
1 𝐶𝑜𝑟𝑟𝑒𝑜 1 𝐵𝑦𝑡𝑒
Sucursal
BW Total
Central
3.8 Mbps
Sucursal 1
2.3 Mbps
Sucursal 2
2.3Mbps
Total, de ancho de Banda y flujos:
Aplicación
Central
Sucursal 1
Sucursal 2
Cobranzas
5.7 Mb
3.3 Mb
3.3 Mb
VoIP
2.7 Mb
1.4 Mb
1.4 Mb
Cámaras
8 Mb
12.8 Mb
12.8 Mb
Correo
3.8 Mb
2.3 Mb
2.3 Mb
Flujo compuesto:
Fc1(Central a CPD) = Fa + Fb + Fc + Fd = 20.2 Mbps
Fc2 (Sucursal 1 a Central) = Fa + Fb + Fc + Fd = 19.8 Mbps
26
Fc3 (Sucursal 2 a Central) = Fa + Fb + Fc + Fd = 19.8 Mbps
Flujo Backbone (a CPD): Fc1 + Fc2 + Fc3 = 59.8 Mbps
Fc3
FB
Fc1
Fc2
4.2 Realizar los cálculos del tendido de la fibra óptica para reemplazar al
radio enlace.
Ubicación Geográfica de la Oficina Central y Sucursales:
SUCURSAL
UBICACION
Oficina Central
Av. Canal Cotoca # 236
Sucursal 1
4to anillo Ventura Mall
Sucursal 2
Doble vía a la Guardia 8vo anillo
Radio enlace actual de la Empresa:
27
Enlace por Fibra Optica propuesta:
Calculo de enlace de Fibra Optica entre la Oficina Central y Sucursal 1:
Tipo de Fibra Óptica
En este caso la distancia sobrepasa los 3 km entre la Sucursal 1 y la Oficina Central por
tanto el tipo de fibra óptica será monomodo ya que tiene un alcance mayor de 20 km.
28
Selección de conectores para los enlaces de Fibra Optica:
Conectores LC por razones de compatibilidad con el transmisor S-31DLC20D - MikroTik
Selección del equipo de transmisión (Transceiver)
S-31DLC20D - MikroTik Single-Mode DDM SFP Transceiver
Se opta por la selección de este transmisor ya que cumple con las necesidades de los enlaces
entre las sucursales, tanto en distancia, medio de transmisión y capacidad de transmisión.
Características:
• Data Rate: 1.25G
• Distance: 20km
• Wavelength: 1310nm
• Mode: SM
• Connector: Dual LC
• Format: SFP
29
Calculo de atenuación de nuestro enlace de Fibra Optica entre La Oficina Central y
Sucursal 1:
•
•
•
•
•
Atenuación de cable = 0.2 dB
Atenuación por empalme = 0.2 dB
Atenuación por conector = 0.5 dB
Reserva margen de cable = 4 dB
Longitud de cable OC – Sucursal 1 = 6.55 Km
Atenuación del cable:
𝐴𝑡𝑒𝑛𝑢𝑎𝑐𝑖ó𝑛 𝑐𝑎𝑏𝑙𝑒 (𝑑𝐵) = 𝐴𝑡𝑒𝑛. 𝐹. 𝑂 (𝑑𝐵 / 𝐾𝑚. ) ∗ 𝐿𝑜𝑛𝑔𝑖𝑡𝑢𝑑 𝐶𝑎𝑏𝑙𝑒 (𝑘𝑚. )
𝐴𝑡𝑒𝑛𝑢𝑎𝑐𝑖ó𝑛 𝑇𝑜𝑡𝑎𝑙 𝑐𝑎𝑏𝑙𝑒 (𝑑𝐵) = 0.2 (𝑑𝐵 / 𝐾𝑚. ) 𝑥 6.55 (𝑘𝑚. ) = 1.31 𝑑𝐵
Atenuación por empalme:
𝐴𝑡𝑒𝑛𝑢𝑎𝑐𝑖𝑜𝑛 𝑑𝑒 𝐸𝑚𝑝𝑎𝑙𝑚𝑒𝑠 (𝑑𝐵) = 𝑛º 𝑑𝑒 𝑒𝑚𝑝𝑎𝑙𝑚𝑒𝑠 ∗ 𝐴. 𝐸𝑚𝑝𝑎𝑙𝑚𝑒𝑠
𝐴𝑡𝑒𝑛𝑢𝑎𝑐𝑖ó𝑛 𝐸𝑚𝑝𝑎𝑙𝑚𝑒𝑠 (𝑑𝐵) = 2 ∗ 0.2 = 0.4 𝑑𝐵
Atenuación por conector:
𝐴𝑡𝑒𝑛𝑢𝑎𝑐𝑖ó𝑛 𝑑𝑒 𝐶𝑜𝑛𝑒𝑐𝑡𝑜𝑟 (𝑑𝐵. ) = 𝐴𝑡𝑒𝑛. 𝐶𝑜𝑛𝑒𝑐𝑡𝑜𝑟 ∗ 𝑛º 𝑐𝑜𝑛𝑒𝑐𝑡𝑜𝑟𝑒𝑠
𝐴𝑡𝑒𝑛𝑢𝑎𝑐𝑖ó𝑛 𝐶𝑜𝑛𝑒𝑐𝑡𝑜𝑟 (𝑑𝐵. ) = 0.5 ∗ 6 = 3 𝑑𝐵
Atenuación total del enlace:
𝐴. 𝑇𝑜𝑡𝑎𝑙 𝑒𝑛𝑙𝑎𝑐𝑒: 𝐴𝑡𝑒𝑛. 𝑐𝑎𝑏𝑙𝑒 + 𝐴𝑡𝑒𝑛. 𝐸𝑚𝑝𝑎𝑙 + 𝐴𝑡𝑒𝑛. 𝐶𝑜𝑛𝑒𝑐𝑡𝑜𝑟 + 𝑅𝑒𝑠𝑒𝑟𝑣𝑎
𝐴𝑡𝑒𝑛𝑢𝑎𝑐𝑖ó𝑛 𝑇𝑜𝑡𝑎𝑙 𝑒𝑛𝑙𝑎𝑐𝑒: 1.31 𝑑𝐵 + 0.4 𝑑𝐵 + 3 𝑑𝐵 + 4 𝑑𝐵 = 8.71 𝑑𝐵
Potencia Disponible Restante:
𝑃𝐷𝑅: 𝑃𝑜𝑡𝑒𝑛𝑐𝑖𝑎 𝑑𝑖𝑠𝑝𝑜𝑛𝑖𝑏𝑙𝑒 − 𝐴𝑡𝑒𝑛𝑢𝑎𝑐𝑖𝑜𝑛 𝑡𝑜𝑡𝑎𝑙 𝑒𝑛𝑙𝑎𝑐𝑒
𝑃 𝐷 𝑅: 21 𝑑𝐵 − 8.71 𝑑𝐵 = 12.29 𝑑𝐵
30
Calculo de enlace de Fibra Optica entre la Oficina Central y Sucursal 2:
Tipo de Fibra Óptica
En este caso la distancia sobrepasa los 3 km entre la Sucursal 2 y la Oficina Central por
tanto el tipo de fibra óptica será monomodo ya que tiene un alcance mayor de 20 km.
Selección de conectores para los enlaces de Fibra Optica:
Conectores LC por razones de compatibilidad con el transmisor S-31DLC20D - MikroTik
Selección del equipo de transmisión (Transceiver)
S-31DLC20D - MikroTik Single-Mode DDM SFP Transceiver
Se opta por la selección de este transmisor ya que cumple con las necesidades de los enlaces
entre las sucursales, tanto en distancia, medio de transmisión y capacidad de transmisión.
31
Características:
• Data Rate: 1.25G
• Distance: 20km
• Wavelength: 1310nm
• Mode: SM
• Connector: Dual LC
• Format: SFP
Calculo de atenuación del enlace de fibra Optica entre La Oficina Central y
Sucursal 2:
•
•
•
•
•
Atenuación de cable = 0.2 dB
Atenuación por empalme = 0.2 dB
Atenuación por conector = 0.5 dB
Reserva margen de cable = 4 dB
Longitud de cable OC – Sucursal 2 = 12.6 Km
Atenuación del cable:
𝐴𝑡𝑒𝑛𝑢𝑎𝑐𝑖ó𝑛 𝑐𝑎𝑏𝑙𝑒 (𝑑𝐵) = 𝐴𝑡𝑒𝑛. 𝐹. 𝑂 (𝑑𝐵 / 𝐾𝑚. ) ∗ 𝐿𝑜𝑛𝑔𝑖𝑡𝑢𝑑 𝐶𝑎𝑏𝑙𝑒 (𝑘𝑚. )
𝐴𝑡𝑒𝑛𝑢𝑎𝑐𝑖ó𝑛 𝑇𝑜𝑡𝑎𝑙 𝑐𝑎𝑏𝑙𝑒 (𝑑𝐵) = 0.2 (𝑑𝐵 / 𝐾𝑚. ) 𝑥 12.6 (𝑘𝑚. ) = 2.52 𝑑𝐵
Atenuación por empalme:
𝐴𝑡𝑒𝑛𝑢𝑎𝑐𝑖𝑜𝑛 𝑑𝑒 𝐸𝑚𝑝𝑎𝑙𝑚𝑒𝑠 (𝑑𝐵) = 𝑛º 𝑑𝑒 𝑒𝑚𝑝𝑎𝑙𝑚𝑒𝑠 ∗ 𝐴. 𝐸𝑚𝑝𝑎𝑙𝑚𝑒𝑠
𝐴𝑡𝑒𝑛𝑢𝑎𝑐𝑖ó𝑛 𝐸𝑚𝑝𝑎𝑙𝑚𝑒𝑠 (𝑑𝐵) = 2 ∗ 0.2 = 0.4 𝑑𝐵
Atenuación por conector:
𝐴𝑡𝑒𝑛𝑢𝑎𝑐𝑖ó𝑛 𝑑𝑒 𝐶𝑜𝑛𝑒𝑐𝑡𝑜𝑟 (𝑑𝐵. ) = 𝐴𝑡𝑒𝑛. 𝐶𝑜𝑛𝑒𝑐𝑡𝑜𝑟 ∗ 𝑛º 𝑐𝑜𝑛𝑒𝑐𝑡𝑜𝑟𝑒𝑠
32
𝐴𝑡𝑒𝑛𝑢𝑎𝑐𝑖ó𝑛 𝐶𝑜𝑛𝑒𝑐𝑡𝑜𝑟 (𝑑𝐵. ) = 0.5 ∗ 6 = 3 𝑑𝐵
Atenuación total del enlace:
𝐴. 𝑇𝑜𝑡𝑎𝑙 𝑒𝑛𝑙𝑎𝑐𝑒: 𝐴𝑡𝑒𝑛. 𝑐𝑎𝑏𝑙𝑒 + 𝐴𝑡𝑒𝑛. 𝐸𝑚𝑝𝑎𝑙 + 𝐴𝑡𝑒𝑛. 𝐶𝑜𝑛𝑒𝑐𝑡𝑜𝑟 + 𝑅𝑒𝑠𝑒𝑟𝑣𝑎
𝐴𝑡𝑒𝑛𝑢𝑎𝑐𝑖ó𝑛 𝑇𝑜𝑡𝑎𝑙 𝑒𝑛𝑙𝑎𝑐𝑒: 2.52 𝑑𝐵 + 0.4 𝑑𝐵 + 3 𝑑𝐵 + 4 𝑑𝐵 = 9.92 𝑑𝐵
Potencia Disponible Restante:
𝑃𝐷𝑅: 𝑃𝑜𝑡𝑒𝑛𝑐𝑖𝑎 𝑑𝑖𝑠𝑝𝑜𝑛𝑖𝑏𝑙𝑒 − 𝐴𝑡𝑒𝑛𝑢𝑎𝑐𝑖𝑜𝑛 𝑡𝑜𝑡𝑎𝑙 𝑒𝑛𝑙𝑎𝑐𝑒
𝑃 𝐷 𝑅: 21 𝑑𝐵 − 9.92 𝑑𝐵 = 11.08 𝑑𝐵
Tablas de Direccionamiento de la Red:
Para la asignación de direcciones se utilizó una clase A por una mejor administracion y
control de la red:
4.3 Plantear una arquitectura de firewall para el nuevo diseño de la red
de todas las sucursales, teniendo en cuenta los objetivos de la empresa.
Diseño Jerárquico de 3 Capas con una arquitectura de Firewall doblemente apantallado y
DMZ para protección de Ataques tanto externos como internos.
33
4.4 Se debe monitorear la red desde la oficina central implementando el
modelo de gestion TMN.
En este modelo se definen los objetos que serán gestionados en cada nivel, es decir, las
funcionalidades que caracterizan a cada tecnología. También se define la interface de
comunicación que se empleará para el intercambio de datos entre cada nivel.
•
Capa Elementos de Red
En esta capa tiene como objetivo monitorear los equipos críticos de red como ser los
enlaces de FO y radio enlaces, así como los router y Servidores.
34
Se distinguen los dispositivos críticos de la red que están resaltados en el diagrama lógico,
estos serían los siguientes:
•
-
Firewall
-
Switch L3
-
Servidores
-
Pc crítico
Capa de gestión de elementos
En esta capa se realiza las configuraciones de alertamientos de los elementos de red,
configurar los parámetros para determinar desde que estado deberá avisar al
administrador de red.
La gestión que se aplicó a los dispositivos mencionados anteriormente:
-
Firewall: Gestión de fallas, prestaciones y configuraciones.
Switch L3: Gestión de prestaciones, fallas, configuraciones, verificación de puertos
en uso y análisis de tráfico fluyente en interfaces troncales.
Servidores: Gestión de prestaciones, fallas y configuraciones.
Usuarios Críticos: Fallas y prestaciones.
35
•
Capa de Gestión de red
En esta capa se gestiona el performance de los equipos de redes y telecomunicaciones.
Encargado del transporte de la información entre dos puntos y de que se realice de
forma correcta, protocolo o agente a usar en la gestión (SNMP).
Gestores utilizados:
- Zabbix: Gestor de prestaciones.
- Cacti: Gestor de prestaciones.
- Nagios: Gestor de fallas y prestaciones.
- PRTG: Gestor de fallas.
- Nessus: Gestor de seguridad.
- CatTools: Gestor de configuración.
•
Capa de Gestión de Servicios
Capa de la modelo encargada de la gestión de servicios que están en la red y de
administrar QoS en los que se tenga prioridad:
- Video: puerto tcp/80, tcp/554, udp/1000.1
- Correo: puerto tcp/25, 465, 587
- Dns: puerto tcp/53
- VoIP: puerto tcp/5060
•
Capa de Gestión de negocio
En esta capa se hacen análisis de mercado, planificación y definición de servicios.
36
4.5 Proponer medidas que permitan eliminar las problemáticas
planteadas en el punto anterior.
4.5.1 Perdida de Comunicación de algún enlace.
Este problema puede derivar de dos situaciones:
Mal cálculo de los enlaces o mal elección de equipos.
Ya que no se cuenta con información de los equipos y cálculos de los enlaces se propone
realizar el reemplazo de antenas actuales por un sistema AirFiber con un sistema 1+1 con
redundancia activo-activo, la orientación de las antenas se mantiene, solo se amplía la
utilización de un nuevo rango de frecuencia para evitar que exista un solapamiento de
frecuencia y se utilizaran las mismas torres instaladas.
airFiber AF-5 es un dispositivo para enlaces Punto a Punto de Ubiquiti que opera en la
banda de 5GHz, alcanza velocidades de más de 1 Gbps, procesa más de 1 millón de
paquetes por segundo e introduce la nueva tecnología eXtended Range (xRT) para
proporcionar un largo alcance de más de 100 Km.
airFiber AF-5
4.5.2 Equipos desactualizados de todos los usuarios.
Se propone utilizar WSUS o Windows Server Update Services, es una función más
dentro del catálogo de roles disponible en Windows Server 2008 o superior.
Este rol permite disponer de un sistema centralizado de actualizaciones para equipos de
puesto de trabajo Windows a través de la red local de nuestra empresa. A través de
WSUS es posible gestionar completamente la distribución de las últimas actualizaciones
publicadas por Microsoft a través del servicio Windows Update, así como de los parches
de seguridad más recientes.
37
WSUS permite la distribución de los parches y actualizaciones publicadas por Microsoft
de forma centralizada para todos los puestos cliente que corran con cualquier sistema
operativo de la multinacional, de forma práctica, cómoda y programada permitiéndonos
una gestión más correcta del ancho de banda disponible en la LAN.
4.5.3 Ataques a la Red.
Para solucionar estos ataques a la red se propone la implementación de la arquitectura de
firewall doblemente apantallado que filtra ataques leves en el borde y en nuestros firewalls
tenemos las opciones de IPS/IDS, antimalware, filtrado url, etc.
38
4.5.4 Puertos Abiertos.
En GNU/Linux es posible saber mediante el comando nmap y en unos pocos segundos si
un puerto está abierto. Esto también se puede hacer en Windows usando el Símbolo del
sistema, solo que el comando no es el mismo.
El hecho de saber qué puertos están y no están abiertos en nuestro sistema operativo es una
acción de seguridad muy conveniente, ya que, las aplicaciones maliciosas suelen abrir
accesos en nuestros equipos para permitir la conexión a él de gente que digamos, no tiene
muy buenas intenciones.
Echar un vistazo a los puertos de vez en cuando es muy útil para comprobar que todo va
bien. Pero, ¿cómo saber si un puerto está abierto en Windows? Es muy fácil, no hace falta
que instalar ningún programa, hay varias páginas web que escanean los puertos. Ahora
bien, lo más rápido sería con el comando netstat.
•
Ver puertos abiertos mediante line de códigos NETSTAT
Ver los puertos abiertos en el equipo y a la escucha. Para saber que puertos tienes abiertos
sigue los siguientes pasos:
Copia y pega el siguiente código en el cuadro que se encuentra encima del botón de Inicio
o en el comando Ejecutar, presiona la tecla Enter.
CMD /K NETSTAT -AN|FINDSTR /C: LISTENING
39
Se abrirá una ventana negra de la consola de CMD en la que verás una lista de los puertos
que se encuentran abiertos y a la escucha en espera de alguna conexión.
Puedes verificar mediante la lista de puertos por qué se encuentran abiertos.
Para conocer las conexiones establecidas en este momento se realiza de la siguiente
forma:
Copia el siguiente código, pégalo en el cuadro de Inicio o en el comando Ejecutar
(WINDOWS+R) y presiona la tecla Enter.
CMD /K NETSTAT -ANO -P TCP 04|FINDSTR /C: ESTABLISHED
Aparecerá una ventana negra en la cual se listarán todas las conexiones establecidas por
el equipo indicando la dirección IP del destino.
De esta forma puedes saber si tu equipo establece una conexión con algún sitio web de
forma inadvertida.
40
•
Utilizar Axence NetTools para escaneo de puertos.
Mediante el programa Axence NetTools se escanean los puertos abiertos y las
vulnerabilidades.
•
WhatsMyIP para escaneos de puertos
41
Otro método que podemos emplear es más sencillo y visual, pero requiere de conexión a
Internet, ya que para saber qué puertos tenemos abiertos recurriremos a una página
especializada en este tipo de diagnósticos, concretamente a WhatsMyIP, en su sección Port
Scanners.
MANERAS DE CERRAR LOS PUERTOS:
•
Lo primero que debemos hacer, es ir al Panel de Control. Una vez allí, es momento
de acceder a la opción “Administrador de tareas”. Al seleccionar esta opción, nos
ubicamos en “Servicios y Programas”, de esta manera, tendremos la opción de
visualizar los servicios que están activos y los puertos que se han abierto con estos
servicios. En la lista desplegada por pantalla, podremos elegir el servicio que
deseamos deshabilitar y seleccionar la opción desactivar, así, podremos cerrarlo y
de manera automática, el puerto que se abrió con dicho servicio.
42
•
Otra opción para cerrar los puertos abiertos es mediante el firewall de Windows
configurando reglas para “permitir” o “denegar” puertos.
1. Nos encontraremos con una pantalla como la siguiente, en ella seleccionamos
"Configuración avanzada".
43
2. En este paso aparecerá una ventana como la que se ve a continuación, aquí debemos
elegir el tipo de “regla” que deseamos (entrada o salida), según el tipo de tráfico
que deseemos abrir o bloquear pincharemos en una o en otra, vamos a elegir de
entrada para el ejemplo:
3. Una vez que hemos elegido el tipo de regla, en la parte derecha saldrá un panel
llamado Acciones, dónde debemos pinchar en Nueva regla:
44
4. Tendremos abierto un asistente para cerrar/abrir un programa, puerto, etc. En este
caso elegimos Puerto.
5. Ahora tendremos que elegir el tipo de tráfico que queremos (TCP o UDP), y el
número/s de puerto/s (si ponemos más de uno, separarlo con comas). En este
ejemplo hemos elegido el puerto 80 y TCP.
45
6. En este paso tocará definir si deseamos bloquear el tráfico o permitirlo, en este caso
elegimos denegar el tráfico que llegue al puerto 80.
46
7. Aquí elegimos a qué tipo de conexiones se aplicará, pero hay que tener en cuenta
la seguridad, abrir todo en una red pública puede conllevar riesgo, depende de tus
objetivos.
8. Este paso es el último, debemos poner un nombre a la regla y si queremos también
podemos añadir una descripción. Cuando esté listo pinchamos en Finish.
47
9. Si todo fue bien veremos la nueva regla en la parte central de la ventana, cómo
podemos observar en la siguiente imagen (al elegir permitir saldrá un “círculo”
verde, si elegimos bloquear saldrá rojo).
•
No siempre será tan sencillo cerrar los puertos. Para lograr esta tarea, es
recomendable utilizar un programa especializado y, por si fuera poco, debemos
contar con un cortafuego o firewall. Dicho programa, se encargará de bloquear los
puertos que no sea necesario tener abierto y creará directrices de seguridad,
manteniendo protegido el acceso a los puertos, según sea la actividad de los
programas que intenten acceder a estos, y avisarán al usuario cualquier
eventualidad y bloqueará de manera automática cualquier amenaza existente. Un
ejemplo de antivirus con antispyware incluido es ESET SMART SECURITY o
instalar spyware doctor.
48
4.5.5 Software Malicioso.
El "software malicioso" es un software, de cualquier tipo, diseñado para dañar una
computadora. El software malicioso puede robar datos confidenciales de su computadora,
disminuir gradualmente la velocidad de su computadora e incluso enviar correos
electrónicos falsos desde su cuenta de correo electrónico sin su conocimiento,
A continuación, presentamos algunos tipos de software malicioso habituales:
•
•
•
•
•
Virus: Programa informático perjudicial que puede copiarse a sí mismo e infectar
a una computadora.
Gusano: Programa informático perjudicial que envía copias de sí mismo a otras
computadoras mediante una red.
Software espía: Software malicioso que recopila información de los usuarios sin su
conocimiento.
Adware: Software que reproduce, muestra o descarga automáticamente anuncios
en una computadora.
Troyano: Programa informático destructivo que aparenta ser una aplicación útil,
pero daña su computadora o roba su información una vez que se instala.
Medidas para eliminar este tipo de Ataque:
1.- Realizar periódicamente copias de seguridad de nuestros datos. Recomendamos hacer
copias mensuales, semanales y diarias. De las mensuales guardaremos hasta seis meses
atrás, de las semanales 4 atrás y diarias, 7 atrás. Así si estamos infectados por un virus y lo
detectamos después de llevar infectados unos días, o incluso meses, podremos acceder a
nuestros datos.
2.- Aislar las copias de seguridad. Por ejemplo, el gerente puede llevar a su casa una copia
por si hubiera un incendio. O tener varios discos duros externos e ir alternando, por si se
infecta una copia tener, otro dispositivo.
3.- Tener el software y el equipo actualizado. Tapa los agujeros de seguridad detectados.
4.- Instalar un antivirus y tenerlo actualizado. Una antivirus centralizado, en caso de
actualización los usuarios ya no tendrían que realizarlo ellos mismos y se reduce el tráfico
de la red.
5.- Analizar periódicamente el disco duro en busca de virus.
6.- Evitar descargar archivos de lugares desconocidos.
49
7.- Tener especial cuidado con los archivos recibidos a través del correo electrónico, no
abrir archivos de usuarios desconocidos. Ante la duda ponerse en contacto telefónico con
el remitente, o incluso borrarlo.
8.- Poner contraseñas a sus sistemas. Las contraseñas son individuales e
INTRANSFERIBLES, no se apuntan en sitios visibles ni se comunican en voz alta.
9.- No utilizar contraseñas fáciles de adivinar; de 8 dígitos, con números, minúsculas,
mayúsculas y algún símbolo, debería de ser suficiente.
10.- Implementar políticas de seguridad.
4.5.6 Existen algunos días que la red deja de funcionar, la solución que
tienen es apagar dispositivos y volverlos a encender para que la red
vuelva a dar servicio.
¿Cuáles son las principales causas detrás de la típica caída de la red? Se clasifican en varias
categorías elementales:
1. Error humano: Las redes son sistemas complejos en las que, si muchos de los procesos
son manuales, pueden producirse errores de configuración entre otros.
2. Fallo eléctrico: puede producirse como resultado de fenómenos meteorológicos, como
los rayos, o problemas con ventiladores, condensadores, circuitos de control y
componentes de alimentación.
3. Seguridad: Si no se instalan parches de software y firmware debidamente, se pueden
producir cortes de red; además, están aumentando los ataques de denegación de servicio
(DDoS), cuyo fin es sobrecargar los conductos y desconectar organizaciones enteras del
Internet.
4. Hardware: Probablemente sea la principal causa de los problemas en las redes, y
empeorará a medida que envejecen los equipos.
5. Eslabones débiles: La infraestructura fija está expuesta a daños físicos que pueden
derivar en cortes y congestión.
Ahora que comprendemos las principales causas del tiempo de inactividad de las redes,
¿cómo pueden mitigar el riesgo los responsables de TIC para mantener los sistemas vitales
siempre en funcionamiento? Es necesario invertir en ciertas áreas, entre ellas las siguientes:
50
•
•
•
•
•
Servicio de mitigación de ataques.
Servicio de reserva para fallos.
Supervisión de la red para detectar los primeros indicios de fallo.
Revisiones de cualquier cambio en la red.
Cambio a redes definidas por software (SDN) para facilitar la gestión de la red y
reducir los errores manuales.
4.5.7 Frecuentemente los usuarios no tienen acceso a las bases de datos.
4.5.8 Se presume que hay ataques de denegación de servicios ya que por
momentos deja de haber internet para los usuarios.
La falta de disponibilidad de un servicio en informática se denomina “Denial of Service”
(DoS). Este tipo de bloqueos en el servicio están acompañados por una sobrecarga de los
componentes individuales de la infraestructura informática. Si esta condición es causada
intencionalmente por agentes externos, se habla de un ataque de denegación de servicio o
DoS. Aquí, el atacante dirige al sistema más solicitudes de las que este puede contestar.
De esta forma, los dispositivos de red, sistemas operativos y servidores individuales no
pueden responder a las solicitudes o lo hacen con retraso. Este ataque resulta especialmente
efectivo cuando un sistema se enfrenta a las solicitudes de varios ordenadores.
Medidas para evitar ataques DoS:
Se han desarrollado diferentes medidas para contrarrestar la sobrecarga causada por
ataques DoS. Es fundamental identificar las direcciones IP críticas, así como posibles
vulnerabilidades del sistema. También es necesario disponer de recursos de hardware y
software que permitan compensar pequeños ataques.
•
•
•
Lista de IP bloqueadas: las listas negras permiten la identificación de las
direcciones IP críticas y la eliminación directa de paquetes. Esta medida de
seguridad puede ser implementada de forma manual o automatizada a través de las
listas de bloqueo del cortafuegos.
Filtros: es posible definir límites en la cantidad de datos procesados
simultáneamente para filtrar, así, todo tipo de paquetes anormales. En este punto es
importante considerar que, muchas veces, los proxys permiten que muchos clientes
se conecten desde una misma dirección IP del servidor, lo que puede generar su
bloqueo sin razón aparente.
SYN cookies: si se utiliza esta medida de seguridad, la información sobre los
paquetes SYN ya no es almacenada directamente en el servidor, sino que se envía
como una cookie encriptada al cliente. De esta forma, un ataque de SYN flood
compromete la capacidad del equipo, pero no la memoria del sistema de destino.
51
•
Balanceo de carga: una contramedida eficaz contra la sobrecarga es la distribución
de la carga en diferentes sistemas. La utilización de balanceadores de carga permite
extender los servicios a múltiples máquinas físicas. De esta forma, y hasta cierto
punto, se pueden controlar los ataques DoS y DDoS.
4.5.9 No cuenta con los eventos de posibles vulnerabilidades que tiene la
red.
Para solucionar este problema se recomienda utilizar escáneres de vulnerabilidades que
pueden ayudar a automatizar la auditoría de seguridad y desempeñar un papel crucial en la
seguridad de TI. Pueden escanear su red y sus sitios web para encontrar miles de diferentes
riesgos de seguridad, ofreciéndole una lista priorizada de los que debe parchar, la
descripción de las vulnerabilidades y los pasos a seguir para remediarlos. Algunos incluso
pueden automatizar el proceso de actualización.
Aunque los escáneres de vulnerabilidad y las herramientas de auditoría de seguridad
pueden llegar a costar una fortuna, también hay opciones gratuitas. Algunas solo se centran
en vulnerabilidades específicas, aunque también hay las que ofrecen un análisis de
seguridad de TI más amplio.
El mismo Gestor Nessus es una opción viable para solucionar este tipo de eventos además
de otras posibles soluciones de uso libre como ser:
1.
2.
3.
4.
5.
6.
OpenVAS
Retina CS Community
Microsoft Baseline Security Analyzer (MBSA)
NeXpose Community Edition
SecureCheq
Qualys FreeScan
4.6 Los videos de las cámaras de vigilancia se deben monitorizar desde la
central y almacenar en el CPD. Se sugiere hacer los backup solo por las
noches en forma automática.
Para realizar Backup de datos y video se implementará el uso de software como Cobian
Backup.
Es un programa multitarea capaz de crear copias de seguridad en un equipo, en una red
local o incluso en/desde un servidor FTP. También soporta SSL. Se ejecuta sobre Windows
y uno de sus grandes fuertes es que consume muy pocos recursos y puede estar
funcionando en segundo plano.
52
Cada tarea de respaldo que le asignemos puede ejecutarse en el momento, diaria, semanal,
mensual o anualmente, o en un tiempo especificado. Hace copias completas, incrementales
y diferenciales.
Soporta compresión ZIP, Zip64 o SQX. Además, ofrece la opción de proteger todas las
funciones del programa por contraseña.
Existe la opción de cifrar sus ficheros usando 4 métodos diferentes de cifrado fuerte: RSARijndael (1024-256-bits), Blowfish (128-bits), Rijndael (128-bits) o DES (64-bits).
También pueden definir eventos disparados antes o después de la copia, como por ejemplo
provocar el cierre de un determinado programa que utilice un fichero que se va a copiar y
hacer que una vez finalizada la copia se vuelva a iniciar.
Más allá del backup, Cobian Backup puede utilizarse como programador de tareas,
ejecutando determinadas aplicaciones cuando lo deseemos.
Toda esta funcionalidad desde una interfaz sencilla, intuitiva y agradable.
Para crear un backup debemos seleccionar Tarea y luego “nueva tarea”:
53
Debemos darle un nombre al backup, después seleccionamos el tipo de Backup, en este
caso completo:
Seleccionamos los documentos a incluir en el backup:
54
Una vez seleccionado el tipo de datos que utilizaremos para el backup, solo queda
programar el backup:
Después de haber programado el backup solo queda ejecutarlo mediante la pestaña de
ejecución de tareas:
55
4.7 Se requiere un diseño a largo plazo (8 años) con redundancia en capa
2 y capa 3.
Para la asignación de direcciones se utilizó una clase A por una mejor administracion y
control de la red:
10.0.0.0
HOST
AREA
SUCURSAL
CLASE
Utilizando la siguiente formula obtendremos los usuarios finales que necesitara la red para
8 años.
56
𝑈𝑓 = 𝑈𝑖 ∗ (1 + 𝑟)𝑛
𝑈𝑓 = 𝑈𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑓𝑖𝑛𝑎𝑙𝑒𝑠
𝑈𝑖 = 𝑈𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑖𝑛𝑖𝑐𝑖𝑎𝑙𝑒𝑠
𝑟 = 𝐼𝑛𝑑𝑖𝑐𝑒 𝑑𝑒 𝑐𝑟𝑒𝑐𝑖𝑚𝑖𝑒𝑛𝑡𝑜
𝑛 = 𝑛𝑢𝑚𝑒𝑟𝑜 𝑑𝑒 𝑝𝑒𝑟𝑖𝑜𝑑𝑜𝑠
Direccionamiento de la Oficina Central:
AREA
Usuarios
VoIP
Servidores
NVR
HOST
30
30
8
5
OFICINA CENTRAL
ESCALABILIDAD (3 % x 8 Años)
RED
PREFIJO
MASCARA
BROADCAST VLAN
38
10.10.1.0
/26
255.255.255.192 10.10.1.63
10
38
10.10.1.64
/26
255.255.255.192 10.10.1.127
20
11
10.10.1.128
/28
255.255.255.240 10.10.1.143
30
7
10.10.1.144
/28
255.255.255.240 10.10.1.159
40
Direccionamiento de la Sucursal 1:
AREA
Administracion
VoIP
NVR
Servidores
HOST
15
15
8
3
"SUCURSAL 1"
ESCALABILIDAD (3 % x 8 Años)
RED
19
10.11.2.0
19
10.11.2.32
11
10.11.2.64
5
10.11.2.80
PREFIJO
/27
/27
/28
/29
MASCARA
BROADCAST VLAN
255.255.255.224 10.11.2.31
100
255.255.255.224 10.11.2.63
110
255.255.255.240 10.11.2.79
120
255.255.255.248 10.11.2.87
130
PREFIJO
/27
/27
/28
/29
MASCARA
BROADCAST VLAN
255.255.255.224 10.12.3.31
150
255.255.255.224 10.12.3.63
160
255.255.255.240 10.12.3.79
170
255.255.255.248 10.12.3.87
180
Direccionamiento de la Sucursal 2:
AREA
Administracion
VoIP
NVR
Servidores
HOST
15
15
8
3
"SUCURSAL 2"
ESCALABILIDAD (3 % x 8 Años)
RED
19
10.12.3.0
19
10.12.3.32
11
10.12.3.64
5
10.12.3.80
4.10 Centralizar el acceso a internet por la oficina central.
4.11 Utilizar un servidor para hacer gestión de Fallas.
Para la gestión de fallas se está implementado el gestor Nagios que nos notificara por
correo electrónico cuando una interfaz o un dispositivo haya caído o cuento la capacidad
de almacenamiento este llegando al límite. Además, que este software realiza ambos
tipos de Gestion como Fallos y Rendimiento.
57
Nagios es un sistema de monitorización en software libre que nos permite conocer el estado
de sistemas y servicios TI.
Algunas Caracteristicas de NAGIOS XI son:
-
-
-
-
-
-
-
-
Potente motor de monitoreo
Nagios XI utiliza el potente motor de monitoreo Nagios Core 4 para
proporcionar a los usuarios un monitoreo escalable y eficiente.
Interfaz web actualizada
El nuevo panel de control ofrece una vista general de alto nivel de hosts,
servicios y dispositivos de red.
Gráficos avanzados
Los administradores pueden ver fácilmente los incidentes de red y
resolverlos antes de que se conviertan en catástrofes importantes.
Capacidad de Planificación
Gráficas automatizadas, tendencias integradas y capacidad de planificación
permiten a las organizaciones establecer planes de actualizaciones.
Asistentes de configuración
Fast Wizards! Simplemente ingrese la información requerida y listo, estará
monitoreando con unos simples clics.
Gestión de Infraestructuras
Mejora de la importación de Host Bulk, ¡descubrimiento automático,
desmantelamiento automático, reconocimiento en masa y mucho más!
Instantánea de configuración
Guarde las configuraciones más recientes. Archívelo. Regrese cuando
quiera.
Gestión avanzada de usuarios
Fácil de configurar y administrar cuentas de usuario con sólo unos pocos
clics y luego asignar funciones personalizadas para garantizar un entorno
seguro.
Informacion del cliente/agente Nagios XI:
58
Inicio de sesión en Nagios XI:
Host agregados y estado de los equipos:
59
Log de eventos:
Mapa del estado de la Red:
Métodos de Notificación:
Habilitaremos el correo electrónico para que el servidor Nagios XI notifique acerca de
eventos en la red.
60
Mediante un email de prueba realizaremos un test al servidor:
Ahora enviaremos un email con un evento relacionado a la caída de un host:
61
Para gestion de Fallas también se implementará el uso de PRTG como una
sugerencia extra a este tipo de Gestion.
PRTG Network Monitor (Paessler Router Traffic Grapher hasta la versión 7) es un
software de monitoreo de red sin agentes de Paessler AG. Puede supervisar y clasificar
las condiciones del sistema, como el uso del ancho de banda o el tiempo de actividad, y
recopilar estadísticas de hosts diversos como conmutadores, enrutadores, servidores y
otros dispositivos y aplicaciones.
PRTG Network Monitor tiene un modo de descubrimiento automático que escanea áreas
predefinidas de una red empresarial y crea una lista de dispositivos a partir de estos
datos. En el siguiente paso, se puede recuperar más información sobre los dispositivos
detectados utilizando varios protocolos de comunicación. Los protocolos típicos son
Ping, SNMP, WMI, NetFlow, jFlow, sFlow, pero también es posible la comunicación a
través de DICOM o la API RESTful.
La herramienta solo está disponible para sistemas Windows. Además, Paessler AG ofrece
la solución de monitoreo basada en la nube "PRTG hospedada por Paessler".
62
Inicio de sesión en PRTG:
Alarmas y sensores establecidos:
Mediante alertas por correo PRTG nos comunicara sobre eventos que ocurran en la
Red:
63
4.12 Utilizar un servidor para hacer gestión de rendimiento.
Para la Gestion de Rendimiento utilizaremos Zabbix Appliance ya que debemos
monitorear los rendimientos de los equipos críticos, como: CPU, memoria RAM, disco
duro, para evitar que el equipo se sature y estar informado sobre lo ocurrido.
Es un Sistema de Monitorización de Redes creado por Alexei Vladishev. Está diseñado
para monitorizar y registrar el estado de varios servicios de red, Servidores, y hardware de
red.
Zabbix ofrece varias opciones de monitorización:
-
-
-
Chequeos simples que pueden verificar la disponibilidad y el nivel de respuesta de
servicios estándar como SMTP o HTTP sin necesidad de instalar ningún software
sobre el host monitorizado.
Un agente Zabbix puede también ser instalado sobre máquinas UNIX y Windows
para monitorizar estadísticas como carga de CPU, utilización de red, espacio en
disco, etc.
Como alternativa a instalar el agente sobre los hosts, Zabbix incluye soporte para
monitorizar vía protocolos SNMP, TCP y ICMP, como también sobre IPMI, JMX,
SSH, telnet y usando parámetros de configuración personalizados. Zabbix soporta
una variedad de mecanismos de notificación en tiempo real, incluyendo XMPP.
Informacion del cliente/agente Zabbix:
64
Inicio de sesión en el servidor Zabbix:
Host agregados y disponibles en el servidor Zabbix
65
Host cliente grafico de espacio disponible en disco “C”:
Host cliente grafico de carga de CPU:
66
Host cliente grafico de RAM:
Servidor Zabbix grafico de Trafico en Interfaz de Red:
67
Cacti es una completa solución para la generación de gráficos en red, diseñada para
aprovechar el poder de almacenamiento y la funcionalidad para gráficas que poseen la
aplicación RRDtool. Esta herramienta, desarrollada en PHP, provee un pooler ágil,
plantillas de gráficos avanzadas, múltiples métodos para la recopilación de datos, y manejo
de usuarios. Tiene una interfaz de usuario fácil de usar, que resulta conveniente para
instalaciones del tamaño de una LAN, así como también para redes complejas con cientos
de dispositivos.
Puedo, a través de Cacti, representar gráficamente los datos almacenados en la RRD: uso
de conexión a internet, datos como temperatura, velocidad, voltaje, número de
impresiones, etc. La RRD va a ser utilizada para almacenar y procesar datos recolectados
vía SNMP.
En definitiva, para hacer uso de una RRDtool, lo que se necesita es un sensor para medir
los datos y poder alimentar al RRDtool con esos datos. Entonces, la RRDtool crea una base
68
de datos, almacena los datos en ella, recupera estos datos y basándose en ellos, Cacti crea
gráficos en formato PNG.
Informacion cliente Windows7/Cacti:
Inicio de Sesión en servidor Cacti:
Configuración de un cliente Cacti:
69
Gestion de Rendimiento a dispositivos:
4.13 Utilizar un servidor para hacer gestión de seguridad de redes.
Se implementará el uso de NESSUS para la gestion de Seguridad.
70
Nessus es un programa de escaneo de vulnerabilidades en diversos sistemas operativos.
Consiste en un demonio o diablo, nessusd, que realiza el escaneo en el sistema objetivo,
y nessus, el cliente (basado en consola o gráfico) que muestra el avance e informa sobre
el estado de los escaneos. Desde consola nessus puede ser programado para hacer
escaneos programados con cron.
En operación normal, nessus comienza escaneando los puertos con nmap o con su propio
escaneador de puertos para buscar puertos abiertos y después intentar varios exploits para
atacarlo. Las pruebas de vulnerabilidad, disponibles como una larga lista de plugins, son
escritos en NASL (Nessus Attack Scripting Language, Lenguaje de Scripting de Ataque
Nessus por sus siglas en inglés), un lenguaje scripting optimizado para interacciones
personalizadas en redes.
Opcionalmente, los resultados del escaneo pueden ser exportados como informes en
varios formatos, como texto plano, XML, HTML, y LaTeX. Los resultados también
pueden ser guardados en una base de conocimiento para referencia en futuros escaneos
de vulnerabilidades.
Algunas de las pruebas de vulnerabilidades de Nessus pueden causar que los servicios o
sistemas operativos se corrompan y caigan. El usuario puede evitar esto desactivando
"unsafe test" (pruebas no seguras) antes de escanear.
Se realizará un escaneo avanzado a toda la red 192.168.0.0/24
71
Ahora nos mostrara el resultado del escaneo:
Posterior a ello se podrá observar las vulnerabilidades que hay en el host
192.168.0.101 Windows 7 de manera clasificada tanto como alto, bajo, crítico y
medio:
72
A continuación, se podrá ver en detalle las vulnerabilidades que tiene el host y las
posibles soluciones:
73
4.14 Utilizar un servidor para hacer gestión de configuración.
Para gestión de configuraciones se implementará el uso de Kiwi CatTools una
herramienta del gestor Solar Winds.
74
Software potente de administración de automatización y configuración de red
Características clave:
•
•
•
•
•
•
Programe copias de seguridad automatizadas
Realice cambios de configuración en masa
Aumente la seguridad
Revierta la configuración de la red
Compare y analice cambios en la configuración
Genere informes de correo electrónico automatizados
Para empezar a usar esta herramienta debemos primeramente añadir el dispositivo con
sus respectivos datos técnicos además de los días y horas para el Backup.
Utilizaremos un router mikrotik virtualizado:
75
Añadiremos los horarios para realizar el backup de configuraciones:
Luego configuramos el correo electrónico para que nos envié los Backup por medio de
email:
Iniciaremos la actividad de Backup y se puede verificar en la carpeta donde se almaceno:
76
También se realizó él envió de los errores y cambios en la configuración a nuestro
correo:
77
4.15 El presupuesto que se tiene es de $us 35000 para el re diseño de la
red LAN y WAN.
Oficina
Oficina
Central
Precio
Unitario
Cantidad
Precio
Total
SR2220
1.300
5
6.500
Juniper
SR2300
2.100
1
2.500
Transceiver
Mikrotik
Genérico
400
1
400
Cámara
Samsung
SNB3000P
500
5
2.500
NVR
Samsung
NR-8301
500
1
500
Ventana
250
1
250
40
1
40
30
4
120
Equipo
Marca
Modelo
Switch L2 24P
Juniper
Switch L3 24P
Gabinete Rack
cerrado 15U
Bandeja de
Fibra Óptica
Pach Panel
24P
Sucursal
1
Switch L3 24P
Juniper
SR2300
2.100
1
2.500
Switch L2 24P
Juniper
SR2220
1.300
3
3.900
Transceiver
Mikrotik
Genérico
400
1
400
Cámara
Samsung
SNB3000P
500
8
4.000
NVR
Samsung
NR-8301
500
1
500
Ventana
250
1
250
40
7
280
30
3
90
Gabinete Rack
cerrado 15U
Bandeja de
Fibra Óptica
Pach Panel
24P
Sucursal
2
Switch L3 24P
Juniper
SR2300
2.100
1
2.500
Switch L2 24P
Juniper
SR2220
1.300
3
3.900
Transceiver
Mikrotik
Genérico
400
1
400
Cámara
Samsung
SNB3000P
500
8
4.000
NVR
Samsung
NR-8301
500
1
500
Ventana
250
1
250
40
7
280
30
3
90
Gabinete Rack
cerrado 15U
Bandeja de
Fibra Óptica
Pach Panel
24P
Total del presupuesto
Total
$US /
Oficina
12.810
13.020
13.020
38.850
78
5 CONCLUSIONES
Después de realizar el marco práctico e ingeniería de proyecto, en respuesta a los objetivos
planteados tanto principal como secundarios, se llegan a las siguientes conclusiones:
•
•
•
•
•
•
•
•
•
•
El nuevo esquema de red propuesto facilita el monitoreo, la seguridad y la gestión
tanto como la administración de los recursos de la red, logrando un análisis
predictivo del funcionamiento y rendimiento de la misma, un análisis del tráfico,
verificación de los enlaces y el tiempo de indisponibilidad de estos.
Para tener un control total, es necesario documentar toda la información referente
a la red, como ser configuraciones, esquemas de red y direccionamiento, esquemas
de red físicos, manteniéndolo actualizado. Facilitando la resolución de problemas
futuros y ayudando a futuros empleados a capacitarse.
Los sistemas de gestión de la seguridad de la información son una pieza clave en
la construcción y desarrollo de una red, ya que dan los lineamientos y controles
necesarios para proteger uno de los insumos más grandes de las empresas.
La modernización de los diseños de red es tan necesaria como la actualización de
equipos de seguridad, debido a que la mayoría de los ciberataques pueden
comprometer la información de una empresa
La defensa en profundidad utilizada en computación ayuda a proteger los diversos
niveles de información para así asegurar su confidencialidad, disponibilidad e
integridad.
Los sistemas de gestión de la seguridad de la información son una pieza clave en
la construcción y desarrollo de una red, ya que dan los lineamientos y controles
necesarios para proteger uno de los insumos más grandes de las empresas.
Es necesario seguir actualizando la arquitectura de red, debido a que los
ciberataques son cada vez más adaptables y cada vez más potentes, además de
analizar a las personas en el papel de la seguridad corporativo para así evitar la
ingeniería social.
Las personas como la información son un activo demasiado valioso dentro de una
organización, y debido a que son ellas el primer flanco de ataque en la mayoría de
los ciberataques es necesario generar políticas dentro de un SGSI que les enseñe y
les proteja.
Las herramientas de seguridad disminuyen en un 80 % los ataques cibernéticos,
que podrían afectar una compañía, sin embargo, son más efectivas como contención
para detectar el problema, y así aplicar los correctivos necesarios debido a que todo
sistema es propenso a fallas.
Las pruebas de penetración son una herramienta muy valiosa para validar la
seguridad de una red, y tomar las medidas de seguridad necesarias sobre la misma.
Descargar
Fichas aleatorios
Explore flashcards