EL DIRECTOR DEL PROYECTO

Transcripción

1 Autrizada la entrega del pryect del alumn: D. Antni Grdón Rmer Madrid, 25 de juni de 2010 EL DIRECTOR DEL PROYECTO Fd.: Dr. D. Francisc Javier Rdríguez Gómez Vº Bº del Crdinadr de Pryects Fd.: D. David Cntreras Bárcena Fecha: / /

2 ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI) INGENIERO EN INFORMÁTICA PROYECTO FIN DE CARRERA DISEÑO DE LOS SERVICIOS DE COMUNICACIONES EN LA IMPLANTACIÓN DE UN MODELO I*NET AUTOR: ANTONIO GORDÓN ROMERO MADRID, JUNIO 2010

3 DEDICATORIA A mi familia y amigs, que durante un añ me habéis aguantad en ls mments de baches e inseguridades, per debéis estar tranquils, en ess cass cuand el deber y el trabaj dejaban de lad estar junt a vstrs (navegaba en el mar del sacrifici), y en el fnd de mi crazón s tenía muy dentr, sintiend así vuestr apy y calr. I

4 AGRADECIMIENTOS Agradezc la creación y finalización de este pryect en primer lugar a mi directr de pryect Francisc Javier Rdríguez Gómez, ya sn ds añs trabajand cntig, ds pryects terminads, pryects interesantes que me han servid de much, n sl en el plan académic si n en el plan intelectual, crecimient y maduración persnal. Te vuelv a repetir l que antañ te dije, sin ti ests pryects n habrían salid adelante, gracias pr td de crazón, gracias pr enseñarme qué es hacer un buen trabaj. N me lvid de mi familia, ya sabéis que sin vuestr apy n hubiera terminad est, y cm n agradezc en especial a mi padre, también Ingenier (aun que n de est de la infrmática, que se que le trae pr el camin de la amargura), pr aguantarme en mments de dificultad este añ llen de sufrimient para ti, ayudándme en td l que le pedía. Pr últim agradecer a mis amigs, ess a ls que les hablaba de mi pryect y pnían cara de póker, per en el fnd sé que me apyaban, gracias pr tds vuestrs ánims y mensajes de apy, gracia pr cmprender que debía de faltar cuand quedábams, gracias pr aguantarme ls días de malas caras y de estrés, gracias pr seguir cntand cnmig. A tds GRACIAS de td crazón. II

5 RESUMEN En la actualidad, la visión de futur en las empresas de gran envergadura cn ámbit de actuación en td el territri Nacinal y cn capacidad para sprtar la cnexión en su red privada (WAN), a miles de usuaris, necesita una red de cmunicacines cmpleja y segura; debiend de ser a la vez fiable y flexible. Pr esta razón, cada vez se crean y diseñan nuevas slucines para dar sprte a este tip de necesidades, una de ellas es la infraestructura de cmunicacines dividida en nds. Cada nd es un sistema separad e íntegr cnectad a la red privada, cmpuest de Hardware y Sftware de cmunicacines, es decir ruters, switches, firewalls, antivirus y más cmpnentes, que prestan un tip de servici a la empresa (crre, web, Internet, etc.) separándls de manera independiente, dand rbustez y máxima seguridad al acces de miles de usuaris cnectads a la red privada, pudiéndse pr un lad gestinar mejr el sistema, y pr el tr buscar una mejr escalabilidad en un futur. El pryect se centra en una Empresa ficticia cuya misión principal ha sid elabrar y cnfrmar de frma teórica uns dcuments Instruccines Técnicas definiend en ells su infraestructura de nds denminada mdel I*Net. Además se elabran uns Plieg de Prescripcines para que se materialice de frma física ese mdel, dand varias directrices, nrmativas e indicand ls requisits necesaris que se deben cumplir. El bjetiv principal del pryect, pr tant, es realizar una slución adecuada a esta Empresa, utilizándse el citad mdel de nds, previamente debiéndse analizar su sistema actual. Dicha slución abarca el análisis, diseñ e instalación del mdel I*Net, renvándse casi en su ttalidad la infraestructura de cmunicacines que la Empresa psee, teniéndse que migrar ls servicis y después desplegar la nueva infraestructura en un centr de cmunicacines físic llamad Centr Tecnlógic de la Empresa, diseñándse también un centr de respald que hará de infraestructura principal en cas de fall grave, dand así cnti- III

6 nuidad al negci. Ls servicis de la Empresa se definen según las Instruccines Técnicas en: Nd Extranet: prprcinará servicis de acces a una Red de Área Extensa (WAN), existente en la Empresa, desde Internet. Nd de Internet Crprativ: incluirá ls servicis de Crre electrónic y Navegación. Nd de Servicis Web: prprcinará ls servicis de publicación Web. Nd de Redes Remtas: dará servici al acces de redes remtas existentes a la Red de Área Extensa (WAN). Además se dtará de las líneas de cmunicacines para la cnexión a Internet de tds ls nds, buscándse para ell una Operadra Telefónica que pere a nivel Nacinal e Internacinal. Se pretende pr tant aprtar la mejr slución garantizándse en td mment en cada un de ls nds, la Identificación y autentificación, Cifrad de las Cmunicacines, Auditría y Trazabilidad, Prevención/Detección de Intrusines y Dispnibilidad. Incluyéndse también, un plan de cntingencia exhaustiv, una valración ecnómica rentable, dividida en ds partes, diferenciándse ls cstes de cnsultría y diseñ y ls cstes de implantación; un glsari de términs técnics de cmunicacines y un anex destinad a describir las características de tds ls equips Hardware y Sftware que se utilizarán en la slución finalmente prpuesta. Para ejecutar el mencinad trabaj el pryect se divide en las siguientes partes: Nrmativa de la Empresa. Sistema Actual de la Empresa. Requisits que se prpnen. Slución Técnica (Incluyéndse Plan de Implantación y Plan de Cntingencia). Valración Ecnómica. Anex de características del Hardware y Sftware que se prpne en la slución. Cada una de estas partes se ha elabrad en frma de dcument a l larg del pryect, siguiend un cicl de vida Incremental- Iterativ, juntándse finalmente las diferentes entregas, quedand una slución clara y rdenada sirviend para una labr educativa cm mdel para que sirva de psible implantación en tra empresa de similares características. IV

7 ABSTRACT Nwadays, many large cmpanies with scpe thrughut the natinal territry have the ability t supprt the cnnectin f thusands f users n his private netwrk (WAN), fr this reasn these cmpanies require, a cmplex and safe cmmunicatins netwrk; besides being reliable and flexible. Because f this reasn, everytime new slutins have been created and designed t supprt these needs, ne f these slutins is a cmmunicatins infrastructure which is divided in ndes. Each nde is a separated and cmpleted system cnnected t the private netwrk, cmpsed f Hardware and Sftware fr cmmunicatins, i.e. ruters, switches, firewalls, antivirus and mre cmpnents that prvide a type f cmpany s services ( , web, Internet, etc.) separating these services independently, giving maximum strength and security t access thusands f users cnnected t the private netwrk. This n ne hand will allw managing the system better, and n the ther lk fr a better scalability in the future. The prject fcuses n a fictitius Cmpany whse primary missin has been t develp sme dcuments t make a theretically develpment f the ndes "Technical Instructins" calling the infrastructure I*Net Mdel. Mrever "Technical Specificatin Dcument" was made t materialize in physical frm this mdel, giving a number f guidelines, rules, and indicating the requirements t be carried ut. The prject's main bjective therefre is t make an apprpriate slutin t this Cmpany, using I*Net mdel, analyzing previusly the current system. This slutin includes analysis, design and installing I*Net Mdel, renvating almst cmpletely the previus cmmunicatins infrastructure f the Cmpany, having t migrate the services and then deply the new infrastructure n a physical center called "Centr Tecnlógic de la Empresa, als a secnd center has been designed in case f failure, prviding the business s cntinuity. Cmpany s services are defined fllwing the Technical Instructins: V

8 Extranet Nde: it will prvide access services t a Wide Area Netwrk (WAN), existing in de Cmpany frm the Internet. Crprative Internet Nde: it will include and brwsing services. Web Services Nde: it will prvide Web publishing services. Remte Netwrk Nde: it supplies Remte Netwrk existing access t the Wide Area Netwrk (WAN). Furthermre cmmunicatin lines will be equipped with Internet access fr all the ndes, in rder t get that access, a Glbally Telecmmunicatins prvider is required. It is pretended t achieve the best slutin ensuring at all times, Authenticatin and Identificatin, Cmmunicatin Encryptin, Audit and Traceability, Intrusin Preventin/Detectin system and Availability, n each nde. Als including an exhaustive Cntingency Plan, a prfitable budget, split in tw parts: first related t cnsulting and design csts and the secnd is abut the establishment csts f the infrastructure; a technical cmmunicatin terms glssary and a attachment which describes all Hardware and Sftware features that will be used in the final slutin. In rder t bring t pass this wrk the prject is divided in the fllwing parts: Cmpany s plicy. Cmpany s Current cmmunicatin system. Requirements Prpsed. Technical Slutin (Including Establishment Plan and Cntingency Plan). Prfitable budget. Hardware and Sftware features attachment. Each f thse pints had been written as a dcument all alng the prject, fllwing a life cycle named Iterative and Incremental develpment, finally cming tgether the different VI

9 parts, ending in a clear and rderly slutin that culd be useful in educatinal wrk r as mdel fr a similar cmpany. VII

10 ÍNDICE ÍNDICE DE CONTENIDOS 1 INTRODUCCIÓN Y MOTIVACIÓN OBJETIVOS DEL PROYECTO METODOLOGÍA DE TRABAJO NORMATIVA DE LA EMPRESA NODO EXTRANET Requisits de seguridad Requisits de interperabilidad Requisits del nd extranet Líneas de cmunicacines NODO DE REDES REMOTAS Requisits del nd de redes remtas Requesits para la red remta Claves y certificads Líneas de cmunicacines NODO DE INTERNET CORPORATIVA NODO DE SERVICIOS WEB Flujs de infrmación Requerimients de servicis glbales Capa de infraestructura. Descripción y cmpnentes Líneas de cmunicacines Red de gestión Mnitrización Generación de infrmes y estadísticas Centr de respald Gestión de cntenids ARQUITECTURA TÉCNICA RESUMEN DE LA SITUACIÓN ACTUAL VIII

11 5.1 NODO EXTRANET Acces a tercers GPRS/UMTS RDSI/RTB Intranet Administrativa (AGE) NODO DE REDES REMOTAS Entrn pilt NODO DE INTERNET CORPORATIVA Servici de crre crprativ Servici de navegación internet Servici de reslución de nmbres NODO DE SERVICIO WEB Situación de la web pública de la Empresa SISTEMAS CORPORATIVOS SITUACIÓN ACTUAL DEL DIRECTORIO CORPOTARIVO (DICOE) SITUACIÓN ACTUAL PKI CORPORATIVA (PKIE) INFORMACIÓN COMPLEMENTARIA INFORMACIÓN REFERENCIADA Líneas dedicadas actuales IDS/IPS. Sistemas de detección/prevención de intruss Sistema de filtrad de cntenids web Crre móvil Platafrma antivirus Sistemas de gestión centralizada Servidres de aplicacines Servidres de bases de dats Almacenamient cnslidad PRODUCTOS Y LICENCIAS DE LA EMPRESA Sistemas perativs Sistema de gestión de red Centr de atención al usuari Distribución de sftware ESPECIFICACIÓN DEL TRABAJOS Y REQUISITOS DESCRIPCIÓN GENERAL IX

12 8.2 ALCANCE REQUISITOS Cndicinantes previs Requisits de carácter general Requisits de arquitectura Requisits técnics de detalle Fases de pryect SOLUCIÓN TÉCNICA INTRODUCIÓN INFRAESTRUCTURA Cmunicacines a internet Infraestructura de ls nds del mdel I*Net Cnfiguración de alta dispnibilidad Platafrma de seguridad Acces usuaris remts Acces a tercers Acces RTB/RDSI Acces usuaris en el extranjer Platafrma para navegación Crre móvil Platafrma de SMTP relay Servici DNS Directri activ Servidr radius Antivirus Descripción de la gestión de usuaris Distribución de servidres Instalación de la infraestructura FASE DE IMPLANTACIÓN PLAN DE CONTINGENCIA Descripción de las tareas Detalles de las tareas más relevantes PLANIFICACIÓN DEL PROYECTO VALORACIÓN ECONÓMICA DEL PROYECTO X

13 11.1 INTRODUCCIÓN CÁLCULO DE LOS RR.HH DEL PROYECTO Organigrama del pryect Matriz de respnsabilidad Asignación de presupuest CÁLCULO DE LOS RECUROS MATERIALES Servici de cmunicacines Infraestructura hardware Recurss sftware COSTE TOTAL (PARTE 1) COSTES DE INSTALACIÓN, MIGRACIÓN E IMPLANTACIÓN Instalación de infraestructura y de equips Migración de servicis COSTE TOTAL (PARTE 2) COSTE TOTAL DEL PROYECTO (PARTE 1 + PARTE 2) CONCLUSIONES Y TRABAJOS FUTUROS BIBLIOGRAFÍA GLOSARIO ANEXO I: DESCRIPCIÓN DEL EQUIPAMIENTO DESCRIPCIÓN DE ELEMENTOS ENRUTADORES ROUTER CISCO 7204 VXR Netwrk Prcessing Engine (NPE) Cntrladr de Entrada y Salida Cisc 7204VXR CHASIS Prt Adapters Sprtads Cisc DESCRIPCIÓN DE LOS BALANCEADORES DE CARGA Características generales de la platafrma CSS Aspects Clave Cntent Switch Características Técnicas CSS DESCRIPCIÓN DE LOS PROXY Aplicacines Características principales XI

14 Características Bluecat SG DESCRIPCIÓN DE LOS GESTORES DE ANCHO DE BANDA Características Packetshaper Resumen de características DESCRIPCIÓN DE LOS CORTAFUEGOS Descripción de ls crtafuegs primer nivel Descripción de ls crtafuegs segund nivel DESCRIPCIÓN IDS/IPS VPN/SSL Funcinalidades y beneficis DESCRIPCIÓN SERVIDORES BLADE Bastidr System blade XII

15 1 INTRODUCCIÓN Y MOTIVACIÓN Tda empresa mderna de mediana gran envergadura necesita en la actualidad tener un sistema de cmunicacines para pder cmpetir en el mercad y tener ventaja sbre tdas las demás. Se sabe que un negci cualquiera ya n sl se sstiene teniend una sede física cn un sistema que de servici de cmunicacines sl a ls trabajadres de un edifici únic, pudiend cmpartir dats y tener salida a Internet. Ahra en un mund glbalizad, cm el de hy en día, l más cmún es que desaparezca el cncept de lcalización física, y se hable de un sistema de cmunicacines que sirva tant para llegar más fácilmente a un mayr númer de clientes, cm para que ls empleads puedan trabajar en una sede fija cm móvil (cmunicads cn una red LAN MetrLAN). De este md tienen la prtunidad de acceder a numerss dats crítics prácticamente desde cualquier lugar, usand para ell las llamadas redes móviles y fijas. Ls clientes exigen cntratar ls servicis a través de Internet sin tener que desplazarse a ningún siti cncret, pudiend hacer transaccines ecnómicas seguras, cntratand así aquells servicis que sliciten. Las cmunicacines entre ls trabajadres de la empresa deben ser seguras y estar bien diseñadas, ya sea dentr de su sede cm entre sedes situadas en diferentes punts del territri, prprcinand sistemas tant de almacenamient cm de cmunicacines secundaris en cas de pérdidas falls graves, tener una infraestructura de mensajería web estable y fiable etc. Para sprtar td ell, ya n sirve cn tener un sistema de cmunicacines simple y much mens mal diseñad. Las empresas buscan slucines slventes y de cnfianza, haciend un estudi previ sbre sus cmunicacines e implantand nuevas. Una de estas slucines es el llamad Mdel I*Net basad en una estructura de nds de cmunicacines, siend un nd el espaci real abstract en el que cnfluyen parte de las cnexines de trs espacis reales abstracts que cmparten sus mismas características y que a su vez también sn nds. Tds ests nds se interrelacinan entre sí de una manera n jerárquica y cnfrman una red de cmunicacines. El mdel cnsta de l siguiente: Nd Extranet, Nd de Redes Remtas, Nd de Internet Crprativa y Nd de Servicis Web, tdas estas partes en cnjunt cnstituyen un mdel rbust y sólid para cualquier tip de empresa que trabaje a nivel nacinal. 1

16 La mtivación del presente pryect es realizar un estudi previ sbre la situación de una empresa mdel cn un sistema de cmunicacines dad. Tras est se especificarán ls requisits necesaris que el cliente suele necesitar incluyend tdas sus necesidades y exigencias, y pr últim se expndrá un mdel I*Net que se planteará haciend un diseñ de tdas sus partes de frma teórica, tant cn un mdel intern, extern y tecnlógic, prduciend al final un dcument dnde se expndrá la slución prpuesta para ser implantada en una empresa real en un futur. 2

17 2 OBJETIVOS DEL PROYECTO El pryect se inició cn uns bjetivs que en la medida que el tiemp ha dejad se han cumplid prácticamente en su ttalidad. La principal intención del pryect ha sid la educativa, y la de cncer pc a pc durante el curs, en mayr medida n sl el funcinamient de las cmunicacines en una Empresa cn infraestructura a nivel nacinal e internacinal, sin tds ls elements Hardware y Sftware que gestinan aseguran esas cmunicacines, debiend dar una slución real a un prblema dad, teniéndse que usar un mdel de cmunicacines descrit de manera teórica. A cntinuación se presentan ls bjetivs del pryect: 1. El principal bjetiv de este pryect es diseñar ls servicis de cmunicacines necesaris para crear un Nd I*Net en una Empresa dad un Plieg de Prescripcines Técnicas (Requisits) y una nrmativa sbre la implementación y seguridad que requiere dicha infraestructura. 2. Para ell se tendrá que estudiar la infraestructura actual de la Empresa, viéndse el grad de implantación del mdel I*Net. 3. Otr de ls bjetivs del pryect es separar ls servicis de cmunicacines de la Empresa, para asegurarse una mayr perabilidad y resistencia frente a falls. Cn ell se cnsigue una mejr gestión de las entradas pr dnde ls usuaris de la Empresa acceden. 4. Ls servicis se deberán separar según las especificacines del mdel I*Net basad en nds de cmunicacines, est es: a. Implantación de un Nd Extranet, cuy bjetiv es que tdas las cnexines desde el exterir de la Red General (WAN) cn recurss interns de la Empresa deben intercnectarse a través del citad Nd Extranet. b. Adicinalmente al Nd Extranet, se pretende facilitar acces a las Redes Lcales en el Extranjer que sean catalgadas cm Redes Remtas de Us General (extensines de la Red General) a través de Internet, y de frma segura a la Red General, mediante la creación de Redes Privadas Virtuales (VPN) entre dichas Redes Remtas y el Nd de Redes Remtas que se implementará para ese fin. 3

18 c. Implantación del Nd Internet Crprativ, cuy prpósit es prprcinar acces desde la Red de área Extensa de Us General (Red General) de la Empresa a servicis de Internet (Navegación) y de intercambi de crre electrónic entre el dmini crprativ e Internet. d. Implantación del Nd de Servicis Web externs, para dar acces desde Internet a ls servicis web públics de la Empresa. e. Dtar de las líneas de cmunicacines necesarias para dar acces a Internet a cada un de ls nds. Queda incluid el cnsum asciad a cada una de estas líneas y ls servicis necesaris para su mantenimient y peración. 5. Además se pretende frecer la mejr slución técnica dand sprte a necesidades actuales y a las que se puedan plantear en un futur en cada un de ls diferentes Nds, garantizand l siguiente: a. Identificación y autentificación: Ls prcedimients de acces ls nds de tds ls dispsitivs remts cntarán cn mecanisms de autenticación fuerte, basads en certificads emitids pr la PKI del la Empresa. b. Cifrad de las Cmunicacines: Las cmunicacines entre ls Nds del la Empresa y sus interlcutres externs deberán ir cifradas, cn ls mecanisms aprpiads, para cumplir cn la Plítica de Seguridad de las Tecnlgías de la Infrmación y las Nrmas de Prtección de la Infrmación Clasificada del Centr Criptlógic Nacinal del Centr Nacinal de Inteligencia (CCN/CNI). c. Auditría y Trazabilidad: Para permitir las necesarias labres de auditría y trazabilidad, ls mecanisms de cifrad se implementarán pr defect entre el punt de entrada exterir a ls Nds de la Empresa y sus respectivs interlcutres, permitiend el manej de la infrmación en clar dentr de dich Nd. Pr ell, ests mecanisms de cifrad se basarán en la implementación de Redes Privadas Virtuales (VPN s), sbre prtcls de nivel de red, basadas en tecnlgía IPSec. 4

19 d. Prevención/Detección de Intrusines: Al estar directamente cnectad a Internet, es imprtante dispner de un sistema de detección y/ prevención de intrusines para evitar psibles ataques al sistema en ls Nds. e. Dispnibilidad: Para garantizar la dispnibilidad del servici es necesari que ls dispsitivs de red de ls Nds tengan la característica de tlerancia a falls, de frma que si curriera un prblema en algún dispsitiv existiera tr que asumiera la prestación del servici sin que éste se viera afectad. f. Nd de Respald: Para garantizar la adecuada prtección de la dispnibilidad de las cnexines externas del la Empresa, se deberá cntar cn una infraestructura de respald, estructurada y dimensinada adecuadamente para sprtar la transferencia parcial ttal de ls servicis de ls Nds. Para minimizar ls riesgs asciads, la ubicación física de este Centr de Respald será distinta de la del Nd Principal, a una distancia segura. 6. Se aplicarán durante el desarrll cncimients de las siguientes materias: equipamient de Red, platafrmas de Seguridad, Servidres y Sistemas de almacenamient, Redes MetrLan, Red IP/MPLS y Servicis DataInternet de banda ancha. Terminand el estudi cmplet cn una valración ecnómica slvente minucisamente detallada que apye la prpuesta adptada. 7. Además se cntemplará la instalación de ls nds que frman el Mdel I*Net (Nd Extranet, Nd de Internet Crprativa, Nd de Servicis Web y Nd de Redes Remtas) en el edifici físic llamad Centr Tecnlógic que psee la Empresa cm Centr Principal y la infraestructura de respald se instalará en el Centr de Respald, desmntand td l que había anterirmente instalad, aprvechándse, si se puede, parte del Hardware y Sftware existente. 8. Pr últim. se prpndrá un Plan de cntingencia, para usarse en cas de falls graves en la infraestructura diseñada, freciend así cntinuidad al negci de la Empresa. 5

20 3 METODOLOGÍA DE TRABAJO En este capítul se detallará de manera exhaustiva la metdlgía que se ha seguid para realizar el pryect, utilizándse además una EDT (Estructura de División de Trabaj) seguida de una pequeña descripción de cada un de ls paquetes de trabaj, pudiéndse ver de frma general la ttalidad del pryect y cóm se ha estructurad. Se parte de una metdlgía basada en un cicl de vida Iterativ-Incrementar, dnde el cliente pr medi de un Plieg de Prescripcines Técnicas (PPT) dará en un principi, junt a una nrmativa, ls requisits de una parte en cncret de la infraestructura I*Net (un de ls nds), tras est se empezará una iteración que cnsistirá en analizar y diseñar el mdel y estudiar las cmunicacines relacinadas cn esa parte de la arquitectura. El resultad de cada iteración será, un dcument cn la slución resultante, acmpañad de diferentes partes dcumentales sbre la tecnlgía usada, yend ésta cm Anex. Durante el desarrll del pryect se puede ir mdificand canceland ls requisits, per se pndrán restriccines, una vez se termine cada parte y se pase a tra etapa, el módul quedará terminad y n se pdrán hacer mdificacines ni añadir nuevs requisits de arquitectura y peración (en cuant a ls requisits generales n se pdrán mdificar ya que sn de bligad cumplimient para que se satisfaga la nrmativa de la Empresa). Est se puede hacer así ya que es psible estudiar y diseñar cada nd de manera casi independiente. Tras darse pr finalizad un módul del pryect, se vlverá a repetir el prces de iteración anterir, cn tra parte de ls requisits, hasta la finalización de ls requisits. Una vez se tengan tds ls móduls, se juntará la dcumentación para quedar de la siguiente manera, tal y cm se mstrará a ls larg de ls capítuls: Nrmativa de la Empresa. Situación Actual y Requisits. Slución Técnica. Valración ecnómica de td el pryect. A cntinuación se presenta en la siguiente figura el EDT del pryect, dnde se resumen tds ls trabajs que a l larg del pryect se han realizad tant de gestión cm del pryect en sí. El rganigrama además muestra tempralidad en la realización de ls paquetes al 6

21 mens de manera parcial, al seguir un cicl Iterativ-Incrementar cada vez que se termina un paquete, n se acaba de manera final (ya que en cada pasada se utiliza una parte de ls requisits), si n que una vez llegad al paquete WP_06, se vuelve al principi, esta vez cn trs nuevs requisits, haciend ls paquetes en cada pasada más cmplejs y cmplets. Figura 1 EDT del Pryect Una vez se ha vist la distribución del pryect se describirán ls paquetes del nivel inferir, para mstrar así ls trabajs que en cada un de ells se realiza. 7

22 WP_01 Gestión del Pryect : Definición: El paquete de Gestión n se refiere a una tarea que tardará un tiemp determinad, sin que durará td desarrll del pryect hasta su finalización. Se trata de las diferentes entrevistas que se prducirán a l larg del cicl del diseñ del pryect, prgramand reunines semanales quincenales, vigiland cn est la crrecta realización de ls cntenids del pryect. Entradas: Entregables del pryect en distintas fases de realización. Salidas: Las entradas revisadas y mdificadas si se creyera necesari. WP_02 Nrmativa de la Empresa : Definición: En este paquete se realizan las labres de estudi detallad de la Empresa. En un primer lugar se buscará esa infrmación pr diversas fuentes ya sean dcuments físics Internet, cgiéndse sl la parte relacinada cn las cmunicacines y la infraestructura que frece ls servicis que se desean mejrar, entre esa infrmación hay que destacar las Instruccines Técnicas que la Empresa psee sbre el mdel I*Net basad en nds de cmunicacines, dnde de una manera esquemática define ls punts teórics del mdel que se pretende implantar y la distribución del ls servicis entre ls nds. Pr últim se hará un breve resumen para incluirl en el pryect y así tener una visión clara de l que la Empresa pretende que se haga. Entradas: Nrmativa de la Empresa en frmat físic y digital. Salidas: Resumen de la Nrmativa de la Empresa y las Instruccines Técnicas dnde se describe la infraestructura I*Net teórica. WP_03_01 Resumen del Sistema Actual de la Empresa : Definición: Tras revisarse la nrmativa, se empezará a estudiar la situación de la Empresa cn respect al grad de implantación del mdel I*Net en sus infraestructura de cmunicacines, a través de dcumentación prprcinada en Internet en dcuments físics. Una vez vist, se hará un pequeñ escrit, dnde se resumirá el sistema actual, dividiéndse la infraestructura de la Empresa en l que sería el grad de implantación de cada nd, siend éste nul ya que la Empresa tiene rganizada su infraestructura y ls servicis de diferente manera a l que pretende, per se pre- 8

23 tende dar una idea del qué había antes freciend el servici para una vez vist, se cmpare al final después de implantarse la slución diseñada en el pryect. Entradas: Situación actual de ls sistema de cmunicación de la Empresa en frmat físic y digital. Salidas: Resumen de la situación Actual de ls sistemas de la Empresa. WP_03_02 Resumen del Sistema Crprativ de la Empresa : Definición: Se separará de la situación actual ls apartads relacinads cn el Directri Crprativ de la Empresa llamad DICOE, detallándse su estructura y tda la infrmación relativa al directri, ya que se usará a l larg del pryect. Además se hará mención al LDAP de la Empresa, prtcl que sirve para rganización de ls usuaris de la Empresa en su Base de Dats. Pr últim se buscará infrmación sbre la Infraestructura de Clave Pública PKI que psee la Empresa, viéndse el grad de implantación (aunque la implantación de la PKI, n entra dentr del ámbit del pryect). Esta infrmación es de vital imprtancia para usarse psterirmente, ya que indirectamente afecta a la elabración de la slución. Cn td est, se hará un pequeñ resumen para incluirse en el pryect. Entradas: Infrmación sbre Directri Crprativ, LDAP y PKI de la Empresa en frmat físic y digital. Salidas: Resumen del Directri Crprativ, LDAP y PKI. WP_03_03 Infrmación Cmplementaria : Definición: Antes del estudi de ls requisits, se hará un apartad cn la infrmación que n ha pdid cncretarse en ls móduls anterires y que es imprtante, para entenderse el Plieg de Prescripcines Técnicas que entrega la Empresa. Pr tant se resumirán de frma breve y cncisa. Entradas: Infrmación de la Empresa en frmat físic y digital. Salidas: Dcument de Infrmación cmplementaria de la Empresa. 9

24 WP_03_04 Requisits prpuests : Definición: A través del plieg de Prescripcines Técnicas que la Empresa prprcina, dnde se detalla un cnjunt de requisits y especificacines que se deben de cumplir a l larg del diseñ de la slución técnica, se tendrán que estudiar y resumir ls requisits relacinads cn el diseñ, implantación y Plan de Cntingencia de la infraestructura I*Net. Una vez estudiads y resumids se redactará un dcument para tener dispnible esta infrmación vital, para sucesivs capítuls. Entradas: Plieg de Prescripcines Técnicas de la Empresa sbre la infraestructura I*Net. Salidas: Dcument cn la identificación de necesidades y Análisis de requisits. WP_04_01_01 Nd Extranet : Definición: En este paquete se diseñará la infraestructura del Nd Extranet, junt cn las cnexines al CPD Principal y de Respald. Una vez se dé una slución y se termine el nd, se describirán las partes más imprtante de esta infraestructura, para añadirse de frma separada en la dcumentación en diferentes apartads. Pr tr lad se diseñará parte de las cnexines del CPD a la red de cmunicacines de la empresa que dé el servici a Internet. Entradas: Dcument cn la identificación de necesidades y Análisis de requisits, Nrmativa de la Empresa en frmat físic y digital, Infrmación sbre Directri Crprativ, LDAP y PKI de la Empresa en frmat físic y digital. Salidas: Diseñ de la infraestructura del nd I*Net I. WP_04_01_02 Nd Redes Remtas : Definición: En este paquete se diseñará la infraestructura del Nd Redes Remtas, junt cn las cnexines al CPD Principal y de Respald. Una vez se dé una slución y se termine el nd, se describirán las partes más imprtante de esta infraestructura, para añadirse de frma separada en la dcumentación en diferentes apartads. Pr tr lad se diseñará parte de las cnexines del CPD Principal cn el CPD de Respald. 10

25 Entradas: Dcument cn la identificación de necesidades y Análisis de requisits, Nrmativa de la Empresa en frmat físic y digital, Infrmación sbre Directri Crprativ, LDAP y PKI de la Empresa en frmat físic y digital. Salidas: Diseñ de la infraestructura del nd I*Net II. WP_04_01_03 Nd Internet Crprativ : Definición: En este paquete se diseñará la infraestructura del Nd Internet Crprativ, junt cn las cnexines al CPD Principal y de Respald. Una vez se dé una slución y se termine el nd, se describirán las partes más imprtante de esta infraestructura, para añadirse de frma separada en la dcumentación en diferentes apartads. Entradas: Dcument cn la identificación de necesidades y Análisis de requisits, Nrmativa de la Empresa en frmat físic y digital, Infrmación sbre Directri Crprativ, LDAP y PKI de la Empresa en frmat físic y digital. Salidas: Diseñ de la infraestructura del nd I*Net III. WP_04_01_04 Nd Servicis Web : Definición: En este paquete se diseñará la infraestructura del Nd Internet Crprativ, junt cn las cnexines al CPD Principal y de Respald. Una vez se dé una slución y se termine el nd, se describirán las partes más imprtante de esta infraestructura, para añadirse de frma separada en la dcumentación en diferentes apartads. En este paquete se hará al ser el últim nd una recpilación de td ls elements Hardware usads haciéndse un Anex final cn tda esa infrmación recpilada a l larg del paquete WP_04. Entradas: Dcument cn la identificación de necesidades y Análisis de requisits, Nrmativa de la Empresa en frmat físic y digital, Infrmación sbre Directri Crprativ, LDAP y PKI de la Empresa en frmat físic y digital. Salidas: Diseñ de la infraestructura del nd I*Net IV. 11

26 WP_04_02 Fase de Implantación : Definición: A través de ls dats btenids en ls requisits referentes a la implantación del pryect, se elabrará un diagrama de Gantt describiend las fases en las que se sugiere un plan de implantación de tda la infraestructura cmpleta, n teniéndse en cuanta las partes de gestión implicadas en este prces. Entradas: Dcument cn la identificación de necesidades y Análisis de requisits, Diseñ de la infraestructura del nd I*Net I, II, III, IV. Salidas: Dcument de descripción de la fase de Implantación. WP_04_03 Plan de Cntingencia : Definición: Pr últim cn respect a la parte de la slución técnica. Se diseñará un Plan de Cntingencia, especializad en dtar de cntinuidad al sistema prpuest, en cas de fall desastre. Se partirá de infrmación btenida en Internet librs sbre el tema, extrapland ls cncimients al cas dad, cnstruyend un dcumente dnde se recja el Plan de Cntingencia. Entradas: Dcument cn la identificación de necesidades y Análisis de requisits, Diseñ de la infraestructura del nd I*Net I, II, III, IV, Infrmación de Internet librs sbre Plan de Cntingencia en una red de cmunicacines. Salidas: Dcument del Plan de Cntingencia. WP_05 Valración Ecnómica del Pryect : Definición: Una vez que se termine la slución en su ttalidad, se hará una valración ecnómica, viéndse primer tant ls recurss humans utilizads en la elabración de la slución cm ls que se necesitarán para la implantación de la infraestructura I*Net diseñada, además de tenerse en cuenta el cste de tds ls elements Hardware utilizad en el diseñ (Ls cstes de las licencias sftware irán a carg de la Empresa). Entradas: Diseñ de la infraestructura del nd I*Net I, II, III, IV. Salidas: Valración Ecnómica del Pryect. 12

27 WP_06 Cnclusines y líneas futuras : Definición: En esta fase se redactarán las cnclusines del pryect. Se intentará que n tengan un nivel muy avanzad y que sean de fácil cmprensión cn un lenguaje adaptad a persnas que n necesariamente tengan que estar muy preparadas en el camp de las cmunicacines y las redes. El cntenid de estas cnclusines será el grad de cumplimient de ls bjetivs y las dificultades que se han tenid al realizar las diferentes partes de la infraestructura de ls nds I*Net y las psibles mejras y añadids que en un futur pdría tener el pryect cm el análisis y dcumentación de la parte de Gestión de pryect, Garantía de Calidad etc. Entradas: Ttalidad de la infrmación generada a l larg del pryect. Salidas: Dcument de Cnclusines y Líneas Futuras. 13

28 4 NORMATIVA DE LA EMPRESA. Parte de ls servicis que cmpndrán ls nds del mdel I*Net se encuentran en el Centr Tecnlógic de la Empresa. Además de ests servicis se detallará la nrmativa que servirá para la implantación de ls nds. Estará frmada pr cinc Instruccines Técnicas de la Inspección General CIS la cual describe el Mdel I*Net y cada un de ls nds que cmpnen esta infraestructura: IT_01 Mdel de Arquitectura I*Net : Dnde se establece y describe el Mdel de Arquitectura I*Net para la WAN (Red de Área Extensa) llamada Red General, que nrmalizará ls servicis que frece dicha red desde hacia el exterir. IT_02 Mdel de Arquitectura del Nd Extranet de la Empresa : Dnde se describe el mdel de red Extranet, tant su arquitectura cm su implantación. Este nd tiene el bjetiv de prprcinar acces a ls recurss interns de la red WAN desde el exterir tant a persnal de la Empresa cm a tras entidades relacinadas cn ésta. IT_03 Mdel de Arquitectura del Nd de Redes Remtas de la Empresa : Dnde se establece un mdel de arquitectura que describe cóm se dispnen la cnexión a través de Internet de las redes lcales situadas en el extranjer, que sean para la Empresa, Redes Remtas de Us General. IT_04 Mdel de Arquitectura del Nd Intranet Crprativa de la Empresa : Dnde se presenta el mdel de arquitectura que permita prprcinar servicis de Internet Crprativa de la Empresa. IT_05 Mdel de Arquitectura del Nd de Servici Web de la Empresa : Dnde se presenta el mdel de arquitectura que prprcina servicis Web de la Empresa, en cncret servicis de publicación Web. 4.1 NODO EXTRANET En más prfundidad se analizará la Instrucción Técnica IT_02 Mdel de Arquitectura del Nd Extranet de la Empresa dnde se establece el mdel de arquitectura para el Nd Extranet. Según el tip de necesidad de intercnexión el mdel establece las siguientes agrupacines: 14

29 GRUPO 1: Acces a recurss interns de la Red General, a través de líneas dedicadas de alta velcidad. GRUPO 2: Acces desde Internet a recurss interns de la Red General, para el persnal de la Empresa. GRUPO 3: Acces pr UMTS (Sistema Universal de Telecmunicacines Móviles) /GPRS (Servici General de Paquetes vía Radi) a servicis de crre y navegación, a través de cualquier dispsitiv móvil cmpatible cn estas tecnlgías, para persnal de la Empresa. GRUPO 4: Acces pr RDSI (Red Digital de Servicis Integrads)/RTB (Red Telefónica Básica) a recurss interns de la Red General, para persnal de la Empresa. GRUPO 5: Acces a la Intranet administrativa de las Administracines Generales del Estad (AGE). Aparte de la definición y ls distints grups se detallan en la nrmativa ls siguientes requisits REQUISITOS DE SEGURIDAD Para la creación de túneles IPSec y la autentificación de usuaris de la Empresa se utilizarán certificads emitids pr la Autridad Certificadra (CA) de la Empresa. Además el nd de intercnexión deberá cumplir cn ls requisits necesaris de seguridad ya que este manejará infrmación cn un grad de clasificación nacinal de Difusión Limitada. Pr tant el Mdel de Arquitectura para el Nd Extranet cumplirá cn ls requisits del Centr Criptlógic Nacinal del Centr Nacinal de Inteligencia (CCN/CNI), que se describirán a cntinuación: Instrucción Técnica CCN-STIC-301 Requisits INFOSEC: Establece ls requisits STIC mínims que deben implementarse en las estacines de trabaj aisladas redes de área lcal (LANs), en ls mds segurs de peración dedicad, unificad a nivel superir cmpartimentad en rdenadres prtátiles, en Dispsitivs Digitales Persnales, y en las infraestructuras basadas en el estándar , cuand maneja infrmación nacinal clasificada en la Administración. 15

30 Instrucción Técnica CNN-STIC-302 Intercnexión de CIS: Establece ls principis básics y ls requisits de seguridad que deben cumplir para la intercnexión de Sistemas en ls que algun de ells maneje infrmación nacinal clasificada. Instrucción Técnica CNN-STIC-408 Herramientas de Seguridad: Guía para familiarizarse cn las distintas tecnlgías y estrategias existentes actualmente en el camp de la seguridad perimetral, muy especialmente en el de las tecnlgías de crtafuegs, y cn est ser capaz de seleccinar cuáles de ellas se adaptarán mejr a las necesidades de una Organización para pder psterirmente realizar un diseñ e implementación que sea l más óptima psible en términs de arquitectura y prcedimients y que a la vez asegure la perdurabilidad en el tiemp de la seguridad btenida inicialmente REQUISITOS DE INTEROPERABILIDAD Se deberá cumplir cn ls requisits establecids en la Arquitectura Técnica de la Red General para así pder implementar slucines técnicas que implementen el Mdel de Referencia. Así se garantizará su adecuada interperabilidad cn el rest de sistemas integrads en la Red General. Además ls siguientes sistemas Crprativs de la Empresa deberán integrase tales cm la Infraestructura de Clave Pública de la Empresa (PKIE) y el Directri Crprativ de la Empresa (DICOE) REQUISITOS DEL NODO EXTRANET Para el crrect funcinamient del Nd Extranet de la Empresa se establecen ls siguientes requerimients, atendiéndse a ls requisits antes mencinads: IDENTIFICACIÓN Y AUTENTICACIÓN Ls usuaris cntarán cn mecanisms de autentificación fuerte, basads en certificads emitids pr la PKI (Infraestructura de clave pública) de la Empresa, para ls prcedimients de acces a ls servici del Nd Extranet CIFRADO DE LAS COMUNICACIONES Tdas las cmunicacines que haya entre el Nd Extranet y ls usuaris deberán ir cifradas, cn ls mecanisms aprpiads, para cumplir cn la Plítica de Seguridad de las Tecn- 16

31 lgías de la Infrmación y las Nrmas de Prtección de la Infrmación Clasificada del Centr Criptlógic Nacinal del Centr Nacinal de Inteligencia (CCN/CNI) AUDITORÍA Y TRAZABILIDAD Ls mecanisms de cifrad se implementarán pr defect entre el punt de entrada exterir al Nd Extranet y sus respectivs usuaris, manejand la infrmación en clar dentr del nd, permitiéndse de esa frma las actividades relacinadas cn la auditría y trazabilidad PREVENCIÓN Y DETECCIÓN DE INTRUSIONES Para evitar psibles ataques en el Nd Extranet, se instalará un sistema de detección y/ prevención de intrusines, ya que el nd está cnectad directamente a Internet DISPONIBILIDAD Es necesari garantizar en td mment la dispnibilidad del sistema y de tds sus servicis pr tant es imprtante que ls dispsitivs de red y el Nd Extranet tengan la característica de tlerancia a falls, existiend un dispsitiv que asumiera las prestacines del servici si hubiera cualquier anmalía haciend que funcinase td cn ttal nrmalidad NODO DE RESPALDO Se deberá cntar cn una infraestructura de respald garantizándse así la prtección de la dispnibilidad de las cnexines externas de la Empresa. La infraestructura se dimensinará y estructurará de tal frma que sprte la trasferencia parcial ttal de ls servicis del Nd Principal, situándse este nd en el Centr de Respald de la Empresa cuya ubicación física será distinta a la del Nd Principal a una distancia segura LÍNEAS DE COMUNICACIONES El Nd Extranet necesita de una serie de líneas de cmunicacines que prvea el acces al mism. Estas líneas facilitarán el acces punt a punt a tercers, el acces a Internet y el acces PSTN (Public Switched Telephne Netwrk). Para la cnexión a Internet se garantizará un anch de banda suficiente para satisfacer ls múltiples access a ls servicis del Nd Extranet. En el nd principal existirá una línea de respald para pder satisfacer y garantizar la cnexión, además de cntar cn la línea principal. 17

32 4.2 NODO DE REDES REMOTAS La Instrucción Técnica IT_03 Mdel de Arquitectura del Nd de Redes Remtas de la Empresa describe y establece el mdel de arquitectura para pder cnectarse a través de Internet de las redes lcales en el extranjer que sean catalgadas cm Redes Remtas de Us General. Se define cm Redes Remtas de Us General a las redes de Sedes y Organisms de la Empresa que se ubican fuera del territri Nacinal y que se catalgan cm extensines de la Red General. Ls requerimients de este tip de access se describen a cntinuación: Se efectuará a través de Internet el intercambi de infrmación entre las redes ubicadas en el extranjer cm las Remtas de Us General y la Red General. Para l anterir se implementará una red privada virtual que permitirá el fluj de infrmación a través de la red IP (Internet). El intercambi de infrmación deberá estar cifrad y se implementará mediante dispsitivs (crtafuegs y ruters) de cifrad de cmunicacines, basads en el prtcl IP. Será bligatri utilizar certificads digitales emitids pr la PKI de la Empresa. Se tendrán en cuenta tecnlgías cm la VzIP, videcnferencias, etc REQUISITOS DEL NODO DE REDES REMOTAS Se establecerán ls siguientes requisits para el Nd de Redes Remtas de la Red General de la Empresa: IDENTIFICACIÓN Y AUTENTIFICACIÓN Tds ls prcedimients de acces al Nd de Redes Remtas de tds ls dispsitivs remts cntarán cn mecanisms de autentificación fuerte, basads en certificads emitids pr la PKI de la Empresa CIFRADO DE LAS COMUNICACIONES Para cumplir cn la Plítica de seguridad de las tecnlgías de la Infrmación y las Nrmas de Prtección de la Infrmación Clasificada del Centr Criptlógic Nacinal del Centr Nacinal de Inteligencia (CCN/CNI), las cmunicacines entre ls usuaris externs y el 18

33 Nd de Redes Remtas de la Empresa deberán ir cifradas cn ls mecanisms aprpiads para tal fin AUDITORÍA Y TRAZABILIDAD Ls mecanisms de cifrad se implementarán pr defect entre el punt de entrada exterir al Nd de Redes Remtas y sus respectivs usuaris, manejand la infrmación en clar dentr del nd, permitiéndse de esa frma las actividades relacinadas cn las auditría y trazabilidad PREVENCIÓN/DETECCIÓN DE INTRUSIONES Será imprtante dispner de un sistema de detección y/ prevención de intrusines para evitar psibles ataques al sistema en el Nd de Redes Remtas, ya que está cnectad directamente cnectad a Internet DISPONIBILIDAD Para garantizar la dispnibilidad del servici es necesari que ls dispsitivs de red del Nd de Redes Remtas tenga la característica de tlerancia a falls, de frma que si curriera un prblema en algún dispsitiv existiera tr que asumiera la prestación del servici sin que éste se viera afectad NODO DE RESPALDO Se deberá cntar cn una infraestructura de respald garantizándse así la prtección de la dispnibilidad de las cnexines externas de la Empresa. La infraestructura se dimensinará y estructurará de tal frma que sprte la trasferencia parcial ttal de ls servicis del Nd Principal, situándse este nd en el Centr de Respald de la Empresa cuya ubicación física será distinta a la del Nd Principal a una distancia segura REQUESITOS PARA LA RED REMOTA Para que se permita la cnexión a la Red General se debe tener en cuenta ls siguientes requisits en l referente a la Red Remta de Us General: Habrá un ruter que se encargará del acces a Internet de la red remta encaminand el tráfic del túnel cifrad cn el punt de acces de la Empresa. N se permitirá el acces direct a Internet desde la red remta, pr tant cualquier element de la red remta n pdrá acceder directamente a ls servicis de Internet, a mens que se 19

34 haga pr el punt únic de acces a Internet que dispne la Red General. Además td el tráfic que pase a través del ruter ha de enviarse pr el túnel cifrad cn el de la Empresa. Ya que el ruter es la puerta de enlace entre la red remta y el medi Internet, este ha de ser gestinad pr la Empresa y debe ser cnfigurad y cntrlad en exclusiva pr el Área de Redes de la Empresa. La administración y gestión del ruter debe hacerse baj la supervisión del persnal del Área de Redes de la Empresa. Para preservar la seguridad de la Red General deberá filtrarse el tráfic de red mediante la utilización de un dispsitiv crtafuegs situad entre la red remta y el dispsitiv ruter de acces a Internet de la misma. Actuará cm barrera de seguridad el crtafueg, en especial durante el perid de tiemp entre la cnexión a Internet del ruter y la creación del túnel cn la Empresa, evitand que la red este expuesta a ataques de seguridad prevenientes de Internet. La terminación del túnel IPSec cn el Nd de Intercnexión de Redes Remtas se hará en este dispsitiv. La red remta sól se pdrá intercnectarse cn el Nd de Redes Remtas, pr l que n se permitirá que se establezcan cnexines cn tras redes lcales. La red remta se establece cm una extensión de la Red General, pr l que cualquier nrmativa aplicable a la Red General será extensible a dicha red. Si n es respetad algun de ests requisits, la red remta perderá su acreditación cm Red Remta de Us General siend descnectada inmediatamente del servici de este Nd DIRECCIONAMIENTO DE REDES REMOTAS DE USO GENERAL Para direccinar el nd de intercnexión hay que tener en cuenta las direccines públicas de Internet y el direccinamient privad de cada un de ls extrems del nd: Dirección IP pública de Internet de la red remta. Esta dirección ha de ser fija y se asciará a la interfaz externa del dispsitiv ruter de acces a Internet de las redes remtas de Us General. Sbre la cnfiguración de las distintas redes lcales en el extranjer (redes remtas de Us General), que tendrán acces a la Red General de la Empresa a través de este nd de intercnexión, será necesari estableces un rang de direccinamient IP 20

35 privad para así evitar prblemas de enrutamient en la Red General que pdrían derivarse del us de direccines IP asignadas en la actualidad en la WAN. La definición de dich rang de direccines IP será respnsabilidad del Área de Redes de la Empresa, al ser este el centr encargad de la gestión de intercnexión de dichas redes remtas CLAVES Y CERTIFICADOS Para frmar el túnel IPSec serán necesari gestinar claves de seguridad para hacer us de ls certificads emitids pr la PKI de la Empresa. Actualmente, la infraestructura de clave pública (PKI) de la Empresa está en fase de implantación, pr tant n pdrá utilizarse en dich nd de intercnexión para redes remtas hasta que n esté ttalmente perativa. Una vez se haya implantad cmpletamente, se prcederá a integrar la clave pública en ls elements que cmpnen dich nd de intercnexión CLAVES COMPARTIDAS Para la generación del túnel cifrad se utilizarán claves previamente establecidas, mientras que la infraestructura de clave pública n esté perativa CERTIFICADOS (PKI EMPRESA) Una vez se pnga en marcha la PKI de la Empresa se generarán certificads para cada dispsitiv. En el nd de intercnexión se deberá incluir la lista de revcación de certificads (debidamente actualizada) para cmprbar ls certificads mstrads pr ls dispsitivs de las redes remtas LÍNEAS DE COMUNICACIONES El Nd de Redes Remtas necesita una línea de cmunicacines que prvea el acces a Internet del mism. Al quererse satisfacer las cnexines de las distintas redes remtas en el extranjer se necesitará una línea de cmunicacines cn caudal de acces a Internet suficiente para así garantizar la demanda, para ell se ha de realizar una estimación para establecer el anch de banda inicial para el acces a Internet del nd de redes remtas y para cada una de las ubicacines en el extranjer. Esta estimación de anch de banda se hará en función del númer de usuaris de que dispnga la ubicación, pudiend éstas cntratar el anch de banda que necesiten. El Área de Redes de la Empresa dependiend de las estimacines btenidas de anch de banda para cada red remta, pdrá hacer las reservas de anch de 21

36 banda en ls dispsitivs de acces al nd de intercnexión que dispndrán de capacidades de calidad de servici. Las capacidades se utilizarán para asegurar un anch de banda determinad para ls emplazamients que así l requieran. En el nd principal deberá existir una línea principal y tra línea de respald para pder garantizar la cnexión. 4.3 NODO DE INTERNET CORPORATIVA Cm se presenta en la IT_04 Mdel de Arquitectura del Nd de Internet Crprativa de la Empresa el nd permitirá prprcinar ls servicis de Internet Crprativa de la Empresa. Pr tant las necesidades que serán cubiertas pr el mdel en cuant a servicis de acces a Internet sn: Acces a navegación y búsqueda de infrmación en Internet para cualquier usuari autrizad de la Empresa desde una estación de trabaj cnectada a la Red General. Intercambi de mensajería interpersnal n ficial cn Internet de cualquier usuari de la Empresa, a través de su intercnexión cn el dmini de mensajería interpersnal intern de la Empresa. Servicis de nmbres de Dminis de Internet (DNS). 4.4 NODO DE SERVICIOS WEB El mdel de arquitectura para pder prprcinar servicis Web al ciudadan ls cuales están definids en la IT_04 Mdel de Arquitectura del Nd de Servicis Web de la Empresa se centran en servicis Web Externs que serán de publicación y transaccinales. Ls servicis clabrativs se establecerán mediante el us de crre electrónic definid en el Mdel de Internet Crprativa que englba el crre crprativ y la navegación, n freciend ls servicis de streaming. El mdel lógic de la arquitectura será el siguiente: 22

37 Servidr de Integración Internet Prxy revers Servidr Web Servidr de aplicacines Aplicacines heredadas DBMS Exterir DMZ Interir Red General (WAN) Figura 2 Arquitectura servicis Web Externs Cm se bserva el mdel se divide en varias capas: En el nd de Servicis Web se establece una Zna desmilitarizada (DMZ), dnde se ubicará un dispsitiv de Prxy revers que canalizará tdas las slicitudes HTTP/HTTPS. Este servidr Prxy será el que se encargue de realizar las peticines a la capa de presentación (Servidr Web) del mdel que se ubicará en el interir de la red crprativa. Pr tr lad ls servicis Web estarán cmpuests pr una estructura de capas que hmgenizará la implantación y la expltación de ls misms mediante una estructura cnslidada. Las capas de mdel serán: DMZ entre Internet y la red crprativa. Dentr de esta capa se tendrá: Capa de presentación. Capa de lógica de aplicación. Capa de back-end, la cual incluirá bases de dats y elements de integración cn tras aplicacines. La infraestructura hardware y sftware ha de estar en cncrdancia cn la Instrucción Técnica dnde se define la Arquitectura Técnica de la Empresa, el Mdel de Arqui- 23

38 tectura de Sistemas de la Empresa y ls requerimients del mdel Web. La Arquitectura Técnica de Us General establece varis prducts para distintas capas, de frma que se pueden realizar desarrlls de servicis Web basads en diferentes prducts. EAI Servidr Web Servidr de aplicacines DBMS EAI Internet Prxy revers Servidr Web Servidr de aplicacines DBMS EAI Servidr Web Servidr de aplicacines DBMS Figura 3 Arquitectura servicis Web Externs (Varis sistemas) FLUJOS DE INFORMACIÓN Ls flujs de infrmación que se definen en la DMZ del mdel web sn ls siguientes: 24

39 Fluj A Fluj B Capa de presentación Internet Prxy revers Administradr Fluj C Exterir DMZ Interir Red General (WAN) Figura 4 Flujs de Infrmación DMZ Fluj A: Fluj de infrmación que va desde Internet hasta el Prxy revers. Habilitándse ls puerts HTTP/HTTPS hacia el servidr Prxy revers. Fluj B: Fluj de infrmación que va desde el Prxy revers hacia la capa de presentación de las aplicacines en la Red General. Habilitándse ls puerts y direccines necesarias para que se pueda acceder a las aplicacines. Fluj C: Fluj de infrmación desde la Red General hacia el Prxy revers. Se habilitará acces al grup de administradres a la DMZ para administración REQUERIMIENTOS DE SERVICIOS GLOBALES Se deberán cumplir ls requisits especificads para ls Sistemas de Us General de la Empresa ya que una parte de este mdel se crrespnde cn el Mdel de Arquitectura de Sistemas. Pr tant ls requisits derivads de ls servicis glbales para la tra parte, tales cm DMZ y Prxy revers se especificarán en este dcument. Ls requerimients que debe cumplir en base a ls servicis glbales de la capa de infraestructura han de ser, al mens ls siguientes: 25

40 Dispnibilidad: El Prxy revers se cnfigurará en alta dispnibilidad, para que se prduzca de ese md un repart en la carga de trabaj, y además en cas de prducirse el fall en un, el servici cntinúe presentándse. Se utilizarán dispsitivs de balance de carga. Ls dispsitivs de red tales cm ruters, crtafuegs, balanceadres, switches y trs de utilidad similar, se encntrarán siempre duplicads y en md failver (Md de peración de backup en el cual las funcines de un cmpnente del sistema sn asumidas pr un segund cmpnente del sistema cuand el primer n se encuentra dispnible debid a un fall un tiemp de parada preestablecid). Niveles de servici: Para que se psea una calidad de servici óptima, se debe pder establecer elements de prirización de tráfic dependiend de las necesidades. Se han de establecer determinads acuerds de nivel de servici para garantizar que el servici que prestan ls dispsitivs y servidres del nd es el desead. Ests niveles de servici han de pder ser revisads regularmente. Debe existir un servici de nmbres dnde se establezcan las relacines entre nmbre de servidr y dirección IP (DNS) para ls elements que integran la DMZ y ls elements de la Red General que cnfrman ls sistemas. Debe existir un servici de directri dnde se almacenarán dats relativs a credenciales de usuaris y listas de revcación de certificads. Se utilizará SSL (Secure Sckets Layer) para el cifrad de las cmunicacines que así l requieran. En ls servicis de DMZ se ha de utilizar un sistema de detección/prevención de intruss. Deben utilizarse crtafuegs de diferente fabricante en las ds capas de seguridad (Internet-DMZ, DMZ-Red General). 26

41 En ls crtafuegs debe cerrarse el tráfic de red a tds ls puerts mediante las listas de cntrl de acces crrespndientes. Sól ls puests que sean estrictamente necesaris serán habilitads: Internet - DMZ puert 80 (HTTP), puert 443 (HTTPS). DMZ Red General ACLs (Lista de Cntrl de Access) para habilitar acces a direccines IP y puerts de las aplicacines y servicis de la Red General necesaris. Cualquier tra dirección IP y puert que, pr necesidades de aplicación de seguridad, sea necesari habilitar. Ds subredes se establecerán en la DMZ: Pública, entre el Prxy revers e Internet. Privada, entre la DMZ y la Red General, entre la capa de seguridad y el Prxy revers. Ubicándse en esta subred ls servicis de directri y DNS necesaris. Sera estátic el enrutamient dentr de la DMZ. Para evitar ataques de tip URL Blcking se utilizará un sistema de blque de URLs CAPA DE INFRAESTRUCTURA. DESCRIPCIÓN Y COMPONENTES Ls cmpnentes hardware para la arquitectura de ls servidres Web están incluids en el nivel físic del mdel de infraestructura. Dich nivel se cmpne de elements de red, almacenamient y servidr. 27

42 API Prxy reverse PRESENTACIÓN Apache APLICACIÓN Bea WebLgical Server Tmcat MS Net Framewrk INTEGRACIÓN Servidr de TIBCO Integración DATOS Oracle SQL Server Internet SERVIDORES Prxy revers S.O Servidr HP-UX Windws Web 2003 Servidr HP-UX de aplicacines Windws 2003 HP-UX Windws 2003 ALMACENAMIENTO Discs lcales Discs lcales SAN DBMS RED DNS Firewall Balanceadres Directry Server Critical Path Dispsitivs pertenecientes a la WAN de PG Exterir DMZ Interir Red General (WAN) Figura 5 Capas de infraestructura y Arquitectura Técnica 28

43 Ls cmpnentes lógics ( de aplicación) se incluirán en ls nuevs niveles funcinales y de interfaz RED En este punt se va a definir un cnjunt de capas dentr del mdel de arquitectura, dnde una de ellas establece una DMZ, para el acces desde Internet y las restantes que cmpnen el mdel están ubicadas en la Red de Área Extensa (WAN). La parte del mdel ubicada en la Red General utilizará ls recurss de red particulares de la WAN (Red de Área Extensa) en l referente a dispsitivs de red y enrutamient, infraestructura PKI, Directri Crprativ (DICOE) y servicis de DNS. Pr tr lad ls servicis de balance de carga se especificarán, en función de la arquitectura del sistema, ls recurss necesaris. Ls dispsitivs en DMZ deberán cumplir: Alta dispnibilidad tant del dispsitiv principal cm el dispsitiv failver, empleándse para alguns cass el md activ. Capacidad para la definición de características de calidad de servici (QS). Escalabilidad. Tds ls dispsitivs deben sprtar las expectativas de crecimient de ls sistemas en capacidad y rendimient, pr l que deben dispner de la capacidad de crecer y de asumir un aument de dichs sistemas sin ningún tip de actuación externa. Para la DMZ, ls dispsitivs de esta capa van a ser: Ruter: Establece el punt de acces entre el prveedr de Internet y la Empresa. Switch: Intercnectarán ls diverss dispsitivs de red. Además deben permitir la creación de redes virtuales VLAN, habilitar puerts de SPAN y velcidades de trasferencia de dats de 1 Gb /100 Mb / 10 Mb. Balanceadres: Utilizándse para distribuir la carga entre ls dispsitivs de prxy revers cnectads en alta dispnibilidad en md (activ- activ). Firewall: En el mdel se encuentran ds niveles de seguridad basads en crtafuegs, un de ells para la cnexión entre Internet y la DMZ y el tr nivel para la c- 29

44 nexión entre la DMZ y la Red General. Ls dispsitivs crtafuegs en ambs niveles han de ser de diferentes fabricantes. DNS: Servidr de nmbres para ls recurss de la DMZ y ls servidres de la Red General necesaris para el crrect funcinamient de ls servicis que frece la DMZ. PKI: En el mment en el que la PKI de la Empresa esté cmpletamente funcinal será necesari que ls servicis de DMZ se integren cn el servici de PKI, pudiend utilizar certificads de la Autridad de Certificación (CA) de la Empresa. Ls servidres han de dimensinarse para pder albergar ls servicis de publicación existentes actualmente (hsting). Siempre que sea psible se buscará la cnslidación de servidres la cual reducirá las labres de administración y aumentará el rendimient de ls misms. En cuant el sistema perativ de dichs servidres será tal y cm indica la arquitectura Técnica de la Empresa, Windws 2003 y HP-UX DATOS En cuant a ls servidres de gestión de bases de dats en la Arquitectura Técnica queda reflejad l siguiente: El Sistema Gestr de Bases de Dats perteneciente a Oracle se estima cm el más idóne para entrns y sistemas dnde se requiere una gran rbustez, criticidad, dispnibilidad y alt grad de transaccinalidad. En l que se refiere al Sistema Gestr de Bases de Dats perteneciente a Micrsft (SQL Server), se estima cm el mejr para implementarse en entrns y sistemas dnde es priritari el factr preci frente a la capacidad y rendimient del prduct. Tras ls resultads de ls estudis de mercads realizads, se ha seleccinad cn carácter recmendad, ls prducts Oracle (para entrns crítics) y Micrssft SQL Server (para entrns cn mens requisits de capacidad y rendimient). Siempre que se sea psible, ls desarrlls relacinads cn servicis Web que necesiten un servici de bases de dats se implementarán utilizand Oracle. 30

45 INTEGRACIÓN Se especifica en la Arquitectura Técnica cn carácter bligatri en us de TIBCO EAI (Integración de Aplicacines de Empresa) cm servidr de integración de aplicacines APLICACIÓN En cuant a ls Servidres Web de Aplicacines (WAS) en la Arquitectura Técnica queda reflejad que: Se ha seleccinad cn carácter bligatri el prduct BEA Web Lgic cm servidr Web de aplicacines (EJBs, Servlets, JSP) para tds aquells sistemas del entrn de Us General que implementen un servici de estas características. Sin embarg, en sistemas en ls que el factr ecnómic es relevante y se dispnga de menres necesidades de dispnibilidad y sprte, se puede ptar, cn carácter recmendad, pr la slución de fuente abierta Tmcat (Actualmente muchs de ls servicis Web en prducción de la Empresa utilizan Tmcat cm cnectadr de Servlets y JSP) PRESENTACIÓN Se establece cm punt de interacción únic el acces mediante servidres Web, el us de trs punts de interacción n está permitid (servidres WAP, IVR). Para la capa de presentación se establece el us del servidr Web Apache cm servidr Web, dada su amplia presencia en el mercad y su alta madurez. Se extrae de la Arquitectura Técnica que, a pesar de que ls servidres de aplicacines dispnen de un servici Web pr defect, siguiend las recmendacines de las prpias empresas suministradras y cnsiderand su alta madurez y presencia en Internet, se establece, cn carácter recmendad, la instalación de Apache cm servidr Web, tant si el requiere de frma aislada (para servir páginas estáticas) cm para servir de base a ls servidres de aplicacines API N se cntempla nada respect al desarrll de nuevas interfaces para el desarrll de aplicacines. 31

46 Una vez terminada cn la descripción de cmpnentes de la capa de infraestructura se presentará el esquema gráfic del Nd de servicis Web, que incluye la DMZ para el acces a Internet y la platafrma de Servicis Web básica (Servidres Web, servidres de aplicacines y servidres de bases de dats): 3 Servidres de Bases de Dats 2 Servidres de Aplicacines 1 Servidres Web Prxy revers Balanceadres Red General WAN DNS, LOAP HTTP/HTTPS DMZ Servicis Web Internet Figura 6 Esquema de servicis Web LÍNEAS DE COMUNICACIONES El mdel que se presenta además necesita de cmunicacines que prprcinen el acces a la red de Internet. Según el servici que va a hacer us de ellas, dichas líneas tendrán que satisfacer ls requisits de dispnibilidad y cubrir las necesidades de dichs servicis sin que se vean perjudicads pr prblemas de rendimient. 32

47 Las líneas de acces a Internet para este mdel de arquitectura deben de ser redundantes. Además se prveerá una línea alternativa de acces a Internet en cas de que la línea principal falle así cm ls mecanisms necesaris para realizar el cambi. Es cnveniente que se pueda cntrlar el us de anch de banda, que frecen estas líneas y así pr ejempl pderse cntrlar y suprimir (si l requiere el servici) el tráfic que pueda hacer acpi de gran parte de dich anch de banda. Este prces se realizará mediante dispsitivs gestres de anch de banda RED DE GESTIÓN Se ha establecid una red de gestión para la administración, cntrl y gestión de, al mens, tds ls dispsitivs de la red. Esta red mejrará la gestión ya que cnslidará y cncentrará ls elements de gestión. La seguridad también se verá incrementada al establecer cm punt de acces de administración una red independiente de las redes que frman el nd de servicis Web. Ls prducts para la gestión de ls elements de la red han de ser ls que actualmente tiene el Centr Tecnlógic de la Empresa, en su defect, ls que éste determine MONITORIZACIÓN La mnitrización llevará a cab la visualización de event prducids en ls cmpnentes de la red y servidres para identificar y reslver ls prblemas que surjan. Se han de cntrlar ls events que se prduzcan pr ls dispsitivs que pertenecen a la DMZ. Además, deben registrarse events de ls servidres Web, tales cm páginas visitadas, acces a recurss, errres prducids, etc GENERACIÓN DE INFORMES Y ESTADÍSTICAS Para un crrect tratamient de la infrmación registrada de ls events mtrizads, es necesari dispner de una herramienta para el almacenamient de dichs events. Esta herramienta ha de permitir la generación de infrmes y estadísticas de ls servicis Web para su psterir revisión y estudi. La dispsición de estadísticas en tiemp real de ls events que se extraen e ls dispsitivs y servidres de nd de servicis Web es imprtante para un crrect cntrl de falls y una rápida reacción de ls misms. 33

48 Ests infrmes y estadísticas deben pder integrarse cn las herramientas que actualmente se están utilizand en el Centr Tecnlógic de la Empresa CENTRO DE RESPALDO Para pder cubrir una psible cntingencia prblema en ls servicis Web (incluids en el plan de cntingencia del Departament), se debe prveer de una infraestructura suficiente en el centr de respald de la Empresa. Al mens, debe existir la infraestructura de red, servidres y cmunicacines suficiente para dar el servici requerid. N siend necesari establecer redundancia en ls distints elements. Para una crrecta puesta en marcha de ls servicis Web en el centr de respald es necesari que se prvea de dcumentación detallada de ls prcedimients a seguir para la puesta en marcha y la peración de ls cmpnentes del centr de respald GESTIÓN DE CONTENIDOS Ls cntenids de ls distints servicis Web publicads en este mment pueden ser mdificads baj la supervisión de la Subdirección General de Cmunicación dependiente de la Dirección General de Cmunicación de la Empresa. La mdificación del ls cntenids de dependiend del tip de ests puede realizarse de ds frmas diferentes: Cntenids Estátics (páginas HTML, ASP, etc.): Al ser fichers estátics en ls servidres Web en ls servidres de aplicacines se entenderá que es una mdificación de la aplicación y que se ha de prmver un prcedimient de pas a prducción, pr l que se habrán de cumplir ls prcedimients de cntrl de cambis del Centr Tecnlógic de la Empresa. Cntenids Dinámics: Determinads cntenids en aplicacines Web pueden ser mdificads mediante frmularis de la prpia aplicación. Ests cntenids se almacenan en bases de dats, sn prcesads y sn servids mediante páginas Web dinámicas. Para este tip de mdificación será necesari un mecanism de autenticación fuerte para el persnal autrizad pr el rganism respnsable de la aplicación Web. La actualización de cntenids se han de actualizar siempre desde la Red General pudiend, para ls cntenids dinámics, frecerse un servici a través del Nd Extranet de la Empre- 34

49 sa que permita acceder a la lógica de la actualización prprcinada pr la aplicación desde la Red General. 4.5 ARQUITECTURA TÉCNICA En este apartad se mstrarán ls elements de sftware que se encuentran incluids en el dcument Arquitectura Técnica Unificada en su versión 1.1 aprbada pr la Empresa. Cntenids Web Navegadres Servidres Web de aplicacines MS Internet Explrer 8.0 Bea WebLgic Tmcat Apache HTTP Server bligatri para tds ls sistemas PG recmendad cm servidr web Servidr de prtal BEA WebLgic Prtal Buscadr Autnmy Gestión de dats Sistemas medis Oracle para entrns crítics SQL Server Sistemas HOST IBM DB2 Integradr de Aplicacines (EAI) TIBCO EAI Servidr Sistemas medis - Windws Windws 2000 Server Sistemas medis - Unix HP-UX Tabla 1 Arquitectura Técnica Unificada v

50 En la siguiente tabla se muestra ls servidres de aplicacines así cm la platafrma sbre la que se recmienda su ejecución: HP-UX Windws Server Bea WebLgic Apache X X IIS SQL Server X X Tmcat Oracle X X Tabla 2 Servidres de Aplicacines cn su platafrma 36

51 5 RESUMEN DE LA SITUACIÓN ACTUAL En el presenta capítul se especificará un resumen del estad actual de la infraestructura de telecmunicacines de la Empresa, desde el punt de vista de la nrmativa descrita anterirmente y de la instrucción técnica IT_01 que describe el mdel I*NET. Pr tant se describirán ls nds, per se debe entender cm l que psee la Empresa en la actualidad prprcinand la funcinalidad que en un futur será prpósit del nd real que se implementará. 5.1 NODO EXTRANET En la actualidad se están freciend servicis relativs a varis de ls grups de acces que cmpnen el mdel de arquitectura del Nd Extranet. La situación actual de ls grups de acces se detalla a cntinuación ACCESO A TERCEROS Este grup de acces pretende satisfacer ls requisits de intercambi de infrmación del ámbit de prpósit general, a ls que prprcina servici la Red General. Este grup está frmad pr entidades privadas y Organisms Nacinales e Internacinales que acceden a recurss interns de la Empresa empleand líneas dedicadas GPRS/UMTS El presente grup de acces pretende satisfacer ls requisits de intercambi de infrmación del ámbit de prpósit general, a ls que prprcina servici la Red General, para el persnal de la Empresa, que accede a servicis de crre y navegación, desde prtátiles y PDAs a través del circuit UMTS/GPRS. A su vez, este grup se integrará en el Nd Extranet de la Empresa pr medi del acces del Grup 1 (líneas dedicadas cn tercers). Pr tr lad, para el acces al crre desde PDA y teléfns móviles, se ha establecid una arquitectura, basada en la implantación de una slución de acces nline a crre y aplicacines PIM (Gestión de Infrmación Persnal) basadas en servidres Dmini desde dispsitivs móviles. En la actualidad hay ya una slución que da sprte a dich grup, en su apartad de acces UMTS/GPRS a crre y navegación para prtátiles, de Telefónica Móviles España, denminada Servici Mvistar Intranet. Se utiliza dich circuit UMTS/GPRS, en ls prtátiles d- 37

52 tads de la tarjeta adecuada, pudiend acceder a ls servicis de crre y navegación previa validación en un servidr de autentificación Radius (Cisc ACS Secure 3.0 instalad sbre un servidr Windws 2000) y a través de un ruter cn ACL (Lista de Cntrl de Access). Se mstrará un esquema de cnexión de prtátiles cn tarjeta GPRS/UMTS: Prtátil cn tarjeta UMTS/GPRS CISCO 2600 RED CISCO SECURE ACS v.3 RADIUS/ TACACS Red General WAN CISCO AS5350 Radius Servidr RAS Figura 7 Situación Actual Prtátiles UMTS/GPRS Pr tr lad para dar slución al crre móvil se está utilizand la slución Mvistar Empresas la cual permite el reenví de crre a ls dispsitivs móviles (Smartphne, PDA y trs). Dicha slución utiliza un servidr cm pasarela que permite asciar al usuari de crre cn el terminal móvil y a través de la línea dedicada que existe cn Telefónica Móviles se cnecta a la red de la peradra RDSI/RTB Este grup de acces pretende satisfacer ls requisits de intercambi de infrmación del ámbit de prpósit general, a ls que prprcina servici la Red General, para el persnal de la Empresa que realiza, fundamentalmente, labres de administración, empleand un acces RDSI/RTB. 38

53 Se muestra a cntinuación una referencia de las cnexines vía RDSI/RTB para persnal de la Empresa que actualmente presenta cnexión cn la Red General, cn bjet de realizar una previsión de arquitectura que de slución a éstas y futuras necesidades de cnexines en este grup. RAS: El servici de acces remt es un dispsitiv hardware Cisc AS5350 cnfigurad para ls access RDSI/RTB. Servici de autentificación: El servidr de autenticación es el prduct sftware de Cisc ACS Secure 3.0 instalad sbre un servidr Windws Este prduct es un servidr de AAA (Autrización, Autenticación y Auditría). El servidr Radius autentica a ls usuaris lcales cntra una base de dats prpietaria, aunque es cnfigurable para autenticar cntra directris externs. La autenticación de ls usuaris remts pr access RDSI/RTB se realiza utilizand Tacacs (Terminal Access Cntrller Access Cntrl System) y ls usuaris prvenientes de la red UMTS/GPRS se realiza utilizand Radius. Este servidr está cnectad directamente a la Red General, en la red lcal del Centr Tecnlógic de la Empresa. Persnal de la Empresa RDSI / RTB CISCO AS5350 Servidr RAS CISCO SECURE ACS v.3 RADIUS/ TACACS Red General WAN Radius Figura 8 RDSI /RTB. Situación Actual 39

54 5.1.4 INTRANET ADMINISTRATIVA (AGE) La Empresa, al trabajar cnjuntamente cn la Administración General del Estad (AGE), intercambia en la actualidad infrmación cn dich Organism, clabrand en pryects que utilizan y fmentan dich intercambi de infrmación. Cm pr ejempl: Clabración en las iniciativas de la AGE que tienen pr bjetiv impulsar la Administración Electrónica en España: Prtal del Emplead, Prtal del Ciudadan, Ntificacines Telemáticas seguras, etc. Intercambi de certificads electrónics cn departament de las Administracines Públicas (AAPP). Se mstrará a cntinuación la cnexión de la Empresa a través de la Red General cn la AGE: Área de Cnexión Intranet Administrativa Gestión: Antivirus Scanner IDS Prxy Servicis Gestinads remtamente pr el Centr de Servicis Cmunes (CSC) del MAP Servicis: NTP DNS Servici Gestinad pr la Empresa (Centr Tecnlógic de la Empresa) Web SMTP X.500/LDAP WAN de Us General de la Empresa Figura 9 Intranet Administrativa AGE. Situación Actual Se puede bservar que las respnsabilidades de gestión se encuentran cmpartidas entre el MAP (Ministeri de Administracines Públicas) y la Empresa. 40

55 Se incluyen ls siguientes servicis básics implementads: Servici de Nmbres de Dminis, DNS. Servici de Crre Electrónic, SMTP. Servici de Directri, X.500/LDAP. Servici de Prtal de Infrmación, Web. Servici de Sincrnización de Tiemp, NTP. En la actualidad la Empresa tiene la gestión del Firewall entre la DMZ y la Red General. 5.2 NODO DE REDES REMOTAS En la actualidad el Nd de Redes Remtas se encuentra en una fase pilt dnde se ha cnectad una ubicación en el extranjer y se pretende cnectar hasta el final de añ ds ubicacines más ENTORNO PILOTO Este entrn pilt está desplegad en el Centr Tecnlógic de la Empresa y se caracteriza pr: Ubicacines: Existe una ubicación cnectada a la red de us general pr medi de este nd a la que se le permite acceder a tds ls recurss de la Red General. Líneas de cmunicacines: Se dispne en el Centr Tecnlógic de una línea de acces a Internet de 4 Mbps. En la red remta existe un acces a internet de 2 Mbps / 1 Mbps a través de una cnexión vía satélite. Dispsitivs: En el nd de redes remtas se están utilizand dispsitivs ruter y firewall de la marca CISCO (CISCO ruter 3725 y CISCO PIX 525). Ls dispsitivs tienen capacidad de cifrad y aceleración hardware para VPN. Túneles: El túnel cn la red remta se crea entre ls firewalls que tienen direccines IP públicas. Se utiliza el prtcl IPSec y para el cifrad se utiliza el prtcl AES cn lngitud de clave de 256 bits. 41

56 5.3 NODO DE INTERNET CORPORATIVA Ls servicis que frece en la actualidad el nd de Internet Crprativa, sn ls de crre crprativ, navegación en Internet y el servici de reslucines de nmbres SERVICIO DE CORREO CORPORATIVO Este servici pretende satisfacer la necesidad de intercambiar mensajes interpersnales de crre electrónic entre el dmini de crre intern y ls dminis de Internet. El servici l presta actualmente el Centr Tecnlógic de la Empresa a través del Nd Internet, prprcinand la platafrma física necesaria para el intercambi de crre SMTP cn Internet; el crre de ls destinataris; y dispsitivs de seguridad (crtafuegs, antivirus, Sistemas de Detección de Intrusines). Para mantener la cntinuidad del servici existente, cm respald de la instalada en el Centr Tecnlógic de la Empresa, existe tra pasarela SMTP en el Nd Internet instalad en la CPD alternativ. Internet Platafrma de Gestión VIRUSWALL BALANCEADORES SMTP Réplica LDAP LDAP RED CORPORATIVA de la Empresa Red de Dats Red de LDAP Red de Gestión Figura 10 Pasarela SMTP del Centr Tecnlógic de la Empresa 42

57 Internet Platafrma de Gestión VIRUSWALL SMTP CPD Primari Réplica LDAP LDAP RED CORPORATIVA de la Empresa Red de Dats Red de LDAP Red de Gestión Figura 11 Pasarela SMTP CPD alternativ Además se está freciend servicis de intercambi de crre a ls usuaris de la Empresa cn direccines de crre asciadas a @leg.empresa.es El númer de usuaris dads de alta en el LDAP para el crre extern es de aprximadamente, usuaris SERVICIO DE NAVEGACIÓN INTERNET Este servici pretende satisfacer ls requisits de navegación web y búsqueda y acces a infrmación en Internet desde estacines de trabaj cnectadas a la Red General, para usuaris autrizads de la Empresa. 43

58 Mediante ls prtcls necesaris, se dará acces a servicis de infrmación y prveedres de cntenids. Este servici se presta en la actualidad a través del Nd Internet instalad en las instalacines del Centr Tecnlógic de la Empresa, prprcinand la platafrma física necesaria para la cmunicación de dats cn Internet; el cntrl de acces de ls usuaris; dispsitivs de seguridad (crtafuegs, antivirus, Sistemas de Detección de Intrusines); y elements para el filtrad de cntenids y servicis. Para mantener la cntinuidad del servici existente, cm respald de la instalación en el Centr Tecnlógic de la Empresa, habrá tra platafrma en el Nd Internet instalad en el CPD alternativ. El númer de usuaris dads de alta en el LDAP para la navegación en Internet es de usuaris aprximadamente. En las siguientes figuras se muestran las arquitecturas actuales que prestan servici de acces a Internet, tant la principal cm la de apy: 44

59 Internet CISCO 7200 IOS FIREWALL ROUTER VIRUSWALL BALANCEADORES WEBSENSE PROXY Platafrma de Gestión Réplica LDAP LDAP RED CORPORATIVA de la Empresa Red de Dats Red de LDAP Red de Gestión Figura 12 Platafrma de Navegación del Centr Tecnlógic de la Empresa 45

60 Internet VIRUSWALL Platafrma de Gestión WEBSENSE PROXY CPD Primari Réplica LDAP LDAP RED CORPORATIVA de la Empresa Red de Dats Red de LDAP Red de Gestión Figura 13 Platafrma Navegación CPD Alternativ SERVICIO DE RESOLUCIÓN DE NOMBRES Este servici pretende satisfacer la necesidad de prveer el servici de nmbres de dmini de Internet (DNS) a la Red General. El servici en la actualidad se presta a través de ds servidres instalads en el Nd Internet ubicad en las instalacines del Centr Tecnlógic de la Empresa. 5.4 NODO DE SERVICIO WEB SITUACIÓN DE LA WEB PÚBLICA DE LA EMPRESA Cuenta cn un prtal web Oficial en Internet, accesible públicamente ( el cual es la entreda ficial de acces a la infrmación emitida pr la Empresa a través de In- 46

61 ternet. En dich prtal se puede encntrar gran cantidad de infrmación de ls distints rganisms de la Empresa. El prtal ficial además enlaza cn trs prtales y sitis Web asciads a trs dminis pertenecientes a la Empresa, cuy principal bjetiv es la divulgación de infrmación específica. Se destaca que tds ls cntenids del prtal se encuentran albergads en las infraestructuras de una peradra de telecmunicacines, que frece servicis de hsting cn un determinad nivel de servici cm parte del cntrat glbal de telecmunicacines cn la Empresa en prducción, ubicads en el servici de hsting cntratad, dependientes del Centr Tecnlógic de la Empresa. 47

62 6 SISTEMAS CORPORATIVOS 6.1 SITUACIÓN ACTUAL DEL DIRECTORIO CORPOTARIVO (DICOE) Integración cn el Directri Crprativ DICOE. Si es necesari una sincrnización de dats desde el Directri Crprativ se utilizará la infraestructura de metadirectri de DICOE basada en el prduct de Critical Path CP Meta-Directry Server versión 4.2. Si pr algún casual n se pudiera utilizar la platafrma actual, se necesitaría tra instalación de meta-directri, utilizándse el mism prduct CP Meta-Directry Server versión 4.2, superir si la Empresa así l determinara, sbre platafrma Micrsft Windws 2003 Server. La Empresa prprcinará las licencias necesarias del prduct CP Meta-Directry Server. Directris LDAP/X500. Tds ls servicis de directri LDAP y/ X.500 utilizarán el prduct de Critical Path CP Directry Server versión 4.2. superir si la Empresa así l determinará, sbre platafrma Micrsft Windws 2003 Serve. La Empresa prprcinará las licencias necesarias del prduct CP Directry Server. 6.2 SITUACIÓN ACTUAL PKI CORPORATIVA (PKIE) Para integrarse cn la PKI de la Empresa. Psibilidad de utilizar ls certificads digitales X.509 emitids pr la Infraestructura de Clave Pública de la Empresa. Ls perfiles y las plíticas baj las que se emiten ls certificads serán prprcinads en su mment al integradr que l slicite. Características de la PKI Basada en tecnlgía KeyOne de Safelayer. 48

63 Ls certificads se almacenará, en tarjetas criptgráficas: tarjeta TEMD v.1.0 de Micrelectrónica Españla y FNMT-RCM v2.0 de FNMT (Fabrica Nacinal de Mneda y Timbre). Lectres de tarjetas inteligentes tip PC/SC (Persnal Cmputer /Smart Card). 49

64 7 INFORMACIÓN COMPLEMENTARIA Se pretende en este capítul prprcinar más infrmación sbre la situación actual de la Empresa, cuestines pc definidas al describirse en capítuls anterires y que deben cncretarse infrmación de interés que ayudará en la búsqueda de la slución final del pryect. 7.1 INFORMACIÓN REFERENCIADA LÍNEAS DEDICADAS ACTUALES Las líneas dedicadas que la Empresa tiene cnectadas en la actualidad sn las siguientes: TME-Móviles: 2 Mbps (activ para UMTS y backups de SMS) 512 Kbps backup (que está activ para SMS y es buckup de UMTS)- BBVA: Enlaza hst a hst teniéndse una velcidad de 256 Kbps de Frame Relay sin backup ni cntingencia. ARANZADI: 128 Kbps Frame Relay sin backup ni cntingencia. Oficina Extranjer: 64Kbps cn Frame Relay direct al Centr Tecnlógic de la Empresa sin respald ni cntingencia IDS/IPS. SISTEMAS DE DETECCIÓN/PREVENCIÓN DE INTRUSOS Se prveerá pr parte de la Empresa cm sistema de detección y prevención de intruss ls dispsitivs, ISS Prventia G400 (Interfaces de cbre 1 Gb). En cada nd del centr principal se dtarán un dispsitiv principal y tr cn licencia de filever. Para la gestión de ls dispsitivs se prveerá el prduct ISS Site Prtectr SISTEMA DE FILTRADO DE CONTENIDOS WEB Las empresas Websense Enterprise y Websense Reprting Tls prveerán a la Empresa el filtrad de cntenids teniéndse que cmprar una licencia para ell CORREO MÓVIL La Empresa dispndrá de las licencias del prduct IBM WebSphere Everyplace Access cm prduct Sftware para crre móvil. 50

65 7.1.5 PLATAFORMA ANTIVIRUS ANTIVIRUS PARA LA PLATAFORMA DE NAVEGACIÓN Y DE CO- RREO La Empresa prveerá las licencias para ls prducts de navegación y crre. Dichas licencias serán para ls siguientes prducts: Trend Micr InterScan VirusWall Enterprise Editin (Internet Messaging Security Suite + Internet Web Security Suite). Trend Micr Spam Preventin Slutin. Trend Micr Netwrk Anti-Spam Service (incluid RBL + Service). Trend Micr Cntrl Manager (TMCM + OPS + DCS). Se prveerá de ds dispsitivs para el servici de antivirus Web que será Trend Micr IWSS Security Appliance ANTIVIRUS PARA SERVIDORES La Empresa prveerá la licencia para ls prducts de antivirus de Servidr y será para el prduct antivirus McAfee VirusScan Enterprise 8.5i SISTEMAS DE GESTIÓN CENTRALIZADA Se utiliza el prduct IBM Tivli Mnitring para la mnitrización de ls servidres y se dispne de licencias para ls siguientes móduls: Sistemas Operativs (Windws, Unix). Cmpsite Applicatin Manager (Bea Weblgic). Bases de Dats (Oracle, SQL Server). Aplicacines (.Net) SERVIDORES DE APLICACIONES La Empresa prveerá la licencia para el prduct de servidr de aplicacines BEA Weblgic SERVIDORES DE BASES DE DATOS La Empresa prveerá las licencias de ls prducts Oracle Database Server y de Micrsft SQL Server. 51

66 7.1.9 ALMACENAMIENTO CONSOLIDADO AMPLIACIÓN DE LA CAPACIDAD DE ALMACENEMIENTO DE LA EMPRESA En el sistema de almacenamient de la Empresa se usa un HP EVA 5000, aunque va a tenerse que ampliar a crt plaz. 7.2 PRODUCTOS Y LICENCIAS DE LA EMPRESA SISTEMAS OPERATIVOS La Empresa prveerá las licencias para el sistema perativ de servidr Micrsft Windws Server SISTEMA DE GESTIÓN DE RED La Empresa utiliza la herramienta Spectrum para la gestión de dispsitivs de red CENTRO DE ATENCIÓN AL USUARIO La herramienta sftware CA Unicenter ServicePlus ServiceDesk y su generadr de Infrmes asciad CA Unicenter ServicePlus DashBard sn ls sistemas utilizads en el Centr de Atención al Usuari de la Empresa DISTRIBUCIÓN DE SOFTWARE La Empresa utiliza HP Openview Radia cm herramienta crprativa para la distribución de sftware y cntrl de inventari. 52

67 8 ESPECIFICACIÓN DEL TRABAJOS Y REQUISITOS En este apartad se hará una breve descripción de ls bjetivs, alcance y requisits que se presentan en el plieg de Prescripcines Técnicas suministrad pr la Empresa. El bjetiv del pryect cm se ha descrit en capítuls anterires es la implantación del Mdel I*Net y de las actividades de gestión y peración crrespndientes, así cm el cnsum asciad a las líneas de cmunicacines cn Internet. Ls bjetivs priritaris sn: Implantación de un Nd Extranet, cuy bjetiv es que tdas las cnexines desde el exterir de la Red General cn recurss interns de la Empresa deben intercnectarse a través del citad Nd Extranet. Una vez esté implantad, permitiend verificar ls cndicinantes de seguridad, interperabilidad y auditría que se determinen. Cn ell, se rmpe la cntinuidad de ls canales de cmunicación entre ls sistemas externs e interns, garantizand ls adecuads niveles de seguridad y auditría de ests últims, impidiend las vías de acces desde el exterir. Adicinalmente al Nd Extranet, se pretende facilitar acces a las Redes Lcales en el Extranjer que sean catalgadas cm Redes Remtas de Us General (extensines de la Red General) a través de Internet, y de frma segura a la Red General, mediante la creación de Redes Privadas Virtuales (VPN) entre dichas Redes Remtas y el Nd de Redes Remtas que se implementará para ese fin. Implantación del Nd Internet Crprativ, cuy prpósit es prprcinar acces desde la Red de área Extensa de Us General (Red General) de la Empresa a servicis de Internet (Navegación) y de intercambi de crre electrónic entre el dmini crprativ e Internet. Implantación del Nd de Servicis Web externs, para dar acces desde Internet a ls servicis web públics de la Empresa. Dtar de las líneas de cmunicacines necesarias para dar acces a Internet a cada un de ls nds. Queda incluid el cnsum asciad a cada una de estas líneas y ls servicis necesaris para su mantenimient y peración. Además se cntemplará la instalación de ls nds que frman el Mdel I*Net (Nd Extranet, Nd de Internet Crprativa, Nd de Servicis Web y Nd de Redes Remtas) en 53

68 el Centr Tecnlógic que tiene la Empresa cm Centr Principal y la infraestructura de respald se instalará en el Centr de Respald. Pr tant, en el esquema que se presenta a cntinuación se reflejará la arquitectura bjetiv que la Empresa pretende btener, representand el Mdel I*Net de la Empresa: Empresa Servicis Internet / Extranet Exterir Nd Servicis Web Externs ISP Internet Actual Servici Hsting Nuevs servicis Web crprativs a ciudadans Usuaris Externs Red Crprativa WAN RED GENERAL Nd Internet Crprativa Servici de Crre Crprativ Acces a Internet Crprativ Red Remta PG Distribución Nd Redes Remtas Acces VPN/IPSec a Red General WAN Mdel de Arquitectura para Redes Remtas de Us General PSTN Usuaris de la Empresa Tercers Nd Extranet Mdel de Arquitectura para el Nd Extranet de la Empresa Tercers, VPN SSL, Móviles, Pda, Intranet Administrativa, RDSI/RTB FR/ATM Intranet Administrativa AGE Figura 14 Esquema del Mdel I*Net final 54

69 8.1 DESCRIPCIÓN GENERAL En este apartad se hará un resumen general sbre ls requisits que se darán en ls apartads psterires y de las tareas a realizar que se han suministrad en el plieg de prescripcines técnicas. Éstas sn: Se tendrá en cuenta el suministr, la instalación y la peración de tds ls elements que cmpnen ls servicis del Mdel I*Net: Nd Extranet, Nd de Redes Remtas, Nd de Internet Crprativa y Nd de Servicis Web. La cnectividad de cada un de ls nds cn Internet mediante líneas redundantes y separadas. Ls servicis de implantación del Nd Extranet, que abarcarán: La implantación de la Infraestructura del Nd. La recnfiguración de ls sistemas existentes que se integrarán en el Nd Extranet. El despliegue de ls servicis que deberá prprcinar el Nd. Ls servicis de implementación del Nd de Redes Remtas, que abarcarán: La implantación de la Infraestructura del Nd. La recnfiguración de ls sistemas existentes que se integrarán en el Nd. El despliegue de ls servicis que deberá prprcinar el Nd. Ls servicis de implantación del Nd de Internet Crprativa, que abarcarán: La implantación de la Infraestructura del Nd. La migración y adecuación de la nueva infraestructura de ls servicis de Internet Crprativa (crre y navegación) actualmente en prducción en la Empresa. La infrmación de detalle actual queda reflejada en el apartad Nd de Intranet Crprativa del pryect. El despliegue de ls servicis que deberá prprcinar el Nd de Internet Crprativa. Ls servicis de implantación del Nd de Servicis Web que abarcarán: 55

70 La implantación de la Infraestructura del Nd para la publicación de servicis Web. La migración de ls servicis web existentes en el Hsting actual que se integrarán en el nuev Nd de Servicis Web. La infrmación del Hsting actual queda reflejada en el apartad Nd de Servicis Web del pryect. El despliegue de la infraestructura que deberá prprcinar el Nd basad en la nueva platafrma de servicis Web. El plan de frmación requerid y dirigid al persnal de la Empresa que clabrará cn el equip de trabaj de ls Nds Extranet, Internet Crprativa, Redes Remtas y Servicis Web. Ls servicis de peración del Nd (incluid el sprte y mantenimient de sus elements en mdalidad presencial (24x7x365). Una vez implantad, se ha de hacer carg del cnsum asciad a las líneas de cmunicacines para el acces a Internet de tds ls nds que cmpnen el Mdel I*Net. 8.2 ALCANCE El alcance de ls trabajs especificads en el plieg cmprenden el suministr, instalación cnfiguración y puesta en servici, así cm la gestión y el mantenimient de tds ls elements cnstituyentes del Nd Extranet, Nd de Redes Remtas, Nd de Internet Crprativa y Nd de Servicis Web. Debe incluirse la migración de ls servicis web existentes en el servici de Hsting actual que se integrarán en el nuev Nd de Servicis Web, así cm la migración de ls actuales servicis de navegación y crre crprativ (debiéndse de garantizar la cntinuidad del servici) y ls servicis que actualmente existen referentes a ls Nds Extranet y Redes Remtas. Además debe incluir la gestión y mantenimient de la platafrma de gestión y su integración cn ls Sistemas Crprativs Oprtuns, garantizand su plena peratividad en mdalidad de persistencia 24x7x365. Ls servicis slicitads incluyen también la gestión, mantenimient y actualización tecnlógica, tant sftware cm hardware, incluyend las líneas de cnexión a Internet separadas para cada un de ls cuatr nds y la electrónica necesaria, durante el perid de expltación de las infraestructuras que cmpnen el Mdel I*Net de la Empresa. 56

71 Una vez implantads ls Nds en el Centr Tecnlógic de la Empresa deberá realizarse el despliegue de ls diferentes servicis que dichs nds deberán prprcinar a ls usuaris de la Empresa. Se exige, igualmente, realizar un Plan de Frmación para que el persnal técnic de la Empresa tenga cncimients suficientes de las slucines y sistemas que se prpndrán. 8.3 REQUISITOS A cntinuación se prcederá a enumerar ls requisits mínims que deben ser cumplids y desarrllads durante el trascurs del pryect, además de ls cndicinantes previs exigids pr la Empresa CONDICIONANTES PREVIOS La infrmación de detalle de las cnexines y dispsitivs en la situación actual queda reflejada en el apartad Nrmativa de la Empresa. En dich apartad están detallads: Arquitectura Técnica de Us General. Situación actual de servicis Web (hsting). Situación actual Internet Crprativa (servicis de crre y navegación). Situación actual Extranet. Situación actual Directri Crprativ (DICOE). Situación actual PKI Crprativa REQUISITOS DE CARÁCTER GENERAL Atendiéndse ls requerimients de la Empresa, se deberá implantar la infraestructura del mdel I*Net tant en la ubicación principal del Centr Tecnlógic de la Empresa cm en el centr de Respald REQUISITOS GENERALES DE PRODUCTO Se han de cumplir ls siguientes requerimients de carácter general en ls prducts: Ref. RQ_GN_1 Descripción Las slucines técnicas que se implementen en cada un de ls nds deberán cumplir 57

72 Ref. Descripción cn ls requisits establecids en la Arquitectura Técnica de us General, para garantizar su adecuada interperabilidad cn el rest de sistemas integrads en la Red General. En cncret, será necesari integrarse cn ls siguientes Sistemas Crprativs de la Empresa: infraestructura de clave pública de la Empresa (PKIE) y el directri crprativ de la Empresa (DICOE). RQ_GN_2 El prveedr siempre frecerá prducts actualizads, en sus últimas versines de sftware, y que se adhieran a estándares de mercad. RQ_GN_3 El prveedr garantizará que la discntinuación de un prduct n curre en el mism añ desde la fecha de cmpra. RQ_GN_4 Ls prducts frecids serán cmpatibles cn el equipamient hardware y sftware existente en la Empresa, y en particular en las instalacines del Centr Tecnlógic de la Empresa y el Centr de Respald. La infrmación de la infraestructura de la Empresa se prprcinará en el apartad Nrmativa de la Empresa. RQ_GN_5 Tds ls prducts tendrán garantía de 2 añs y el mantenimient hardware y sftware al mens cubrirá el perid de vigencia del cntrat ( ). RQ_GN_6 Tds ls dispsitivs y servidres deben ir instalads en rack. RQ_GN_7 Se valrará el us de servidres en frmat blade teniend en cuenta la separación física de ls nds y la ubicación de ls servidres de ls servicis Web en la Red General REQUISITOS GENERALES DE SEGURIDAD Ref. Descripción Para el presente pryect se deberá estar en psesión del acuerd de seguridad cn la RQ_GN_8 Empresa en grad mínim de Cnfidencialidad y frmará un equip específic de persnas que estarán en psesión de garantía persnal de seguridad de nivel mínim Cnfidencial trgada pr la Empresa u tr cmprmis de seguridad que, a criteri de la Empresa supnga una garantía equivalente. Se establece que el Mdel I*Net de la Empresa debe cumplir cn ls requisits de seguridad para pder manejar infrmación cn un grad de clasificación nacinal de DIFU- RQ_GN_9 SIÓN LIMITADA. Teniend en cuenta la premisa anterir, el Mdel de Intercnexión de Referencia cumple cn ls requisits de la nrmativa del Centr Criptlógic Nacinal del Centr Nacinal de Inteligencia (CCN/CNI) al respect. En cncret, ls que se des- 58

73 Ref. Descripción criben en las siguientes nrmas: Instrucción Técnica CCN-STIC-301 Requisits INFOSEC. Instrucción Técnica CCN-STIC-302 Intercnexines de CIS. Guía de Seguridad CCN-STIC-408 Herramientas de Seguridad. RQ_GN_10 Ls prcedimients de acces de ls usuaris remts, cntarán cn mecanisms de autentificación fuerte, basads en certificads emitids pr la infraestructura de clave pública (PKI) de la Empresa. Se deberán aceptar certificads emitids pr tras empresas pr tras autridades certificadras en el cas de que, en un futur, se permita su us pr parte de la Empresa. Las cmunicacines entre el Nd Extranet y el Nd de Redes Remtas de la Empresa y RQ_GN_11 sus interlcutres externs deberán ir cifradas, para cumplir cn la Plítica de Seguridad de las Tecnlgías de la Infrmación y las Nrmas de Prtección de la Infrmación Clasificada del centr Criptlógic Nacinal del Centr Nacinal de Inteligencia (CCN/CNI). Para permitir las necesarias labres de auditría y trazabilidad, ls mecanisms de cifrad se implementarán, pr defect entre el punt de entrada exterir al Nd Extranet y el RQ_GN_12 Nd de Redes Remtas de la Empresa y sus diverss interlcutres, permitiend el manej de infrmación en clar dentr de dichs Nds Extranet y de Redes Remtas. Pr ell, ests mecanisms de cifrad se basarán en la implementación de Redes Privadas Virtuales (VPN s), sbre prtcls de nivel de red, basadas en tecnlgías IPSec. También se permitirá hacer us de prtcls segurs de cmunicacines, cm pr ejempl SSL, TSL, SSH, HTTPS, S/MIME, etc., siempre que ls mecanisms de cifrad RQ_GN_13 se implementen sól hasta ls servidres del Nd Extranet, permitiend el manej de infrmación en clar, dentr de dich Nd, y las mecánicas labrales de auditría. En cualquier cas, dichs prtcls deberán usar certificads de cifra emitids pr la PKI de la Empresa, que garantiza el acces a sus claves privadas, en su defect, se prprcinarán, previamente a su puesta de servici, dichas claves privadas a ls respnsables de las labres de auditría del Nd Extranet REQUISITOS GENERALES DE DISPONIBILIDAD Y CONTINGENCIA Ref. Descripción En el centr Principal, tds ls dispsitivs/prducts deberán se redundantes y estar en RQ_GN_14 alta dispnibilidad. Se describirán y se tendrán en cuenta en el pryect ls dispsitivs intermedis (cnmutadres/balanceadres de carga, cntrladres de anch de banda, 59

74 Ref. Descripción etc.) que se cnsideren necesaris para frecer una alta dispnibilidad de ls servicis. Se deberá definir un Plan de Cntingencia que abarque ls cmpnentes especificads en RQ_GN_15 cada nd. El Plan de Cntingencia cntemplará la recuperación en el centr de Respald de ls servicis frecids pr cada un de ls nds para garantizar la cntinuidad, así cm una psterir vuelta a la nrmalidad. De frma general el Plan de Cntingencia, deberá incluir: Prcedimients específics de cpia de seguridad y recuperación de dichas cpias de seguridad. Identificación de ls respnsables que intervienen en el Plan, de sus rles y de sus respnsabilidades (Obtención y lcalización de recurss). Tips de Cntingencia y Cndicines de Activación (Psibles falls, indicand medidas inmediatas así cm las cndicines que deberá prducirse para activar RQ_GN_16 glbalmente el Plan). Prcedimients de Recuperación de Servici (Prces de recuperación de la actividad en el Centr de Respald). Prcedimients de Retrn al Estad Inicial (medidas y accines para devlver la perativa al Centr Principal). El prcedimient de actualización ha de ser autmátic. La cnfiguración de ls elements del Centr Principal ha de estar replicada en el nd de respald). En cas de cntingencia mayr que impida el funcinamient del Centr Principal, en RQ_GN_17 mens de 8 hras la infraestructura del Centr de Respald prprcinará ls servicis de ls Nds del Mdel I*Net, cn un 100% de peratividad de ls elements de seguridad. La infraestructura de respald se mantendrá hasta que se haya recuperad el 100% de ls RQ_GN_18 servicis en el Centr Principal y finalizad el prtcl de pruebas crrespndientes. La reactivación del servici principal se llevará a cab a petición explicita de ls Respnsables Técnics de la Empresa. RQ_GN_19 Se cntemplará en la slución adptada de manera explícita un númer de pruebas anuales mínimas n inferir a ds. Estas pruebas se realizarán a petición de ls Respnsables Técnics de la Empresa y siempre baj la aprbación de dichs Respnsables Técnics. 60

75 Se detallará en la slución y se justificará técnicamente la cnfiguración de alta dispnibilidad que se prpnga REQUISITOS GENERALES DE INTEGRACIÓN CON EL DICOE En la actualidad existe un sistema de Gestión de Identidades basad en prducts de Directri LDAP y Metadirectri (véase el apartad 6. Sistemas Crprativs ). Cualquier mdificación al Esquema del Directri parametrización del Metadirectri que haya que realizar en el Directri Crprativ de la Empresa (DICOE) para adaptarl al sistema deberá ser crdinad pr el Centr Tecnlógic de la Empresa. Pr ell, cualquier sistema que se desarrlle implemente en el pryect y que precise gestión de entidades (usuaris, unidades, dependencias, emplazamients, lcalidades, etc.) deberá cumplir ls siguientes requisits: Ref. Descripción RQ_GN_20 Aplicativs sistemas que precisan el us de un directri n prpietari para identificación, autenticación y prvisinamient de usuaris emplearán el DICOE, directri LDAP. Valrándse psitivamente que la autrización sea realizada también mediante DICOE. RQ_GN_21 Ls aplicativs sistemas que dispnen de un directri prpietari: se integrarán utilizand el Metadirectri, pr l que se tiene que cntemplar esta necesidad de integración. Aplicacines sistemas n cmpatibles cn LDAP: Aquellas aplicacines que n sean RQ_GN_22 cmpatibles cn LDAP ni permitan que un cnectr del Metadirectri actualice sus dats, per emplee identidades de persnas, dats de dependencia emplazamients, certificads, etc., debiéndse prpner, y garantizar que su desarrll permita sincrnizar sus dats cn ls de DICOE. Aquells aplicativs sistemas que n usen DICOE directamente para la autenticación pr usuari/passwrd deberán cumplir: RQ_GN_23 El identificadr de usuari deberá sincrnizarse cn el atribut userid de DICOE La cntraseña deberá sincrnizarse cn el atribut userpasswrd de DICOE si las plíticas de frmación de cntraseña l permiten, en cas cntrari, se sincrnizará cn el atribut de DICOE que se determine. RQ_GN_24 Ls recurss (materiales y humans) para llevar a cab la integración de sistemas apli- 61

76 Ref. Descripción cativs cn el DICOE serán llevads a cab pr el autr/es de la slución. RQ_GN_25 Ls cstes derivads de la integración de ls sistemas que se implantarán han de cntemplarse en el glbal del sistema, siend asumids pr el autr/es de la slución. RQ_GN_26 En tds ls cass las licencias de ls prducts de LDAP y Metadirectris serán prprcinadas pr la Empresa. Cada un de ls nds debe tener una réplica de dich directri LDAP, se tendrá que RQ_GN_27 prveer el hardware y el sftware necesari (véase el requisit de detalle para Servicis de directri, autenticación y autrización) para instalar dicha réplica REQUISITOS DE ARQUITECTURA Se reflejará en este apartad la arquitectura general de cada un de ests nds, incluida representación gráfica cn bjet de clarificar ls distints mdels. Psterirmente en ls requisits técnics se detalla y se especifica cada un de ls requisits que ha de cumplir el equipamient de hardware, sftware y líneas de cmunicacines slicitad ARQUITECTURA NODO EXTRANET Cm se ha mencinad en apartads anterires, la Empresa ha establecid las instruccines necesarias para satisfacer ls requisits de intercambi de infrmación en el Exterir, atendiend a un Mdel de Intercnexión de Referencia, que cntempla tant la arquitectura tecnlógica, cm la seguridad de la infrmación, dand slución a alguns de ests de intercnexión dentr de la Empresa. La slución se representa en el esquema de capas prpuest pr la Empresa (Véase la Figura 15), aunque se pdrá admitir cualquier mdificación a dich mdel de arquitectura que se estime cnveniente, previa justificación técnica, para dar slución a las necesidades expuestas. Además, se describe brevemente la arquitectura de ls distints grups de acces (Véase la Figura 16), extraíds del mdel de arquitectura para el Nd Extranet, cuts requisits se reflejan psterirmente. 62

77 Capa de Origen Capa de Acces Nd Extranet UNIVERSIDAD PONTIFICIA COMILLAS Tercers UMTS/GPRS Usuari Remt Acces de Tercers (Líneas dedicadas) RDSI/RTB Intranet Administrativa INTERNET Capa de Seguridad Firewall 1er Nivel Capa de Servicis DMZ Nd Extranet VPN SSL, RAS, RADIUS, LDAP, Dmin Passthru, Web Sphere Everyplace Access, ftp, etc. Mnitrización, buckup. Capa de Seguridad Firewall 2º Nivel Red General WAN Figura 15 Capas del Mdel de Arquitectura para el Nd Extranet 63

78 GRUPO 5 AA.PP GRUPO 4 RDSI/RTB GRUPO 3 Intranet Administrativa GPRS/UMTS Extranet Red General WAN GRUPO 2 Internet Internet GRUPO 1 Líneas dedicadas cn Tercers Figura 16 Esquema Grups de Acces del Nd Extranet Para el nd extranet se especifican ls siguientes requisits: Ref. Descripción Existirá una DMZ para las cnexines del Nd Extranet dnde se incluirán tds ls RQ_AR_1 servicis necesaris para satisfacer las necesidades de ls grups de acces que se describen a cntinuación. RQ_AR_2 Dicha DMZ dispndrá de una red de gestión (única para tds ls nds) cn la platafrma necesaria para la administración, gestión, mantenimient y generación de infrmes. Firewall. En el mdel hay ds niveles de seguridad basads en crtafuegs, un de ells RQ_AR_3 para la cnexión entre Internet y la DMZ y el tr nivel para la cnexión entre la DMZ y la Red General. Ls dispsitivs crtafuegs en ambs niveles han de ser distints y de diferentes fabricantes. RQ_AR_4 Ruter. Establecerá el punt de acces entre el prveedr de internet y la Empresa. RQ_AR_5 Switch. Intercnectarán ls distints dispsitivs de red. Deben permitir la creación de redes virtuales VLAN, habilitar puerts de SPAN y velcidades de trasferencia de dats de 64

79 Ref. Descripción 1Gb / 100 Mb / 10 Mb. La Empresa dispndrá de un sistema de Detección y Prevención de Intrusines que tendrá RQ_AR_6 su prpia cnsla de gestión. Dich sistema de Detección y Prevención deberá integrarse en la infraestructura del Nd y la cnsla de gestión en la Red de Gestión. Que deberá utilizar cnectres de 1 Gb. PKI. Cuand la PKI de la Empresa esté cmpletamente desplegada será necesari que ls servicis de DMZ se integren cn ls servicis de la PKI, pudiend utilizar certificads RQ_AR_7 de la CA de la Empresa y determinar la validez de certificads mediante su cnsulta en las Lista de Revcación de Certificads publicadas. Est implica que ha de existir un repsitri dnde se puedan cnsultar dichas CRLs. DNS. Debe existir en el servidr de nmbres para ls recurss de la DMZ y ls servidres RQ_AR_8 de la Red General necesaris para el crrect funcinamient de ls servidres que frece la DMZ. A cntinuación se refleja la arquitectura necesaria para ls distints grups de acces: GRUPO 1 Líneas dedicadas cn tercers : El presente grup de acces pretende satisfacer ls requisits de intercambi de infrmación del ámbit de Us General, a ls que prprcina servicis la Red General, de entidades privadas y rganisms nacinales e internacinales que acceden a ls recurss interns de la Empresa empleand líneas dedicadas, debiéndse cumplir l siguiente: Ref. Descripción Actualmente existen determinadas cnexines de tercers que han de integrarse en el Nd Extranet. Ya que ningun de ests access deberá estar cnectad directamente a la RQ_AR_9 Red General sin restriccines de seguridad, debiéndse cnectar al punt de acces de tercers del Nd Extranet. Este punt de acces será un ruter dedicad cn capacidad de cifrad. RQ_AR_10 Cualquier nueva línea de acces de tercers deberá incluirse en el punt de acces de tercers del Nd Extranet. GRUPO 2 Internet: El presente grup de acces pretende satisfacer ls requisits de intercambi de infrmación del ámbit de Us General, a ls que prprcina servici la Red 65

80 General, del persnal de la Empresa que accede a recurss interns de la Empresa a través de Internet. Se deben cumplir ls siguientes requisits para este grup: Ref. RQ_AR_11 Descripción Se implementará el escenari de acces remt mediante un dispsitiv de acces cn capacidades VPN SSL. RQ_AR_12 El dispsitiv VPN SSL deberá integrarse cn la PKI de la Empresa y el directri crprativ de la Empresa (DICOE). El sistema VPN SSL debe prprcinar, al mens, las siguientes funcinalidades: N será necesari instalar un prgrama cliente en el equip usuari remt para prveer acces a través del dispsitiv VPN SSL. Permitir a servidres interns mediante aplicacines pesadas (ej: Ltus Ntes) RQ_AR_13 que utilicen un cliente Java desde la interfaz web del Gateway, permitiend al usuari trabajar en remt cm si l hiciera desde la prpia Red General. Cnectarse a servidres interns (cm pr ejempl: máquinas UNIX, hst, servidres Terminal Server servidres de fichers) sin necesidad de ningún cliente pesad instalad en su prpi equip. RQ_AR_14 N se cntempla dentr del alcance del pryect la prvisión de la cnexión de usuari a Internet mediante un prveedr de servici. GRUPO 3 GPRS/UMTS: Este grup de acces pretende satisfacer ls requisits de intercambi de infrmación del ámbit de Prpósit General, a ls que prprcina servici la Red General (WAN), del persnal de la Empresa que accede a ls servicis crprativs de crre y navegación desde prtátiles, PDAs y teléfns móviles, mediante circuits dedicads cn ls peradres móviles que prprcinan acces UMTS/GPRS. Pr tant para ell se han de cubrir las siguientes premisas: Ref. Descripción Para el cas de acces a crre electrónic desde PDA y teléfns móviles, se describirá dar slución a ls siguientes requerimients: RQ_AR_15 Se deberá implementar una slución de acces nline a crre y aplicacines PIM (Gestr de Infrmación Persnal) desde dispsitivs móviles, empleand la slución suministrada pr la Empresa. 66

81 Ref. Descripción El servidr para la slución de acces nline a crre y aplicacines PIM se ha de instalar en el Nd Extranet junt cn tr servidr que actuará de servidr de tránsit para acceder a ls servicis de crre crprativ. Dichs servidres deben prveerse en este cntrat. Para el cas de acces a crre electrónic y navegación desde prtátiles Crprativs, se deberá dar slución a ls siguientes requerimients: RQ_AR_16 Dich acces se realizará a través de la red de la peradra móvil que determine la Empresa utilizand el servici UMTS/GPRS. Actualmente, la autenticación se realiza pr medi de un servidr de autenticación RADIUS existente en el Centr Tecnlógic de la Empresa. Ha de implementarse, dentr de la DMZ del Nd Extranet, de la misma frma e integrarse cn ls repsitris LDAP. GRUPO 4 RDSI/RTB: El presente grup de acces pretende satisfacer ls requisits de intercambi de infrmación del ámbit de Prpósit General, a ls que prprcina la Red General (WAN), del persnal de la Empresa que realiza, fundamentalmente, labres de administración, a través de líneas cnmutadas empleand un acces de RDSI/RTB. Se cumplirán ls siguientes requisits: Ref. Descripción Ls usuaris remts se cnectarán de la misma manera que l hacen actualmente, es decir, mediante un servidr de acces remt y autenticándse sbre un servidr RADIUS. RQ_AR_17 Cn la excepción de que dichs elements han de integrarse en la DMZ del Nd Extranet. Para ell, se prveerá de un servidr de autenticación de acces remt que deberá ser cnfigurad para utilizar ls usuaris DICOE implantad en la Red General (WAN), (se ha de habilitar una réplica LDAP de dich directri crprativ en el Nd Extranet). GRUPO 5 Intranet Administrativa AGE: El presente grup de acces pretende satisfacer ls requisits de intercambi de infrmación del ámbit de Prpósit General, a ls que prprcina servici la Red General (WAN), de acces a la Intranet Administrativa de la AGE. Se describirán ls siguientes requisits relacinads: 67

82 Ref. Descripción Se deberá realizar el enlace de la DMZ de la Intranet Administrativa (Área de cnexión) cn el Nd Extranet. RQ_AR_18 Esta cnexión, previa autrización del MAP y el Área de seguridad de la Empresa, se hará integrand en el Nd Extranet ls elements de la DMZ Administrativa que sn gestinads pr la Empresa (Firewall). Hay que tener en cuenta que la definición de dicha DMZ administrativa crrespnde al MAP. La arquitectura del Nd Extranet que se pretende implantar se refleja en la siguiente figura: Internet Acces a Tercers FIREWALL Intranet Administrativa FILEOVER FIREWALL RDSI/RTB VPN SSL 30X64 Intranet Administrativa RAS FIREWALL IDS FILEOVER RED GENERAL WAN FIREWALL Ntes Réplica y Passthru LDAP DNS Radius Red de Gestión Figura 17 Esquema del Nd Extranet Principal 68

83 En la siguiente figura se muestra el Nd de Respald para el Nd Extranet cm se describe en el Mdel de Arquitectura para el Nd Extranet : Internet Acces a Tercers Intranet Administrativa Appliance VPN SSL Activ RDSI/RTB Appliance VPN SSL Standby Intranet Administrativa RAS 30X64 FIREWALL IDS RED GENERAL WAN Ntes Réplica y Passthru LDAP DNS Radius Red de Gestión Figura 18 Esquema Nd Extranet de Respald ARQUITECTURA NODO REDES REMOTAS Tal y cm se describe en el Mdel de Arquitectura para redes remtas de Us General de la Empresa se define un únic grup de acces que pretende satisfacer ls requisits de intercambi de infrmación del ámbit de Us General, a ls que prprcina servici la Red General, de aquellas Sedes de la Empresa ubicadas en el extranjer. Las redes lcales de dichas sedes han de ser cnsideradas cm extensines de la Red General (WAN). 69

84 Dich mdel establece l siguiente: Se implementará el escenari de acces cn la creación de VPNs a través de Internet. Además, la infrmación viajará cifrada entre redes mediante el emple de cmpnentes cifrads instalads en ls dispsitivs encargads de la intercnexión. La slución debe prprcinar elements de seguridad necesaris para establecer la cmunicación cifrada a través de Internet, incluir el manej certificads emitids pr la PKI de la Empresa, y mnitrizar el tráfic para la detección y prevención de intrusines. Dicha arquitectura se presenta en el mdel de capas expuest en la figura, la cual se describe de la siguiente frma (Véase Figura 19) Capa de Origen: Representa el extrem de la cnexión en las redes remtas de Us General. En dicha capa de rigen se establece una capa de seguridad que realizará un filtrad de paquetes IP hacia la Red Remta y será el punt de terminación del túnel IPSec en la Red Remta. Capa de Acces: El acces entre la capa de rigen y el nd de intercnexión se realizará utilizand Internet cm transprte. Capa de Seguridad: La cnexión cn la red remta (capa de rigen) ha de ser a través de un túnel cifrad que terminará en esta capa. A su vez, esta capa actuará cm un primer nivel de filtrad de paquetes IP. Capa de Servicis: Se publicarán ls servicis que se estimen cnvenientes, entre ells una réplica de las listas de revcación de certificads y mecanisms de detección y prevención de intrusines (ests mecanisms pueden integrarse en ls dispsitivs de red: Ruters y firewalls). Capa de Seguridad: Capa de seguridad de segund nivel. En este punt se establecerán las limitacines de seguridad que estimen necesarias, pr mtivs de seguridad, entre las redes remtas y la Red General. (p.e.: Cerrar puerts n necesaris, eliminar determinads servicis de la Red General que puedan casinar prblemas en las redes remtas). Acces a la Red General: Punt de enlace entre el nd de intercnexión y la Red General (WAN). 70

85 Capa de Origen Capa de Acces UNIVERSIDAD PONTIFICIA COMILLAS Red Lcal en el Extranjer Capa de Seguridad Firewall 1er nivel Terminación túneles INTERNET Capa de Seguridad Firewall 1er nivel Terminación túneles Capa de Servicis CRL PKI (LDAP) Mnitrización Capa de Seguridad Firewall 2er nivel Red General WAN Figura 19 Arquitectura del Nd de Redes Remtas 71

86 Además se incluirá previa justificación técnica, aquells elements adicinales que se cnsideren prtuns para satisfacer tds ls requisits de acces extern a la Empresa. Cn respect al esquema de arquitectura para dar slución a las Redes Lcales en el extranjer, se prcederá siguiend las siguientes premisas: Ref. Descripción El intercambi de infrmación, entre las redes ubicadas en el extranjer se efectuará a través de Internet. RQ_AR_19 Para ell, se implementará una red privada virtual que permita el fluj de infrmación sensible a través de Internet hacia la Red General que se cerrará en el firewall extern cnectad a internet de la DMZ del Nd de Redes Remtas. RQ_AR_20 El intercambi de infrmación deberá estar cifrad (IPSec) y se implementará mediante dispsitivs de cifrad de cmunicacines basads en el prtcl IP. RQ_AR_21 Se utilizarán certificads emitids pr la PKI de la Empresa para el intercambi de claves cuand dicha PKI esté dispnible. Existirá una DMZ para las cnexines de este grup dnde se incluirán, cm mínim, RQ_AR_22 ls servicis de LDAP para las listas de revcación de certificads de la PKI de la Empresa. Dicha DMZ dispndrá de una red de gestión (única para tds ls nds) cn la RQ_AR_23 platafrma necesaria para la administración, gestión, mantenimient y generación de infrmes. La Empresa dispndrá de un sistema de Detección y Prevención de Intrusines que RQ_AR_24 tendrá de su prpia cnsla de gestión. Dich sistema deberá integrarse en la infraestructura del Nd y la cnsla de gestión en la Red de Gestión que deberá utilizar cnectres de 1 Gb ARQUITECTURA NODO INTERNET CORPORATIVA El bjetiv priritari de este Nd es cubrir ls requisits de intercambi de infrmación de la Empresa en l relativ al acces crprativ a Internet, dand slución a las arqui- 72

87 tecturas que se describen en el Mdel de Arquitectura del Nd de Internet Crprativa de la Empresa. Este acces crprativ a Internet tiene cm bjetiv prprcinar acces desde la Red General (WAN) de la Empresa a servicis de Internet (Navegación) y el intercambi de crre electrónic entre el dmini intern y ls dminis de Internet, dtand a la Empresa de un servici de acces a Internet capaz de satisfacer sus necesidades de acces cuantitativas y cualitativas, cn las suficientes garantías de seguridad y nivel de servici. Las necesidades de servicis de acces a Internet que serán cubiertas pr la arquitectura slicitada sn: Acces a navegación y búsqueda de infrmación en Internet para cualquier usuari autrizad del la Empresa desde una estación de trabaj cnectada a la Red General. Intercambi de mensajería interpersnal n ficial cn Internet de cualquier usuari autrizad de la Empresa, a través de su intercnexión cn el dmini de mensajería interpersnal intern de la Empresa. Servici de Nmbres de Dmini de Internet para las estacines de trabaj cnectadas a la Red General. La arquitectura del Nd Internet Crprativ que se pretende implantar se refleja en el siguiente esquema (Véase Figura 20), además se implantará un nd de respald cm se muestra en la Figura 21 : 73

88 Internet IPS PROXY BALANCEADORES ANTIVIRUS FILTRO CONTENIDOS GESTIÓN ANCHO DE BANDA LDAP SMTP DNS Platafrma de Gestión y de Almacenamient Red General Red de Gestión Figura 20 Arquitectura Nd Internet Crprativa Principal 74

89 Internet IPS PROXY GESTIÓN ANCHO DE BANDA ANTIVIRUS FILTRO CONTENIDOS LDAP SMTP DNS Platafrma de Gestión y de Almacenamient Red General Red de Gestión Figura 21 Arquitectura Nd Internet Crprativa de Respald 75

90 La platafrma necesaria para la cnstrucción del Nd Internet Crprativa debe cubrir las necesidades de las tres arquitecturas anterirmente prpuestas, describiéndse a cntinuación: Ref. RQ_AR_20 Descripción El Nd Internet estará cnstituid pr una zna desmilitarizada (DMZ), separada mediante crtafuegs de Internet y de la prpia Red General. RQ_AR_21 Dicha DMZ dispndrá de una red de gestión (única para tds ls nds) cn la platafrma necesaria para la administración, gestión, mantenimient y generación de infrmes. Firewall. En el mdel hay ds niveles de seguridad basads en crtafuegs, un de RQ_AR_22 ells para la cnexión entre Internet y la DMZ y el tr nivel para la cnexión entre la DMZ y la Red General. Ls dispsitivs crtafuegs en ambs niveles han de ser de diferente fabricante. RQ_AR_23 Ruter. Establecerá el punt de acces entre el prveedr de internet y la Empresa. Switch. Intercnectarán ls distints dispsitivs de red. Deben permitir la creación RQ_AR_24 de redes virtuales VLAN, habilitar puerts de SPAN y velcidades de transferencia de dats de 1 Gb / 100 Mb / 10 Mb. Se dispndrá también de un sistema de almacenamient, cnectad a la red de gestión, RQ_AR_25 que permita guardar ls registrs generads pr ls distints cmpnentes durante el tiemp que se defina pr plíticas de la Empresa. Debe incluirse un servici antivirus a nivel de red que examine al mens, ls cntenids RQ_AR_26 trasmitids mediante ls prtcls: HTTP, FTP, SMTP y ls usads en las redes P2P. RQ_AR_27 Se dispndrá de un ptimizadr del anch de banda. La Empresa dispndrá de un sistema de Detección y Prevención de Intrusines que RQ_AR_28 tendrá de su prpia cnsla de gestión. Dich sistema de Detección y Prevención deberá integrarse en la infraestructura del Nd y la cnsla de gestión en la Red de Gestión. Que deberá utilizar cnectres de 1 Gb. RQ_AR_29 Balanceadres de carga para ls servicis que l requieran. RQ_AR_30 Ls sistemas necesaris para dar respuesta a las necesidades de navegación desde la 76

91 Ref. Descripción Red General: Prxy-Webcache y filtrad de cntenids para una estimación de usuaris al principi y un crecimient estimad hasta Ls sistemas necesaris para dar respuesta a las necesidades de intercambi de crre entre el dmini intern y ls dminis de Internet: RQ_AR_31 Reenviadres de crre SMTP Servici Antivirus de crre y Anti-Spam RQ_AR_32 Ls sistemas necesaris para dar respuesta a las necesidades de acces al servici de nmbres dmini de Internet (DNS) ARQUITECTURA NODO DE SERVICIOS WEB El bjetiv priritari de este Nd es prprcinar acces desde Internet a ls servicis web públics de la Empresa dand slución a la arquitectura prpuesta extraída del Mdel de Arquitectura para Servicis Web de la Empresa. Para ell, en este nd de Servicis Web se establecerá una DMZ para el Mdel de Arquitectura de Servicis Web definitiv. En dicha DMZ se ubicará un dispsitiv de prxy revers que canalizará tdas las s licitudes HTTP/HTTPS baj la nueva arquitectura de servicis web. Este servidr prxy será el encargad de realizar las peticines a la capa de presentación (servidr web) del mdel que se ubicará en el interir de la red crprativa. Ls servicis web estarán cmpuests pr una estructura de capas que permita hmgeneizar la implantación y la expltación de ls misms mediante una estructura cnslidada. Las capas del mdel serán la capa de presentación, capa de lógica de aplicación y la capa de back-end que incluirá bases de dats y elements de integración cn tras aplicacines. El mdel lógic de Servicis Web definitiv acrde cn ls servicis de frecids pr el la Empresa y que se ha de implantar de la manera en la que se muestra en la Figura 2. La platafrma necesaria para la cnstrucción del Nd de Servicis Web debe cubrir las necesidades para la publicación de Servicis Web de la Empresa, describiéndse a cntinuación: 77

92 Ref. Descripción En el nd de Servicis Web se establece una DMZ dnde se ubicará un dispsitiv de prxy revers que canalizará tdas las slicitudes HTTP/HTTPS. Este dispsitiv prxy RQ_AR_32 será el encargad de realizar las peticines a la capa de presentación (servidr web) del mdel que se ubicará en el interir de la red crprativa. Ls servicis web estarán cmpuests pr una estructura de capas que permita hmgeneizar la implantación y la expltación de ls misms mediante una estructura cnslidada. Las capas del mdel serán: la capa de presentación, capa de lógica de aplicación y la RQ_AR_33 capa de back-end que incluirá bases de dats y elements de integración cn tras aplicacines. RQ_AR_34 El Nd de Servicis Web estará cnstituid pr una zna desmilitarizada (DMZ), separada mediante ds niveles de crtafuegs de Internet y de la prpia Red General. RQ_AR_35 Dicha DMZ dispndrá de una red de gestión cn la platafrma necesaria (única para tds ls nds) para la administración, gestión, mantenimient y generación de infrmes. Firewall. En el mdel hay ds niveles de seguridad basads en crtafuegs, un de RQ_AR_36 ells para la cnexión entre Internet y la DMZ y el tr nivel para la cnexión entre la DMZ y la Red General. Ls dispsitivs crtafuegs en ambs niveles han de ser de diferente fabricante. RQ_AR_37 Ruter. Establecerá el punt de acces entre el prveedr de internet y la Empresa. Switch. Intercnectarán ls distints dispsitivs de red. Deben permitir la creación RQ_AR_38 de redes virtuales VLAN, habilitar puerts de SPAN y velcidades de transferencia de dats de 1 Gb / 100 / 10. RQ_AR_39 Balanceadres de carga para ls servicis de Prxy revers. La Empresa dispndrá de un sistema de Detección y Prevención de Intrusines que RQ_AR_40 tendrá de su prpia cnsla de gestión. Dich sistema de Detección y Prevención deberá integrarse en la infraestructura del Nd y la cnsla de gestión en la Red de Gestión. Que deberá utilizar cnectres de 1 Gb. PKI. Cuand la PKI de la Empresa esté cmpletamente desplegada será necesari que ls RQ_AR_41 servicis de DMZ se integren cn ls servicis de la PKI, pudiend utilizar certificads de la CA (Autridad Certificadra) de la Empresa y determinar la validez de certificads mediante su cnsulta en las Listas de Revcación de Certificads publicadas. 78

93 Ref. RQ_AR_42 Descripción DNS. Servidr de nmbres para ls recurss de la DMZ y ls servidres de la Red General necesaris para el crrect funcinamient de ls servicis que frece la DMZ. RQ_AR_43 Tds ls dispsitivs deben estar redundantes y en alta dispnibilidad. La platafrma de servidres (frntales web, servidres de aplicacines y servidres de RQ_AR_44 bases de dats) se ubicarán en la red crprativa en base a ls criteris especificads en el Mdel de arquitectura de Servicis Web del la Empresa y en la Arquitectura Técnica de la Empresa. El almacenamient para la capa de presentación de ls servicis Web ha de realizarse de la siguiente frma: Para ls servicis Web de publicación cn cntenid estátic el almacenamient debe RQ_AR_45 ser cnslidad. Para ls servicis Web publicads que frecen cntenid de un servidr de aplicacines el almacenamient para el servidr web se hará en lcal, incluyend ls servidres que actuarán cm prxy revers en la DMZ. Para el rest de las capas, que incluyen ls servidres de aplicacines y servidres de bases de dats, el almacenamient será distribuid REQUISITOS TÉCNICOS DE DETALLE A cntinuación quedan reflejads ls requisits técnics de detalle para ls elements de red de ambs Centrs de Prces de Dats (Principal en el Centr Tecnlógic de la Empresa y Respald en el Centr de Respald de la Empresa). En la siguiente tabla (Véase Tabla 3) se esquematiza ls distints elements mínims necesaris para cada un de ls nds: Elements/Nds EXTRANET REDES REMOTAS INTERNET CORPORA- TIVA SERVICIOS WEB SÍ SÍ SÍ SÍ INFRAESTRUCTURA DE RED Cnexión a Internet CPDP (2) CRESP (1) CPDP (2) CRESP (1) CPDP (2) CRESP (1) CPDP (2) CRESP (1) Switch Extern SI SI SI SI 79

94 Elements/Nds EXTRANET REDES REMOTAS INTERNET CORPORA- TIVA SERVICIOS WEB Ruter Extern SÍ SÍ SÍ SÍ Switches DMZ SI SÍ SÍ SÍ Balanceadres de Carga NO NO SÍ SÍ Optimizadr Anch de Banda NO NO SÍ NO Switches Servicis web intern NO NO NO SÍ Ruters cnexión Tercers SI NO NO NO Firewall Extern Marca 1 SÍ CPDP (2) CRESP (1) VPN IPSEC SÍ CPDP (2) CRESP (1) VPN IPSEC SÍ CPDP (2) CRESP (1) VPN IPSEC SÍ CPDP (2) CRESP (1) IPS/IDS SI SI SI SI INFRAESTRUCTURA DE SEGURIDAD Firewall red Gestión SÍ 1Cmpartid tds ls nds SÍ 1Cmpartid tds ls nds SÍ 1Cmpartid tds ls nds SÍ 1Cmpartid tds ls nds VPN SSL(appliance) SI NO NO NO Firewall Intern Marca 2 SÍ CPDP (2) CRESP (1) SÍ CPDP (2) CRESP (1) SÍ CPDP (2) CRESP (1) SÍ CPDP (2) CRESP (1) SMTP Relay NO NO SI NO INFRAESTRUCTURA DE CORREO Anti Spam NO NO SI NO Crre Móvil SÍ NO NO NO 80

95 Elements/Nds EXTRANET REDES REMOTAS INTERNET CORPORA- TIVA SERVICIOS WEB Prxy (appliance) SÍ NO SÍ NO INFRAESTRUCTURA DE NAVEGACIÓN Prxy Revers (appliance) Filtrad de Cntenids (sftware y hardware) NO NO NO SÍ NO NO SÍ NO PLATAFORMA DE ANTIVIRUS Antivirus para HTTP Antivirus para pasarela de crre NO NO SI NO NO NO SÍ NO Antivirus de Servidr SÍ SÍ SÍ SÍ INFRAESTRUCTURA DE GESTIÓN INFRAESTRUCTURA DE ACCESO REMO- TO Red y Sistema de Gestión (Sftware y Hardware) Supervisión y generación de infrmes RAS Servici Acces Remt Autenticación Navegación Internet SI SI SI SÍ SÍ SÍ SÍ SÍ SÍ NO NO NO NO NO SÍ NO INFRAESTRUCTURA DE DIRECTORIO Autrización intercambi de crre NO NO SÍ NO LDAP SI SI SÍ SI SERVICIO DE NOM- BRES DE DOMINIO (DNS) DNS SI SI SI Direccines Internet SÍ INFRAESTRUCTURA SERVICIOS WEB Servidres Web (SW y HW) Servidres de Aplicacines (SW y HW) Servidres de Bases de Dats (SW y HW) NO NO NO SÍ NO NO NO SÍ NO NO NO SÍ 81

96 Elements/Nds EXTRANET REDES REMOTAS INTERNET CORPORA- TIVA SERVICIOS WEB ALMACENAMIENTO CONSOLIDADO Red de Gestión SÍ Servidres NO NO NO SÍ Ampliación de capacidad Switch de fibra SÍ SÍ Tabla 3 Tabla de Requisits Técnics A cntinuación se explicarán cada un de ls requisits técnics de detalle agrupándls cm queda reflejad a cntinuación: Infraestructura de red Cnexión a Internet. Switches: Extern, DMZ, Interns, Red de Gestión, Hsting intern. Ruter: Extern y cnexión Tercers. Optimizadr Anch de Banda. Balanceadres de Carga. Infraestructura de Seguridad Firewall: Extern Marca 1, Intern Marca 2, Firewall cnexión red Gestión. Sistema de Detección/Prevención ante Intruss (IPS/IDS). VPN SSL. Servicis de Navegación Prxy y Web-cache. Prxy revers. Filtrad de cntenids. Infraestructura de Crre SMTP Relay. 82

97 Anti Spam. Crre Móvil. Platafrma de Antivirus Antivirus para la platafrma de Navegación. Antivirus para la platafrma de crre. Antivirus para servidres. Infraestructura de Gestión Sistema de Gestión Centralizada. Supervisión y generación de infrmes. Infraestructura acces Remt RAS. Servicis de autenticación y directri Directri LDAP. Autenticación y autrización del servici de Navegación Web. Autrización del servici de intercambi de crre. Servici de Nmbres de Dmini Servicis Web Servidres Web. Servidres de Aplicacines. Servidres de Bases de dats. Almacenamient Cnslidad Sistemas de almacenamient para la Red de Gestión. Sistemas de almacenamient para ls Servicis Web. Ampliación de la capacidad de almacenamient de la Empresa. Switch de fibra. 83

98 INFRAESTRUCTURA DE RED CONEXIÓN A INTERNET Ref. Descripción Se prveerán para cada un de ls nds access centralizads en el CPD principal y alternativ. En el CPD principal se prprcinarán líneas redundantes (principal y backup). En el CPD Principal ls elements de cmunicación deben estar redundads, y la cnexión se realizará sbre ds nds distints de la red del adjudicatari cn diversificación ttal del acces (dble acmetida) y de trayects. En cas de fall de un de ls RQ_TEC_01 access, ls enlaces cncentrads en éste se cnmutarán autmáticamente hacia el acces redundante. Se indicará y cnfigurará ls mecanisms y prcedimients para la activación de ls servicis en el CPD de respald. Se cntemplará la realización de pruebas para la cmprbación de la activación del servici en el CPD de respald y/ de las líneas redundantes. Dichas prueba pdrán realizarse siempre que la Empresa estime cnveniente. Se cntemplará para el CPD principal y de respald ls caudales simétrics garantizads de acces a Internet indicads para cada un de ls servicis. Se deberá psibilitar el aument hasta la capacidad máxima indicada, sin necesidad de mdificar la velcidad de las líneas fertadas. Ls caudales se pdrán definir sbre líneas independientes cn velcidades de línea iguales al máxim demandad, agregar ttal parcialmente ls caudales sbre una varias líneas de velcidades superires (622 Mbps, 1Gbps 155 Mbps), manteniend siempre la garantía de caudal pr servici. RQ_TEC_02 Mínim Máxim Extranet 15 Mbps 34 Mbps Redes Remtas 20 Mbps 34 Mbps Internet Crprativ 50 Mbps 155 Mbps Servicis Web 8 Mbps 34 Mbps El caudal cmputad para el caudal mínim exigid será de tráfic IP y n se incluirá el tráfic de cabeceras. 84

99 Ref. Descripción Se prveerá anualmente (a principis de cada añ) un aument mínim en el caudal garantizad para cada un de ls nds de la siguiente frma: Increment del Caudal Garantizad Añ 2010 Añ 2011 RQ_TEC_03 Extranet 10% 10% Redes Remtas 15% 15% Internet Crprativ 10% 10% Servicis Web 10% 10% RQ_TEC_04 Las cnexines entre el peradr y el ruter de acces a ls distints nds deben realizarse cn líneas de 1Gb. RQ_TEC_05 El POP debe ser diferente para las cnexines principales y redundantes. RQ_TEC_06 Se prprcinará la máxima seguridad frente a ataques infrmátics, intrusines, y cnservación de la infrmación en el Mdel I*Net de la Empresa. Gestión de direccines IP legales ante RIPE (Réseaux IP Eurpéens Netwrk Crdinatin Centre. Autridad reginal en Eurpa para la asignación de direccines IP) ante la autridad lcal de registr de direccines LIR (Lcal Internet Registry). RQ_TEC_07 Nd Extranet: Inicialmente serán necesarias 10 direccines legales, pudiéndse ampliar en un futur. Nd Redes remtas: Inicialmente serán necesarias 4 direccines legales, pudiéndse ampliar en un futur. Nd Internet Crprativa y Nd Servicis Web: Inicialmente serán necesarias 100 direccines legales, pudiéndse ampliar en un futur. Se han de detallar las cndicines para una futura ampliación del númer de direccines IP legales. RQ_TEC_08 La dispnibilidad mensual mínima para cada línea será superir al 99,4%. RQ_TEC_09 La Empresa n se hará carg de la seguridad en el acces lógic a ls equips. La seguridad física de ls equips ubicads en dependencias de la Empresa será respnsabilidad de la Empresa. 85

100 Ref. RQ_TEC_10 Descripción El enlace de cada un de ls nds a la red crprativa de la Empresa será de 1 Gb SWITCHES (CONMUTADORES) Ref. Descripción Cm nrma general para cada un de ls nds se implantarán switches físicamente separads teniend en cuenta las siguientes premisas: Entre cada un de ls nds deben ser físicamente diferentes. En cada nd, deben ser diferentes ls switches utilizads en la zna de Internet (Entre ruter de acces y firewall de primer nivel) y las subredes dentr de la DMZ. En la red de gestión, ls switches de la red de gestión han de ser diferentes de ls utilizads en ls Nds. Se requerirán al mens ls siguientes switches/segments de red: Extranet = 5. Cnfigurándse 3 en el CPD Principal (subred internet, subredes DMZ) y 2 en el CPD Respald (subred internet y DMZ). RQ_TEC_11 Redes Lcales en el Extranjer = 5. Cnfigurándse 3 en el CPD Principal (subred internet, subredes DMZ) y 2 en el CPD Respald (subred internet y subredes DMZ). Nds Servicis Web = 5. Cnfigurándse 3 en el CPD Principal (subred internet, subred DMZ) y 2 en el CPD Respald (subred internet y subredes DMZ). Redes Internet Crprativ = 5. Cnfigurándse 3 en el CPD Principal (subred internet, subredes DMZ) y 2 en el CPD Respald (subred internet y subredes DMZ). Red de Gestión = 2. CPD Principal y CPD Respald. N bstante, este númer de switches puede ser alterad según se crea cnveniente para cnseguir ls niveles de servici requerid. 86

101 Ref. Descripción Ls puerts de ls cnmutadres serán autnegciads 10BASE-T/100BASE- TX/1000BASE-T Mbps cn al mens 24 puerts pr switch. RQ_TEC_12 Ls switches de la red de gestión, ls cnmutadres tant del nd principal cm del respald serán autnegciads 10BASE-T/100BASE-TX/1000BASE-T Mbps deben cubrir al mens tds ls elements de la infraestructura requerida a gestinar. Dispnibilidad, debe cumplir ls estándar: RQ_TEC_13 IEEE 802.1w Rapid Spanning Tree prtcl. IEEE802.3ad (LACP) agregación de enlaces. RQ_TEC_14 Deben dispner cnfiguracines en rack cn características de failver en fuentes de alimentación y mdul supervisr. Deber ser gestinable cn prtcls de gestión SNMP. Debe de cumplir ls siguientes estándares: RQ_TEC_15 SNMP v2 (IETF Std 5/RFC 1157) superir. RMON v1 (RFC 1757) superir. MIB II (IETF Std 17/1213). RQ_TEC_16 Deben dispner de herramientas de gestión. RQ_TEC_17 Debe de ser integrable cn las herramientas de gestión de red crprativas del la Empresa. Tds ls switches deben dispner características de dispnibilidad cm sprte al RQ_TEC_18 prtcl VRRP, fail-ver, etc. y estar cnfigurads en alta dispnibilidad para cada un de ls segments. RQ_TEC_19 Creación de VLAN. Deben sprtar el estándar de redes virtuales IEEE 802.1Q. RQ_TEC_20 Deseable características de seguridad IEEE 802.1X (Prt authenticatin), TACACS+, RADIUS. Necesari que prprcinen Calidad de Servici (QS), deberá manejar un númer RQ_TEC_21 adecuad de clas pr puert (8 es la recmendación), para cntrlar el fluj de tráfic y aumentar el rendimient de la red. Se recmienda que sprte el estándar de calidad de servici IEEE 802.1p. 87

102 Ref. Descripción RQ_TEC_22 Cnmutación de Nivel 3. RQ_TEC_23 Cmpatibilidad cn NetFlw. (Deseable) RQ_TEC_24 Capacidad para IPv ROUTERS Ref. Descripción Se implantarán ls ruters necesaris para la cnexión cn Internet implementads en alta dispnibilidad pr pares (activ-activ) para cada un de ls nds, al mens 8 dispsitivs. N bstante, la Empresa prprcinará ls ruters adicinales que pudieran necesitarse. Se implantarán al mens, adicinalmente, 2 ruters en alta dispnibilidad en el nd RQ_TEC_25 Extranet, grup de acces de tercers, dnde se cnslidarán las líneas actualmente existentes (descritas en el dcument Situación actual Nds I*Net de la Empresa ) y las que en un futur estime cnveniente la Empresa. En el centr de respald deberá haber al mens un ruter pr sub-nd, más un ruter para centralizar el acces de las líneas de tercers que se estimen necesarias en cntingencia. Deberán sprtar al mens ls siguientes prtcls de enrutamient: RQ_TEC_26 BGP, IGP, EIGRP, RIP (Ruting Infrmatin Prtcl) v1 y v2. Enrutamient explícit (enrutamient estátic). OSPF (Open Shrtest Path First). RQ_TEC_27 Deberán prveerse cnexines HSSI (High Speed Serial Interface) entre el nd de red y el ruter de cnexión de tercers del Nd Extranet si es necesari. Memria n vlátil para almacenar la cnfiguración, alimentada pr batería un RQ_TEC_28 equivalente que asegure que cnserva tda la cnfiguración ante incidentes, durante al mens 30 días. RQ_TEC_29 La Administración y cnfiguración debe pderse realizar tant desde puert de cnsla lcal, cm desde el Sistema de Gestión Centralizad empleand SNMP v2 superir, Telnet, SSH y Web (HTTPS). 88

103 Ref. RQ_TEC_30 Descripción Debe de ser integrable cn las herramientas de gestión de red crprativas del la Empresa. Se prprcinarán dispsitivs activ-activ (cnectads entres sí) que, reuniend RQ_TEC_31 las cualidades de tlerancia de falls, cumplan cn tds ls cmetids cn igual capacidad de desempeñ que ls slicitads. Ls Uplink del cnjunt de equips tendrán un anch de banda mínim de 1 Gbps. RQ_TEC_32 Deben cntener sistemas de alimentación y ventilación redundantes. RQ_TEC_33 Deben permitir la actualización y/ cambi de versión de sftware tant lcal, cm remtamente. RQ_TEC_34 Deben prprcinar capacidades de gateway y transprte de Vz sbre IP. RQ_TEC_35 Deben dispner de la facilidad de cmpresión de prtcls TCP, UDP, RTP, etc. RQ_TEC_36 Deben dispner de tecnlgía mdular del tip htswap, para permitir el mantenimient preventiv y/ crrectiv sin salida de servici. RQ_TEC_37 Necesaria capacidad VPN, mediante aceleradra hardware en ls ruters de redes lcales en el extranjer. RQ_TEC_38 Capacidad de cifrad DES, 3DES, AES (hardware y sftware). RQ_TEC_39 Capacidad para IPv SISTEMA DE CONTROL DE ANCHO DE BANDA Ref. Descripción Debe sprtar, al mens, el establecimient de límites pr: prtcl, categría-web RQ_TEC_40 (según la misma base de dats que el filtrad de cntenids), usuaris, grups de usuaris, franjas hrarias y direccines IP. RQ_TEC_41 Límites basads en el tráfic ttal de salida y límites pr el us del anch de banda pr aplicación. RQ_TEC_42 Las plíticas de us deben pder fijarse pr usuari, grup, estación de trabaj, segment de red y hra del día. 89

104 Ref. RQ_TEC_43 Descripción Debe sprtar la autenticación de usuaris y grups mediante un directri LDAP. RQ_TEC_44 Debe permitir establecer Plíticas en base a usuaris y grups definids en un directri LDAP. RQ_TEC_45 Debe dispner de herramientas para la cnfiguración, mnitrización y mantenimient desde una estación de trabaj mediante prtcls segurs BALANCEADORES DE CARGA Ref. Descripción Se implantarán dispsitivs de balance de carga para, al mens, distribuir la carga hacia ls dispsitivs prxy revers que prveerán acces a ls servicis Web en el RQ_TEC_46 Nd de servicis Web. Para el Nd de Internet Crprativa se incluirán dispsitivs de balance de carga para, al mens, ls dispsitivs prxy para navegación en Internet y ls equips para el enví/recepción de crre. RQ_TEC_47 Ls dispsitivs balanceadres de carga deben implementarse en alta dispnibilidad pr pares para el nd principal. RQ_TEC_48 Dichs dispsitivs han de ser redundantes. Se prprcinarán dispsitivs failver (activ activ activ pasiv) (cnectads RQ_TEC_49 entres sí) que, reuniend las cualidades de tlerancia de falls, cumplan cn tds ls cmetids cn igual capacidad de desempeñ que ls slicitads. Ls Unplink del cnjunt de equips tendrán un anch de banda mínim de 1 Gbps. Deberán sprtar al mens ls siguientes prtcls de enrutamient: RQ_TEC_50 BGP, IGP, EIGRP, RIP v1, RIP v2 (Ruting Infrmatin Prtcl). Enrutamient explícit (enrutamient estátic). OSPF (Open Shrtest Path First). RQ_TEC_51 Cmpatible cn cualquier servidr TCP/IP. RQ_TEC_52 La administración y cnfiguración debe pderse realizar tant desde puert de cnsla lcal, cm desde el Sistema de Gestión Centralizad empleand SNMP v2 supe- 90

105 Ref. Descripción rir, Telnet, SSH y Web SSL (HTTPS). RQ_TEC_53 Debe de ser integrable cn las herramientas de gestión de red crprativas del la Empresa. RQ_TEC_54 Debe tener un mínim de 8 puerts de red. RQ_TEC_55 Móduls de entrada/salida del tip FastEthernet 10/100 BASE-TX y GigabitEthernet (1000 BASE SX/LX). RQ_TEC_56 Debe aceptar tds ls servicis TCP, UDP y SSL. Sprte para cntenid dinámic: Active Server Pages (ASP), Visual Basic Script, RQ_TEC_57 Active X, Java, Virtual Reality Markup Language (VRML), Cmmn Gateway Interface (CGI), ClTalk, NetMeeting, RealAudi, RealVide, NetShw, QuickTime, PintCast, cualquier dat encapsulad HTTP. RQ_TEC_58 Plíticas de cntenid en listas de cntrl de acces para tdas las cabeceras HTTP. RQ_TEC_59 Ls dispsitivs deben tener un thrughtput máxim de, cm mínim, 6 Gbps. RQ_TEC_60 Cmpatibilidad cn VLANs (IEEE 802.1Q). RQ_TEC_61 Capacidad para IPv INFRAESTRUCTURA DE SEGURIDAD CORTAFUEGOS (FIREWALL) Ref. Descripción Las platafrmas de Firewall para cada un de ls nds (Servicis Web, Internet Crprativa, Extranet y Redes Remtas) serán físicamente diferentes, es decir n pdrán tener cmpnentes en cmún. Tds ls dispsitivs firewall pdrán estar en md Activ-pasiv Activ- RQ_TEC_62 Activ pr nd. Cm mínim y basad en esta cnfiguración deberán existir ch dispsitivs firewall de un mism fabricante para la capa de seguridad externa (Internet Nds) y ch dispsitivs firewall de tr fabricante (diferente al anterir) para la capa de seguridad interna (Nds Red General). 91

106 Ref. Descripción Se deberá prveer ds platafrmas de Firewall de diferente fabricante para el firewall RQ_TEC_63 extern y el firewall intern de cada un de ls nds, cn la última versión de sftware y en cnfiguración de alta dispnibilidad, cn licencias ilimitadas. Se prveerá además para ambs equips, las licencias necesarias para terminación de túneles IP- Sec (IKE/ISAKMP). El sistema estará cnfigurad cn plítica restrictiva (td l que n está explícitamente RQ_TEC_64 permitid, está prhibid), dispndrá de detección de patrnes de ataque y herramientas de detección de intrusines en red NIDS (Sistema de Detección de Intrusines en Red) y en máquinas HIDS (Sistemas de Detección de Intrusines en máquina) de más de un fabricante. Se definirán ds líneas de prtección ubicadas en las dependencias de cada Centr Tecnlógic de la Empresa. Entre ambas líneas se creará una zna de seguridad intermedia (DMZ) (pr cada nd) dnde estarán ubicads ls servidres y dispsitivs que RQ_TEC_65 prprcinen ls servicis del Mdel I*Net. La primera línea, más externa, que prtegerá el acces a la DMZ de la Empresa desde el exterir (a redes ajenas, cm Internet), y una segunda línea cn mayr seguridad que prtegerá la red interna de la Empresa. Ambas líneas deberán estar cnfiguradas en alta dispnibilidad, mediante tplgía Activ-Pasiv Activ-activ. RQ_TEC_66 Ls firewalls debe de dispner de aceleración VPN hardware. La administración y cnfiguración debe pderse realizar tant desde puert de cnsla RQ_TEC_67 lcal, cm desde el Sistema de Gestión Centralizad empleand SNMP v2 superir, Telnet, SSH y Web SSL (HTTPS). RQ_TEC_68 Ls firewall deberán dispner de un Thrughput de al mens 300 Mbps. RQ_TEC_69 Ls firewall deberán prveer al mens capacidad para cnexines. RQ_TEC_70 Deberán dispner al mens de ls siguientes puerts; I/O: 3 Fast Ethernet + 1 interfaz para la red de gestión. RQ_TEC_71 Se utilizarán puerts Giga Ethernet cuand la tplgía y las necesidades del nd l permitan. RQ_TEC_72 Deberán dispner prveer NAT dinámic, estátic y/ basad en plíticas, así cm servicis PAT (Prt Addres Translatin). 92

107 Ref. RQ_TEC_73 Descripción Deberán dispner de capacidades de registr de actividad y deberán ser cnfigurads para enviar dicha infrmación a la cnsla de gestión. Ls Firewall deberán dispner de tecnlgía stateful inspectin, pudiend hacer un RQ_TEC_74 cntrl del estad de tdas las cnexines de red y previniend al acces n autrizad a la red. RQ_TEC_75 Ls crtafuegs serán fácilmente escalables y actualizables sin parada del servici. RQ_TEC_76 Sprte de estándares IKE (Internet Key Exchange) y VPN IPSec. RQ_TEC_77 Sprte para encriptación de dats en 56-bit DES, 168-bit DES 3DES, y hasta 256- bit AES. RQ_TEC_78 Sprte para múltiples interfaces virtuales basadas en VLAN (IEEE 802.1Q) y la psibilidad de creación de plíticas de seguridad basadas en dichas interfaces virtuales. RQ_TEC_79 Sprte de múltiples VLANs en una única interface física mediante VLAN trunk. Ls firewall externs del Nd Extranet, Nd de Redes Remtas y Nd de Servicis RQ_TEC_80 Web deberán dispner capacidad de creación de redes privadas virtuales utilizand túneles IPSEC cn un thrughput 3DES/AES en las VPN que debe ser de al mens 125 Mbps. RQ_TEC_81 Ls túneles VPN deben permitir el sprte de certificads X.509 infraestructura de clave pública (PKI) de la Empresa. RQ_TEC_82 Deben tener capacidades QS (calidad de servici). RQ_TEC_83 Capacidad para IPv6. Ls firewall serán cnfigurads en alta dispnibilidad, aquells dedicads a la creación RQ_TEC_84 de VPN (redes remtas) deberán dispner de la capacidad de distribuir las sesines VPN entre ls distints dispsitivs de su nd, cn capacidades de failver de las sesines VPN. RQ_TEC_85 Ls firewall deben prveer capacidades de autenticación, autrización y accunting (AAA) utilizand Radius, TACACS+, LDAP. RQ_TEC_86 Se deja la psibilidad de definir las líneas de seguridad adicinales que cnsidere ne- 93

108 Ref. Descripción cesarias IDS/IPS. SISTEMA DE DETECCIÓN/PREVENCIÓN DE INTRUSIONES Ref. RQ_TEC_87 Descripción Se han de implantar y gestinar ls IPS suministrads pr la Empresa para cada un de ls cuatr Nds del mdel I*Net (Nd Principal). RQ_TEC_88 Dichs dispsitivs funcinarán en md IPS a la entrada de cada un de ls nds utilizand cnexines de red de 1 Gb. RQ_TEC_89 La administración y cnfiguración debe realizarse tant desde puert de cnsla lcal vía cmand, cm desde el Sistema de Gestión Centralizad y Web (HTTPS). Se debe pder mnitrizar el estad del sistema a través de una cnsla en la red RQ_TEC_90 de gestión. La Empresa estudiará la psibilidad de utilizar, adicinalmente una red de gestión de seguridad prpia. RQ_TEC_91 Para el Nd de Respald se implantará un sistema IPS/IDS, en dimensión y númer en función de la slución técnica fertada. RQ_TEC_92 El sistema debe prveer tant capacidades de Detección/Prevención de Intruss (IDS/IPS) RQ_TEC_93 Se valrará la capacidad del IPS/IDS en cuant a técnicas de identificación y recncimient de prtcls, técnicas de análisis de tráfic y respuestas de prevención ante intrusines (cm blque, ignrar, , snmp, lgging). RQ_TEC_94 Deberán dispner de al mens ls siguientes puerts I/O: 3 cnexines 10/100/1000 (fibra y/ cbre) + 1 interfaz para la red de gestión. RQ_TEC_95 Las interfaces deben estar cnfiguradas a 1Gb. RQ_TEC_96 La administración y cnfiguración debe pderse realizar tant desde puert de cnsla lcal vía cmand, cm desde el Sistema de Gestión Centralizad y Web (HTTPS). RQ_TEC_97 Se debe pder mnitrizar el estad del sistema vía SNMP v2 superir, y se ha de integrar en el sistema de Gestión de la Empresa. RQ_TEC_98 Deberán dispner de capacidades de reprting y lg a una cnsla centralizada. 94

109 Ref. RQ_TEC_99 Descripción Se deberán prveer sistema de base de dats para el reprting/lg, implementar e integrar ls misms cn el sistema IDS/IPS. RQ_TEC_100 Deseable análisis de prtcls VIP en busca de ataques. Ls prtcls a analizar sn SIP, MGCP, H.323, H.225, H.245, Q.931, T.120 y SCCP. RQ_TEC_101 Deseable capacidades anti-spam en el IPS del nd de Internet Crprativa VPN SSL Ref. Descripción Se implantarán en el Nd Extranet ls dispsitivs VPN SSL necesaris para dar RQ_TEC_102 servici a ls requerimients de acces de la Empresa. Al mens, debe existir ds dispsitivs VPN SSL en md Activ Pasiv. RQ_TEC_103 El dispsitiv debe sprtar y estar licenciad para al mens cnexines simultáneas. RQ_TEC_104 El dispsitiv VPN SSL debe permitir la integración cn el directri de la Empresa (DICOE) y cn la infraestructura de clave pública (PKI) de la Empresa. RQ_TEC_105 Debe dar sprte para múltiples frmas de Autentificación RADIUS, LDAP, Directri Activ, frmularis HTTP, certificads digitales. RQ_TEC_106 Ls usuaris pdrán acceder al dispsitiv utilizand al mens ls siguientes navegadres web (vía HTTPS): Internet Explrer, Netscape Navigatr, Opera y Mzilla. El dispsitiv VPN SSL debe prveer una interfaz para el acces para el usuari RQ_TEC_107 desde un navegadr Web pudiend, acceder al dispsitiv utilizand en al mens puests de usuari basads en platafrma Windws y Linux. RQ_TEC_108 El dispsitiv VPN SSL debe dispner de interfaces para trs dispsitivs cm PDAs y Teléfns móviles. RQ_TEC_109 Deberá dispner de capacidades de registr de events y generación de infrmes. RQ_TEC_110 Dich dispsitiv debe ser fácilmente escalable en función de las necesidades del la Empresa. RQ_TEC_111 El servici VPN SSL debe estar cnfigurad en alta dispnibilidad. 95

110 Ref. Descripción RQ_TEC_112 El módul de gestión del dispsitiv VPN SSL debe presentar una interfaz gráfica intuitiva y fácilmente manejable. Ha de permitir la definición de usuaris, grups y plíticas de acces. Se tendrá en cuenta el númer de adaptadres de que dispnga el dispsitiv, siend necesaris ls siguientes: RQ_TEC_113 Servidres Web. Servidres de Fichers. Sistemas Unix. Terminal Server. Servicis de crre (en especial Ltus Ntes). Se tendrá en cuenta ls diferentes cnectres de red que frezca, necesitándse, al mens: RQ_TEC_114 Cnexines punt a punt. Cnexines pr aplicacines. Cnexines pr dirección IP y puert. Deberán tenerse en cuenta ls siguientes requisits de seguridad: Cmunicación cifrada. Escritri Virtual. Limpieza de rastr. Determinar el estad del dispsitiv remt (Persnal Firewall, antivirus, RQ_TEC_115 etc.). Determinar la identidad del dispsitiv remt (Sistema perativ, tip de dispsitiv, etc.). Cntrl de prcess. Revisión de cnfiguración de seguridad. Establecimient de una red de cuarentena. 96

111 SERVICIO DE NAVEGACIÓN SERVICIO DE PROXY Y WEB-CACHE Ref. Descripción RQ_TEC_116 Se frecerá servici de prxy y web-cache en para ls requisits de navegación a Internet de ls usuaris de la Empresa que se integrarán en el Nd de Internet Crprativa. RQ_TEC_117 El rendimient deber ser de al mens 40 Mbps para prtcl http y 1000 Mbps para streaming multimedia. RQ_TEC_118 Se valrará que ls dispsitivs prxy sean en appliance. RQ_TEC_119 Han de dispnerse en mdalidad Activ-Activ cn balance de carga. RQ_TEC_120 Debe dispner de al mens 1 GB de memria. RQ_TEC_121 El almacenamient del dispsitiv debe ser cn tlerancia a falls (RAID). RQ_TEC_122 Ha de dispner de, al mens, 2 puerts Ethernet 10/100/1000 Base T. RQ_TEC_123 Ha de permitir la ampliación de puerts Ethernet de capacidad Gigabit. Debe sprtar al mens ls siguientes prtcls: RQ_TEC_124 HTTP. SOCKS. FTP sbre HTTP. FTP sbre TCP. Gpher. Tunel (SSL) para peticines Web. NNTP para peticines de News. MMS y RTSP para streaming multimedia. ICAP para adaptación de cntenids. IPv6 para HTTP y FTP sbre HTTP. RQ_TEC_125 Debe trabajar, al mens, cm cache para cntenids Web, streaming multimedia y news. 97

112 Ref. RQ_TEC_126 Descripción Debe sprtar la autenticación de usuaris y grups mediante un directri LDAP. RQ_TEC_127 Debe pderse cntrlar el acces a servicis específics mediante listas de usuaris, grups de usuaris, tips de petición y dirección IP cliente. RQ_TEC_128 Debe prveer registr de events persnalizables para mnitrizar su actividad. RQ_TEC_129 Deberá dispner de capacidades de enví de events de actividad a una cnsla centralizada dnde puedan registrarse y generarse infrmes. RQ_TEC_130 Deberá prveer plantillas persnalizables para la cnfección de infrmes de estadísticas de detalle y resumids. RQ_TEC_131 Debe dispner de herramientas para la cnfiguración, mnitrización y mantenimient desde una estación de trabaj mediante prtcls segurs. RQ_TEC_132 Debe prveer sprte SNMP v2 superir para administración a través de la red. RQ_TEC_133 Integración cn prduct de escane antivirus ICAP-enabled y filtrad de cntenids. RQ_TEC_134 Prxy transparente cn ruter WCCP y sprte de grups de servicis WCCP para balance de carga y tlerancia a falls PROXY REVERSO Ref. Descripción RQ_TEC_135 Ls dispsitivs prxy revers se utilizarán en el Nd de Servicis Web para aislar de frma segura ls servidres Web, ubicads detrás de la DMZ, de ls access directs desde Internet. Servirán también para acelerar y mejrar el rendimient del acces a ls cntenids Web. RQ_TEC_136 Se valrará que ls dispsitivs prxy revers que sean en appliance. RQ_TEC_137 Han de dispnerse en mdalidad Activ-Activ. RQ_TEC_138 Debe dispner de al mens 1 GB de memria. RQ_TEC_139 Al mens una capacidad de rendimient de 40 Mb/Sec. RQ_TEC_140 El almacenamient del dispsitiv debe ser cn tlerancia a falls (RAID). 98

113 Ref. Descripción RQ_TEC_141 Ha de dispner de, al mens, 2 puerts Ethernet 10/100/1000 Base T. RQ_TEC_142 Ha de permitir la ampliación de puerts Ethernet de capacidad Gigabit. Sprte para múltiples prtcls: HTTP, SOCKS, FTP (sbre TCP HTTP). RQ_TEC_143 SSL para peticines Web. ICAP para servicis de adaptación de cntenids. IPv6 para HTTP y FTP sbre HTTP. RQ_TEC_144 Debe tener capacidad de aceleración de cntenids Web y streaming media. RQ_TEC_145 Debe dar sprte para múltiples frmas de Autentificación RADIUS, LDAP. RQ_TEC_146 Filtrad de cntenids. RQ_TEC_147 Explración de virus. RQ_TEC_148 Gestión de Anch de Banda. RQ_TEC_149 Almacenamient de registrs de actividad. RQ_TEC_150 Ha de permitirse su gestión de frma remta mediante Telnet, SSH y Web SSL (HTTPS). RQ_TEC_151 Han de prprcinar capacidades de terminación SSL. RQ_TEC_152 Prxy transparente cn ruter WCCP y sprte de grups de servicis WCCP para balance de carga y tlerancia a falls SISTEMAS DE FILTRADO DE CONTENIDOS WEB Ref. RQ_TEC_153 Descripción Ls sistemas de filtrad de cntenids se implantarán en el Nd de Internet Crprativa de la Empresa. RQ_TEC_154 El sftware para el filtrad de cntenids, así cm el licenciamient del mism será suministrad pr la Empresa. 99

114 Ref. RQ_TEC_155 Descripción Se deberá suministrar la infraestructura hardware necesaria cn, al mens, ds cmpnentes físics idéntics para tlerancia a falls y balance de carga. Cada cmpnente tendrá, al mens, las siguientes características: RQ_TEC_156 2 Xen ( similar) 3.20 GHz superir. 4 GB RAM ampliables. 70 GB de espaci libre en disc Htswap. 3 Interfaces de red 10/100/1000BaseT/Tx. Fuente de alimentación redundante. Fácilmente escalables. RQ_TEC_157 La implantación y la gestión es respnsabilidad del licitadr INFRAESTRUCTURA DE CORREO SMTP RELAY Ref. RQ_TEC_158 Descripción La infraestructura de crre debe implantarse en el Nd de Internet Crprativa del La Empresa. Deberá suministrarse en una infraestructura hardware cn, al mens, ds cmpnentes físics idéntics para tlerancia a falls y balance de carga. Cada cmpnente tendrá las siguientes características: RQ_TEC_159 2 Xen ( similar) 3.20 GHz superir. 4 GB RAM ampliable al mens a 8 GB. 70 GB de espaci libre en disc Htswap. 3 Interfaces de red 10/100/1000BaseT/Tx. Fuente de alimentación redundante. Fácilmente escalables. RQ_TEC_160 Debe suministrarse una platafrma sftware para el enví y recepción de crre debidamente licenciada. RQ_TEC_161 El sistema debe prveer una base de dats actualizada permanentemente cn direcci- 100

115 Ref. Descripción nes IP de máquinas detectadas cm rigen de spam. RQ_TEC_162 Debe permitir ejecutar múltiples prcess de entrega de crre independientes. RQ_TEC_163 Debe permitir cnfigurar pr dmini el us de reenví pr reslución de DNS a una lista de reenviadres. RQ_TEC_164 Debe tener capacidad de reescribir las cabeceras y ls sbres SMTP de ls mensajes. Deberá cmprbar en un directri LDAP ls destinataris de ls mensajes dirigids RQ_TEC_165 a ls dminis lcales y n admitir aquells cuys destinataris n se encuentren en el directri. RQ_TEC_166 Debe sprtar autenticación de ls clientes SMTP cntra un directri LDAP y enví SMTP sbre SSL. RQ_TEC_167 Debe admitir cnfigurar n mens de 50 dminis lcales. RQ_TEC_168 Debe pderse cntrlar el reenví a dminis externs pr la dirección IP la subred de la máquina rigen. RQ_TEC_169 Debe pderse cntrlar el reenví pr las direccines del remitente y el destinatari. RQ_TEC_170 Debe permitir múltiples clas de mensajes cnfigurables de un md flexible. Estas clas deben pder ser paradas y arrancadas de md independiente. RQ_TEC_171 Debe dispner de herramientas para la cnfiguración, mnitrización y mantenimient desde una estación de trabaj mediante prtcls segurs. RQ_TEC_172 Deberá dispner de capacidades de reprting y lg a una cnsla centralizada. RQ_TEC_173 Debe tener herramientas para la generación de infrmes persnalizads de detalle y resumids de estadísticas. RQ_TEC_174 Es deseable que tenga características anti-spam. RQ_TEC_175 Debe tener la capacidad de intrducir disclaimer en ls crres. RQ_TEC_176 El sistema anti-spam debe permitir definir qué tip de crre es catalgad ( n) cm spam. 101

116 SISTEMA ANTI SPAM Ref. RQ_TEC_177 Descripción Para el Nd de Internet Crprativa de la Empresa debe prveerse un sistemas antispam para ls servicis de mensajería n ficial del la Empresa. RQ_TEC_178 El sistema debe prveer una base de dats actualizada permanentemente cn direccines IP de máquinas detectadas cm rigen de spam. RQ_TEC_179 Debe admitir filtrar pr palabras frases que puedan aparecer en la cabecera en el cuerp de ls mensajes. RQ_TEC_180 Debe admitir reglas de filtrad pr ls dminis del remitente y del destinatari y pr la cmbinación de ambs. RQ_TEC_181 Deberá usar tecnlgía heurística para la detección de mensajes spam e identificar equips y redes zmbis. RQ_TEC_182 Debe manejar listas negras y mantenerlas dinámicamente. RQ_TEC_183 Debe dispner de herramientas para la cnfiguración, mnitrización y mantenimient desde una estación de trabaj mediante prtcls segurs. RQ_TEC_184 Deberá dispner de capacidades de reprting y lg a una cnsla centralizada RQ_TEC_185 Debe tener herramientas para la generación de infrmes persnalizads de detalle y resumids de estadísticas CORREO MÓVIL Ref. Descripción En el Nd Extranet se va a integrar una platafrma para crre móvil que cnsistirá en una serie de aplicacines que transferirán crre crprativ a dispsitivs móviles RQ_TEC_186 cm teléfns móviles dispsitiv PDA. Dicha slución será suministrada pr la Empresa, debiéndse que suministrar el hardware necesari para sprtar dicha slución para crre móvil. Deberá suministrarse ds servidres para instalar la aplicación de crre móvil, dichs RQ_TEC_187 servidres han de tener las siguientes características: 1 Xen ( similar) 3.20 GHz superir. 102

117 Ref. Descripción 4 GB RAM ampliable al mens a 8 GB. 70 GB de espaci libre en disc Htswap. 3 Interfaces de red 10/100/1000BaseT/Tx. Fuente de alimentación redundante. Fácilmente escalables. El tr servidr debe suministrarse para instalar un servici de pasarela de crre. Debe tener, al mens las siguientes características: 2 Xen ( similar) 3.20 GHz superir. 4 GB RAM ampliables. 70 GB de espaci libre en disc Htswap. 3 Interfaces de red 10/100/1000BaseT/Tx. Fuente de alimentación redundante. Fácilmente escalables PLATAFORMA DE ANTIVIRUS ANTIVIRUS PARA LA PLATAFORMA DE NAVEGACIÓN Ref. RQ_TEC_188 Descripción Se ha de implantar un sistema antivirus para la revisión de tráfic HTTP de la platafrma de navegación del la Empresa en el Nd de Internet Crprativa. RQ_TEC_189 La slución de antivirus para la platafrma de navegación será suministrada pr la Empresa. RQ_TEC_190 Dicha slución antivirus es en frmat de appliance. RQ_TEC_191 La gestión de dich sistema de antivirus deberá realizarse de frma centralizada en la red de gestión ANTIVIRUS PARA LA PLATAFORMA DE CORREO Ref. RQ_TEC_192 Descripción Se ha de implantar un sistema antivirus para la pasarela de crre en el Nd de Internet Crprativa. 103

118 Ref. RQ_TEC_193 Descripción La slución de antivirus para la pasarela de crre será suministrada pr la Empresa. Dicha slución antivirus necesita las siguientes especificacines hardware, dich hardware se deberá suministrar. Se necesitarán 2 servidres para una cnfiguración redundante cn, al mens, las siguientes características: 2 Xen ( similar) 3.20 GHz superir. RQ_TEC_194 4 GB RAM ampliables. 70 GB de espaci libre en disc Htswap. 3 Interfaces de red 10/100/1000 BaseT/Tx. Fácilmente escalables. Fuente de alimentación redundante. RQ_TEC_195 La gestión de dich sistema de antivirus deberá realizarse de frma centralizada en la red de gestión ANTIVIRUS PARA SERVIDORES Ref. RQ_TEC_196 Descripción Se instalará en tds ls servidres un sistema antivirus de servidr. RQ_TEC_197 Dich antivirus de servidr será suministrad pr la Empresa. RQ_TEC_198 La cnfiguración y plíticas de revisión y actualización serán las que determine la Empresa INFRAESTRUCTURA DE GESTIÓN SISTEMA DE GESTIÓN CENTRALIZADA Ref. Descripción RQ_TEC_199 Se efectuarán tds sus trabajs dentr del marc de las Buenas Prácticas que establece el ITIL ( IT Infrastructure Library ) en materia de Gestres Integrads de Sistemas de Infrmación. RQ_TEC_200 Se prveerá un sistema de administración (Gestr Centralizad) junt al suministr del ls equips y servicis, para gestinar integralmente ls nds I*Net a su carg, 104

119 Ref. Descripción cmpletamente cnfigurad y perativ (incluyend el hardware y sftware necesari para implementarl). Es bligatri que el sistema de administración prpuest sea basad en ls misms RQ_TEC_201 prducts de Gestión de Redes y Sistemas actualmente existentes en la Empresa. Las licencias de ests prducts las suministrará la Empresa. Debe pderse cnsultar (y/ mdificar) el valr de cualquier bjet definid en RQ_TEC_202 las MIB (Management Infrmatin Base) crrespndientes, a través de cualquier implantación de SNMP v2 superir, ya sean cmercial de desarrll prpi. La interfaz de usuari debe ser integrada, gráfica e intuitiva. Debe prveer, además, RQ_TEC_203 herramientas para la búsqueda, bservación, cambi y almacenamient de valres de las MIB de tds ls equips. Debe pseer menús de ayuda sensibles al cntext. RQ_TEC_204 Debe prveer administración centralizada cn mapa gráfic y numéric del Mdel I*Net, descubrimient autmátic de dispsitivs y tplgía, visualización del estad de la misma en tiemp real, medición de retards y estad de ls puerts físics y lógics de tds ls equips, así cm el estad de trs recurss representads simbólicamente en el sistema. RQ_TEC_205 El gestr de dispsitivs de red (NMS) debe pseer un grad mínim de crrelación de events currids en diverss instantes (significand diverss n simultánes necesariamente secuenciales) para el mism distints bjets del Mdel I*Net, que permita el dispar de alertas y prcess en backgrund sbre la platafrma. Esta facilidad debe pder ser ampliada psterirmente, cn el agregad de un mtr de crrelación de events de mayr capacidad. El sistema de Gestión Centralizad prveerá una interfaz de usuari a través de un RQ_TEC_206 Servidr Web, de frma tal que pueda accederse a ls servicis en frma remta, mediante un navegadr cnvencinal. RQ_TEC_207 El sistema de Gestión Centralizad, debe prveer alarmas audibles y visibles (mediante gráfics y/ icns semáfrs) en las cnslas de ls peradres ante desvís de valres preestablecids ante errres crítics. Llevará además el registr de dichas alarmas y del peradr que le di el recncimient. RQ_TEC_208 El sistema de Gestión pdrá tener la psibilidad de enviar alertas pr SMS. RQ_TEC_209 La infrmación analizada relativa a rendimients, debe pder presentarse en frma 105

120 Ref. Descripción de tablas y gráfics representativs, cnfigurables cnfrme a ls requerimients de la Empresa. Debe ser psible, almacenar ests valres pr el tiemp que la Empresa determine. Se debe prveer ls mecanisms y líneas de cmunicación (independientes de las RQ_TEC_210 líneas de cmunicacines de ls nds) para realizar las actuacines remtas necesarias en función del nivel de cmplicidad de la incidencia SUPERVISIÓN Y GENERACIÓN DE INFORMES Ref. Descripción Debe existir un prces parametrizable, dispnible a través de una base de dats relacinal que permita el manej de la infrmación, más una herramienta de generación de infrmes centralizada, cn interfaz ágil e intuitiva, que genere dichs infrmes de supervisión a partir de ls registrs btenids, atendiend a las siguientes circunstancias: Que se sbrepasen determinads umbrales prefijads (autmáticamente). Pr generación periódica de infrmes, definida pr la Empresa. Pr demanda de un peradr. Ante la currencia de una secuencia de events preestablecida. RQ_TEC_211 Ls registrs de supervisión deben incluir las medidas sbre ls parámetrs de prestacines que la Empresa requiera. Deben generarse estadísticas sbre parámetrs de prestacines determinads atendiend a distints criteris: Elements de red existentes. Intervals de tiemp. En base a umbrales definids para ls distints parámetrs. Dispnibilidad prcentual (hraria, diaria, semanal, mensual, anual, histórica). Cmbinacines de ess criteris para realizar un análisis cnjunt. RQ_TEC_212 Finalizada la cntratación, el sistema de Gestión Centralizad, en su ttalidad, tant hardware cm sftware, pasarán a prpiedad de la Empresa sin cst adicinal. 106

121 ACCESO REMOTO SERVICIO DE ACCESO REMOTO (RAS) Ref. RQ_TEC_213 Descripción Se implantará el servici de Acces Remt en el Nd Extranet. Debe prveerse un servici de acces remt (RAS) cn 1 interfaz E1 para la cnexión RQ_TEC_214 de enlaces digitales de vz, cn ls respectivs módems asincrónics integrads para cada canal (30 módems a razón de un pr canal) perand baj nrma V.90, capaz de manejar al mens, 4 Interfaces de ese tip (E1 canalizadas). Si la Empresa así l requiere, se deberá utilizar líneas analógicas en lugar de tramas RQ_TEC_215 digitales. En este cas, se deberá prveer ls módems asincrónics, externs mntads en un rack, nrma V.90 (56Kbps), cn sus crrespndientes cables e interfaces serie a nivel del servidr RAS y sus crrespndientes cables de telefnía. RQ_TEC_216 Se cnectará el servici de RAS al Firewall. RQ_TEC_217 El RAS se integrará cn un sistema TACACS y RADIUS para afianzar su seguridad y manejar ls perfiles de usuari del repsitri LDAP Crprativ (DICOE). RQ_TEC_218 El RAS debe sprtar funcines de Call-Back y descnexión pr tiemp inactiv tiemp excedid SERVICIOS DE DIRECTORIO, AUTENTICACIÓN Y AUTORIZACIÓN DIRECTORIO LDAP Ref. RQ_TEC_219 Descripción Deberá cumplir ls requisits del punt Requisits Generales de Integración cn el Directri Crprativ. RQ_TEC_220 El servici de directri LDAP se implantará en tds ls nds de la infraestructura prpuesta. Deberán cnfigurarse al mens ds servicis en máquinas distintas, un cn una RQ_TEC_221 réplica de escritura/lectura y tr cn una réplica de lectura. Si la escritura en la base de dats del directri requiriese alta dispnibilidad, se cnfigurará en tra máquina tra réplica de escritura/lectura y un servici de cntinuidad. 107

122 AUTENTICACIÓN Y AUTORIZACIÓN DEL SERVICIO DE NAVEGA- CIÓN WEB Ref. Descripción RQ_TEC_222 Pr cmpatibilidad cn la aplicación actual de prvisinamient de usuaris de Navegación Web, la autenticación y autrización de este servici se hará cntra un directri LDAP necesariamente. RQ_TEC_223 La rama del directri dnde se lcalizarán ls bjets usuari es: =empresa.es RQ_TEC_224 Un usuari tendrá permitid navegar si en el bjet crrespndiente del directri LDAP el atribut empresapermnavegacin tiene el valr permitid AUTORIZACIÓN DEL SERVICIO INTERCAMBIO DE CORREO CON DOMINIOS DE INTERNET Ref. Descripción Pr cmpatibilidad cn la aplicación actual de prvisinamient de usuaris de crre RQ_TEC_225 de Internet, la autrización de este servici se hará cntra un directri LDAP necesariamente. RQ_TEC_226 La rama del directri dnde se lcalizarán ls bjets usuari es: =empresa.es RQ_TEC_227 La dirección de crre de Internet de un usuari se almacenará en el atribut mail de su bjet crrespndiente en el LDAP RQ_TEC_228 Sl se reenviará crre desde Internet hacia el sistema de crre intern cuand la dirección de destin se crrespnda cn la de un usuari del directri LDAP. RQ_TEC_229 Sl se reenviará crre desde el sistema intern hacia Internet cuand la dirección del remitente se crrespnda cn la de un usuari del directri LDAP SERVICIO DE NOMBRE DE DOMINIO (DNS) Ref. Descripción RQ_TEC_230 Dich Servici de Dmini de Nmbres tendrá cm bjetiv la reslución de nmbres para las direccines de Internet que sean necesarias para el Nd de Internet Crprativa (servici de navegación y crre). 108

123 Ref. Descripción Para el Nd Extranet será necesari un servici de reslución de nmbres para las direccines de la Red General de la Empresa y determinadas direccines de Internet de la Intranet Administrativa. Para el rest de Nds (Servicis Web y Redes Remtas) se admitirá el us de la reslución lcal de nmbres, per se valrará el us de un servici DNS. Deberá cumplir las especificacines del sistema de nmbres de dmini (DNS) basadas en las RFC del Grup de Trabaj de Ingeniería de Internet (IETF, Internet Engineering Task Frce) enumeradas a cntinuación: 1034 Nmbres de dmini: cncepts y facilidades (Dmain Names - Cncepts and Facilities) Nmbres de dmini: implementación y especificación (Dmain Names- Implementatin and Specificatin) Requisits para hsts de Internet: aplicación y sprte (Requirements fr Internet Hsts - Applicatin and Supprt) Extensines DNS para admitir IP Versión 6 (DNS Extensins t RQ_TEC_231 SupprtIP Versin 6) Transferencia de zna incremental en DNS (Incremental Zne Transfer in DNS) Un mecanism para la ntificación DNS del símbl del sistema de cambis de zna (A Mechanism fr Prmpt DNS Ntificatin f Zne Changes) Actualizacines dinámicas en el sistema de nmbres de dmini (DNS UPDATE) (Dynamic Updates in the Dmain Name System (DNS UPDATE)) Aclaracines respect a la especificación DNS (Clarificatins t the DNS Specificatin) Almacenamient en caché negativa de las cnsultas DNS (DNS NCACHE) (Negative Caching f DNS Queries (DNS NCACHE)). RQ_TEC_232 El sistema DNS debe estar en alta dispnibilidad. RQ_TEC_233 Debe pder reslver ls nmbres de dminis de Internet. RQ_TEC_234 Se determinará la estructura jerárquica de DNS necesaria para pder frecer el servi- 109

124 Ref. Descripción ci de reslución de nmbres de Internet a la Empresa. Deberá, al mens, ubicarse un DNS (primari secundari) en la DMZ de Internet Crprativa, valrándse la dispnibilidad de un servici extern de DNS. RQ_TEC_235 Se deberá gestinar la inclusión en ls DNS de dmini públic de las direccines IP públicas asciadas a dminis de la Empresa SERVICIOS WEB Ref. RQ_TEC_236 Descripción Se ha de tmar siempre cm referencia para la especificación de prducts la Arquitectura Técnica de Prpósit General de la Empresa. RQ_TEC_237 Tds ls servidres, especificads a cntinuación, deben estar duplicads y en alta dispnibilidad. RQ_TEC_238 Tds ls servidres deben tener frmat rack. Se valrará la utilización de servidres del tip Blade. RQ_TEC_239 La cnfiguración de tds y cada un de ests servidres y aplicacines ha de realizarse siguiend las nrmas especificadas pr las áreas crrespndientes del Centr Tecnlógic de la Empresa SERVIDORES WEB Ref. RQ_TEC_240 Descripción Se implantarán, al mens, ds servidres Web cm frntal web de ls servicis Web de la Empresa. RQ_TEC_241 Dichs servidres Web han de estar duplicads y se utilizarán dispsitivs de balance de carga. RQ_TEC_242 La Arquitectura Técnica de Prpósit General especifica qué tip de servidr Web de Prpósit General ha de utilizarse. Las características de dichs servidres Web debe ser, cm mínim las siguientes: RQ_TEC_243 2 Xen ( similar) 3.20 GHz. 2 GB RAM ampliable, al mens, a 8 GB. 110

125 Ref. Descripción Cntrladres SCSI. Discs en RAID, al mens 144 GB. HBA para cnectr de fibra (2 cnexines para redundancia). Fuentes de alimentación redundantes. 3 tarjetas de red Ethernet 10/100/1000 BaseT/Tx. Debe tener capacidad para gestión remta. RQ_TEC_244 Númer mínim de Servidres: SERVIDORES DE APLICACIONES Ref. Descripción Para el Nd de Servicis Web se prveerán servidres de aplicacines basads en las especificacines determinadas en la Arquitectura Técnica de Prpósit General RQ_TEC_245 de la Empresa. Se prveerán, al mens, tres servidres para cada un de ls servidres de aplicacines que actualmente define la Arquitectura Técnica. RQ_TEC_246 Tds ls Servidres de Aplicacines han de estar duplicads y se valrarán cnfiguracines en cluster balanceadas que frezcan un servici de alta dispnibilidad. Las características de dichs servidres Web debe ser, cm mínim las siguientes: RQ_TEC_247 2 Xen ( similar) 3.20 GHz. 4 GB RAM ampliable, al mens, a 8 GB. Cntrladres SCSI. Discs en RAID, al mens 144 GB. HBA para cnectr de fibra (2 cnexines para redundancia). Fuentes de alimentación redundantes. 3 tarjetas de red Ethernet 10/100/1000 BaseT/Tx. Debe tener capacidad para gestión remta. RQ_TEC_248 Númer mínim de Servidres:

126 SERVIDORES DE BASES DE DATOS Ref. Descripción Para el Nd de Servicis Web se prveerán servidres de bases de dats basads en las especificacines determinadas en la Arquitectura Técnica de Prpósit General de RQ_TEC_249 la Empresa. Se prveerán, al mens, 2 servidres para cada un de ls servidres de bases de dats que actualmente define la Arquitectura Técnica de Prpósit General. Tds ls Servidres de Bases de Dats han de estar duplicads y se valrarán RQ_TEC_250 cnfiguracines en cluster balanceadas que frezcan un servici de alta dispnibilidad. Las características de dichs servidres debe ser, cm mínim las siguientes: RQ_TEC_251 2 Xen ( similar) 3.20 GHz. 4 GB RAM ampliable, al mens, a 8 GB. Cntrladres SCSI. Discs en RAID, al mens 144 GB. HBA para cnectr de fibra (2 cnexines para redundancia). Fuentes de alimentación redundantes. 3 tarjetas de red Ethernet 10/100/1000 BaseT/Tx. Debe tener capacidad para gestión remta. RQ_TEC_252 Númer mínim de Servidres: ALMACENAMIENTO CONSOLIDADO SISTEMA DE ALMACENAMIENTO PARA LA RED DE GESTIÓN Ref. Descripción Se utilizará almacenamient cnslidad en la red de gestión para almacenar ls events de ls distints dispsitivs y servidres gestinads desde dicha red de RQ_TEC_253 gestión mediante ls sistemas de almacenamient prpis de la Empresa mediante el us de canales de fibra entre ls distints servidres que cmpnen la red de gestión y ls recurss de almacenamient. RQ_TEC_254 Se han prveer ls mecanisms de cnmutación (switch) de ls canales de fibra entre tds ls servidres de la Red de Gestión y ls sistemas de almacenamient 112

127 Ref. Descripción de la Empresa. RQ_TEC_255 Tds ls servidres estarán dtads de puerts FC duplicads para pder acceder a dichs sistemas de almacenamient. RQ_TEC_256 Dichs mecanisms de fibra estarán duplicads para prveer alta dispnibilidad SISTEMAS DE ALMACENAMIENTO PARA LOS SERVICIOS WEB Ref. Descripción Para la cnslidación de almacenamient en el Nd de Servicis Web se utilizaran RQ_TEC_257 ls sistemas de almacenamient prpis de la Empresa mediante el us de canales de fibra entre ls distints servidres que cmpnen el Nd y ls recurss de almacenamient. Se han prveer ls mecanism de cnmutación (switch) de ls canales de fibra RQ_TEC_258 entre tds ls servidres del Nd de servicis Web y ls sistemas de almacenamient de la Empresa. RQ_TEC_259 Tds ls servidres estarán dtads de puerts FC duplicads para pder acceder a dichs sistemas de almacenamient. RQ_TEC_260 Dichs mecanisms de fibra estarán duplicads para prveer alta dispnibilidad AMPLIACIÓN DE LA CAPACIDAD DE ALMACENAMIENTO DE LA EMPRESA Ref. Descripción RQ_TEC_261 Deberá dtarse a ls medis de almacenamient de la Empresa de capacidad de almacenamient adicinal mediante la dtación de cabinas de almacenamient (2) para el sistema de almacenamient ubicad en el Centr Tecnlógic de la Empresa. RQ_TEC_262 Se dtarán ds cabinas de discs cn capacidad para 14 discs y cnexión cn canales de fibra. RQ_TEC_263 Se cmpletarán las cabinas de discs cn 14 discs FC de 300 GB para cmpletar un almacenamient pr cabina de 4.2 TB. 113

128 SWITCH DE FIBRA Ref. Descripción RQ_TEC_264 Se utilizaran ds switch de fibra en alta dispnibilidad para la cnexión mediante canales de fibra de ls servidres de bases de dats, aplicacines y web necesaris para la implantación de servicis web a ls recurss de almacenamient de red de la Empresa. RQ_TEC_265 Al mens deben tener 32 puerts de fibra (tip E, F, FL). Debe sprtar prtcls cm: IP sbre FC (RFC 2625). RQ_TEC_266 Estándares ethernet (IEEE 802.3z Gigabit Ethernet, IEEE 801.1Q VLAN). IPSec. IKE. Estándares FC. SNMP v2 superir. Clases de servici (Clase 2, clase 3, clase F). Prtcl de seguridad de caneles de fibra (FC -SP). RQ_TEC_267 Puerts de 1 y 2 Gbit/seg autnegciads. RQ_TEC_268 Escalable y cnfiguración en alta dispnibilidad. RQ_TEC_269 Us de listas de cntrl de acces. RQ_TEC_270 VSAN y acces cntrlad pr rles. RQ_TEC_271 Puerts SPAN. RQ_TEC_272 Generación de lgs. RQ_TEC_273 Capacidades de calidad de servici (IEEE 802.1p). RQ_TEC_274 Gestión: Métds de acces: al mens, 10/100 Ethernet prt (RJ-45), puert de cnsla serie (RS-232). Prtcls de acces: CLI, SNMP v2 superir, SNIA. 114

129 Ref. Descripción Seguridad mediante: SSH, SFTP, SNMP implementand AES FASES DE PROYECTO En este apartad se definen las fases de ejecución del pryect. En general, ls trabajs se deberán llevar a cab de md que se interfiera l mens psible en ls servicis y peracines del la Empresa. Así mism, para aquells servicis que actualmente se prestan desde el Centr Tecnlógic de la Empresa y, que serán trasladads a ls distints Nds que cmpnen este pryect, deberá preverse una vuelta atrás a la situación anterir, en cas de que surjan prblemas, en un plaz de 24 hras. Tds ls trabajs de puesta en marcha se deberán acrdar cn el Cmité de Crdinación, para garantizar que su incidencia en el la Empresa sea mínima. Dad que actualmente se están prestand servicis crítics para la Empresa (Internet Crprativa que incluye el crre crprativ y la navegación Internet y ls Servicis Web que incluye la publicación de páginas web del la Empresa) se ha establecid una fecha final del servici actual. Se ha de tener cmpletamente perativs y prestand el servici demandad ls Nds de Internet Crprativa y Servicis Web en el plaz acrdad. El calendari general de actividades será cm se presenta a cntinuación: Nd Fases Inici 1- Nv Inici 15- Ene Inici 1- Abr Inici 1- Jul Fin 31- Dic Nd Extranet Implantación Operación Nd Redes Remtas Implantación Operación 115

130 Nd Fases Inici 1- Nv Inici 15- Ene Inici 1- Abr Inici 1- Jul Fin 31- Dic Nd Internet Crprativ Implantación Operación Nd de Servicis Web Implantación Operación Tabla 4 Tabla de fases del Pryect FASE DE IMPLANTACIÓN Cmprende el diseñ detallad, instalación, cnfiguración, dcumentación, y puesta en marcha de tds y cada un de ls elements que cmpnen ls Nds Extranet, de Redes Remtas, de Internet Crprativa y de Servicis Web, incluidas las líneas de cmunicacines necesarias, así cm la realización de las pruebas de aceptación pertinentes. Para la primera fase, se deberá incluir un Plan de Actuación para la implantación y puesta en marcha de cada un de ls nds de la Empresa, incluyend una previsión de calendari, que deberá llevarse a cab de md que ls servicis y peracines actuales de la Empresa n se vean afectads. Las tareas a realizar en función en el calendari previst sn: Implantación Nds Extranet y Redes Remtas: La puesta en marcha de ests ds nds cmenzarán a principis de Nviembre del 2010 y el fin de la fase de implantación terminará el 15 de Ener de Las tareas a realizar se describen a cntinuación: El diseñ detallad, suministr, la instalación y peración de tds ls elements que cmpnen ls servicis del Nd I*Net: Nd Extranet, y Nd de Redes Remtas. 116

131 La cnectividad de cada un de ls nds cn Internet mediante líneas redundantes y separadas para cada un de ls nds. Ls servicis de implantación del Nd Extranet, que abarcarán: La implantación de la Infraestructura del Nd. La re-cnfiguración de ls sistemas existentes que se integrarán en el Nd Extranet. El despliegue de ls servicis que deberá prprcinar el Nd. Ls servicis de implantación del Nd Redes Remtas, que abarcarán: La implantación de la Infraestructura del Nd. La re-cnfiguración de ls sistemas existentes que se integrarán en el Nd. El despliegue de ls servicis que deberá prprcinar el Nd. Implantación Nd Internet Crprativa y Nd Servicis Web: La puesta en marcha de ests ds nds cmenzarán a principis de Nviembre del 2010 y el fin de la fase de implantación terminará el 1 de Juli de Las tareas a realizar sn: El diseñ detallad, suministr, la instalación y peración de tds ls elements que cmpnen ls servicis del Nd Internet Crprativa y Nd Servici Web. Ls servicis de implantación del Nd Internet Crprativa, que abarcarán: La implantación de la Infraestructura del Nd. La migración de ls servicis de crre crprativ, navegación y reslución de nmbres de Internet existentes en el Nd actual que se integrarán en el nuev Nd de Internet Crprativa. El despliegue de ls servicis que deberá prprcinar el nd de de Internet Crprativa. Ls servicis de implantación del Nd Servicis Web que abarcarán: La implantación de la Infraestructura del Nd para ls servicis Web. 117

132 La migración de ls servicis web existentes en el Hsting actual que se integrarán en el nuev Nd de servicis web (la adaptación de las aplicacines Web crrespnde a ls rganisms respnsables de ls misms). El despliegue de la infraestructura que deberá prprcinar el sub- nd basad nueva platafrma de Servicis web. Plan de Frmación Durante esta fase se ejecutará el plan de frmación requerid (transferencia de cncimient y frmación planificada) y dirigid al persnal de la Empresa que clabrará cn el equip de trabaj del Mdel I*Net. Dcumentación Estudi e implantación de prcedimients de administración de sistemas establecids: backup, recuperación, así cm gestión, administración y expltación que garanticen la recuperabilidad y dispnibilidad. 118

133 9 SOLUCIÓN TÉCNICA 9.1 INTRODUCIÓN Tras verse ls requisits se pasará en este capítul a describir la slución técnica que se ha prpuest y que es el bjet de este pryect. Mediante un estudi y un análisis exhaustiv de ls que necesita la Empresa, teniéndse en cuenta las restriccines y nrmas que se han descrit en apartads anterires se ha llegad a la siguiente slución. Para una mejr visión del trabaj que se ha realizad se describirán a cntinuación las partes en las que se ha dividid la slución (véase la estructura de división del trabaj EDT del capítul 3): Infraestructura: Dentr de ests apartads se expndrá la parte de la slución dedicada a las cnexines entre ls distints nds y ls Centrs dnde se encuentran, se especificará la arquitectura de ls cuatr nds que cmpnen la infraestructura, se detallará el equipamient y herramientas utilizadas, describiéndse al final td l relacinad cn ls servicis que se frecerán junt a ls nds. Fase de Implantación: Descripción breve sbre el plan de implantación de ls cuatr nds y las cmunicacines entre ells, centrándse en la implantación del servici y su puesta en marcha. Plan de cntingencia: Se dará una descripción de ls prcedimients elegids en cas de que la infraestructura de cmunicacines prpuesta falle. 9.2 INFRAESTRUCTURA COMUNICACIONES A INTERNET En el siguiente apartad se describe la slución de acces a Internet frecida a la Empresa en ambs Centrs de Prces de Dats en l que a cmunicacines se refiere, así cm la intercnexión entre ambs CPD. Las ubicacines bjet de la prpuesta sn tant el CPD Principal en el Centr Tecnlógic de la Empresa en Madrid calle A y el CPD de Respald en Madrid calle B. (La separación de las calles es de aprximadamente 8,3 kilómetrs). Para dar slución en cuant al servici DataInternet de banda Ancha se ha elegid una Operadra Telefónica (a partir de ahra pasará a llamarse OT) que prprcina una cnexión a 119

134 Internet a través de la red IP que tiene la OT en tda España. Esta se cnecta al backbne de Internet través de la red IP Internacinal de la OT, la cual dispne de punts de presencia en distints países de Eurpa y de América del Nrte y del Sur. Adicinalmente la OT participa en ls principales punts neutrs de intercambi, nacinales e internacinales, y dispne de acuerds de intercambi cn ls más imprtantes carriers de Internet. En ls servicis relacinads cn cnexión a Internet es imprtante destacar que la OT tiene la categría de Tier 1 a nivel internacinal, ya que dispne de una red trncal intercntinental prpia, n requiriend de recurss de tercers para ls enlaces. Así mism, dispne de red trncal cntinental eurpea prpia y red trncal nacinal prpia ACCESOS DE FIBRA ÓPTICA La cnectividad cn Internet de ls 4 Nds del Empresa se sprtará sbre: 2 access Gigabit Ethernet (1000 Mbps) Óptic en el Centr Principal. 1 acces Gigabit Ethernet (1000 Mbps) Óptic en el Centr de Respald. En el CPD Principal de Madrid: Se dispndrá de ds access de Fibra Óptica cmpletamente diversificads a nivel físic. Est se lgra gracias a las infraestructuras de la OT, que permiten acceder pr ds acmetidas diferentes. Las acmetidas y canalizacines empleadas sn las siguientes: Acmetida Fibra Óptica 1: Cámara de Registr A Central Telefónica X. Acmetida Fibra Óptica 2: Cámara de Registr B Central Telefónica Y. La siguiente figura se muestra las canalizacines ttalmente independientes que cntienen las fibras utilizadas en el pryect para este CPD. 120

135 Acmetida Fibra Óptica 1 Central Telefónica X CR-A CENTRO PRINCIPAL DE MADRID CR-B Acmetida Fibra Óptica 2 Central Telefónica Y Figura 22 Access de fibra óptica de la Operadra Telefónica En el CPD de Respald en Madrid calle B: En este centr se dispndrá de un acces Gigabit Ethernet Óptic INTERCONEXIÓN A LA RED IP DE LA OPERADORA TELEFÓNICA Cn el bjetiv de prprcinar el mayr grad psible de redundancia, diversificand n sl a las rutas de la Fibra Óptica sin también utilizand diferentes tecnlgías, la cnexión a ls centrs de acces de la red IP (ruters PE- Prvider Edge de la red de la OT) se realizará de la siguiente frma: CPD Principal de Madrid: Ls ds access antes indicads se cnectarán a ds ruters PE ubicads en diferentes centrales telefónicas. Un de ells se cnectará a un PE a través de una red metrplitana de banda ancha basada en tecnlgía Ethernet Óptic (esta red permite cnexines de alta velcidad a 10, 100 y 1000 Mbps) mientras que el tr se cnectará de frma directa a tr PE ubicad en tra central. El esquema de cnexines en el CPD Principal para ls ds access Gigabit Ethernet es el siguiente: 121

136 Intercnexión a PE1 a través de la cnexión Ethernet Red Ethernet Metr MADRID Central Telefónica 1 Ruters PE de Intercnexión a Internet Central Telefónica 2 CENTRO PRINCIPAL MADRID Fibra Óptica Directa de Intercnexión a PE2 Figura 23 Esquema de cnexión Física al CPD Principal CPD de Respald: El CPD de Respald se cnectará a un ruter PE de la OT mediante un acces Gigabit Ethernet a través de la red Ethernet Metr. El esquema de cnexines en el CPD de Respald para el acces Gigabit Ethernet es el siguiente: Intercnexión a PE1 a través de la cnexión Ethernet Ruters PE de Intercnexión a Internet Central Telefónica Red Ethernet Metr Acces Gigabit Ethernet CENTRO DE RESPALDO Figura 24 Esquema de cnexión Física al CPD de Respald El acces lógic sbre la red Ethernet se realizará mediante LANs virtual VLANs, de acuerd al estándar IEEE 802.1p. 122

137 EQUIPAMIENTO Cnectad a cada acces de fibra óptica indicad anterirmente, se prpne la instalación de un Switch Cisc 3560G-24TS-E cn fuente de alimentación redundante. La cnexión a las fibras ópticas anterires se realizará mediante la instalación de móduls SFP de Interfaz Óptic LX sbre este equip. Este switch dispne adicinalmente de 24 puerts 10/100/1000 T. Se dispndrá de ds de ests equips en el CPD Principal y un en el centr de respald. Pr l tant, el despiece unitari de ests equips es el siguiente: Descripción Unidades Catalyst /100/1000T + 4 SFP Enhanced Image 1 Pwer Crd Eurpe 1 GE SFP, LC Cnnectr LX/LH transceiver 1 675W Redundant Pwer Supply with 1 cnnectr cable 1 Tabla 5 Catalyst 3560G de Primer Nivel Ests equips cnmutarán tráfic de nivel 2 (cm se indica más adelante) a equips de segund nivel que sprtarán la intercnexión cn cada un de ls 4 nds del Empresa. Ests cuatr Nds dispndrán de equipamient de nivel 3 (ruters) cn capacidad de cifrad y fuente de alimentación redundante (incluids móduls hardware de cifrad 3DES/AES). En el CPD Principal el mdel de ests ruters es el siguiente: Nd Extranet: 2 Equips Cisc 3845 cn el siguiente despiece cada un de ells: Descripción Unidades 2845 w/ac PWR, 2 GE, 1 SFP, 4 NME, 4 HWIC, IP BASE, 64F/256D 1 Cisc 3845 ADVANCED IP SERVICES 1 DES/3 DES/AES VPN Encryptin/Cmpressin 1 123

138 Descripción Unidades Cisc 3845 redundant AC pwer Supply 1 Pwer Crd Eurpe Cisc 3845 AC pwer supply 1 Included: MEM D-INCL 1 Included: MEM CF-INCL 1 Tabla 6 Cisc 3845 Nd de Redes Remtas: 2 Equips Cisc 7204VXR cn el siguiente despiece cada un de ells: Descripción Unidades Cisc 7204 VXR, 4-slt chassis, 1 AC Supply w/ip Sftware 1 Cisc 7200 Redundant AC pwer Supply Optin (280W) 1 Pwer Crd Eurpe 2 Cisc 7200 Series IOS IP IPSEC 3DES Netwrk Prcessing Engine with 3 GE/FE/E prts 1 Cisc 7200 AC Pwer Supply Optin MB mem mdules (256 ttal) fr NPE-G1 in Cisc 7200 Cmpact Flash Disk fr NPE-G1,64 MB Optin 1 VAM2+ Spare and VPN Client SW 1 Tabla 7 Cisc 7204VXR 124

139 Nd de Internet Crprativa: 2 Equips Cisc 7204VXR cn el siguiente despiece cada un de ells: Descripción Unidades Cisc 7204 VXR, 4-slt chassis, 1 AC Supply w/ip Sftware 1 Cisc 7200 Redundant AC pwer Supply Optin (280W) 1 Pwer Crd Eurpe 2 Cisc 7200 Series IOS IP IPSEC 3DES Netwrk Prcessing Engine with 3 GE/FE/E prts 1 Cisc 7200 AC Pwer Supply Optin MB mem mdules (256 ttal) fr NPE-G1 in Cisc 7200 Cmpact Flash Disk fr NPE-G1,64 MB Optin 1 VAM2+ Spare and VPN Client SW 1 Tabla 8 Cisc 7204VXR Nd de Servicis web: 2 Equips Cisc 3845 cn el siguiente despiece cada un de ells: Descripción Unidades 3845 w/ac PWR, 2 GE, 1 SFP, 4 NME, 4 HWIC, IP BASE, 64F/256D 1 Cisc 3845 ADVANCED IP SERVICES 1 DES/3 DES/AES VPN Encryptin/Cmpressin 1 Cisc 3845 redundant AC pwer Supply 1 Pwer Crd Eurpe

140 Descripción Unidades Cisc 3845 AC pwer supply 1 Included: MEM D-INCL 1 Included: MEM CF-INCL 1 Tabla 9 Cisc 3845 En el CPD de respald se dispndrá de un de ests equips para cada Nd. El resumen de equips es el siguiente: Centr Principal Centr de Respald Equip Unidades Equip Unidades Equips cnectads a la FO Gigabit Catalyst 3560G 2 Catalyst 3560G 1 Nd Extranet Redes Remtas 7204VXR VXR 1 Internet Crprativ 7204VXR VXR 1 Servicis Web Tabla 10 Equipamient prpuest en el CPD de Respald CONFIGURACIONES VLAN E IP Cm se ha indicad en apartads anterires, ls Catalyst directamente cnectads a ls access Gigabit cnmutarán el tráfic desde/hacia Internet a Nivel 2, sin tener visibilidad de nivel 3 del tráfic cursad de Internet pr la Empresa. Serán ls equips de segund nivel (ruters) ls que, cnectads a ls Catalyst pr interfaz Gigabit cnmuten el tráfic de Internet y tengan visibilidad pr tant del espaci de direccines públic asignad a cada nd. 126

141 En el CPD Principal cada ruter de segund nivel se cnectará a un de ls ds Catalyst. Esta cnfiguración se realizará de la siguiente frma: Nivel 2: Cada ruter dispndrá de una VLAN (Red de Área lcal Virtual) que le cnectará a su ruter PE crrespndiente. Pr l tant la cnexión de nivel 3 desde cada ruter será cn el ruter PE de la red de la OT. Ls Catalyst de primer nivel cnmutarán el tráfic de nivel 2 asciad a tdas las VLAN. En el CPD Principal, ls ds ruters de cada nd dispndrán de VLAN enfrentadas cntra ruters PE ubicads en diferentes centrales telefónicas. Así, se dispndrá de un ttal de 8 VLAN para servicis de Internet en el CPD Principal y 4 en el CPD de Respald. En el siguiente esquema se muestra el esquema de VLAN prpuest para el CPD principal: Internet Red IP de la Operadra Telefónica PE2 PE1 Red Metr Ethernet VLAN Asciada a PE2 y Catalyst 2 VLAN Asciada a PE2 y Catalyst 1 CPD PRINCIPAL 2 X Catalyst 3560G 2 X C3845 Nd Extranet 2 X C7204VXR Nd Redes Remtas 2 X C7204VXR Nd Internet Crprativ 2 X C3845 Nd Servicis Web Figura 25 Esquema de VLAN en el CPD Principal 127

142 En el CP de respald al dispnerse de un acces Gigabit, un Catalyst 3560 y un ruter pr cada Nd, el esquema de VLAN se simplificaría, requiriéndse 4 VLAN de intercnexión, cm puede verse en la figura siguiente: Internet Red IP de la Operadra Telefónica PE Red Metr Ethernet VLAN Asciada a PE2 y Catalyst 3560G Catalyst 3560G Nd Extranet Nd Redes Remtas Nd Internet Crprativ CPD RESPALDO Nd Servicis Web Figura 26 Esquema de VLAN de CPD de Respald Nivel 3: Cada Nd dispndrá de su prpi rang de direccines IP públicas de Internet. Ests rangs se anunciarán a ls PE, y pr l tant a Internet, mediante el prtcl de ruting dinámic BGPv4. En el CPD Principal cada pareja de ruters de cada nd estarán cnfigurads en md Principal+Backup, pr l que en cndicines nrmales un de ells será el activ mientras que el tr sl entrará en funcinamient en cas de indispnibilidad del primer. Esta cnfiguración se cnseguirá mediante la cnfiguración de HSRP (Ht Standby Ruter Prtcl) 128

143 entre cada pareja y la implementación de diferentes métricas en ls anuncis BGPv4 del ruting a implementar. El ruting BGPv4 a implementar será en cnfiguración de default netwrk sin Full Ruting dad que la Empresa n está cnstituida cm Sistema Autónm Públic. Se asignará un númer de Sistema Autónm Privad (dependiente del de la OT) para cada Nd del Empresa y se establecerán desde cada ruter una sesión e-bgp cn el ruter PE crrespndiente y una sesión i-bgp entre cada pareja de ruters (este últim prces de ruting a través de la LAN). Slución de Redundancia Sentid LAN Internet: Así, desde ls equips de la LAN de cada Nd, el tráfic IP se enviará a la IP virtual de cada grup HSRP cnfigurad entre cada pareja de ruters (la IP Virtual actuará, pr tant, cm Puerta de Enlace para ls equips de la LAN). En cndicines nrmales el tráfic l cursará hacia Internet el ruter principal de cada grup HSRP que tendrá cnfigurad el LP (Lcal Preference) en BGP hacia el PE crrespndiente. En cas de caída del ruter principal/cnexión principal el tráfic cnmutará al ruter de backup que asumirá el tráfic del nd en cuestión. Slución de Redundancia Sentid Internet LAN: Desde el AS Privad dependiente del AS Públic de la OT se anunciará pr BPG las redes crrespndientes a cada nd pr ambs ruters. El valr del atribut MED (Multi-Exit Discriminatr) asignad a ls anuncis e-bgp de cada ruter será mejr para el ruter que actúe cm principal para cada pareja de ruters que el asignad para ls anuncis del ruter de respald. De esta frma, en cndicines nrmales el tráfic será enviad desde ls PE al ruter principal y en cas de caída del ruter principal/cnexión principal, desde ls PE el tráfic se enviará al ruter de backup dad que cnce también las redes de cada nd a través del ruter de backup. En el CPD de respald dad que sl existirá un ruter para cada Nd, n será necesari cnfigurar HSRP ni i-bgp, aunque si e-bgp desde cada ruter de cada Nd cn el ruter PE crrespndiente. 129

144 Se muestra en la siguiente figura la intercnexión de un de ls cuatr Nds a Internet en el CPD Principal: Internet Red IP de la Operadra Telefónica Ruter PE2 Ruter PE1 Red Metr Ethernet Nivel 3 (IP) Nivel 2 (Ethernet) e-bgp 2 Fibra Óptica Gigabit Ethernet Intercnexión VLAN1 2 X Catalyst 3560G VLAN2 Intercnexión Lcal GE Ruters Md Principal i-bgp HSRP Ruters Md Backup Servicis Internet CPD PRINCIPAL Figura 27 Esquema de cnfiguración de un Nd en el CPD Principal 130

145 En el CPD de Respald, dad que n se dispndrá de redundancia, n será necesari cnfigurar HSRP ni i-bgp, en la figura se muestra la intercnexión: Internet Red IP de la Operadra Telefónica Ruter PE Red Metr Ethernet Nivel 3 (IP) Nivel 2 (Ethernet) e-bgp 1 Fibra Óptica Gigabit Ethernet Intercnexión Catalyst 3560G Intercnexión Lcal GE VLAN Ruter 3845 ó 7204VXR dependiend del nd Servicis Internet CPD RESPALDO Figura 28 Esquema de cnfiguración de un Nd en el CPD de Respald CAUDALES PROPUESTOS Sbre la infraestructura física y lógica descrita anterirmente se generarán ls siguientes caudales lógics IP. En ls ruters crrespndientes a cada nd se cnfigurarán mecanisms de shaping para restringir el tráfic cursad a ls caudales indicads más abaj, y en ls ruters PE se cnfigurará mecanisms de Rate Limit a ess misms valres. Además se mejrará l slicitad pr la Empresa, ls valres a cnfigurar inicialmente serán ls dbles de ls indicads cm mínims en ls requisits vists en el capítul anterir: 131

146 Prcentaje de Ampliación Anual Añ 1 (Mbps) Añ 2 (Mbps) Añ 3 (Mbps) Nd Extranet 10% Redes Remtas 15% Internet Crprativ 10% Servicis Web 10% Tabla 11 Evlución de Caudales IP Respect a ls access a la Red IP de la OT a través de la red Ethernet Metrplitana entre Madrid calle A y Madrid calle B (1 acces en el CPD Principal y tr en el CPD de respald), se generará un caudal de acces a dicha red mayr que el agregad de ls caudales anterirmente indicads. Pr l tant este valr será el siguiente: Prcentaje de Ampliación Anual Añ 1 (Mbps) Añ 2 (Mbps) Añ 3 (Mbps) Nd Extranet 10% Redes Remtas 15% Internet Crprativ 10% Servicis Web 10% Caudal Metrplitan en Red Ethernet Tabla 12 Caudal Inter-Ciudades Se pdrán ampliar ests caudales, cn el cnsiguiente increment ecnómic hasta la capacidad ttal de ls access de Gigabit Ethernet (1000 Mbps) DIRECCIONES IP PÚBLICAS La Operadra Telefónica realizará las prtunas gestines ante RIPE para prprcinar direccines IP públicas al Empresa, dentr del rang de direccines IP asignad a la OT pr RIPE. Estas direccines deberán ser devueltas a la OT pr la Empresa una vez finalice la prestación del servici. 132

147 Pr tant la OT asignará un mínim de direccines IP publicas igual a las slicitadas en ls requisits, pudiéndse ampliar hasta 4 clases C, (1024 direccines), mediante la debida justificación ante RIPE de la necesidad de dichas direccines adicinales. Direccines Mínimas Ofertadas: Nd Extranet : 10 Direccines IP Públicas. Nd Redes Remtas: 4 Direccines IP Públicas. Nd Internet Crprativ y Nd servicis Web: 100 Direccines IP Públicas. Se frecerá además la gestión de la asignación de un númer de direccines mayr al slicitad y menr igual a la ventana de asignación de direccines de la OT, (4 clases C, 1024 direccines). La asignación de direccines se realiza siguiend las reglas definidas pr RIPE. Las direccines se asignarán en grups subgrups de redes de clase C (256 direccines IP) REDIRECCIÓN IP DE TRÁFICO AL CPD DE RESPALDO L indicad en este apartad se refiere exclusivamente a las cnfiguracines de cmunicacines para cnmutar el tráfic desde/hacia Internet del CPD Principal al CPD de Respald en cas de indispnibilidad del primer. Cn el bjet de que la activación de la slución de redirección de tráfic al CPD de Respald n implique mdificacines en DNS, se mantendrá en este el mism direccinamient IP públic. De esta frma, a nivel de cnfiguración IP hacia la LAN en ls ruters del CPD de Respald, se seguirá una cnfiguración espej de ls ruters del CPD principal (exceptuand lógicamente la cnfiguración de HSRP e i-bgp que n será necesaria dad que el CPD de Respald n está redundad). Pr ruting BGP, en cas de indispnibilidad del CPD Principal, ls anuncis e-bgp realizads pr ls ruters a ls PE permitirán que este centr alternativ asuma el tráfic de Internet de cada Nd del Empresa. Este mecanism pdrá ser autmátic manual activand ests anuncis en cas de indispnibilidad del CPD Principal. En el primer cas la cnmutación de tráfic de un CPD a tr será autmática, cn un tiemp perativ determinad pr la cnvergencia de rutas en BGPv4 (estimad en minuts), mientras que si el prcedimient es manual el tiemp de activación de n pdrá ser inferir a una hra desde la slicitud pr parte de la Empresa. 133

148 Ests tiemps indicads se refieren exclusivamente a la cnmutación de tráfic IP desde un CPD a tr, n imputándse el tiemp de 8 hras para que ls sistemas invlucrads puedan asumir el tráfic hacia/desde Internet en el Centr de Respald RED DE LA OPERADORA TELEFÓNICA Dad el carácter internacinal de Internet, es imprescindible dispner de una buena infraestructura de intercnexión cn las demás redes que frman parte de Internet. Cn este prpósit se crearn ls punts neutrs de intercambi de tráfic entre ls distints peradres. Ests punts están presentes pr tda la gegrafía mundial y en ells tiene presencia la OT. La OT dispne de equips Juniper M para cnectarse a Espanix cn cnexines redundantes de alta velcidad (12,5 Gbps). Pr tra parte, la red Internacinal de la OT garantiza el acces a ls 5 cntinentes y el acces pr más de un camin a Eurpa y América. La OT es prpietaria de ls activs utilizads en el negci de IP (SAM-1), dispniend de clientes de IP en 4 cntinentes (Eurpa, África, Latam y USA) cn más de 150 acuerds internacinales cn carriers de vz, cntand cn 32 POPS en 23 ciudades y presencia en 16 países INTECONEXIÓN DE CPD: C-DWDM Para prprcinar intercnexión de la red SAN (Strage Area Netwrk) de ambs CPD, se prpne dispner de 2 cnexines de Fiber Channel a 2 Gbps entre ls misms. La slución de intercnexión supne instalar, entre ls centrs, un enlace dedicad cnstituid pr fibras ópticas (RX y TX) mnmd en exclusiva de la Red de Acmetida, Acces y Transprte de la OT y equips terminales multiplexres en lngitud de nda (WDM) en las dependencias de la Empresa, cnfigurads para sprte y transprte de ls canales óptics requerids. 134

149 Requisits del cliente en relación a la instalación: Equips WDM: Servici Nº Enlaces Redundancia Velcidad Prtcl Interfaz λ F.O Cnexión Discs/Cintas 2 NO 2 Gbps Fibre Channel SX Cnectr LC 850 nm MMF Tabla 13 Requisits de Intercnexión Aplicacines a sprtar: En un principi se necesita transprtar sl aplicacines Fibre Channel, aunque se ha pensad en que la slución pdría sprtar tds ls canales que actualmente se están desarrlland en entrns abierts de Centrs de Prces de Dats (CPDs), cm pueden ser: FDDI, canales crrespndientes a la jerarquía síncrna (SDH, SONET), extensión de LAN Ethernet, ATM 155, ATM 622, etc. También es psible el transprte de entrns prpietaris cm canales ESCON FICON. La arquitectura SAN que presentará la Empresa se basa en cabinas de discs/cintas para la replicación síncrna. Ls switches de cliente trabajarán a 2 Gbps, l que facilitará interfaces Fibre Channel a 2 Gbps. Pr la naturaleza de la tecnlgía WDM, sl es psible transprtar canales óptics. Númer de canales: A cntinuación se muestra una tabla cn el númer ttal de canales que se transprtarán de un CPD a tr. Servici Nº Enlaces Tip Prtección Cnexión swicht FC para Discs/Cintas 2 Fibre Chanel 2G SX NO Tabla 14 Númer de canales Pr tant una vez vists ls requisits del cliente se refleja la slución de intercnexión que se frece y que se cmpne de: 135

150 Un enlace de fibra óptica entre cada un de ls edificis a intercnectar cnstituid pr ds fibras ópticas mnmd de la red metrplitana de la OT. Equipamient (2 nds) WDM mdel FSP-2000 EE de ADVA, cn tecnlgía híbrida C+DWDM, trabajand sbre 2 fibras ópticas, dimensinad para el transprte de ls 2 canales requerids pr la Empresa y dtads de sistemas de gestión SNMP en ambs nds para gestión y mnitrización de ls equips. CPD Pincipal Calle A CPD Respald Calle B 2 x FC 2 Gbps 8,277 Km 2 x FC 2 Gbps ff.. ADSL Gestión, Supervisión y Mantenimient de la Operadra Telefónica Figura 29 Esquema de Intercnexión El transprte de ls canales de cliente se realizará sbre móduls de canal transparentes de alta velcidad, que permiten transprtar aplicacines que transmitan dentr del rang de ls 100 MBps a ls 2,5 Gbps. Cada un de ests móduls transprtará un canal de cliente, l que significa que cada canal de cliente cupará una lambda del sistema WDM EQUIPAMIENTO WDM Tras describir la slución que se implantará, siend el equipamient WDM, mdel FSP Enterprise Editin. La Operadra Telefónica tendrá que suministrar ls siguientes elements de equip: Hardware necesari para psibilitar la cnexión, extrem a extrem, de ls 2 canales slicitads. Este equipamient trabajará sbre ds fibras ópticas activas. Cmpnentes sftware para pder integrar la gestión cn manager SNMP de tip cmercial para gestión y mnitrización del equip. 136

151 Cnexines RS-232 / RJ45 para mantenimient remt. 2 ruters ADSL, un en cada extrem, para mantenimient remt de la instalación. Las líneas ADSL en cada centr serán facilitadas la OT per de titularidad del cliente. Cnexines lcales prcedentes dispsitivs y/ LANs de cliente. La cnexión del dispsitiv de cliente cn el equipamient será mediante canales óptics. Cablead de fibra óptica necesari para la cnexión de ls equips WDM a la fibra óptica de la OT. Cnfiguración de la instalación. La base sbre la que se instalan tds ls cmpnentes de un FSP-2000 EE es un chasis para armaris de 19, en el que se instalan tdas las tarjetas que la instalación precise. Este chasis es de 5 unidades de altura para instalacines crprativas. El chasis principal dispne de ventiladres redundantes y de fuentes de alimentación, redundantes y balanceadas. El chasis dispne de ch slts que permiten la instalación, según requerimients, de hasta 8 tarjetas de canal, un/ds MX/DMX, un cnmutadr/gestr del canal de servicis, un módul separadr de cuatr bandas y un sistema de gestión de red (NEMI). Las tarjetas, fuentes y ventiladres están preparadas para ser reemplazadas en caliente sin afectar su reemplaz al rest de canales. En cas de n dispner de suficiente espaci en un chasis para cubrir ls requerimients del cliente, se instalan chasis esclavs cnectads al principal que permitan cubrir las necesidades. Ests chasis dispnen igualmente de su unidad de gestión de red para cnectarse cn el chasis maestr. La utilización de FSP-2000 EE permitirá el transprte de ls canales a velcidad nativa sin encapsulamient ni tratamient de prtcl, de esta manera, la velcidad de transmisión es idéntica en remt a la velcidad en lcal. Ls nuevs equips multiplexan hasta un máxim de 64 canales óptics trabajand sbre 2 fibras ópticas, que cn el us de tarjetas multiplexadras en tiemp (TDM) Gbit Ethernet/ Fibre Channel 1G-2G/ Ficn 1G-2G, se alcanzan un máxim de 128 canales de este tip. 137

152 El FSP-2000 Enterprise Editin garantiza la cmpleta interperabilidad cn prducts de ls principales fabricantes de almacenamient y redes del mercad, garantizand la cmpleta cmpatibilidad y certificación actual y futura de ls transpndedres cn ls cnmutadres, directres, ruters, sistemas de almacenamient, etc. más extendids del mercad. A cntinuación se presenta una breve tabla en la que se encuentran resumidas las características y funcinalidades más imprtantes que sn implementadas pr ls equips WDM prpuests: Funcinalidad Dispnibilidad - Actual Nº de fibras 2 Nº de canales óptics Bidireccinales Nº máxim de canales Escn Observacines Flexibilidad en cuant al númer de fibras necesarias para el transprte de aplicacines. Ls sistemas pueden trabajar tant sbre una pareja de fibras cm sbre una única fibra óptica. 1 f. 32 lambdas transmisión + 32 lambdas recepción. 2 f. 64 lambdas transmisión + 64 lambdas recepción. Rejilla ITU-T de 100 GHz. para garantizar estabilidad del sistema en el tiemp. Gracias a la dispnibilidad de transpndedres 8:1 para una aprvechamient ptimizad de cada lambda. Nº máxim de canales GEth, FChannel y FICON Nº máxim de canales STM-64, 10 Gbps Gracias a la dispnibilidad de transpndedres 2:1 de alta velcidad para aprvechamient ptimizad de cada lambda. Dispnibilidad de canales cn velcidades de transmisión de desde 8 Mbps hasta 10 Gbps. Tplgías Anill, Punt a Punt y Multipunt. Gestión TCP/IP VT100, GUI, SNMP. Supervivencia de Red Mnitrización de Enlace (cnmutadr pr nivel de servici) Puerts externs de medición de enlace Transpndedres 3R Prtección tant a nivel de línea cm a nivel de canal. Nuev cnmutadr de enlace pr calidad de enlace (SRM-OLM) Mnitrización de fibra cn enví de alarmas pr umbral, permitiend el cntrl y la supervisión de las fibras principal y de respald. El sistema dispne de puerts para la medición de ptencia recibida y estad de la fibra mediante elements de medida externs cm pueden ser OTDRs OSAs, sin parada en el servici, garantizand un SLA máxim. Ls transpndedres se encuentran dtads de funcinalidad 3R (Reamplificación, Regeneración y Retemprización) cn relj cnfigurable pr sftware, dtand al sis- 138

153 Funcinalidad Transpndedres TDM ALS Amplificación Cmpensación de Dispersión Dispnibilidad - Actual Observacines tema de cmpleta fiabilidad y flexibilidad para tdas las aplicacines. Dispnibilidad de transpndedres TDM integrads y gestinads en el equip: TDM (4X1): Canales de baja velcidad multiprtcl. TDM (8x1): Canales Escn. TDM (2x1): Canales de alta velcidad multiprtcl. Autmatic Laser Shutdwn según la nrma IEC825 para prtección óptica láser Clase A. Móduls de amplificación bandas C y L, permiten alcanza vans superires sin necesidad equips intermedis e independientemente de las aplicacines transprtadas. Móduls de cmpensación de dispersión que permiten el transprte de prtcls de hasta 10 Gbps. Hasta 100 Km. sin regeneración. Certificacines CE, FCC, TÜV GS, UL, CUL. Tabla 15 Descripción Técnica de ls sistemas WDM FSP-2000 EE DEFINICIÓN DE LA INFRAESTRUCTURA DE FIBRA ÓPTICA Se habilitará una ruta óptica cn 2 fibras ópticas, sprtadas sbre cables de fibra óptica de la Red de Acmetida, Red de Acces y Red de Transprte de la OT, cn una atenuación dentr de especificacines. La pareja de fibras ópticas se terminará en un element denminad rseta óptica. Se trata de un pequeñ panel de instalación mural cuyas dimensines sn (alt x anch x fnd) 203 mm x 164 mm x 25.5 mm. La ubicación de estas terminacines de fibra, así cm de ls equips WDM dentr de la sala de transmisión se según cnvenga la Operadra Telefónica. La ruta óptica encaminada entre la Calle A y la Calle B en la ciudad de Madrid, se realizará prlngand fibras ópticas de ls cables de acmetida, tant nuevas cm existentes, y de ls cables de Red de Acces y Red de Transprte de la Operadra Telefónica., siend la lngitud aprximada de la ruta de 8,277 Km, cm se ha dich anterirmente ESPECIFICACIONES DE LA FIBRA OPTICA Ls cables de fibra óptica que la Operadra Telefónica pne a dispsición de la Empresa para la intercnexión de sus Centrs de Prces de Dats, están instalads en subterráne du- 139

154 rante td su recrrid en canalización de cnducts de cement de 100 mm PVC de 110 mm en znas urbanas en trazads especiales (cruces de carreteras, de rís, etc.). En el cas de canalización de 110 mm, se instalarán dentr de cada cnduct de cement de PVC, tres subcnducts de diámetr inferir (tritub). Generalmente, en las znas urbanas existe infraestructura para albergar cables urbans interurbans. Estas canalizacines están cnstruidas cn blques de cement de 100 mm (sistema en desus) cn tubs de PVC de 110 mm y prtegids cn hrmigón. Cada tram sección de canalización va unid entre sí cn las llamadas Cámaras de Registr (C.R.), cuya función es servir de lugar para ubicar ls empalmes, hacer derivacines y segregacines cambiar de dirección. La intercnexión de fibra óptica prpuesta en esta slución, utiliza en td su recrrid canalizacines, instalacines y edificis prpiedad exclusiva de la OT. 140

155 9.2.2 INFRAESTRUCTURA DE LOS NODOS DEL MODELO I*NET Una vez se ha expuest en el apartad anterir, td l relacinad cn la infraestructura de cmunicacines a Internet que rdea a ls cuatr nds, se pasará a describir la slución adptada sbre el diseñ de la arquitectura física de cada un de ls nds de manera detallada. Esta slución cumple cn rigr ls requisits mínims descrits en el capítul anterir, sin embarg al estudiar la slución se ha tenid en cuant n sl ls requisits, si n la viabilidad y el cste ecnómic de tds ls elements que cmpnen la infraestructura, para así frecer la apuesta más óptima SOLUCIÓN DEL NODO EXTRANET Se recuerda que la misión del Nd Extranet es prprcinar acces a la Red General (WAN) de la Empresa desde la red pública de Internet, RTB/RDSI, UMTS/GPRS, líneas dedicadas de tercers e Intranet Administrativa. Además se garantizará la seguridad en el acces a través de la red pública evitand de esta frma la psibilidad de acces a persnal n autrizad pr la Empresa ARQUITECTURA NODO PRINCIPAL EXTRANET Primera Parte de la Arquitectura (1º Nivel): Se parte de ds ruters de acces CISCO 3845 funcinand en md respald, de frma que se asegura la cntinuidad de la cnectividad a Internet ante avería de un de dichs ruters. Este será el punt de intercnexión entre el prveedr de Internet (Operadra Telefónica) y la Empresa. Pr tr lad existirán 2 ruters CISCO 3845 funcinand del mism md a ls ruter de cnexión a Internet, que permitirá la cncentración de las líneas de acces de tercers y su cnexión al Nd Extranet en su punt de entrada. Dichs ruters estarán equipads cn 4 tarjetas de 2 puerts serial (hasta 2 Mbps) que permitirán la cnexión de las líneas existentes (TME-Móviles, BBVA, ARANDAZI, Oficina en el Extranjer) y permitirá su ampliación hasta un ttal de 8 cnexines. Igualmente irá equipad cn un módul de red cn interfaz HSSI. Para satisfacer la necesidad de acces a través de RTB/RDSI se implementará en el Nd Extranet ds equips en md activ/activ CISCO AS5350, que serán equi- 141

156 pads cn tarjeta de 2 E1 y tarjeta de 60 módems universales pudiend trabajar en nrma V-90. La cnexión del RAS se realizará directamente en la DMZ. La cnexión de la Intranet Administrativa se realizará a través del crtafuegs gestinad pr el MAP. Las plíticas de seguridad de esta cnexión serán establecidas igualmente pr dich rganism. Para la intercnexión de ls elements de cmunicacines y seguridad en la red externa (anterir a ls Firewall Externs) se utilizarán cnmutadres CISCO Catalyst 4507R que permiten la cnfiguración en alta dispnibilidad cn tarjetas supervisras y fuentes de alimentación redundante. Segunda Parte de la Arquitectura (2º Nivel): Para la implementación de la línea de crtafuegs externa se instalarán equips Juniper SSG en cnfiguración de activ/pasiv, esta línea de crtafuegs delimitará la red externa de la red DMZ y será la primera barrera de crtafuegs que prtegerá la Red General de prpósit general de access n autrizads a través de la red pública de Internet. En la DMZ se establece ds cnexines cn la granja de servidres una a través de ls equips de VPN SSL y pr tr lad las sndas IPS/IDS para permitir trabajar en md in-line (md IPS) permitiend crtar cualquier cmunicación que sea detectada cm ataque pr la snda. Ls equips en este nivel serán las sndas IDS/IPS ISS Prventia, las cuales serán instaladas, cnfiguradas y puestas en servici. Ls equips VPN SSL serán Juniper 6000SA cn licencia para al mens 2500 usuaris simultánes. Ambs equips se cnfigurarán para trabajar en alta dispnibilidad. La cnexión de ls elements a este nivel será realizad a través de un Switch CISCO Catalyst 4507R distint al de la red externa, cnfigurándse cn supervisra y fuente de alimentación redundante. Una vez se pase pr ls ds equips VPN y IPS/IDS se accederá a la granja de servidres junt cn ls equips de Prxy instalads para dar servici de acces a Internet a ls distints grups de usuaris. 142

157 La granja de servidres estará cmpuesta pr equips en alta dispnibilidad HP BL20 cn 2 prcesadres para ls servicis de pasarela, Crre Móvil, DNS/LDAP-replica/Radius. Ests servidres serán tip Blade y se intercnectarán a través de ds Switches que vienen equipads a ambs lads del chasis de mntaje, para permitir cnfiguración en alta dispnibilidad. Respect a la LDAP y DNS se utilizarán las herramientas CP Directry Server y la capa DNS de Windws Cm servidr Radius/Tacacs se utilizará la herramienta Cisc Secure ACS, las licencias para ests prducts serán suministradas pr la Empresa. Tercera Parte de la Arquitectura (3º Nivel): Pr últim se instalará una barrera de 2 crtafuegs CISCO ASA5520 aislarán la red DMZ de la Red General (Distints a ls 2 crtafuegs que de acces al Nivel 2). Red de Gestión: Tds ls equips del nd dispndrán de un interfaz ethernet para su gestión, dividiéndse en 2 redes una crrespndiente a ls sistemas de infrmación y tra crrespndiente a ls equips de seguridad. La figura siguiente muestra el esquema detallad descrit anterirmente del Nd Extranet del Centr Principal de la Calle A de Madrid: 143

158 Figura 30 Esquema Nd Extranet Centr Principal ARQUITECTURA NODO DE RESPALDO EXTRANET Para el diseñ del Nd Extranet de Respald, se ha cgid básicamente la estructura del Nd Extranet principal descrit anterirmente, per añadiéndse pequeñas diferencias cm: El equipamient n se encuentra redundad. Siend la arquitectura gemela a la del centr principal en cuant a ls niveles de seguridad y estructura, permitiend el sprte de ls misms servicis que se prestan en el Nd Extranet del Centr Principal. Pr tr lad las sndas IPS/IDS suministradas para el nd de respald serán CISCO IPS 4255 funcinand en md IPS. 144

159 Se muestra la figura crrespndiente a la arquitectura del Nd Extranet de Respald situad en Madrid Calle B: Figura 31 Esquema Nd Extranet Centr de Respald SOLUCIÓN DEL NODO ACCESO A REDES REMOTAS El presente nd llamad Nd de Redes Remtas tiene cm se ha descrit en capítuls anterires, la función satisfacer las necesidades de intercambi de infrmación entre la Red General y aquells rganisms de la Empresa ubicads en el extranjer. Para ell las redes lcales de dichs rganisms deben ser cnsiderads cm extensines de la misma Red General. 145

160 ARQUITECTURA NODO PRINCIPAL ACCESO A REDES REMOTAS Objetiv de seguridad del Nd: Se establecerán cnexines IPSec entre las redes lcales de ls rganisms situads en el exterir y en punt de entrada en el Nd de Redes Remtas. De esta frma dichas redes lcales serán extensines de la prpia Red General y pdrán trabajar cntra la misma cm si se estuviera trabajand en md lcal. El tip de cifrad, algritms de hash, autenticación y ls demás parámetrs de cnfiguración de dichs túneles estarán en cncrdancia en ls ds extrems de la cnexión a establecer y en cualquier cas estarán de acuerd a las nrmas de seguridad exigibles pr la Empresa, para asegurar la cnfidencialidad e integridad de la infrmación intercambiada. Ls túneles establecids finalizarán a la entrada del nd Extranet, permitiend la realización de accunting de ls distints usuaris que acceden a través de dichs túneles pues la infrmación en el interir del nd Extranet (zna DMZ y Red General) viajará en text sin cifrar. Primera Parte de la Arquitectura (1º Nivel): En primer lugar se instalarán ruters de acces, serán 2 CISCO 7204 trabajand en md respald de frma que se asegura la cntinuidad de la cnectividad a Internet ante avería de un de dichs ruters. Este será el punt de intercnexión entre el prveedr de Internet (Operadra Telefónica) y la Empresa. Para la intercnexión de ls elements de cmunicacines y seguridad en la red externa (anterir a ls Firewall Externs) se utilizará cnmutadr CISCO Catalyst 4507R que permiten la cnfiguración en alta dispnibilidad cn tarjetas supervisras y fuentes de alimentación redundadas. Segunda Parte de la Arquitectura (2º Nivel): Ls crtafuegs de primer nivel al igual que para el nd Extranet serán Juniper SSG en cnfiguración de activ/pasiv. Ests equips delimitarán la frntera entre la red externa (n segura) y la zna DMZ del Nd de Redes Remtas. 146

161 Ya dentr de la DMZ se establece un nivel de seguridad adicinal a través de la implementación de un sistema IDS/IPS (ISS Prventia), funcinand en md IPS. Para las funcines de reslución de nmbres e integración cn LDAP se suministrará un servidr redundante para cubrir dichas funcines. Ls servidres serán HP mdel BL20p cn ds prcesadres. La cnexión de ests servidres se realizará cn ls móduls switch CISCO GESM para servidres Blade de HP redundantes en el mism chasis en el que se instalan ls servidres, estableciend de esta frma una arquitectura ttalmente redundante y muy rbusta cn cnexines 10/100/1000BaseT. Para la slución LDAP y DNS se utilizarán las herramientas CP Directry Server y la capa DNS de Windws Tercera Parte de la Arquitectura (3º Nivel): Pr últim se instalará una barrera de 2 crtafuegs CISCO ASA5520 aislarán la red DMZ de la Red General (Distints a ls 2 crtafuegs que de acces al Nivel 2). Red de Gestión: Tds ls equips del nd dispndrán de un interfaz ethernet para su gestión, dividiéndse en 2 redes una crrespndiente a ls sistemas de infrmación y tra crrespndiente a ls equips de seguridad. La figura siguiente muestra el esquema detallad descrit anterirmente del Nd Acces a Redes Remtas del Centr Principal de la Calle A de Madrid: 147

162 Figura 32 Esquema Nd Principal Acces a Redes Remtas ARQUITECTURA NODO DE RESPALDO ACCESO A REDES REMOTAS Ante la necesidad de aplicar el Plan de Cntingencia, el presente nd asumirá las funcines descritas en el apartad anterir. Las principales diferencias cn respect al nd principal sn: El equipamient de este centr n se encuentra redundad. El sistema IDS/IPS fertad se basa en sndas CISCO IPS 4255 funcinand en md IPS (md in-line ) de frma que se pueda crtar el tráfic cnsiderad cm ataque pr la prpia snda. N se incluye un equip Catalyst 4507R para la intercnexión entre ls Cisc 7204 de cnexión a Internet y ls SSG-550 de firewall entre la DMZ y este ruter, debid al hech de que existe una única cnexión entre ambs equips (Cisc 7204 y SSG-550) que se puede realizar cn un cable direct, eliminand el punt únic de fall que supndría la inclusión de un switch intermedi. 148

163 Se muestra la figura crrespndiente a la arquitectura del Nd Acces a Redes Remtas de Respald situad en Madrid Calle B: Figura 33 Esquema Nd de Respald Acces a Redes Remtas SOLUCIÓN DEL NODO ACCESO INTERNET CORPORATIVO El Nd de Internet Crprativ tiene cm función principal la de prprcinar servici de acces e intercambi de infrmación de la Empresa en l relativ a acces a Internet. Ls servicis prprcinads pr la arquitectura prpuesta sn: Navegación y búsqueda de infrmación en Internet para cualquier usuari autrizad pr la Empresa, cnectad en la Red General. Crre electrónic particular (n ficial) cn Internet, de cualquier usuari autrizad pr la Empresa. Servici de reslución de nmbres de dmini de Internet para ls usuaris cnectads en la Red General ARQUITECTURA NODO PRINCIPAL ACCESO INTERNET CORPO- RATIVO 149

164 Primera Parte de la Arquitectura (1º Nivel): Cm es habitual en la estructura de ls nds el punt de delimitación de la red pública y la red externa del Nd de Acces Internet se realizará cn 2 ruters CIS- CO 7204 trabajand en md respald, serán ests ruters el punt de entrada del Nd Internet. Al igual que en el rest de nds ls elements de seguridad y cmunicacines de la red externa serán intercnectads a través de un Switch CISCO Catalyst 4507R equipad cn tarjeta supervisra y fuente de alimentación redundantes. Segunda Parte de la Arquitectura (2º Nivel): La primera barrera de crtafuegs se cubrirá cn equips Juniper SSG en cnfiguración de activ/pasiv. Ests equips delimitarán la frntera entre la red externa (n segura) y la zna DMZ del Nd Internet Crprativ. En la red DMZ se establece un primer nivel de equips cnstituid pr las sndas ISS Prventia funcinand en md IPS ( in-line ) para permitir crtar el tráfic cnsiderad cm peligrs pr la snda en base a ls patrnes de ataque de que dispne. Dichas sndas serán instaladas, cnfiguradas y puestas en servici. La cnexión de ls equips a este nivel será realizad igualmente pr un switch CIS- CO 4507R incluids en el chasis de servidres en cnfiguración de alta dispnibilidad. Después de las sndas IPS/IDS se encuentran ls servidres que van a prprcinar ls servicis de: SMTP Relay /Spam. Filtrad de cntenids (WebSense). LDAP/DNS. Dichs servidres serán HP BL20p cn 2 prcesadres Xen y 4GB de RAM, para la intercnexión de ests equips y el rest de equips de la DMZ se equiparán ls chasis de ls servidres cn 2 switches (md redundante), cn cnexines 10/100/1000BaseT, que se cnectarán tds ls servidres de la DMZ freciend de este md una slución flexible y escalable. 150

165 Se realizará la instalación, cnfiguración y puesta en servici de las aplicacines de dichs servidres y para el cas del servidr SMTP relay se utilizará TrendMicr IMSS. Cm slución de antispam se instalará la slución de antispam dispnible pr el Empresa (Trend Micr). Este servici se prestaría en md Activ/Activ cn balance de carga a través de balanceadres CISCO Para la slución LDAP y DNS se utilizarán las herramientas CP Directry Server y la capa DNS de Windws Se instalará Websense en ls servidres que actuarán en md redundante para cubrir las funcines de filtrad de cntenids, las licencias de dich prduct será suministrad pr la Empresa. Pr tr lad se instalará, cnfigurará y se realizará la puesta en servici del antivirus de red InterScan VirusWall (equips appliance). Objetiv de rendimient y seguridad de ls servicis: Para asegurar el rendimient y seguridad de ls servicis de este nd, para cumplir ls requisits prpuests, se instalarán ls siguientes equips: Gestr de Anch de Banda. Prxy y Web Caché. Balanceadres. Para ls Gestres de anch de Banda se ha elegid la pción de equips Packeteer, PacketShaper 7500 (PS7500-L100M), el cual permite el establecimient de límites de tráfic categrizad, pr prtcl, usuari, grups de usuari, categría web, franjas hrarias, direccines IP, etc. Cn ell se cnsigue un us eficiente del anch dand priridad al tráfic más imprtante. Se suministrarán para el nd principal 2 equips en md redundante, ests equips recibirán en últim términ el tráfic cn destin a Internet y serán ls encargads de, en base a ls criteris de prirización establecids encaminar el tráfic a la primera barrera de crtafuegs. Ls Prxy que se suministrarán serán BlueCat PrxySG ptente equip appliance que permite cubrir las necesidades de almacenamient tempral de páginas 151

166 web, para minimizar el tráfic http hacia Internet y pr tr lad realizar funcines de Prxy. Se suministrarán para este nd ds equips en md activ-activ cn balance de carga, función esta que será asumida pr ls equips CISCO CSS11503, ls cuales a su vez funcinarán en md redundante Activ/Pasiv. Ls balanceadres también prprcinarán balance de carga hacia el servici de SMTP relay. Para pder realizar dich balance de carga será necesari establecer una VLAN que cmunique ls equips Balanceadres cn ls equips Prxy y ls servidres cn funcines SMTP relay. Tercera Parte de la Arquitectura (3º Nivel): Pr últim para aislar la zna DMZ de la Red General se establece una barrera de 2 crtafuegs CISCO ASA5520 funcinand en cluster Activ/Pasiv. Red de Gestión: Tds ls equips del nd dispndrán de un interfaz ethernet para su gestión, dividiéndse en 2 redes una crrespndiente a ls sistemas de infrmación y tra crrespndiente a ls equips de seguridad. La figura siguiente muestra el esquema detallad descrit anterirmente del Nd Acces a Internet Crprativ del Centr Principal de la Calle A de Madrid: 152

167 Figura 34 Esquema Nd Principal Acces Internet Crprativ ARQUITECTURA NODO RESPALDO ACCESO INTERNET CORPORA- TIVO Para permitir la cntinuidad del servici en cas de aplicar el Plan de Cntingencia se diseñará el Nd Internet Crprativ en el centr de respald. Para ell se establece una arquitectura similar al del nd principal cn las siguientes diferencias: Se ha eliminad la redundancia de equips. Pr tr lad al n existir redundancia de equips se elimina la necesidad de ls equips balanceadres. N se incluirá un equip Catalyst 4507R para la intercnexión entre ls Cisc 7204 de cnexión a Internet y ls SSG-550 de firewall entre la DMZ y este ruter, debid al hech de que existe una única cnexión entre ambs equips (Cisc 7204 y SSG- 153

168 550) que se puede realizar cn un cable direct, eliminand el punt únic de fall que supndría la inclusión de un switch intermedi. Pr últim la ISP/IDS a instalar será CISCO IDS 4255 igualmente funcinand en md IPS. Se muestra la figura crrespndiente a la arquitectura del Nd Acces a Internet Crprativ de Respald situad en Madrid Calle B: Figura 35 Esquema Nd Respald Acces Internet Crprativ SOLUCIÓN DEL NODO SERVICIOS WEB La función principal del Nd de Servicis Web, es la de prprcinar acces desde Internet a ls servicis web públics del Empresa, para dar respuesta a dicha necesidad se establece la siguiente arquitectura. 154

169 ARQUITECTURA NODO PRINCIPAL SERVICIOS WEB Primera Parte de la Arquitectura (1º Nivel): El punt de acces al Nd Servicis Web estará determinad pr ls ruters de acces CISCO3845 implantads para permitir el acces a la red pública Internet. Ests ruters funcinarán en md respald, permitiend la cntinuidad del servici ante fall de un equip línea de cnexión. Para la cnexión de ls elements de la red externa (equipamient entre ls ruters de acces y la primera línea de crtafuegs se cntempla la instalación de un switch CISCO 4507R en cnfiguración de alta dispnibilidad (fuente de alimentación y tarjeta supervisra redundante). Segunda Parte de la Arquitectura (2º Nivel): A cntinuación ns encntrams la primera línea de crtafuegs, cnstituida al igual que en el rest de nds del centr principal pr ds crtafuegs Juniper SSG-550 trabajand en md Activ/Standby, permitiend la cntinuidad del servici en cas de avería del crtafuegs Activ. Ests crtafuegs delimitan la frntera entre la red externa y la red DMZ. En la red DMZ se instalarán, cnfigurarán y se pndrán en servici las sndas ISS Prventia. Estas sndas trabajarán en md IPS ( in-line ).La cnexión entre el crtafuegs de primer nivel y las sndas ISS Prventia se realizará a través de tr switch CISCO 4507R en cnfiguración de alta dispnibilidad. Dentr de la DMZ ns encntrams ls servidres para recger las funcines de DNS/LDAP, en este últim cas si fuera precis. Pr tr lad para canalizar las slicitudes de páginas web se instalará un cluster en cnfiguración Activ-Activ de Prxy Revers BlueCat PrxySG cn tarjeta aceleradra SSL. Serán ests dispsitivs ls encargads de realizar las peticines al servidr web ubicad en la Red General (WAN). Para pder perar en md Activ-Activ cn balance de carga se suministrará un cluster cmpuest de 2 balanceadres CISCO CSS11503 trabajand en md Activ- Pasiv, canalizand las peticines a ls 2 Prxy Revers instalads. 155

170 La cnexión de tds ls dispsitivs de la DMZ se realizará a través de el Catalyst 4507R que se encuentra entre ls SSG-550 de frntera de la DMZ a Internet y ls ISS Prventia. N utilizándse en este cas un switch del blade de servidres. Tercera Parte de la Arquitectura (3º Nivel): La frntera entre la zna DMZ del Nd Servicis Web y la red interna estará cnstituida pr un cluster de 2 crtafuegs CISCO ASA5520 trabajand en md Activ-Pasiv. Cuarta Parte de la Arquitectura (4º Nivel): Para la red interna se prveerá una granja de servidres tip Blade para las funcines de servidr web, servidr de aplicacines y servidres de bases de dats. Red de Gestión: Tds ls equips del nd dispndrán de un interfaz ethernet para su gestión, dividiéndse en 2 redes una crrespndiente a ls sistemas de infrmación y tra crrespndiente a ls equips de seguridad. La figura siguiente muestra el esquema detallad descrit anterirmente del Nd de Servicis Web del Centr Principal de la Calle A de Madrid: 156

171 Figura 36 Esquema Nd Principal Servicis Web ARQUITECTURA NODO RESPALDO SERVICIOS WEB La arquitectura del Nd Servicis Web para el centr de respald es muy similar al del centr principal, cn las siguientes diferencias a mencinar: El equipamient n estará redundad. N se incluye un equip Catalyst 4507R para la intercnexión entre ls Cisc 7204 de cnexión a Internet y ls SSG-550 de firewall entre la DMZ y este ruter, debid al hech de que existe una única cnexión entre ambs equips (Cisc 7204 y SSG- 550) que se puede realizar cn un cable direct, eliminand el punt únic de fall que supndría la inclusión de un switch intermedi. Pr tr lad el sistema IDS/IPS fertad se basa en sndas CISCO IPS 4255 funcinand en md IPS (md in-line ) de frma que se pueda crtar el tráfic cnsiderad cm ataque pr la prpia snda. 157

172 En la DMZ se incluye un equip Catalyst 4507R ttalmente redundand para la cnexión entre el SSG-550 (frntera de la DMZ cn Internet), el Cache/Prxy Web, el ASA5520 que cnecta cn el equips LDAP/DNS y cn ls equips del Nd de servicis. Se muestra la figura crrespndiente a la arquitectura del Nd Servicis Web de Respald situad en Madrid Calle B: Figura 37 Esquema Nd Respald Servicis Web 158

173 9.2.3 CONFIGURACIÓN DE ALTA DISPONIBILIDAD En este apartad se detallarán las slucines adptadas para cnfigurar en alta dispnibilidad ls equips tales cm seguridad, cmunicacines y servidres, según se ha descrit en ls requisits en el capítul anterir ALTA DISPONIBILIDAD EN EQUIPOS DE SEGURIDAD Y COMUNICA- CIONES Alguns de ls equips de cmunicacines que frman parte de la arquitectura de ls cuatr nds descrits anterirmente tales cm, Cnmutadres Catalyst 3845, Switch Blade de Racks de servidres, Cisc 3845 y Cisc 7204, cumplen cuatr tips de redundancia que se especificarn en ls requisits, siend una de estas raznes la causa de su elección, frente a ls demás dispsitivs hardware que se venden actualmente en el mercad: Redundancia fuentes de alimentación: Cisc 3845, Cisc 7204 y Cisc Catalyst 4507R. Redundancia de unidades CPU supervisras: Cisc Catalyst 4507R. Equips redundads: Cisc 7204, Cisc 3845 y Switch Blade de Rack de servidres. Redundancia de placas de puerts: Cisc Catalyst 4507R. De esta frma se alcanza la redundancia ttal en ls camins, prcesamient, en la alimentación eléctrica de ls equips y en ls interfaces de red, teniéndse así una dispnibilidad alta muy alta. Pr tr lad se describen cuales sn ls mecanisms para alcanzar la dispnibilidad en ls demás elements de la arquitectura relacinads cn la seguridad y las cmunicacines, según el tip de infraestructura: Infraestructura de red: Balanceadres de carga: Cnfiguración A/P ó A/A a L5. Optimización de BW: By-Pass hardware en cas de caída. Infraestructura de seguridad: Firewall extern 1: Cnfiguración A/P ó A/A cn distribución estática y mantenimient de ls túneles. 159

174 IPS/IDS: Fail-pen sftware (para el md IPS). Firewall red gestión: Cnfiguración A/P ó A/A en el nd principal. VPN SSL: Cnfiguración A/P cn mantenimient de ls túneles. Firewall intern 2: Cnfiguración A/P ó A/A cn distribución estática. Infraestructura de navegación: Prxy: Cnfiguración transparente balanceada cn balanceadres de carga. Reverse Prxy: Cnfiguración transparente balanceada cn balanceadres de carga. Filtrad de cntenids: Integrad cn Prxy. Balanceads cn balanceadres de carga ALTA DISPOONIBILIDAD DE SERVIDORES Ls sistemas que cmpnen la slución están estructurads en alta dispnibilidad de la siguiente manera, según el sistema perativ que lleven: Aplicacines en md cluster cn Windws 2003 Server Enterprise Editin: Ds servidres en cluster cn sistema perativ Windws 2003 Server Enterprise Editin. Cada servidr dispne de fuente de alimentación y ventiladr redundante. Cnfiguración de discs del S.O. de cada servidr en RAID 1. Aplicacines en md cluster cn HPUX 11: Ds servidres en cluster cn sistema perativ HPUX 11. Cada servidr dispne de fuente de alimentación y ventiladr redundante. Cnfiguración de discs del S.O. de cada servidr en RAID 1. Las aplicacines de alta dispnibilidad para el primer cas, cn Windws, sn: Nd de Servidres Web: SQL server. Servidr de Aplicacines.Net. 160

175 DNS y LDAP. Nd de Acces a Internet: WebSense. SMTP Relay y Trend Micr. DNS y LDAP. Nd Extranet: IBM Web Sphere. Servici Mvistar Empresas. DNS, LDAP y Radius. Nd redes remtas: DNS y LDAP. Las aplicacines de alta dispnibilidad para el segund cas, cn HPUX, sn: Nd de Servidres Web: Oracle. Apache. Bea Web Lgic. Tmcat. Para ls servidres Web se prpne el suministr de balanceadres CISCO CSS11503 para dispner un cluster Activ-Activ. Para ls servidres de Aplicacines y Servidres de Bases de Dats se prpne un funcinamient en md Activ-Pasiv. Pr tr lad ls servidres de Aplicacines y Servidres de BD y Servidres Web dispndrán de puerts de fibra duplicads en su cnexión al área de almacenamient cnslidad, a través de ds switches de fibra redundantes. 161

176 9.2.4 PLATAFORMA DE SEGURIDAD En el presente apartad se describirá la arquitectura usada para la prtección de ls diferentes nds de la platafrma I*NET, pr tr lad se hablará sbre la prtección de cntenids (Navegación y Crre) dejándse para el últim lugar la seguridad en trn a la platafrma de servicis web DESCRIPCIÓNDEL ESQUEMA DE LÍNEAS DE PROTECCIÓN En cuant a la seguridad de ls nds y su arquitectura, se ha vist en apartads anterires, tda la cmplejidad del diseñ, de tdas frmas y cn bjet de simplificar, se puede hacer un diagrama de blques más sencill que englbe las funcinalidades cmentadas anterirmente en mayr detalle. En el esquema que sigue a cntinuación, se puede apreciar este mdel simplificad que se desarrllará en el siguiente punt. Figura 38 Esquema simplificad del Nd Extranet, Internet Crprativ y Redes Remtas 162

177 Figura 39 Esquema simplificad del Nd Servicis Web DESCRIPCIÓN DE LOS SISTEMAS DE PROTECIÓN DE CONTENIDOS Para llevar a cab la prtección de cntenids, se prpne la cmbinación de una serie de herramientas que cnseguirán un nivel de seguridad avanzad tant para el tráfic de navegación cm para el tráfic de crre: Tráfic de navegación Para el cntrl de la navegación dispndrems de una slución antivirus, antiphising y anti-spyware prprcinada pr el IWSS de Trendmicr. La integración se realizará cn el Prxy de Bluecat mediante prtcl ICAP (Prtcl de Adaptación de Cntenid de Internet) cn bjet de maximizar el rendimient y permitir un md de trabaj de escane una vez y servir el cntenid N veces. Se dispndrá además de la herramienta Websense Enterprise, el cual también interactuará cn el Prxy para permitir un cntrl efectiv del acces de ls usuaris a Internet. De esta frma pdrems tener un cntrl avanzad sbre el acces a determinads tips de cntenids, en determinads trams hrari y para determinadas persnas. 163

178 Tráfic de crre Para el cntrl del tráfic de crre se dispndrá de una slución de antivirus SMTP, basad en el IMSS de Trendmicr, el cual realizará las funcines de relay SMTP También se dispndrá de herramientas anti-spam, cm el Spam Preventin Services y el servici RBL (Lista negra Real time Blackhle List) que pretenden realizar un filtrad previ de IPs antes de que llegue el crre al relay PLATAFORMA SERVICIOS WEB Para describir la seguridad en la platafrma de servicis web que sprta el Nd de Servicis Web de la Empresa, se necesitará dividir la infraestructura en las diferentes capas en las que está frmada para una mejr explicación: Capa de acces. Primera línea de firewall. Servicis de la DMZ. Segunda línea de firewall Servidres web. Descripción de la seguridad en la capa de Acces: Esta capa permitirá el enrutamient de las peticines y de las páginas resultantes a ls usuaris que las realizan. Ds ruters Cisc 3845 cn sus respectivas líneas de dats cn Internet se encargarán de realizar esta función cn redundancia y alta dispnibilidad. Descripción de la seguridad en la primera línea de firewall: Cm primera línea de defensa se cntará cn ds firewall SSG-550, seguids de las sndas de detección y prtección cntra intruss ISS Prventia. Descripción de la seguridad Servicis de la DMZ: Dentr de la DMZ se ubicarán ls servicis de LDAP y DNS en un servidr redundante y cn alta dispnibilidad, necesaris para el crrect direccinamient de ls elements ubicads en el nd. Así mism, se instalará un prxy revers BlueCat en redundancia y alta dispnibilidad, que estará, además, cn balance de carga mediante el us de dispsitivs 164

179 CSS El prxy revers será el encargad de canalizar tdas las peticines a la capa de presentación de ls servidres web. Descripción de la seguridad en la segunda línea de firewall: Ls servidres web estarán separads de la DMZ mediante la segunda línea de firewall, que permitirá la intrducción de plíticas de seguridad más restrictivas que las incrpradas en la primera línea de firewall. Ls dispsitivs seleccinads para esta función han sid ls ASA5520, en redundancia y cn alta dispnibilidad del servici firewall. Descripción de la seguridad en ls Servidres Web: La arquitectura de ls servidres web, que estará ubicada en la Red General de la Empresa, estará dividida en tres capas: Presentación. Aplicación. Back-end/base de dats. La capa de Presentación de ls servidres web estará cnfigurada en ds blades BL60p balanceads pr 2 dispsitivs CSS Ests servidres ejecutarán el sftware de servidr de páginas web Apache baj un sistema perativ HP-UX. Las páginas que frezcan un cntenid de un servidr de aplicacines estarán almacenadas en el disc dur lcal, mientras que ls cntenids estátics publicads serán cnslidads en la red de área de almacenamient (SAN). La capa de Aplicación estará frmada pr 6 servidres que prprcinarán 3 servicis: Servidr BEA WebLgic: El servici será prprcinad pr ds blades BL60p cn sistema perativ HP-UX, cnfigurads en md cluster para prprcinar redundancia y alta dispnibilidad al mism. El cntenid del servidr será cnslidad en la red de área de almacenamient. La licencia del prduct Bea WebLgic será prprcinada pr la Empresa. Servidr Tmcat: El servici será prprcinad pr ds blades BL60p cn sistema perativ HP-UX, cnfigurads en md cluster para prprcinar redundancia y alta dispnibilidad al mism. El cntenid del servidr será cnslidad en la red de área de almacenamient. 165

180 Servidr.Net: El servici será prprcinad pr ds blades BL20p cn sistema perativ Windws 2003, cnfigurads en md cluster para prprcinar redundancia y alta dispnibilidad al mism. El cntenid del servidr será cnslidad en la red de área de almacenamient. La capa de Back-end cntendrá ls servidres de bases de dats que serán usads pr ls servidres de aplicacines para prprcinar cntenid dinámic. Estará frmada pr 4 servidres distribuids de la siguiente frma: Servidr Oracle: El servici será prprcinad pr ds blades BL60p cn sistema perativ HP-UX, cnfigurads en md cluster para prprcinar redundancia y alta dispnibilidad al mism. El cntenid del servidr será cnslidad en la red de área de almacenamient. La licencia del prduct Oracle Database Server será prprcinada pr la Empresa. Servidr Sql Server: El servici será prprcinad pr ds blades BL20p cn sistema perativ Windws 2003, cnfigurads en md cluster para prprcinar redundancia y alta dispnibilidad al mism. El cntenid del servidr será cnslidad en la red de área de almacenamient. La licencia del prduct Micrsft Sql Server será prprcinada pr la Empresa ACCESO USUARIOS REMOTOS Cm se ha descrit en la arquitectura del Nd Extranet, ls usuaris remts van a tener la psibilidad de acceder de frma segura a las aplicacines, para ell se ha prpuest la tecnlgía SSL-VPN que incrpran ls ds dispsitivs Juniper SA En este apartad se detallará de frma más exhaustiva y detallada el funcinamient de ests equips y la razón de su us: Ests equips permiten establecer de frma sencilla, una slución de seguridad para ls access remts, creand redes privadas virtuales basadas en el prtcl SSL (SSL-VPN), de frma, que sin necesidad de dispner de ningún sftware especial en ls puests de trabaj de ls usuaris, sl necesitan un navegadr web, pueden acceder a las aplicacines internas que tengan permis. 166

181 Básicamente, este equipamient realiza las funcines de Prxy entre las aplicacines internas y ls usuaris de Internet. Su funcinamient es muy parecid a un prxy invers, ls usuaris remts una vez autentificads ya sea cn: RADIUS. LDAP. Windws NT Dmain. Active Directry. UNIX NIS, X.509v3. Base de dats nativa. Sistemas de autentificación de dble factr: ActivCard, RSA, SafeWrd. Acceden a un prtal tip Web, en dnde se muestran las aplicacines que tiene permis. Ls ds equips de acces remt (Juniper SA-6000) se ubicaran en la DMZ de ls Firewalls de primer nivel del Nd Extranet. Tendrán asignada una dirección IP Pública, que será la que utilicen ls usuaris remts para acceder al prtal Web de aplicacines. En ls Firewalls de primer nivel se cnfigurara una regla específica de permiss de acces pr el puert 443 (SSL) a ls equips Juniper ACCESO A TERCEROS Al describirse la slución para el Nd Extranet se bviarn alguns aspects relacinads cn el mecanism de acces de tercers (Oficina en el Extranjer, TME-Móviles, BBVA, ARANZADI) pr tant se ha creíd cnveniente describir la slución del acces a tercers, siend infrmación cmplementaria a l antes presentad en apartads anterires. En primer lugar se dirá que el acces a tercers es través de cnexines seriales de 2Mbps a ruters Cisc 3845 y a través del enlace HSSI de ls misms ruters. Ests ruters Cisc 3845 dispnen de la versión de firmware IOS Advance IP services que permiten entre tras funcinalidades las de cifrad DES, 3DES, AES 128 y AES 256, así cm el establecimient de túneles, pr tant se establecerán túneles site-t-site, entres ls ruters de Internet y ls de las entidades(tercers). 167

182 Ls ruters 3845, estarán en alta dispnibilidad (HSRP/VRRP) tant ps sus enlaces seriales cm pr sus enlaces 10/100/1000 BaseT, ests últims cnectarán a ls equips Cisc 3845 de la zna de Internet del Nd Extranet, pr tant en ls dispsitivs SSG-550, se establecerán mecanisms más fuertes de seguridad, a nivel de usuari, cm la autenticación de ls usuaris vía certificads u trs. Pr últim, en cas de tener que acceder al centr de respald, la única diferencia es que tant ls ruters de acces de tercers cm ls de Internet n estarán en alta dispnibilidad, al ser un sl dispsitivs en cada nivel (acces a tercers e Internet) ACCESO RTB/RDSI En cuant a ls access vía RTB RDSI se recgerán en sends servidres de acces Cisc AS5350, dimensinads cada un de ells para admitir 60 llamadas simultáneas RDSI RTB (V.90). Una vez establecida la cnexión validand el usuari cntra un servidr RADIUS que a su vez cmprueba y asigna perfiles en función de la base de dats LDAP existente en la DMZ (réplica de la de DICOE). Pasarán directamente a estar cnectads cm si estuvieran físicamente en la DMZ, teniend que atravesar tda la electrónica de red necesaria para llegar a la Red General ACCESO USUARIOS EN EL EXTRANJERO Ls access de usuaris desde el extranjer, serán a través de las redes remtas e Internet. Pudiend según ls cass establecerse una VPN Ipsec site-t-site cntra ls ruters de Internet, cntra ls Firewalls SSG-550 (tienen capacidad de cncentración de VPN), cn clientes IPSEC de dispsitivs tip PC prtátil. Al existir un segund nivel de firewall cn ls ASA5520 se pdría llegar a una VPN IPSec de un usuari final cn un cliente ipsec sftware cntra el ASA5520, embebida dentr de una VPN site t site entre un ruter firewall en la red remta cntra un SSG-550.dentr de tra VPN ipsec, aunque pr requisits dentr de la DMZ será en text clar. 168

183 9.2.9 PLATAFORMA PARA NAVEGACIÓN La platafrma de navegación está frmada pr una slución de navegación segura en el Nd Extranet y nd Extranet de Respald y una slución de prtección web en el Nd de Internet Crprativ, Internet Crprativ de Respald y Nd Servicis Web, Servicis Web de Respald DESCRIPCIÓN Y ESQUEMA D ELA PLATAFORMA DE NAVEGACIÓN En la figura que se muestra a cntinuación, se puede apreciar este mdel simplificad de la Platafrma de Navegación Seguridad del Nd Extranet y el Nd Internet Crprativa. Figura 40 Esquema simplificad de la Platafrma de Navegación Cm se muestra en el esquema de la figura anterir, para la navegación segura en el Nd Extranet y el Nd Internet Crprativ se ha prpuest balancear ls Prxy Bluecat cn una pareja de balanceadres CSS Ls balanceadres estarán cnfigurads cn una VIP (Virtual IP) que será la que respnda a las peticines de ls usuaris. Pr tr lad, para prteger ls servicis Web públics del Empresa en el nd de Servicis Web, se ha prpuest la implantación de ds Prxy Revers Bluecat balanceads pr ds Cisc CSS Ests equips se ubicaran en la DMZ de la primera línea de Firewalls. El balanceadr será el equip que reciba las peticines de ls usuaris, para ell estará cnfigu- 169

184 rad cn una varias VIP (Virtual IP) que será la dirección virtual que resuelvan hacia las peticines de ls Prxy Revers Bluecat. Ests albergaran el cntenid de ls servidres Web situads en la zna interna. Figura 41 Esquema simplificad de Prtección Servicis Web DESCRIPCIÓN CAPACIDADES DE CONTROL DE ACCESO A CONTE- NIDOS Para desarrllar una línea de defensa en trn a puert TCP 80, (punt a través del que se cursan las peticines y respuestas HTTP), se aprvecha la lcalización estratégica del Prxy cm punt de pas de td el tráfic HTTP hacia / desde Internet. Las funcinalidades que esta arquitectura tal y cm se ha prpuest frece sn las siguientes: Autentificación de usuaris que desean salir a Internet e interperabilidad para este fin cn bases de dats externas LDAP, RADIUS y NTLM. Cntrl del cntenid que se descarga. Cmpnentes activs (JavaScript, Active X, Java, VisualScript), URLs y descargas de fichers a través de HTTP dwnlad. Cntrl antivirus apyándse en la slución de antivirus web Interscan Web Security Suite, mediante el prtcl ICAP. Inspección de cntenids a través del análisis de URLs categrizadas en la base de dats de filtradr de URL Websense. 170

185 CORREO MÓVIL El servici de crre móvil será prprcinad pr ds prducts: IBM WebSphere Every- Place Access y el servici para empresas de la Operadra Telefónica. IBM WebSphere EveryPlace Access será instalad en el nd Extranet principal en ds servidres clusterizads para prprcinar redundancia y alta dispnibilidad del servici. En el nd de respald será instalad en un únic servidr. Su función será la de permitir la sincrnización del crre crprativ cn ls dispsitivs móviles. El Servici para empresas de la OT prprcinará el reenví del crre a ls dispsitivs móviles, usand para ell una pasarela de crre que será instalada en ds servidres clusterizads en el nd Extranet principal, prprcinand redundancia y alta dispnibilidad del servici. En el nd de respald será instalad en un únic servidr PLATAFORMA DE SMTP RELAY Para la platafrma SMTP RELAY se usará el sftware de Trend Micr InterScan Virus- Wall Enterprise Editin, cn Internet Messaging Security Suite. Este sftware será instalad y cnfigurad en ds servidres del nd de Internet Crprativ principal, que serán balanceads mediante dispsitivs CSS11503, l cual le prprcinará tlerancia a falls, alta dispnibilidad y aument de prestacines. En el nd de respald irá instalad en un únic servidr. El servici estará integrad cn el sistema de antispam de tal frma que se permita una crrecta gestión y rechaz de ls crres n slicitads SERVICIO DNS Cm se ha vist en las sucesivas arquitecturas de cada nd que cnfrma la infraestructura I*NET, el servici DNS estará dispnible tant en el principal cm en el de respald. En ls nds principales estará instalad en un cluster, aunque n estará clusterizad, sin activ en ls ds nds simultáneamente. En ls nds de respald estará instalad en un únic servidr. En cuant al sftware se utilizará el sistema perativ Windws

186 Funcines del DNS: El DNS gestinará ls nmbres de dmini de la Empresa en el nd de Internet Crprativa, tant para ls servicis de navegación cm para el crre. En tds ls nds será utilizad para la reslución de direccines de ls servicis de la DMZ, así cm de aquellas tras direccines, ya sean de Internet, Intranet Administrativa, etc., que sean necesarias para el crrect funcinamient del sistema. Se gestinará la inclusión y direccinamient de ls nmbres de dmini de la Empresa en ls servidres DNS de dmini públic de nivel superir, actuand cm intermediari entre el rganism ficial crrespndiente para la gestión de nmbres de dmini y la Empresa DIRECTORIO ACTIVO Cn respect al LDAP se cmentará la utilización de réplicas y sincrnizads en cada un de ls nds, de ls dats de directri LDAP principal, a través de la platafrma actual de CP Meta-Directry Server versión 4.2: Para ell, en ls nds principales se utilizará un cluster de ds servidres que permita el mantenimient de una réplica LDAP del metadirectri y que prprcine redundancia y alta dispnibilidad al servici. En ls nds de respald el servici estará prprcinad pr un únic servidr, que cntendrá la réplica del LDAP. Cada un de ls cuatr nds principales tendrá su prpi cluster cn el servici LDAP, y cada un de ls cuatr nds de respald tendrá su prpi servidr cn el servici LDAP. Dependiend del nivel de acces autentificad a la infrmación, se dispndrá de acces de lectura, escritura y administración. Cuand la PKI de la Empresa esté cmpletamente desplegada, se pdrá usar el directri LDAP/X.500 prprcinad pr el CP Directry Server y el CP Meta-Directry Server para publicar ls certificads de usuari y las listas de revcación de certificads SERVIDOR RADIUS En cuant al servidr Radius Cisc Secure ACS se instalara en un cluster cn Windws 2003 Server dentr del Nd Extranet Principal. Las funcines que realizará se describen a cntinuación: 172

187 El servidr radius hará las funcines de autententicación de ls usuaris que a través de la red de acces RTB/RDSI acceden a la DMZ del Nd Extranet a través del servidr RAS Cisc AS5350. El servidr radius a su vez verificará la identidad de ls usuaris que intentan acceder al Nd a través de la réplica de LDAP (DICOE) instalad en el Nd Extranet. En el cas del Centr de respald la cnfiguración será similar, cn la única diferencia de que el equipamient n estará redundad en ningun de sus cmpnentes ANTIVIRUS La slución que se adptará en el cas del antivirus se basa en una arquitectura pr capas ya que cn ésta se cnsigue una mayr practividad, un mayr grad de cntrl y una mayr granularidad a la hra de prevenir infeccines masivas: Capa perimetral. Capa de servidres. Capa de puest de usuari. Capa Perimetral: Trend Micr InterScan Viruswall Enterprise Editin (incluye IMSS e IWSS): MSS es una pasarela (gateway) de crre SMTP que permite filtrar ls crres antes de su entrega a la MTA (Agente de Trasferencia de Crre) de destin. La cnfiguración prpuesta incluye la cnfiguración del mtr de relay del prduct cn bjet de enrutar el crre a ls dminis de destin. Se cnfigurará cm servici balancead gracias a la utilización de un par de balanceadres de Cisc sbre un par de máquinas Windws. IWSS es una pasarela para el tráfic http / ftp, que permite un filtrad de este tip de tráfic cn alt rendimient para evitar la latencia típica de este tip de prducts. IWSS permite integración directa cn el Prxy de Bluecat mediante prtcl ICAP, cn bjet de mejrar el rendimient de escane. La 173

188 slución IWSS será en frmat appliance, tratándse de ds equips Trend Micr IWSS Security Appliance 2500, que ya psee la Empresa. Trend Micr Spam Preventin Slutin: La herramienta de anti-spam SPS de Trendmicr, prprcina un ptente servici de anti-spam mediante la cmbinación de diferentes metdlgías / filtrs de detección de este tip de tráfic: tecnlgías heurísticas, bayesians, listas blancas, etc. La integración cn la herramienta de pasarela de crre IMSS es ttal. La instalación de la herramienta de anti-spam se puede realizar bien sbre la misma máquina dnde esté instalad el antivirus de pasarela, bien en una máquina dedicada. Trend Micr Netwrk Anti-Spam Service (incluid RBL + Servici): Este servici de anti-spam cmplementa al SPS mediante un filtrad previ de IPs definidas cm spammers. De esta frma y mediante filtrs de reputación es psible eliminar gran parte del spam en el rigen, sin que llegue a ser prcesadr pr el relay de crre. Trend Micr Cntrl Manager: La suite de Trendmicr dispne de una herramienta de gestión centralizada Trend Micr Cntrl Manager (TMCM), que permite dispner de un únic punt de administración y de definición de plíticas, l que facilita enrmemente la gestión evitand psibles incngruencias en la plítica de seguridad. Capa de Servidres: McAfee VirusScan Enterprise 8i: Para la prtección de servidres se dispndrá licencias de antivirus de tr fabricante (McAfee). 174

189 DESCRIPCIÓN DE LA GESTIÓN DE USUARIOS Ls mecanisms de autenticación de ls diferentes nds prpuests serán de una frma diferente según ls requisits del cliente de ls servicis que frezca: Nd Extranet: Cuand se despliegue en su ttalidad la PKI del Empresa, se integrará ls servicis en DMZ cn dicha PKI, según el tip de usuari se tendrá: Líneas dedicadas cn tercers: Cnexión al punt de acces de tercers (ruter dedicad cn capacidad de cifrad). Internet: Integración de la VPN SSL cn la PKI y el directri. GPRS/UMTS: Autenticación cn Radius e integración cn repsitri LDAP. RDSI/RTB: Acces hacia servidr de acces remt y autenticación cntra servidr Radius. Intranet Administrativa AGE: Integración de ls elements de la DMZ administrativa. Nd Redes Remtas: Utilización de certificads emitids pr la PKI del Empresa para la implementación de VPN IPSec. Servicis LDAP para la revcación de certificads de la PKI. Nd Internet Crprativa: La utilización de un Prxy de navegación cn cntrl de cntenids puede permitir la autenticación de ls usuaris de frma previa al acces a la navegación, mediante integración cn LDAP, X.509, Radius, etc. Permitiend la definición de plíticas de navegación en función del perfil asciad del usuari. 175

190 Nd Servicis Web: La terminación del tráfic SSL se realizará en el reverse Prxy, dnde se aplicará aceleración de tráfic. El tráfic entre el reverse Prxy y el servidr puede viajar en clar re-encriptad. Una vez esté cmpletamente desplegada la PKI de la Empresa, se integrarán ls servicis de DMZ DISTRIBUCIÓN DE SERVIDORES Una vez se han descrit tds ls elements hardware de la slución prpuesta, se mstrará en la siguiente tabla la distribución de servidres cn sus aplicacines en ls centrs principal y alternativ. Principal Alternativ Nd y Aplicacines Equip Sistema Operativ Nº Bastidr Chasis Nº Bastidr Chasis Nº Bastidr Chasis Servidres Web BBDD Appli Server Cluster BL60p 2 Itanium 4 GB RAM HBA HP-UX 1 B1C1 1 B1C2 1 B3C1 Cluster BL20p 2 Xen 4 GB RAM HBA Win B1C1 1 B1C2 1 B3C1 Cluster BL60p 2 Itanium 4 GB RAM HBA HP-UX 2 B1C1 2 B1C2 2 B3C1 Cluster BL20p 2 Xen 4 GB RAM HBA Win B1C1 1 B1C2 1 B3C1 Web server Cluster BL60p 2 Itanium 4 GB RAM HBA HP-UX 1 B1C1 1 B1C2 1 B3C1 DNS y LDAP Cluster BL20p 2 Xen 4 GB RAM Win B1C1 1 B1C2 1 B3C1 Acces Internet Filtrad Cntenid Web Cluster BL20p 2 Xen 4 GB RAM Win B1C3 1 B1C3 1 B3C2 Crre y Antispam Cluster BL20p 2 Xen 4 GB RAM Win B1C3 1 B1C3 1 B3C2 DNS y LDAP Cluster BL20p 2 Xen 4 GB RAM Win B1C3 1 B1C3 1 B3C2 Extranet Crre Móvil Cluster BL20p 2 Xen 4 GB RAM Win B1C4 1 B1C4 1 B3C2 Pasarela y LDAP RW Cluster BL20p 2 Xen 4 GB RAM Win B1C4 1 B1C4 1 B3C2 176

191 DNS y LDAP y Radius Cluster BL20p 2 Xen 4 GB RAM Win B1C4 1 B1C4 1 B3C2 Redes Remtas DNS y LDAP Cluster BL20p 2 Xen 4 GB RAM Win B1C4 1 B1C4 1 B3C2 Gestión Remta Gestión Cluster BL20p 2 Xen 4 GB RAM Win B2C1 1 B2C1 1 B3C3 Gestión RDP BL20p (sin Cluster) 2 Xen 4 GB RAM Win B2C1 1 B3C3 Tabla 16 Distribución de ls servidres en Chasis y Bastidres El centr principal tiene sus equips en alta dispnibilidad, md cluster, mientras que el alternativ n dispne de ella. Partiend de esta premisa se han redundad ls equips del centr principal y n ls del alternativ. Se han clcad ls servidres blade en ls chasis (C) y bastidres (B) de tal frma que se puedan agrupar de frma cnjunta tds ls incluids en el mism nd según el centr de que se trate (Véase Tabla 16). Así, resulta que se necesitan 3 bastidres, 2 para el centr principal y 1 para el alternativ, y ls chasis cn ls servidres se agrupan de la siguiente manera: En el Nd principal: Nd de Servidres Web: Se necesitan 2 chasis (B1C1, B1C2) para 14 equips. Nd de Acces a Internet: se necesita 1 chasis (B1C3) para 6 equips. Nds de Extranet y Redes Remtas: Se necesita 1 chasis (B1C4) para 8 equips. Gestión remta: Se necesita 1 chasis (B2C1) para 3 equips. En el Nd de Respald: Nd de Servidres web: Se necesita 1 chasis (B3C1) para 7 equips. Nds de acces a internet, extranet y redes remtas: Se necesita 1 chasis (B3C2) para 7 equips. Gestión remta: Se necesita 1 chasis (B3C3) para 2 equips. 177

192 INSTALACIÓN DE LA INFRAESTRUCTURA La instalación de tda la infraestructura del Nd Principal será en el Centr Tecnlógic de la Empresa que psee en Madrid Calle A, pr tr lad el Nd de Respald se dispndrá en el Centr de Respald de Madrid Calle B. Pr tant en ess lugares se suministrarán e instalarán ls bastidres, elements auxiliares de intercnexión, cableads de dats y cableads de alimentación necesaris, para aljar e intercnexinar la ttalidad del equipamient, a excepción de ls servidres y switch asciads a ests, que en cnfiguración Blade, se instalará en ls bastidres de servidres. Las características principales de ests bastidres sn: Dimensines: 800x800mm 42U 19. Puertas dbles perfradas. Tapas laterales. Unidad de ventilación de alterna. Elements guía-cables en ls laterales. Las características principales del cablead de intercnexión LAN sn: Paneles AMP Categría 6 UTP de 24 puerts. Latiguills RJ45 Panel Categría 6. Cables de intercnexión, guía-cables, bridas de sujeción y rtulación en ambs extrems cn númers UNEX 1811 y/ banderla autadhesiva. Las características principales del cnexinad de alimentación de crriente alterna sn: Cables de alimentación cn cnductr de cbre electrlític, tensión nminal 1kV, resistente a glpes, n prpagadr de llama según nrma UNE y resistente al agua. Las cnexines de alimentación entre ls bastidres de cmunicacines y ls cuadrs generales de distribución de crriente alterna se realizarán entubadas sbre tub de acer flexible 40 mm (PG-29). Dentr de cada bastidr de cmunicacines se suministrarán e instalarán paneles de distribución de alimentación que cntendrán cada un de ells ds entradas indepen- 178

193 dientes (Suministr A y B) cn prtección diferencial y magnettérmica a partir de las cuales se generan las salidas mediante disyuntr que alimentan a la ttalidad de equips aljads en dich bastidr CENTRO TECNOLÓGICO DE LA EMPRESA Cm se ha explicad en el apartad anterir ls nds estarán instalads en el Centr Tecnlógic de la Empresa, pr tant en este punt se detallan ls equips aljads en cada un de ls bastidres de cmunicacines situads dentr del Centr y que tendrán una separación física para cada un de ls nds BASTIDORES DEL NODO EXTRANET Ls bastidres de cmunicacines de este nd l cmpnen ds bastidres, cn las características descritas anterirmente, y cuya denminación y equipamient es el siguiente: Bastidr de Cnmutación Nd Extranet: Descripción Cantidad Catalyst 4507R 2 Paneles UTP Categría 6 de 24 puerts 2 Panel cnexión a bastidr de Servidres 1 Panel cnexión a bastidr de Electrónica de Seguridad y Cmunicacines 1 Tabla 17 Bastidr Nd Extranet Bastidr de Electrónica de Seguridad y Cmunicacines del Nd Extranet: Descripción Cantidad CISCO AS Juniper SSG IDS/IPS ISS Prventia 2 Juniper 6000SA 2 179

194 Descripción Cantidad CSS PrxySG ASA Panel de cnexión a bastidr de Servidres 1 Panel de cnexión a bastidr de Cnmutación 1 Tabla 18 Bastidr Electrónica y Seguridad del Nd Extranet BASTIDOR NODO ACCESO INTERNET Ls bastidres de cmunicacines de este nd l cmpnen ds bastidres, cn las características descritas anterirmente, y cuya denminación y equipamient es el siguiente: Bastidr de Cnmutación Nd Acces Internet: Descripción Cantidad Catalyst 4507R 2 Paneles UTP Categría 6 de 24 puerts 2 Panel cnexión a bastidr de Servidres 1 Panel cnexión a bastidr de Electrónica de Seguridad y Cmunicacines 1 Tabla 19 Bastidr Nd Acces Internet Bastidr de Electrónica de Seguridad y Cmunicacines Nd Acces Internet: Descripción Cantidad CISCO Juniper SSG IDS/IPS Prventia 2 CSS

195 Descripción Cantidad PrxySG TrendMicr IWSS 2 Packeteer 2 ASA Panel de cnexión a bastidr de Servidres 1 Panel de cnexión a bastidr de Cnmutación 1 Tabla 20 Bastidr Electrónic y Seguridad del Nd Acces Internet BASTIDOR NODO REDES REMOTAS El bastidr de cmunicacines de este nd l cmpne un bastidr, cn las características descritas anterirmente, y cuya denminación y equipamient es el siguiente: Bastidr de Cnmutación/Electrónica de Seguridad y Cmunicacines Nd Redes Remtas: Descripción Cantidad Catalyst 4507R 2 Paneles UTP Categría 6 de 24 puerts 2 Panel cnexión a bastidr de Servidres 1 Panel cnexión a bastidr de Electrónica de Seguridad y Cmunicacines 1 Tabla 21 Bastidr Redes Remtas I Bastidr de Electrónica de Seguridad y Cmunicacines Nd Redes Remtas: Descripción Cantidad CISCO Catalyst CISCO

196 Descripción Cantidad Paneles UTP Categría 6 de 24 puerts 2 Panel cnexión a bastidr de Servidres 1 Juniper SSG IDS Prventia 2 ASA Tabla 22 Bastidr Redes Remtas II BASTIDOR NODO DE SERVICIOS WEB Ls bastidres de cmunicacines de este nd l cmpnen ds bastidres, cn las características descritas anterirmente, y cuya denminación y equipamient es el siguiente: Bastidr de Cnmutación Nd Servicis WEB: Descripción Cantidad Catalyst 4507R 2 Paneles UTP Categría 6 de 24 puerts 2 Panel cnexión a bastidr de Servidres 1 Panel cnexión a bastidr de Electrónica de Seguridad y Cmunicacines 1 Tabla 23 Bastidr Nd Servicis Web Bastidr de Electrónica de Seguridad y Cmunicacines Nd Acces Internet: Descripción Cantidad CISCO Juniper SSG IDS Prventia 2 CSS

197 Descripción Cantidad PrxySG ASA Panel de cnexión a bastidr de Servidres 1 Panel de cnexión a bastidr de Cnmutación 1 Tabla 24 Bastidr Electrónica y Cmunicacines Nd Acces Internet RED DE GESTIÓN La red de Gestión estará cnstituida pr un servidr, el bastidr de cmunicacines de este nd l cmpne un bastidr, cn las características descritas anterirmente, y cuya denminación y equipamient es el siguiente: Bastidr Red de Gestión: Descripción Cantidad Catalyst 4507R 1 Paneles UTP Categría 6 de 24 puerts 4 Paneles de cnexión a bastidres de Servidres 2 Paneles de cnexión a bastidres de Electrónica de Seguridad y Cmunicacines 4 ASA Tabla 25 Bastidr Red de Gestión CENTRO DE RESPALDO A cntinuación se detallan ls equips aljads en cada un de ls bastidres de cmunicacines situads en el Centr de Respald Calle B, cada nd tendrán pr seguridad una separación física, entre tr nd BASTIDOR DE RESPALDO NODO EXTRANET El bastidr de cmunicacines de este nd l cmpne un bastidr, cn las características descritas anterirmente, y cuya denminación y equipamient es el siguiente: 183

198 Bastidr de Electrónica de Seguridad, Cmunicacines y Cnmutación Nd Extranet: Descripción Cantidad CISCO Catalyst 4507R 1 Paneles UTP Categría 6 de 24 puerts 1 Panel cnexión a bastidr de Servidres 1 AS5350XM 1 Juniper SSG ISS Prventia 1 Juniper 6000SA 1 PrxySG ASA Tabla 26 Bastidr Nd Extranet de Respald BASTIDOR DE RESPALDO ACCESO A INTERNET El bastidr de cmunicacines de este nd l cmpne un bastidr, cn las características descritas anterirmente, y cuya denminación y equipamient es el siguiente: Bastidr de Electrónica de Seguridad, Cmunicacines y Cnmutación Nd Acces Internet: Descripción Cantidad CISCO Catalyst 4507R 1 Paneles UTP Categría 6 de 24 puerts 1 Panel cnexión a bastidr de Servidres 1 Juniper SSG

199 Descripción Cantidad Cisc IPS TrendMicr IWSS 1 PrxySG Packeteer 1 ASA Tabla 27 Bastidr Nd Acces a Internet de Respald BASTIDOR DE RESPALDO REDES REMOTAS El bastidr de cmunicacines de este nd l cmpne un bastidr, cn las características descritas anterirmente, y cuya denminación y equipamient es el siguiente: Bastidr de Electrónica de Seguridad, Cmunicacines y Cnmutación Nd Redes Remtas: Descripción Cantidad CISCO Catalyst CISCO Catalyst 4507R 1 Paneles UTP Categría 6 de 24 puerts 1 Panel cnexión a bastidr de Servidres 1 Juniper SSG Cisc IPS ASA Tabla 28 Bastidr Nd Redes Remtas de Respald 185

200 BASTIDOR DE RESPALDO SERVICIOS WEB El bastidr de cmunicacines de este nd l cmpne un bastidr, cn las características descritas anterirmente, y cuya denminación y equipamient es el siguiente: Bastidr de Cnmutación/Electrónica de Seguridad y Cmunicacines Nd Servicis WEB: Descripción Cantidad CISCO Catalyst 4507R 1 Paneles UTP Categría 6 de 24 puerts 1 Panel cnexión a bastidr de Servidres 1 Juniper SSG Cisc IPS BlueCat 1 ASA Tabla 29 Bastidr Nd Servicis web de Respald BASTIDOR DE RESPALDO RED DE GESTIÓN El bastidr de cmunicacines de este nd l cmpne un bastidr, cn las características descritas anterirmente, y cuya denminación y equipamient es el siguiente: Bastidr Red de Gestión: Descripción Cantidad Catalyst 4507R 1 Paneles UTP Categría 6 de 24 puerts 2 Paneles de cnexión a bastidres de Servidres 1 Paneles de cnexión a bastidres de Electrónica de Seguridad y Cmunicacines 4 186

201 Descripción Cantidad ASA Tabla 30 Bastidr Red de gestión de Respald Para más infrmación referente al equip Hardware junt cn sus características detalladas, véase ANEXO I. 9.3 FASE DE IMPLANTACIÓN Una vez se ha explicad y detallad td l relacinad cn la arquitectura Hardware, Sftware y de Cmunicacines que cnlleva la implantación de la infraestructura I*NET, se detallará en este apartad la planificación de la implantación, teniéndse en cuenta las indicacines que se prpnen en ls requisits dads pr la Empresa. Pr mtivs que tiene que ver cn el ámbit y ls límites del pryect, n se han tenid en cuenta las partes del pryect que tienen que ver cn: Gestión del Pryect. Garantía de Calidad. Frmación de ls Empleads de la Empresa. Plan de Cnfiguración. Plan de Riesgs. Gestión del Servici. Pr tant n se han añadid ninguna de estas partes, slamente las relacinadas cn las fases de implantación y plan de cntingencia del Pryect. Finalmente se muestra en la figura siguiente un Diagrama de Gantt, dnde se especifican las fechas de inici y fin de la implantación, siend el 1 de Nviembre de 2010 cuand cmenzará las labres iniciales de implantación y el 31 de Juli de 2011 fecha fijada para el fin de ls trabajs. 187

202 Figura 42 Fases de Implantación prpuestas del Pryect 9.4 PLAN DE CONTINGENCIA El últim punt de la slución técnica se centrará en el plan de cntingencia que se ha diseñad en cas de falls graves en el sistema, cn él se asegurará la cntinuidad del negci y de tds ls servicis, en el mínim tiemp psible y de manera segura. Tds ls nds sn infraestructuras físicamente separadas entre sí per que cmparten su ubicación en un únic CPD Principal. Ls cuatr nds cuentan cn un únic CPD de Respald de similares características al principal. Se recrdará ls requisits específics respect a la dispnibilidad y respuesta ante cntingencias de la infraestructura I*Net: RQ_GN_14: En el centr Principal, tds ls dispsitivs/prducts deberán se redundantes y estar en alta dispnibilidad. Se describirán y se tendrán en cuenta en el pryect ls dispsitivs intermedis (cnmutadres/balanceadres de carga, cntrladres de anch de banda, etc.) que se cnsideren necesaris para frecer una alta dispnibilidad de ls servicis 188

203 RQ_GN_15: Se deberá definir un Plan de Cntingencia que abarque ls cmpnentes especificads en cada nd. El Plan de Cntingencia cntemplará la recuperación en el centr de Respald de ls servicis frecids pr cada un de ls nds para garantizar la cntinuidad, así cm una psterir vuelta a la nrmalidad. RQ_GN_16: De frma general el Plan de Cntingencia, deberá incluir: Prcedimients específics de cpia de seguridad y recuperación de dichas cpias de seguridad. Identificación de ls respnsables que intervienen en el Plan, de sus rles y de sus respnsabilidades (Obtención y lcalización de recurss). Tips de Cntingencia y Cndicines de Activación (Psibles falls, indicand medidas inmediatas así cm las cndicines que deberá prducirse para activar glbalmente el Plan). Prcedimients de Recuperación de Servici (Prces de recuperación de la actividad en el Centr de Respald). Prcedimients de Retrn al Estad Inicial (medidas y accines para devlver la perativa al Centr Principal). El prcedimient de actualización ha de ser autmátic. La cnfiguración de ls elements del Centr Principal ha de estar replicada en el nd de respald). RQ_GN_17: En cas de cntingencia mayr que impida el funcinamient del Centr Principal, en mens de 8 hras la infraestructura del Centr de Respald prprcinará ls servicis de ls Nds del Mdel I*Net, cn un 100% de peratividad de ls elements de seguridad. RQ_GN_18: La infraestructura de respald se mantendrá hasta que se haya recuperad el 100% de ls servicis en el Centr Principal y finalizad el prtcl de pruebas crrespndientes. La reactivación del servici principal se llevará a cab a petición explicita de ls Respnsables Técnics de la Empresa. RQ_GN_19: Se cntemplará en la slución adptada de manera explícita un númer de pruebas anuales mínimas n inferir a ds. Estas pruebas se realizarán a petición 189

204 de ls Respnsables Técnics de la Empresa y siempre baj la aprbación de dichs Respnsables Técnics DESCRIPCIÓN DE LAS TAREAS El Plan de Cntingencia estará dividid en cuatr fases bien diferenciadas, una vez se describan, se detallarán las tareas más relevantes que cnfrman cada fase analizada cn anteriridad, para así tener una mayr visión de la slución dada en cas de desastre en el sistema de la Empresa FASE DE INICIO Esta fase es una aprximación sistemática a las características del negci y ls sistemas de Infrmación y Cmunicacines de la Empresa, cn el bjet de determinar ls riesgs peracinales asciads a este, así cm el grad de vulnerabilidad que puede y debe sprtar. Durante esta fase se llevará a cab la identificación de criticidades y riesgs de la Infrmación. Se desarrllarán las siguientes tareas: Tarea 1: Lanzamient del plan de cntingencia Se celebrará una reunión de lanzamient en la cual se presentará al equip que abrdará el plan, se repasará el desarrll del plan en su cnjunt, se abrdará el desarrll de las próximas tareas y se intentará fijar un calendari de reunines que permitan cumplir ls bjetivs de esta fase inicial. Tarea 2: Identificación y recpilación de infrmación sbre ls Sistemas de Infrmación y Cmunicacines de la Empresa y ls prcedimients de gestión de ls misms Cnsiste en realizar recpilar la infrmación dispnible y más actualizada sbre las características cmpletas de ls Sistemas de Infrmación y Cmunicacines de la Empresa y ls prcedimients de gestión y expltación de ls misms. Tarea 3: Cierre de Fase Se analizará, cn el Crdinadr del Pryect de la Empresa el resultad del trabaj realizad en esta primera fase, y se preparará la siguiente. 190

205 FASE 2: DISEÑO DEL PLAN ANTE DESASTRE DE LA INFRAESTRUC- TURA Se desarrllarán las siguientes tareas: Tarea 1: Diseñ de la estrategia glbal de respald Se analizarán las distintas alternativas existentes en cuant a ls elements clave de la estrategia del Plan de Cntingencias y se cntrastará cn las características presentes y futuras de ls Sistemas de Infrmación de la Empresa. Tarea 2: Caracterización de ls escenaris de cntingencia cntemplads Cn la ayuda de la infrmación reunida, se inventariarán ls distints escenaris y subescenaris para ls cuales la Empresa desea desarrllar una estrategia de cntinuidad de negci. Tarea 3: Diseñ del Mdel glbal de Plan de Cntingencias Se analizarán las distintas alternativas existentes en cuant a ls elements clave de la estrategia del Plan de Cntingencias y se cntrastará cn las características presentes y futuras de ls Sistemas de Infrmación de la Empresa. Tarea 4: Caracterización de ls prcedimients técnics de recuperación necesaris Se inventariarán y caracterizarán pr cmplet ls prcedimients técnics de recuperación necesaris en el Plan de Cntingencias, en función de ls sistemas, la rganización de su administración y peración, etc. Tarea 5: Caracterización de ls prcedimients técnics de vuelta atrás necesaris Se inventariarán y caracterizarán pr cmplet ls prcedimients técnics de vuelta atrás necesaris en el Plan de Cntingencias, en función de ls sistemas, la rganización de su administración y peración, etc. Tarea 6. Caracterización de ls Rles del Plan de Cntingencias Se determinarán ls cmpnentes y funcines de ls diferentes equips (directr, de recuperación, de lgística, etc.) así cm ls prcedimients y estructura rganizativa que permita su crrect funcinamient. 191

206 Tarea 7: Presentación y validación del Mdel del Plan de Cntingencias Se analizará, cn el Crdinadr del Pryect de la Empresa el resultad del trabaj realizad en esta segunda fase, y se presentarán ls resultads de ls distints trabajs realizads FASE 3: DESARROLLO DEL PLAN DE CONTINGENCIA ANTE DESAS- TRES DE LA INFRAESTRUCTURA Tarea 1: Desarrll de ls prcedimients de Backup y recuperación de dats Tarea 2: Desarrll de ls prcedimients de detección, ntificación y escalad de incidencias Tema 3: Desarrll del Plan de Gestión de Crisis Se diseña y dcumenta el crrespndiente Plan de Cntingencias y recuperación ante desastres de ls Sistemas de Infrmación y Cmunicacines de la Empresa. En este cntext se identificarán ls distints Planes de Sistemas que l cmpngan, describiend tdas sus características y dimensinand su desarrll. Tarea 4: Desarrll de ls prcedimient técnics de recuperación necesaris Se desarrllarán ls prcedimients caracterizads en la anterir fase. Tarea 5: Desarrll de ls prcedimients técnics de vuelta atrás necesaris Se desarrllarán ls prcedimients caracterizads en la anterir fase. Tarea 6: Desarrll del Plan de Pruebas Esta tarea abrdará el diseñ de las pruebas de la peratividad de ls distints planes de cntingencia que cmpnen el Plan de Respuesta ante Desastres, sn un element crític para evaluar su viabilidad, pues permiten identificar las deficiencias de cncepción y diseñ además de evaluar la capacidad del persnal implicad para ejecutar el Plan de una frma rápida y efectiva. Tarea 7: Desarrll del Prcedimient de Mantenimient Tarea 8: Presentación y validación del Plan de Cntingencias Se presentarán ls resultads del plan, ya cmentads en punts anterires. Se elabrará un Resumen Ejecutiv del plan de implantación Plan de Respuesta ante Desas- 192

207 tres y de sus principales características que será presentad al Cmité de Dirección de la Empresa FASE 4: APOYO A LA IMPLANTACIÓN Y PRUEBAS DEL PLAN DE CONTINGENCIA Cn psteriridad a la entrega del Plan de Cntingencias, deberá implantarse y prbarse. Esta tarea se realizará cnjuntamente entre el persnal técnic de la Empresa, ls respnsables de la expltación de ls sistemas y el equip de cnsultres de la Operadra Telefónica. Tarea 1: Apy a la implantación del Plan de Cntingencias Tarea 2: Apy al desarrll del Plan de Pruebas del Plan de Cntingencias Tarea 3: Cierre de Plan y entrega de dcumentación final DETALLES DE LAS TAREAS MÁS RELEVANTES IDENTIFICACIÓN Y RECOPILACIÓN DE INFORMACIÓN SOBRE LOS SISTEMAS DE INFORMACIÓN Y COMUNICACIONES DE CADA UNO DE LOS NODOS I*NET Durante esta fase se recpilará tda la infrmación dispnible sbre ls sistemas de infrmación y cmunicacines que cmpnen la infraestructura I*Net, así cm las características asciadas a su expltación y mantenimient. Esta infrmación es imprescindible para elabrar una estrategia de respald adecuada y para el psterir desarrll de tds ls prcedimients técnics y rganizativs necesaris. El bjetiv en esta tarea es prprcinar un backgrund visión de cnjunt de la estrategia del plan de Cntingencia que facilite la cmprensión del Plan, su implementación y mantenimient. Pr tant deben quedar claramente reflejads: Ls bjetivs, el prpósit del Plan, su alcance y cualquier premisa hipótesis de partida aceptada. Referencias y dcumentación asciada, tant interna cm externa, que sprta y respalda el Plan (Nrmativa, Prcedimients y Estándares, Nrmas, Leyes y Reglaments). Registr de Cambis, dnde queden reflejads tdas las mdificacines tecnlógicas, rganizativas y/u peracinales que experimente la Empresa. 193

208 La descripción técnica de ls sistemas de infrmación (arquitectura, lcalización, características técnicas) que alcanza la estrategia de Cntinuidad pr dar sprte a ls bjetivs identificads. El equip human de recuperación, junt a su estructura jerárquica, las respnsabilidades que les han sid asignadas y ls mecanisms de crdinación y cmunicación que hayan sid definids ELABORACIÓN DE LA POLÍTICA DEL PLAN DE RESPUESTA ANTE DESASTRE Para que Plan de Respuesta ante Desastres sea efectiv y asegure la clara cmprensión pr parte del persnal de ls requisits de la Empresa en cas de cntingencia, éste debe estar apyad en una plítica claramente definida. Cm parte de la Plítica de Seguridad de la Infrmación, la plítica del plan de cntingencia debería emanar de una nrma de alt nivel, en cuy desarrll y prcedimients asciads se cntemplen ls bjetivs de la Empresa, las priridades y requisits en materia de recuperación en cas de desastre acrdads desde el Cmité de Seguridad de la Infrmación, la estructura rganizativa y las respnsabilidades en el desarrll y ejecución del Plan, ls calendaris de prueba y mantenimient de ls prgramas de cntingencia desarrllads en función de las necesidades detectadas y el marc de dcumentación que sprta cada un de ls planes individuales que cmpnen Plan de Respuesta ante Desastres. Durante esta fase, ls respnsables del pryect pr parte de la Empresa deberían: Obtener el acuerd y el cmprmis pr parte de la Dirección, que debe apyar de frma categórica el pryect de Plan de Respuesta ante Desastres y prprcinar ls recurss técnics, humans y materiales necesaris. Establecer el equip de pryect encargad de definir y ejecutar el Plan de Cntingencias. Prceder al nmbramient de un Crdinadr del Plan de Respuesta ante Desastres, directamente dependiente de la Dirección, que se encargue de dirigir, crdinar y supervisar las distintas fases, actividades y tareas del Plan de Cntingencias. 194

209 Definir, elabrar y dar a cncer a td el persnal de la Empresa, una nrma de alt nivel dnde queden recgids ls principis directrices que van a gbernar la Plítica de Cntingencia de la Empresa. La elabración del Plan de Respuesta ante Desastres deberá ser desarrllada cn la cntinua supervisión y aprbación pr parte de la Dirección de la Empresa ya que, durante la elabración y ejecución del Plan deberán cmprmeterse recurss, tmarse decisines y aprbarse prcedimients especiales que requieran un nivel de autrización superir DISEÑO Y DESARROLLO DEL PLAN DE RECUPERACIÓN En este punt, se entiende que la estrategia de recuperación de ls sistemas de infrmación y cmunicacines, más adecuada a las características del negci de la Empresa ya ha sid elegida y se encuentra definida, aunque n frmalizada. Durante esta fase se frmalizará la mencinada estrategia. Las estrategias de recuperación cnsideradas durante la fase de Análisis de Impact deben prprcinar ls medis para restaurar de frma rápida y efectiva la perativa de la Empresa en cas de interrupción de ls servicis debiend cubrir aquells riesgs residuales que hayan quedad latentes tras el Análisis de Impact en el Negci. La estrategia debería cmbinar distints métds cmplementaris entre sí, de md que se alcance una capacidad de recuperación que cubra el ampli espectr de ls riesgs identificads. Aunque existen distints métds de recuperación, en este punt se escgerá la cmbinación de aquells medis que mejr se adapten tant a las Características de ls Sistemas de Infrmación y Cmunicacines de la Empresa cm a ls planes estratégics de la cmpañía. Esta estrategia debería cntemplar ls siguientes aspects: Plítica de Backup: Dnde se especifique la frecuencia de las cpias de recuperación en base a la criticidad de ls dats y las variacines temprales que sufre la infrmación. Esta plítica debe definir claramente dónde sn almacenads ls sprtes, la sintaxis de etiquetad utilizada, la frecuencia de rtación de ls sprtes y ls métds de transprte fuera de las instalacines de la Empresa. Se debe seleccinar el mejr almacenamient ffsite de ls sprtes, de acuerd a criteris cm: Área gegráfica de la instalación, Accesibilidad, Seguridad, Ambientales, Cste de ls servicis. En definitiva, supne el diseñ y desarrll de uns Prcedimients específics de cpia de seguridad y recuperación de dichas cpias de seguridad. 195

210 CPD alternativ: La estrategia de recuperación prevé la psibilidad de que la Empresa deba recuperarse de un incidente de carácter grave y que bligue a interrumpir la perativa nrmal en sus instalacines pr un perid de tiemp muy prlngad y la existencia pr tant de un centr de respald alternativ capaz de asumir la perativa. Restitución del equipamient: En el cas de que ls Sistemas de Infrmación estén dañads, destruids indispnibles y sea necesari hacer llegar el equipamient sftware y hardware necesari al siti remt. Baj estas circunstancias, se cnsideraran frmas diferentes de abrdar el prblema: Acuerds cn un prveedr, Inventariad de equip, Equipamient existente cmpatible. Estrategia de Evaluación de Dañs y cndicines de Activación del Plan DISEÑO Y DIMENSIÓN DE LA ESTRUCTURA ORGANIZATIVA Y LOS RR.HH QUE SOPORTARÁ EL PLAN DE RESPUESTA ANTE DESASTRES Una vez frmalizada la estrategia de respald elegida pr la Empresa en función de las psibles restriccines identificadas, deberían frmarse ls equips de trabaj que implemente dicha estrategia. La asignación del persnal dentr de cada equip debería hacerse en función de sus capacidades y cncimients y asegurarse de que cada integrante cnce a la perfección la misión de su equip dentr del Plan de Recuperación glbal, cada un de ls pass que deben de ser dads y la relación que les vincula cn el rest de ls equips dentr de la estrategia general. El tip de equips, su tamañ y jerarquía depende de las prpias necesidades de recuperación que identifique el Cmité de Seguridad de la Infrmación de la Empresa. Tds ls equips deben de estar adecuadamente dimensinads cm para que su actividad pueda ser ejecutada aún en cas de ausencia de algún integrante además de estar familiarizads cn ls bjetivs y prcedimients de trs equips (al mens ls de más estrecha vinculación) para facilitar la crdinación de sus tareas. Cada equip debería ser liderad pr una persna que, frmand parte el Grup de Gestión de la Estrategia de Cntinuidad, se encarga de dirigir la perativa del equip, tmar decisines, asignar funcines y tareas y crdinar las relacines cn trs jefes de equip. Esta figura debe dispner de un sustitut que asuma su papel en cas de ausencia. 196

211 DISEÑO Y DESARROLLO DEL PLAN DE CONTINGENCIA DE LOS SI- TEMAS DE INFORMACIÓN Y COMUNICACIÓN Esta es sin duda la fase clave dentr de la estrategia del Plan de Cntingencia. El Plan debe cntener la especificación detallada de ls rles, respnsabilidades y equips implicads así cm ls prcedimients que deben seguirse para restaurar ls prcess y sistemas de infrmación después de que se haya prducid un incidente que haya derivad en la interrupción de la actividad de la cmpañía. Aunque cada estrategia del plan de Cntingencia es única y debe adaptarse ls requerimients prpis, tant técnics cm rganizativs, de la Empresa, dentr del Plan deberían identificarse, al mens, ls siguientes elements principales: Fase de Ntificación y Activación: En esta fase de emergencia quedan definidas las accines iniciales que deben desarrllarse cuand se prduce una situación de cntingencia ésta parece ser inminente. Cm parte de las actividades de esta fase se incluye: Ls prcedimients de ntificación al persnal de recuperación. Valración del Dañ. Activación del Plan de Respuesta ante Desastres. Fase de Recuperación: Esta fase cmienza una vez que el persnal de recuperación ha sid ntificad y se han mvilizad ls equips de trabaj. Las tareas desarrlladas durante esta fase se centran en la ejecución de las medidas de cntingencia encaminadas a restaurar la capacidad de prcesamient de ls sistemas de infrmación de frma tempral. Al final de esta fase, y dependiend de la estrategia de recuperación, ls sistemas afectads deben estar perativs y funcinand baj las cndicines delimitadas en el Plan ya sea a través de prcedimients manuales en las prpias instalacines de la Empresa mediante la reubicación, peración y recuperación en un siti de respald alternativ. Cn bjet de evitar cnfusines y facilitar la tarea de su ejecución, ls prcedimients deberían escribirse cn un estil direct, en frmat secuencial y evitand mitir cualquier pas, pr bvi que parezca, resultand muy útiles ls prcedimients de recuperación en frmat CheckList. El persnal implicad en las tareas de recuperación debería ser capaz de ejecutar ests prcedimients aún cuand la dcumentación n estuviera dispnible. 197

212 Fase de Retrn: En esta fase, las peracines de recuperación sn finalizadas y la perativa en cndicines nrmales se transfiere de vuelta a las instalacines principales de la Empresa. En paralel a la fase de Recuperación, mientras se desarrllan las actividades de cntingencia, deberían iniciarse las tareas para restaurar la actividad de la perativa nrmal. En el cas de que las instalacines principales de la Empresa quedaran indispnibles, las tareas desarrlladas durante esta fase deberían estar encaminadas a preparar y acndicinar una nueva ubicación dnde pder desarrllar, de frma permanente durante un períd de tiemp más mens prlngad, ls requerimients de prces de ls sistemas. Una vez que las instalacines, riginales nuevas, han sid recuperadas a un estad nivel de peratividad en el que es psible dar sprte a ls sistemas de infrmación y a ls prcess de negci, debe realizarse un prces de transición n traumática de vuelta de ls sistemas a su ubicación principal a las nuevas instalacines habilitadas al efect, garantizand que el prces de cntingencia cntinúa perativ hasta que la recuperación de ls sistemas primaris a su estad nrmal de funcinamient haya sid prbad y verificad. Al igual que en la fase de recuperación, el persnal implicad en las tareas de reanudación debería ser capaz de ejecutar ests prcedimients aún cuand la dcumentación n estuviera dispnible DESARROLLO DE LOS PLANES Y PRECEDIMIENTOS TÉCNICOS, ORAGNIZATIVOS Y OPERATIVOS CONTEMPLADOS EN EL PLAN DE RESPUESTA ANTE DESASTRE Se desarrllarán tants prcedimients en detalle, ya sean técnics, perativs u rganizativs cm se cnsidere necesari y así se haya cnsiderad en la anterir fase de diseñ. Una vez que definidas en fases anterires la estrategia de respald adecuada, ls equips de emergencia (y las persnas que ls cmpnen) y establecidas las funcines que debe desempeñar cada equip, debems desarrllar ls prcedimients de actuación en cada una de las fases de ejecución del Plan de Cntingencia. Ests prcedimients serán de entre ls siguientes: FASE DE ALERTA: 198

213 Prcedimient de ntificación del Desastre. Prcedimient de Dispar Activación del Plan de Cntingencia. Prcedimient de Ntificación del Dispar del Plan de Cntingencias. FASE DE TRANSICIÓN: Prcedimient de Cncentración de Equips de Emergencia. Prcedimient de traslad al Centr de Respald. Prcedimient de arranque en el Centr de Respald. FASE DE RECUPERACIÓN: Prcedimients de Restauración de Sistemas y Aplicacines. Prcedimients de Sprte y Gestión. ESTRATEGIA DE VUELTA A LA NORMALIDAD: Análisis del impact en el centr perativ afectad pr el event y selección de estrategia de vuelta a la nrmalidad. Prcedimients de salvament de equips recuperables. Adquisición de nuevs equips. 199

214 10 PLANIFICACIÓN DEL PROYECTO A cntinuación, se muestra un diagrama cn la planificación de actividades que a regular el desarrll y ejecución de este pryect. Se debe diferenciar la planificación prpuesta para la implantación de la red de nds I*Net descrit en el apartad 9.3 del presente pryect, de la planificación de la elabración del trabaj realizad de este dcument. Sbre este últim se describe un calendari que se ha cumplid parcialmente, ya que ha habid retrass en ls trabajs en diverss punts, per este prblema se ha slucinad invirtiend más hras de trabaj, finalizand pr tant en la fecha fijada en un cmienz. Se han tenid en cuenta tant ls exámenes intercuatrimestrales de ls días 12 al 20 de Nviembre y ls segunds intercuatrimestrales del 14 al 23 de Abril, así cm ls exámenes de Febrer. Est cnlleva a que ls días anterires a ess perids de exámenes tampc se realizó ninguna actividad del pryect. Se tendrá también en cuenta que cada día se han dedicad 4 hras, cm media durante td el añ. En la figura se reflejan las tareas más imprtantes que se van a desarrllar, el tiemp que van a durar (días labrables), así cm la fecha aprximada de cmienz y fin de cada tarea. 200

215 Figura 43 Planificación del Pryect 201

216 11 VALORACIÓN ECONÓMICA DEL PROYECTO 11.1 INTRODUCCIÓN Se deben distinguir en este capítul, dónde se describe la slución ecnómica del pryect, la división de ds partes: Parte 1: Se verán ls cálculs realizads en relación al cste (en hras /hmbre) de la cnsultría, análisis y diseñ de la infraestructura I*Net de ls RR. HH. Para ell se describirán en primer lugar ls participantes del pryect gracias a un rganigrama de rganización. Tras est se mstrará una matriz de respnsabilidad cn la ttalidad de ls paquetes de trabaj vists en el Capítul 3 Metdlgía de trabaj junt a ls rles, asignand después las hras/hmbre que ha invertid cada participante en cada paquete, pudiend calcular el ttal de ls RR. HH cn ayuda de ls cstes pr cada rl. Pr últim se mstrarán ls cstes ttales Hardware y Sftware del Pryect, sumándse para terminar las ds cantidades. Parte 2: Pr tr lad se dará un cste de la implantación del servici y la migración de las aplicacines (la planificación se muestra en el apartad 9.3 Fase de Implantación ). Cn estas ds partes se calculará el presupuest final del pryect. La intención de separarse la valración ecnómica en ds, es para diferenciar pr un lad el cste referente al pryect en sí, trabaj del pryectista y de ls respnsables que han dirigid a éste y pr tr lad ls cstes que se han calculad para estimar de una manera l más exacta psible el cste cmplet que la slución psee, n participand ls misms respnsables que han hech la cnsultría, ni la gestión del pryect CÁLCULO DE LOS RR.HH DEL PROYECTO ORGANIGRAMA DEL PROYECTO En este apartad se presenta la estructura de rganización de tds ls participantes en el pryect. Ls diferentes niveles muestran la jerarquía existente entre dichs participantes y pr cnsiguiente su grad de respnsabilidad sbre el rest. De este md, el jefe de pryect debe supervisar el trabaj realizad pr el cnsultr, analista y el diseñadr (en este cas 202

217 el mism) y a su vez, su trabaj es supervisad pr ls directres de pryect y pr el crdinadr. Figura 44 Organigrama de ls participantes del Pryect Ls cstes de ls distints rles de ls RRHH que se han aplicad en la estimación de ls cstes sn ls siguientes: Rl Cste Directr de Pryect (DP) 70 Crdinadr de Pryect (CP) 80 Jefe de Pryect (JP) 45,41 Cnsultr (CN) 46,45 Analista de redes (AN) 35,85 Diseñadr de redes (DS) 34,70 Tabla 31 Tabla de Cstes según rl 203

218 MATRIZ DE RESPONSABILIDAD Se mstrará a cntinuación la matriz de respnsabilidad de cada persna que participa en el pryect, así se sabrá que recurs human participa en cada una de las actividades paquetes de trabaj mencinads anterirmente, las actividades que se asignan en la matriz se describen seguidamente. Nmbre del Paquete/Rl DP CP JP CN AN DS Adquisición del cncimient* E E E E [WP_01] Gestión [WP_02] Nrmativa [WP_03_01] Sistema Actual [WP_03_02] Sistemas Crprativs [WP_03_03] Infrmación Cmplementaria [WP_03_04] Requisits [WP_04_01_01] Nd Extranet [WP_04_01_02] Nd de Redes Remtas [WP_04_01_03] Nd Internet Crprativ [WP_04_01_04] Nd Servicis Web I C,I A A E E A E E A E E A E E I C,I A E E I I A E I A E I A E I A E [WP_04_02] Fase de Implantación A E [WP_04_03] Plan de Cntingencia [WP_05] Valración Ecnómica [WP_06] Cnclusines A E E C A E C,I A E Tabla 32 Matriz de Respnsabilidad 204

219 A: La persna tiene la última palabra en las decisines relacinadas cn la actividad en la aprbación del resultad. E: La persna ejecuta la actividad. C: La persna debe ser cnsultada durante la actividad. Su pinión cuenta. I: Se debe infrmar a la persna de qué decisines se tman. *La Adquisición de cncimients previa n se ha cnsiderad paquete de trabaj, per si se cntarán las hras hmbre utilizadas para este trabaj ASIGNACIÓN DE PRESUPUESTO Para calcular de manera crrecta el presupuest final en relación a ls recurss humans, en primer lugar se distribuirán las recurss humans pr ls distints paquetes de trabaj, teniéndse en cuenta pr un lad ls días que dura la actividad (viéndse la planificación del capítul anterir) y repartiend las Hras /Hmbre crrespndientes de cada rl. Se debe tener en cuenta el prcentaje de cada paquete de trabaj en Hras/Hmbre para saber el pes de cada paquete sbre el ttal del pryect. Nmbre del Paquete/Rl DP CP JP CN AN DS TOTAL POR PAQUETE DE TRABAJO Adquisición de Cncimient [WP_01] 2 1,5 0,7 4,2 SUBTOTAL 51,2 WP_01 2 1,5 0, % [WP_02] 0,5 25, ,8 SUBTOTAL 52,8 WP_ ,5 25, ,4% [WP_03_01] 0, ,6 [WP_03_02] 0, ,6 [WP_03_03] 0, ,5 [WP_03_04] 2 1,5 0, ,2 SUBTOTAL 175,9 WP_03 2 1,5 2, ,9% [WP_04_01_01] 1,5 0, ,1 [WP_04_01_02] 1,5 0, ,1 [WP_04_01_03] 1,5 0, [WP_04_01_04] 1,5 0, ,2 [WP_04_02] 0, ,5 205

220 Nmbre del Paquete/Rl DP CP JP CN AN DS TOTAL POR PAQUETE DE TRABAJO [WP_04_03] 0, ,5 SUBTOTAL 145,4 WP_ , ,3% [WP_05] 1,5 0, ,1 SUBTOTAL 22,1 WP_05 0 1,5 0, ,8% [WP_06] 2 0, ,7 SUBTOTAL 16,7 WP_ , ,6% TOTAL POR ROL 12 4,5 8,3 203, ,1 Tabla 33 Matriz Hras/Hmbre pr rles y paquetes Pr tant el presupuest en recurss humans sabiéndse las Hras/Hmbre ttales de cada rl y la tarifa de cada un, se calculará en la siguiente tabla: Rl Hras/Hmbre Tarifa ( /Hra) Ttal pr Rl DP ,00 CP 4, ,00 JP 8,3 45,41 376,90 CN 203,3 46, ,29 AN , ,95 DS ,7 3782,30 TOTAL RR.HH ,44 Tabla 34 Tabla cste ttal RR.HH. El cste ttal en RRHH asciende a un ttal de ,

221 11.3 CÁLCULO DE LOS RECUROS MATERIALES En este capítul se detallará el cste de ls recurss materiales del pryect, separándse pr un lad el cste del servici de cmunicacines y pr tr lad el cste detallad del equipamient descrit durante la slución técnica (para ver las especificacines de ls equips véase ANEXO I) SERVICIO DE COMUNICACIONES Incluye la infraestructura de cmunicacines y las líneas de cmunicacines que la Operadra Telefónica frece para dar servici a tda la infraestructura I*Net (instalación, cnfiguración, equipamient y caudales). Unidades Cste Unitari Cste Ttal SERVICIO DE COMUNICACIONES ,39 Acces Gigabit Ethernet , ,11 Caudales , ,00 Equipamient , ,74 Intercnexión de CPDs , ,54 Equipamient CGP , ,00 Tabla 35 Cste de ls servicis de Cmunicacines INFRAESTRUCTURA HARDWARE Unid. Cste Unitari Cste Ttal EQUIPOS DE COMUNICACIONES Y RED ,78 BALANCEADORES ,66 EQUIPO BALANCEADOR CSS ,40 CSS11503-AC CISCO Cntent Services Switch SCM-2GE HD , ,00 S11K-500ST-8,1 CISCO WebNS8.1X Standard Feature Ser fr CSS S11K-SEC2-K9 CISCO WEBNS Secure Management License Enables Strng CAB-ACE CICO Pwer Crd Eurpe CSS5-IOM-8FE CISCO CSS11500 Fast Ethernet IO Mdule 9 Prt TX , ,24 GLC-SX-MM CISCO GE SFP, LC cnnectr SX transceiver 6 221, ,16 207

222 Unid. Cste Unitari Cste Ttal S11K-LCC-8 CISCO WebNS Licence Claim Certificate:fr V8.XX r Higher CSS5-SCM-2GE CISCO CSS11500 System Cntrl Mdule 2GE HD CSS5_MEM-144U288 CISCO-CSS11500 Upgrade: 144MB t 288MB RDRAM CSS5-MEN-144 CSS11500 Memry 144MB RDRAM CSS5-FD-1GB CISCO-CSS PCMCIA Flash Disk 1 GB MANTENIMIENTO ,26 Garantía 3añs Servici de Mt y Sprte 7x24 cn 2 hras de tiemp , ,26 GESTOR ANCHO BANDA PACKETEER Mbps shaping ,03 EQUIPO ,23 PS7500-L100M PacketSahaper 7500, Up t 100Mbps f shaping , ,23 MANTENIMIENTO ,80 Garantía /3añs Servici de Mt y Sprte 7x24 cn 2 hras de tiemp , ,80 SERVICIO PROXY ,29 EQUIPO SERVICIO PROXY y WEB CACHE BLUECOAT , PrxySG ,4x10/100/1000Base-T,SGOS v4.x , ,46 EQUIPO PROXY REVERSO CON TARJETA ACELERADORA SSL , PrxySG ,4x10/100/1000Base-T,SGOS v4.x , , SSl TERMINATION SOFTWARE AND CARD , ,64 MANTENIMIENTO ,46 Garantía /3añs Servici de Mt y Sprte 7x24 cn 2 hras de tiemp , ,46 EQUIPOS COMUNICACIONES : SWITCHES Y ROUTER ,8 EQUIPO SWITCH CATALYST 4507 R , ,84 WS-C4507R Cisc Catalyst 4500 Chassis (7-slt),fan,n p/s,red Sup Capable , ,74 PWR-C Ac Cisc Catalyst W AC Pwer Suplly (Data Only) 1 421,97 421,97 PWR-C AC/2 Cisc Catalyst AC Pwer Supply Redusndat 1 421,97 421,97 CAB-7KACE CISCO AC Pwer Crd (Eurpe) WS-X4515 Cisc Catalyst 4500 Supervisr IV (2 GE), Cnsle (RJ-45) , ,91 208

223 Unid. Cste Unitari Cste Ttal WS-X4515 Cisc Catalyst 4500 RedundantIV (2 GE), Cnsle (RJ-45) , ,91 WS-F4531 Cisc Catalyst 4500 NetFlw Services Card (SupIV/V) , ,28 S4KL EW Cisc IOS BASIC L3 Cat4500 SUP WS-X4424-GB-RJ45 Cisc Catalyst prt 10/100/1000 Mdule (RJ-45) , ,36 CONT-SNT-WS-C4507 Cisc 8x5xNBD SVc Catalist 4507R Series Mdule Switch 3 809, ,18 EQUIPO SWITCH CATALYST 4507 R , ,52 WS-C4507R Cisc Catalyst 4500 Chassis (7-slt),fan,n p/s,red Sup Capable , ,74 PWR-C Ac Cisc Catalyst W AC Pwer Suplly (Data Only) 1 421,97 421,97 PWR-C AC/2 Cisc Catalyst AC Pwer Supply Redusndat 1 421,97 421,97 CAB-7KACE CISCO AC Pwer Crd (Eurpe) WS-X4515 Cisc Catalyst 4500 Supervisr IV (2 GE), Cnsle (RJ-45) , ,91 WS-X4515 Cisc Catalyst 4500 RedundantIV (2 GE), Cnsle (RJ-45) , ,91 WS-F4531 Cisc Catalyst 4500 NetFlw Services Card (SupIV/V) , ,28 S4KL EW Cisc IOS BASIC L3 Cat4500 SUP WS-X4448-GB-RJ45 Cisc Catalyst prt 10/100/1000 Mdule (RJ-45) , ,80 CONT-SNT-WS-C4507 Cisc 8x5xNBD SVc Catalist 4507R Series Mdule Switch 3 809, ,18 EQUIPO ROUTER CISCO , ,25 CISCO 3845 CISCO 3845 w/ac PWR, 2GE, 1SFP,4NME,4HWIC,IP BASe, , ,12 64F/256D S384AISK Cisc 3845 ADVANCED IP SERVICES , ,22 WIC-2T Cisc 2-Prt Serial Wan Interface Card 4 296, ,44 CAB-SS-V35 MT CISCO V.35 Cable, DTE Male t Smart Serial, 10 feet 8 42,41 339,28 NM-1HSSI Cisc Single prt HSSI netwrk mdule , ,43 PWR-3845-AC/2 Cisc 3845 redundant Ac pwer supply 1 212,04 212,04 CAB-ACE Cisc Pwer Crd Eurpe CAB-HSI1 Cisc HSSI Cble, Male t Male Cnn 1 42,41 42,41 PWR-3845-AC Cisc 3845 AC pwer supply MEM D-INCL 256MB SDRAM default memry fr

224 Unid. Cste Unitari Cste Ttal MEM CF-INCL 64MB Cisc 3800 Cmpac Flash Memry Default CON-SNT-3845 Cisc SMARTNT 8x5xNBD 3845 w/ac PWR,2GE,1S 3 544, ,81 EQUIPO RAS AS , ,19 AS535-2E1-60-AC Cisc AC AS5350; 2E!, 60 prrts,ip+ios, 60 Data Lic , ,74 CAB-ACE Cisc Pwer Crd Eurpe AS535CP Cisc AS5300 Series IOS IS IP PLUS AS535-DFC-2CE1 Cisc AS5350 Dual E1/PRI DFC card AS535-DFC-60NP AS universal Prt DFC card FR535-DATA-LIC Cisc AS5350 IOS Data License Per Prt 1 1,99 1,99 FR5x-AGREEMENT-LIC Cisc AS5000 Sftware License Agreement MEM.128-S-AS535 Cisc AS MB Shared I/O upgrade MEN-16BF-AS535 Cisc AS MB Bt Flash upgrade MEM-256M-AS535 Cisc AS MB Main SDRAM MENm-64F-AS535 Cisc AS350 64MB System Flash upgrade AS535-AC-PWR Cisc AS5350 AC Pwer Supply CON-SNT-AS5352E1A Cisc 8x5xNBD Svc Easy bndl,as5350,2e1,60 prts,60lic 3 368, ,00 MANTENIMIENTO ,00 Garantía /3añs Servici de Mt y Sprte 7x24 cn 2 hras de tiemp , ,00 PLATAFORMA DE SEGURIDAD ,42 FIREWALL EXTERNO JUNIPER ,8 EQUIPO ,80 SSG SSG 550 System, 1GB DRAM, 1AC Pwer Supply , ,32 SVC-ND-SSG550 J-CARE NeextDay Supprt fr SSG , ,48 MANTENIMIENTO ,00 Garantía /3añs Servici de Mt y Sprte 7x24 cn 2 hras de tiemp , ,00 SONDAS IPS/IDS ,04 EQUIPO IPS/IDS (CISCO IPS4255) ,04 210

225 Unid. Cste Unitari Cste Ttal CISCO IPS4255 Appliance Sensr , ,80 CISCO Pwer Crd Eurpe CISCO IPS 5.0 Sftware fr IDS 4215, IPS 4240 and 4255 series ASA/IPS SSM Slt Cver CISCO IPS SVC, AR NBD IPS 4255 Appliance Sensr , ,24 EQUIPO IPS/IDS (ISS PROVENTIA) - SUMINISTRADO EMPRESA 0,00 MANTENIMIENTO ,00 Garantía /3añs Servici de Mt y Sprte 7x24 cn 2 hras de tiemp , ,00 JUNIPER SA6000 VPN/SSL ,63 SUMINISTRO ,68 SA6000 Secure Access 6000 Base System , ,01 SA6000-ADD-2500U Add 2500 simultaneus user t SA , ,94 SA6000-CL-2500U Clustering Allw 2500 additinal users t be shared , ,13 frm anther SA 6000 SA6000-SAMNC Secure Applicatin Manager and Netwrk Cnnect fr SA , ,47 SA6000-ADV Advanced fr SA , ,13 MANTENIMIENTO ,59 Garantía /3añs Servici de Mt y Sprte 7x24 cn 2 hras de tiemp , ,59 FIREWALL INTERNO CISCO - ASA GE 1FE SUMINISTRO ,10 ASA5520-BUN-K9 CISCO ASA 5520 Appliance with SW, HA, 4GE+1FE , ,10 CAB-ACE CISCO Pwer Crd Eurpe SF-ASA-7.1-K8 CISCO ASA 5500 Series Sftware V ASA5520-VPN-PL CISCO ASA 5520 VPN Plus 750 Peer License ASA5500-ENCR-k9 ASA 5500 Strng Encryptin License (3DES/AES) CISCO VPN Client Sftware (Windws, Slaris,Linux,Mav) SSM-BLANK ASA/IPS SSM Slt Cver

226 Unid. Cste Unitari Cste Ttal MANTENIMIENTO ,85 Garantía /3añs Servici de Mt y Sprte 7x24 cn 2 hras de tiemp , ,85 ANTSPAM - SUMINISTRADO POR LA EMPRESA 0,00 EQUIPO 0,00 FILTRADO URLS FILTRADO URLS MANTENIMIENTO POR LA EMPRESA 0,00 Garantía /3añs Servici de Mt y Sprte 7x24 cn 2 hras de tiemp PLATAFORMA ANTIVIRUS - SUMINISTRADO POR EMPRESA 7.000,00 SUMINISTRO 0,00 ANTIVIRUS ANTIVIRUS MANTENIMIENTO 7.000,00 Garantía /3añs Servici de Mt y Sprte 7x24 cn 2 hras de tiemp , ,00 SERVIDORES ,82 SERVIDORES NODOS ,82 SUMINISTRO ,40 HP Universal Rack G2 Shck Rack , ,97 HP BLp Enhanced Enclsure w/8 + 2 Cisc BLp Ethernet Switch , ,60 HP BL20pG3 CTO Blade Server , ,20 Emulex Based BL20pG3 FC Mezz HB 6 582, ,56 HP Integrity BL60p Blade Server , ,16 HP StrageWrks 4/64 Base SAN Switch Brcade , ,08 HP StrageWrks 400 MP Ruter Base Brcade , ,13 HP M5314B FC Drive Enclsure + 14 HP EVA 300G/10K FC Add-n Hard Disk Drv , ,70 MANTENIMIENTO ,42 3 añs 24x7 HP BLp Enhanced Enclsure w/8 + 2 Cisc BLp Ethernet Switch , ,28 3 añs 24x7 HP BL20pG3 CTO Blade Server , ,80 3 añs 24x7 HP Integrity BL60p Blade Server , ,12 212

227 Unid. Cste Unitari Cste Ttal 3 añs 24x7 HP StrageWrks 4/64 Base SAN Switch Brcade , ,86 3 añs 24x7 HP StrageWrks 400 MP Ruter Base Brcade , ,36 SERVIDORES PLATAFORMA DE GESTION SUMINISTRO ,52 HP BL20pG3 CTO Blade Server , ,52 HP PC tip P + TFT 17" 4 760, ,00 MANTENIMIENTO 1.005,48 3 añs 24x7 HP BL20pG3 CTO Blade Server 3 335, ,48 TOTAL HARDWARE ,02 Tabla 36 Tabla de cstes de Hardware El cste final en relación al Hardware asciende a un ttal de , RECURSOS SOFTWARE Unid. Hras Cste Unitari Cste Ttal SERVIDORES ,32 Sistemas perativs ,32 HP UX 11i v2 y MirrrDisk/UX , ,64 HP Cntinuus Access EVA , ,68 Tabla 37 Tabla de cstes Sftware Ls demás cstes Sftware utilizads en el mdel I*Net n se cntabilizan ya que crrían a carg de la Empresa, pr tant sl se cuentan ls cstes de ls sistemas perativs de ls servidres que se instalarán en la infraestructura diseñada, siend el ttal de cste Sftware de ,32. En cuant a ls cstes del Sftware utilizad para hacer el pryect, se cntabiliza cm cste indirect, cargand dich cste en ls RR. HH que utilizan ese Sftware ya sea fimátic de diseñ. 213

228 11.4 COSTE TOTAL (PARTE 1) Para finalizar se calculará el cste ttal de la primera parte que se describió en la intrducción de este capítul, teniéndse ls cstes parciales de ls apartads anterires se sumarán, bteniéndse el cste que cubre el diseñ, análisis, gestión y cste Hardware y Sftware frut de la slución final prpuesta. Estimación ttal del cste Cste IVA Ttal RR. HH ,44 18, ,4 SERVICIO DE COMUNICACIONES ,39 18, ,59 COSTE HARDWARE ,02 18, ,124 COSTE SOFTWARE ,32 18, ,3 Tabla 38 Tabla de cstes ttales (Parte 1) ,4 El cstes ttal del pryect es de ,4, se recuerda que ests cstes n incluyen la instalación. Ests se calcularán en el siguiente apartad, separándl de l calculad anterirmente COSTES DE INSTALACIÓN, MIGRACIÓN E IMPLANTACIÓN En las siguientes tablas se mstrarán pr un lad la instalación de ls equips y la infraestructura, pr tr lad la migración de ls servicis y su puesta en marcha. Se tiene en cuenta la planificación prpuesta en el capítul 9 apartad 9.3 del pryect Fase de Implantación, y nuevs recurss humans cm ls Técnics de Implantación (TI), que harán las labres de migración e instalación de ls nds del CPD principal y del CPD de respald INSTALACIÓN DE INFRAESTRUCTURA Y DE EQUIPOS Unid. Cste Unitari Cste Ttal SERVICIO DE INSTALACIÓN DE EQUIPOS SERVICIO INSTALACION INFRAESTRUCTURA DE LOS NODOS ,19 Nd Extranet , ,68 Nd Internet Crprativ , ,14 Nd Redes Remtas , ,05 214

229 Nd Servicis WEB , ,28 Nd Platafrma Gestión , ,27 Centr de Respald , ,77 TOTAL INSTALACIÓN ,19 Tabla 39 Tabla de cstes de Instalación de Infraestructura y equips MIGRACIÓN DE SERVICIOS Unid. Hras Cste Unitari Cste Ttal IMPLANTACIÓN SERVICIOS y MIGRACION APLICATIVOS ,00 FASE 1: Nd Extranet y Nd Redes Remtas ,00 Técnic Implantación (4) , ,00 FASE2: Nd Internet, Servicis Web y Centr Respald ,00 Técnic Implantación (4) , ,00 Tabla 40 Tabla de cstes de Migración de servicis 11.6 COSTE TOTAL (PARTE 2) Una vez se btienen el cste de instalación y migración se sumarán para calcular a parte ls cstes asciads a estas actividades. Estimación ttal del cste Cste IVA Ttal INTALACIÓN ,19 18, ,96 MIGRACIÓN DE SERVICIOS ,00 18, Tabla 41 Tabla de cstes ttales (Parte 2) , COSTE TOTAL DEL PROYECTO (PARTE 1 + PARTE 2) Finalmente se sumarán las ds partes para saber el cste ttal del pryect, teniéndse las cantidades btenidas en apartads anterires, estas sn: Ls cstes asciads a la gestión, análisis, diseñ y cstes de Hardware Sftware. Ls cstes de instalación y migración de servicis. 215

230 Estimación ttal del cste Ttal PARTE ,4 PARTE , ,37 Tabla 42 Tabla de cste ttal del pryect El cste ttal del pryect juntándse las ds partes es de ,

231 12 CONCLUSIONES Y TRABAJOS FUTUROS Una vez realizad el pryect se tratará de hacer una pequeña síntesis para intentar definir el trabaj llevad a cab durante el transcurs del mism, per en rasgs generales se puede cnsiderar satisfactri en tds ls aspects. Se puede decir que la realización de un pryect de esta envergadura de cmunicacines es un trabaj larg y dur, ya que se requiere un backgrund n sl de cncimients teórics del tema, si n una experiencia previa en el manej tant de Sftware y de Hardware, en entrns de cmunicacines, y en especial en sistemas de cmunicacines de Empresas grandes (nivel nacinal) y cn una exigencia de cntinuidad de negci extrema. Desde el punt de vista persnal, se han adquirid amplis cncimients sbre redes, nds de cmunicacines, VPN, sistemas de intercnexión de redes, tecnlgía SAN, plan de cntingencia, así cm el manej de un tema tan imprtante y en auge hy en día, cm es la seguridad infrmática en cncret la seguridad perimetral. Además se cumple cn ls bjetivs principales de aprendizaje y prfundizándse en el funcinamient del Hardware y Sftware utilizad en una Empresa para pder dar servici de Internet, crre, cnexión a una red privada WAN a un númer alt de usuaris de manera fiable, rápida y segura. N se puede dejar de mencinar que el diseñ plantead esta basad en un mdel I*Net teóric dad, que la Empresa plantea basándse en una slución de nds, siguiend así ls criteris técnics más exigentes para asegurar y garantizar el crrect funcinamient y fiabilidad de la estructura, cmpnentes, prtcls y tecnlgías utilizadas, es decir, en definitiva, de las cmunicacines. Pr tant, de una manera bjetiva, las cnclusines más imprtantes que el presente pryect deja relucir de manera clara, cncisa y precisa sn las siguientes: El entendimient de la infraestructura de nds I*Net, es de cmplejidad avanzada, ya que se explica de manera teórica y difusa en alguns aspects, pr tant n ha sid fácil adaptar las necesidades de la Empresa a ls nds, teniend muchas restriccines a l larg del pryect, n sl de requisits si n de que se eliminaban las slucines a priri más fáciles de implementar ya que n se amldaban a las características del mdel. 217

232 Se ha tenid que tener en cuenta la psibilidad de fall y desastres graves en el sistema de cmunicacines, pr tant la idea de duplicar la de redundancia ha estad siempre presente en el diseñ de ls nds, cmplicand así el diseñ. En relación a l anterir, se ha tenid que pensar en un Centr de Respald, para tener duplicad la infraestructura I*Net. Est ha resultad ser dificults puest que ya que n sl se tenía que pensar en la ubicación de la segunda sede, si n que debía ser una slución viable a nivel ecnómic, ya que entre las sedes se tenía que utilizar una red SAN de almacenamient, basándse en una red de fibra óptica. Pr tant n se pdía instalar en un lugar muy lejan, en cntra de l que se pensó en un primer mment, debiéndse de cambiar en el transcurs del pryect. Gracias al diseñ emplead de nds, la red diseñada prprcinará una cmpleta flexibilidad en cuant a cambis de tplgía y adaptación a las necesidades futuras de la Empresa. Una vez se finaliza se cncluye, que el mdel I*Net prpuest para esta Empresa es extraplable a cualquier empresa que exigiera uns requerimients parecids de seguridad división de ls servicis, pudiend instalar la misma infraestructura de manera similar. En cuant a ls nds del mdel I*Net (Nd Extranet, Nd Redes Remtas, Nd Internet Crprativ y Nd Servicis Web) se cncluye l siguiente: El diseñ y la cnfiguración teórica ha sid satisfactria, a nivel de requisits y a nivel de bjetivs. La infraestructura tal y cm se muestra en el pryect, está preparada para su implantación y puesta en marcha. Se garantiza en un prcentaje alt, su funcinamient y su éxit en el frecimient de ls servicis. Se ha buscad un cste de ls elements Hardware adecuad a la Empresa, al n haber límite de gast, según ls requerimients, se decidió buscar el términ medi sin dejar de lad la calidad. Pr ell n se han seleccinad ls dispsitivs de gama más alta que hay en la actualidad ya que pr un lad n se ha querid aumentar el preci de la slución y pr tr se querían elements fiables y cnslidads hy en día en empresas similares. 218

233 Ls nds están descrits cn rigr y cn lenguaje técnic, cnsiguiend un alt nivel de detalle, pudiéndse entender la infraestructura de manera sencilla. Se ha buscad cn éxit una Operadra Telefónica real slvente, que dé garantías, teniéndse un crrect funcinamient de la red de cmunicacines, cnectand cn la máxima calidad ls nds y ls CPDs. Además frece servicis de red a sedes en el extranjer (Eurpa y América) y a red móvil. Pr últim se debe destacar la ttalidad del cumplimient de seguridad, aplicándse tdas las medidas tant de redundancia cm de sistemas de detección de intrusines necesarias. Pr tra parte, en cuant al acces de usuaris al sistema, también se cumple cn tds ls requerimients relacinads. En cuant al Plan de Cntingencia, se ha cmpletad cn éxit, siend difícil la aplicación de un plan estándar a este tip de mdels, pr mtivs de tiemp se ha bviad la parte de gestión de persnal para el Plan de Cntingencia. Cm n se quería aumentar el preci de la slución se estimó, cm se puede leer alguns capítuls del pryect, que las licencias de ls prducts Sftware que se instalará en ls dispsitivs prpuests crra a carg de la Empresa. Para terminar cm líneas futuras de gestión e instalación y cm mejra psible a intrducir al actual pryect cabría reseñar: El pryect es muy ampli y ambicis, abarca muchs temas, n sl el prces de estudi y diseñ de la infraestructura I*Net, sin también implica td l que se relacina cn las Gestión de un Pryect infrmátic.est requiere el estudi de la gestión y la redacción de gran parte de dcuments tales cm: Gestión de Operación. Nivel de Servici. Fase de Implantación. Garantía de Calidad. Plan de Frmación. 219

234 Gestión de la Cnfiguración. Además se han dejad fuera ls trabajs de cnfiguración de ls equips y de ls sistemas de seguridad, estudiand y distribuyend ls recurss humans para ell. Ya que a l larg del pryect la Empresa mencina y avisa de que su infraestructura PKI n está implementada en su ttalidad, sería necesaria una vez que se termine de desplegar, instalarla en la infraestructura diseñada I*Net. Pr últim, cm una mejra del pryect, ya que n se termina ni cncreta en su ttalidad, es el estudi, diseñ e implantación del sistema de acces remt de la Empresa pr parte de ls usuaris, describiéndse ls mecanisms de acces a la platafrma de Nd de Redes Remtas. 220

235 13 BIBLIOGRAFÍA Librs: [BARR02] [CABA98] [CAST05] [CATH01] Metdlgía del Análisis Estructurad de Sistemas, 2ª edición Barranc de Areba, Jesús. Universidad Pntificia Cmillas, 2007 Redes de Banda Ancha Caballer, Jsé Manuel. Marcmb Gestión y Diseñ de redes (5º IINF) Castr Pnce, Mari. Universidad Pntificia Cmillas Creación de Redes Cisc Escalables Catherine Paquet, Diane Teare. Pearsn, 2001 [CISC04] CCNA 1, 2,3 y 4 CISCO. Cisc Press, 2004 [COME96] [DOYO84] [FERR07] [GARC97] [GARC98] [GARC00] Redes Glbales de Infrmación cn Internet y TCP/IP Autr/es: V.V.A.A. Telefónica Análisis y Diseñ en Redes de Cmuniacines Dyn, Gerald. UPM, ETSIT Diseñ de una red de dats crprativa basada en un servici de Telecmunicacines Ferr Sánchez, Marta. Pryect fin de carrera, UPCO, Madrid, 2007 Redes de Alta Velcidad García Tmás, Jesús Rama, 1997 Frame Relay: Prtcl, Redes y Servicis García Sanz, Marian. Telefónica Medidas en Redes JDS García, Félix. Telefónica 221

236 [GASP04] [HERN04] [LAGU95] [MART98] [MCNA04] [MUÑO10] [MURH99] [RODR95] [STAL03] [TEJE03] Planes de Cntingencia. La cntinuidad de negci en las Organizacines Gaspar Martínez, Juan. Díaz Sants, ATM: Prtcl y Redes ATM Hernández de Rjas, Félix. Telefónica Planificación de la Red JDS de Telefónica Laguna, Vicari. Telefónica Planificación de Redes IP Martínez Alns, Rafael. Telefónica Seguridad de Redes, 1º edición McNab, Chris. Ed. Anaya Multimedia, 2004 Gestión de Pryects Infrmátics (5º IINF) Muñz García, Manuel. Universidad Pntificia Cmillas. IP Netwrk Design Guide Autr/es: V.V.A.A. IBM redbks Métds de Prtección de JDS Rdríguez, Manuel. Telefónica Cmunicacines y Redes de Cmputadres, 6ª edición Stallings, William. Prentice Hall Sistemas de Transmisión de Dats (3º IINF) Tejedr, Miguel. Universidad Pntificia Cmillas. 222

237 URL s: [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] 223

238 14 GLOSARIO Términ 3DES AAA ACL ADSL AES AGE ASP BGP CA CCN/CNI CGI CPD CR DBMS DES DICOE DMZ DNS EAI EDT EIGRP FCC FDDI FR/ATM GB GPRS GUI HBA HIDS Descripción Triple DES. Autrización, Autenticación y Auditría. Lista de Cntrl de Access. Línea de Suscripción Digital Asimétrica. Advanced Encryptin Standard. Administración General del Estad. Prveedr de Servicis de Aplicacines. Brder Gateway Prtcl. Autridad Certificadra. Centr Criptlógic Nacinal del Centr Nacinal de Inteligencia. Cmmn Gateway Interface. Centr de Prces de Dats. Cámara de Registr. Sistema Gestr de Bases de Dats. Data Encryptin Standard. Directri Crprativ de la Empresa. Zna Demilitarizada. Sistema de Nmbres de Dmini. Integración de Aplicacines de Empresa. Estructura de División del Trabaj. Enhanced Interir Gateway Ruting Prtcl. Cmisión Federal de Cmunicacines de ls EE.UU. Fiber Distributed Data Interface. Frame Relay de la Cmpañía ATM. Gigabyte. Servicis General de Paquetes Vía Radi. Interfaz gráfica de usuari. Adaptadr de Bus del Hst. Sistemas de Detección de Intrusines en máquina. 224

239 Términ HSRP HSRP HSSI HTTP/HTTPS ICAP ICMP IDS/IPS IGP IKE IOS IP IPSec ISAKMP ISL ISS ITIL IVR JSP Kbps LACP LAN LDAP LIR MAP MB Mbps MGCP MIB MMS MTA Descripción Ht Standby Ruter Prtcl. Ht Standby Ruter Prtcl. High Speed Serial Interface. Hypertext Transfer Prtcl/ Hypertext Transfer Prtcl Secure. Prtcl de Adaptación de Cntenids de Internet. Internet Cntrl Message Prtcl. Sistema de Detección de intrusines/sistema de Prevención de Intruss. Interir Gateway Prtcl. Internet key Exchange. Sistema Operativ de Intercnexión de Redes. Internet Prtcl. Internet Prtcl Security. Internet Security Assciatin and Key Management Prtcl. Inter Switch Link. Internet Security Systems. IT Infrastructure Library. Respuesta de Vz Interactiva. JavaServer Pages. Kilbits pr segund. Link Aggregatin Prtcl. Red de Área Lcal. Prtcl Liger de Acces a Directris. Lcal Internet Registry. Ministeri de Administracines Públicas. Megabite. Megabits pr segund. Media Gateway Cntrller Prtcl. Management Infrmatin Base. Micrsft Media Services. Agente de Trasferencia de Crre. 225

240 Términ NIDS NMS NPE NSF NTP OSPF OT P2P PAgP PAT PBR PC/SC PDA PE PGM PIM PKI PSTN PVC QS RAID RAS RBL RDSI RIP RIPE RTB RTP RTSP S/MIME Descripción Sistema de Detección de Intrusines en Red. Prtcl Simple de Administración de Red. Netwrk Prcessing Engine. Nn-Stp Frwarding. Prtcl de Internet de Sincrnización. Open Shrtest Path First. Operadra Telefónica. Peer-t-Peer. Prt Aggregatin Prtcl. Prt Addres Translatin. Plicy-Based Ruting. Persnal Cmputer /Smart Card. Asistente Digital Persnal. Prvider Edge. Pragmatic General Multicast. Gestión de Infrmación Persnal. Infraestructura de Clave Pública. Public Switched Telephne Netwrk. Pliclrur de Vinil. Calidad de Servici. Redundant Array f Independent Disks. Remte Access Services. Real-time Blackhle List. Red Digital de Servicis Integrads. Ruting Infrmatin Prtcl. Autridad reginal en Eurpa para la asignación de direccines IP. Rede Telefónica Básica. Prtcl de Transprte de Tiemp real. Prtcl de Fluj de Dats en Tiemp real. Extensines de Crre de Internet de Prpósits Múltiples / Segur. 226

241 Términ SAN SCSI SDH SIP SLA SMS SMTP SNMP SONET SSH SSL TCP TDM TSL TÜV UDLD UDP UMTS URL VIP VLAN VPN VRML VRRP WAN WAP WAS WCCP WDM Descripción Red de Área de Almacenamient. Sistema de Interfaz para Pequeñas Cmputadras. Jerarquía Digital Síncrna. Prtcl de Inici de Sesines. Acuerd a Nivel de Servici. Servicis de Mensajes Crts. Prtcl Simple de Transferencia de Crre. Prtcl Simple de Administración de Red. Synchrnus Optical Netwrk. Secure SHell - Intérprete de Órdenes Segura. Secure Sckets Layer. Prtcl de Cntrl de Transmisión. Multiplexación pr División de Tiemp. Seguridad en la Capa de Transprte. Technischer Überwachungs-Verein. Unidirectinal link detectin. User Datagram Prtcl. Sistema Universal de Telecmunicacines Móviles. Lcalizadr Unifrme de Recurss. Virtual IP. Red de Área lcal Virtual. Red privada Virtual. Virtual Reality Markup Language. Virtual Ruter Redundancy Prtcl. Red de Área Extensa. Prtcl de Aplicacines Inalámbrica. Servidr Web de Aplicacines. Web Cache Cntrl Prtcl. Multiplexres en Lngitud de Onda. 227

242 15 ANEXO I: DESCRIPCIÓN DEL EQUIPAMIENTO En este Anex se describen las características de cada un de ls elements de electrónica de red del pryect, que se han id eligiend y pr cnsiguiente frmand parte de la slución final DESCRIPCIÓN DE ELEMENTOS ENRUTADORES En el pryect se han tenid en cuenta ds tips de enrutadres en función de la capacidad de cnmutación de nivel 3 de cada equip, cnsiderándse ls mdels Cisc 7204 VXR y Cisc ROUTER CISCO 7204 VXR El ruter Cisc 7204 VXR sprta multiprtcl, ruting multimedia y bridging cn una amplia variedad de prtcls y cualquier cmbinación de interfaces y medis. A nivel de Sistema Operativ (IOS) sn sprtadas las funcinalidades más avanzadas: QS, NetFlw, VPN, etc. Ls interfaces de red residen en ls Prt Adapters que prprcinan la cnexión entre ls buses PCI del ruter y las redes externas. El ruter 7204 VXR de Cisc tiene 4 slts (slt 1 al 4) para ls Prt Adapters, un slt para el cntrladr de I/O y un slt para el Netwrk Prcessing Engine (NPE). Presenta también, la psibilidad de tener dble fuente de alimentación, permitiend balance de carga y aumentand de esta frma la dispnibilidad del sistema NETWORK PROCESSING ENGINE (NPE) El Netwrk Prcessing Engine mantiene y ejecuta las funcines de gestión del sistema para el ruter Cisc Cmparte también la memria del sistema y las funcines de mnitrización del entrn junt cn el I/O cntrller. Ls ruters Cisc 7204 sprtan 6 tips de prcesadres: NPE-200, NPE-225, NPE-300, NPE-400, NSE-1 y NPR-G1, y NPE-G2. Cn un prcesadr RISC A 700 MHz Bradcm BCM1250 prcessr y 256 MB de SDRAM (ampliable a 1Gb), el NPE-G1 es el 2º NPE cn el mayr rendimient, ya que envía paquetes pr segund (pps). Pr esta razón, es 228

243 el prcesadr que se ha incluid en la platafrma prpuesta a para ls equips del nd extranet cm ruter WAN de altas prestacines CONTROLADOR DE ENTRADA Y SALIDA Cn la llegada de las prcesadras NPE-G1 y NPE-G2 n es necesaria la utilización de ls i/ cntrller salv que se quieran utilizar ls puerts que estas llevan. Anterirmente era necesaria la utilización de ls i/ cntrller cn las NSE-1 e inferires.principales Características del NPE-G PRINCIPALES CARACTERÍSTICAS DEL NPE-G CARACTERÍSTICAS DEL HARDWARE Incluye 3 puerts Gigabit Ethernet, sn puerts 10/100/1000 RJ-45, de dble prpósit en ls que se puede desactivar el puert RJ-45 e incluir cnectres GBIC para utilizar ests puerts cn medis físics de Fibra óptica. Tienen puert de cnsla y puert auxiliar cn cnectr RJ-45 así cm una ranura para tarjetas cmpact-flash de hasta 256MB para guardar cnfiguracines, vlcads de memria, fichers PDLM etc. 512 KB NVRAM r 512 KB. 512 KB Layer 2 cache CARACTERÍSTICAS ETHERNET MAC cn dúplex cmplet y cntrl de fluj. Filtrad de direccines pr hardware en la recepción de tramas de hasta 128 entradas de direccines. Cntrl de fluj 802.3x. Frmats de encapsulación Ethernet: Ethernet V SAP SNAP. 229

244 CARACTERÍSTICAS DEL SOFTWARE Negciación autmática. Cntadres de 64 bits. VLAN 802.1Q. ISL CISCO 7204VXR CHASIS Ls sistemas de Cisc 7200 VXR incluyen un midplane de 1.2 Gbps y hasta 4 adaptadres de alta velcidad cnfigurables en el ruter si se incluye un prcesadr NPE-300 ó superir. Además, tienen ds buses PCI independientes de 1.6 Gbps, de 32 bits que funcinan a una frecuencia de 50 MHz. El chasis VXR sprta tds ls NPE s y NSE s existentes actualmente. El midplane del Cisc 7200 VXR incluye un Multiservice Interchange (MIX), el cual sprta la cnmutación de ls slts de tiemp DS0 a través de intercnexines MIX cn el plan medi de cada una de las ranuras para adaptadres de puert. El plan medi y el MIX también admiten la distribución de la temprización entre las interfaces canalizadas del ruter Cisc 7200 VXR admitir vz y tras aplicacines de velcidad binaria cnstante. El MIX del ruter Cisc 7200 VXR permite cnmutar intervals de tiemp DS0 entre las interfaces T1 y E1 multicanal, l que tiene gran parecid cn las capacidades de multiplexación pr división en el tiemp (TDM). El plan medi VXR frece ds flujs TDM a dúplex cmplet de Mbps entre las ranuras para adaptadres de puert y el MIX, l que permite cnmutar varis DS0 en ls dce flujs de Mbps. Cada un de ls flujs admite hasta 128 canales DS PORT ADAPTERS SOPORTADOS La familia de Ruters Cisc 7200 frece una alta densidad de puerts y sprte para diverss medis. La mdularidad de estas platafrmas permite a ls usuaris seleccinar la cnfiguración precisa para ptimizar el cst y la funcinalidad de la instalación y de ls diseñs de red. Ls Prt Adapters que se instalan en el Ruter Cisc 7206 sn ls misms que en el prcesadr de interfaz versátil (VIP) de la familia 7500 de ruters de Cisc. 230

245 POR ADAPTERS LAN: PA-4E.- 4 puerts Ethernet 10 BaseT. PA-8E.- 8 puerts Ethernet 10 BaseT. PA-FE-FX.- 1 puert Fast Ethernet 100 Base FX. PA-FE-TX.- 1 puert Fast Ethernet 100 Base TX. PA-2FEISL-FX.- 2 puerts Tken Ring ISL 100 Base FX. PA-2FEISL-TX.- 2 puerts Tken Ring ISL 100 Base TX. PA-2FE-FX.- 2 puerts Fast Ethernet 100 Base FX. PA-2FE-TX.- 2 puerts Fast Ethernet 100 Base TX. PA-5EFL.- 5 puerts Ethernet 10 Base FL. PA-4R.- 4 puerts Tken Ring 4/16 Mbps. PA-4R-DTR.- 4 puerts dedicads Tken Ring 4/16 Mbps. PA-4R-FDX.- 4 puerts Tken Ring 4/16 Mbps Full Duplex. PA-F-MM.- 1 puert FDDI Multimd. PA-F-SM.- 1 puert FDDI Mnmd. PA-F/FD-MM.- 1 puert FDDI Multimd Full Dúplex. PA-F/FD-SM.- 1 puert FDDI Mnmd Full Dúplex POR ADAPTERS SERIAL: PA-4T+.- 4 puerts Serial. PA-8T-V puerts Serial V-35. PA-8T puerts Serial 232. PA-8T-X puerts Serial X.21. PA-4E1G/ puerts E1 G.703 (75 hm/unbalanced). PA-4E1G/ puerts E1 G.703 (120 hm/balanced). 231

246 POR ADAPTERS HSSI: PA-H.- 1 puert HSSI. PA-2H.- 2 puerts HSSI. PA-T3.- 1 puert T3 cn DSUs. PA-T puert T3 Mejrad. PA-2T3.- 2 puerts T3 cn DSUs. PA-2T puerts T3 Mejrads. PA-E3.- 1 puert E3 cn DSU. PA-2E3.- 2 puerts E3 cn DSU GEIP PROCESSOR: GEIP.- Gigabit Ethernet Interface Prcessr. GEIP+.- Gigabit Ethernet Interface Prcessr Mejrad PORT ADAPTERS MULTICANAL Y RDSI PA-MC-2T1.- 2 puerts Multicanal T1 cn CSU/DSU integrad. PA-MC-4T1.- 4 puerts Multicanal T1 cn CSU/DSU integrad. PA-MC-8T1.- 8 puerts Multicanal T1 cn CSU/DSU integrad. PA-MC-2E1/ puerts Multicanal E1 cn interfaz G-703 de 120 hm. PA-MC-8E1/ puerts Multicanal E1 cn interfaz G-703 de 120 hm. PA-MC-T3.- 1 puert Multicanal T3. PA-MC-2T puerts Multicanal T3 mejrad. PA-MC-E3.- 1 puert Multicanal E PORT ADAPTERS ATM PA-A1-OC3SM.- 1 puert ATM OC-3 Mnmd de Alcance intermedi. PA-A1-OC3MM.- 1 puert ATM OC-3 Multimd. PA-A3-8E1IMA.- 8 puerts ATM Inverse Mux E1 (120 hm). PA-A3-8T1IMA.- 8 puerts ATM Inverse Mux T1 (120 hm). 232

247 PA-A3-E3.- 1 puert ATM E3 mejrad. PA-A3-T3.- 1 puert ATM DS3 mejrad. PA-A3-OC3MM.- 1 puert ATM mejrad OC-3/STM-1 Multimd. PA-A3-OC3SMI.- 1 puert ATM mejrad OC-3/STM-1 Mnmd (IR). PA-A3-OC3SML.- 1 puert ATM mejrad OC-3/STM-1 Mnmd (LR). PA-A3-OC12MM.- 1 puert ATM mejrad OC-12/STM-4 Multimd. PA-A3-OC12SMI.- 1 puert ATM mejrad OC-12/STM-4 Mnmd de alcance intermedi PORT ADAPTERS SONET PA-POS-OC3MM.- 1 puert Packet/SONET OC-3/STM1 Multimd. PA-POS-OC3SMI.- 1 puert Packet/SONET OC-3/STM1 Mnmd (IR). PA-POS-OC3SML.- 1 puert Packet/SONET OC-3/STM1 Mnmd (LR) DTP INTERFAZ PROCESSOR SRPIP-OC12MM.- Dynamic Packet Transprt Interface Prcessr, multimd. SRPIP-OC12SMI.- Dynamic Packet Transprt Interface Prcessr, mnmd de alcance intermedi. SRPIP-OC12SML.- Dynamic Packet Transprt Interface Prcessr, mnmd de larg alcance. SRPIP-OC12SMX.- Dynamic Packet Transprt Interface Prcessr, mnmd de alcance extendid ADAPTADOR DE SERVICIO SA-COMP/4.- Adaptadr de Servici de Cmpresión CISCO 3845 Cm Ruter de Gama media para las cnexines WAN de baja y media velcidad se prpne el Ruter CISCO Que tiene las siguientes características: Cifrad Basada en Hardware. 233

248 Puerts 10/100/1000 incluids (2 puerts). Puerts Seriales de hasta 2Mbps cn sus respectivs cables DTE (8 puerts). Puert HSSI serial de alta velcidad cn su crrespndiente cable serial de alta velcidad. Puert Small Frm-Factr Pluggable (SFP) (para cnectividad Gigabit Ethernet). Mem 256 Mb de DRAM y 64 Mb de Flash. Slt de expansión para HWIC, WIC, VIC VWIC (4 slts). Slt para NM NME. Slt PVDM (2 slts). Sprta un ampli catálg de interfaces WAN. Sprte de hasta 2500 túneles VPN simultánes. Cisc CallManager Express (CME) sprte para prcess de llamadas de TIP, hasta 240 Cisc IP Phnes. Hasta 112 interfaces 10/100 Mbps puerts de switching cn psibilidad de Pwer ver Ethernet (PE), para prveer alimentación eléctrica para punts de acces teléfns IP. Sprte de wireless LAN standards a/b/g. Fuente de alimentación redundante. Características de seguridad avanzada. Incluyen VPN,Dynamic Multipint VPN (DMVPN), Multi-Virtual Rute Frwarding (VRF) y Multiprtcl Label Switching (MPLS) secure cntexts, vide y vz. VPN (V3PN), Prevención de amenazas de seguridad y respuesta a ataques (Cisc IOS IPS y Cisc IOS). Firewall, sprte AAA, Public Key Infrastructure (PKI) y 802.1x. Parte de la slución Netwrk Admissin Cntrl (NAC). 234

249 DESCRIPCIÓN DE LOS ELEMENTOS CONMUTADORES (SWITCHES) En el pryect del mdel I*Net, se ha tenid en cuenta un únic mdel de cnmutadr, el Cisc Catalyst 4507R, dad que se exige un equip cn prcesadra redundante y fuente de alimentación redundante cn un máxim de 96 puerts 10/100/1000. El Catalyst 4507R es el equip mínim que sprta estas características de redundancia, si bien puede albergar hasta 240 puerts 10/100/1000, pr l que este equip esta dimensinad para futurs crecimients. El equip 4507R se caracteriza pr su elevad rendimient para enrutamient de enlaces de grandes anchs de banda. Se trata de un equip mdular cn 7 ranuras, 2 parar CPU de cnmutación (supervisras) y 5 para tarjetas de puerts. El chasis alberga además de las citadas tarjetas y CPU una bandeja de ventiladres (FAN) y ds fuentes de alimentación (una en respald de la tra). Existen varis tips de supervisras para ls cnmutadres 4507R, en función de su capacidad de prcesamient, cn 64 Gbps de capacidad, se ha elegid para este pryect la SupIV. El mtiv para elegir la supervisra SupIV de 64 Gbps de backplane para el pryect, es que se ha tenid en cuenta la tplgía cn cnexines de 1Gb de velcidad en ls enlaces entre ls dispsitivs de electrónica de red del pryect (firewalls balanceadres de carga, gestres de anch de banda, caches web, etc). Pr l tant tds de ls equips Cisc 4507R incluirán 1 tarjeta supervisra SupIV, cn 2 puerts GBIC para cnexines gigabit cada un. En cuant a las tarjetas de puerts, cada equip 12 de ls equips Cisc Catalyst 4507R incluyen ds tarjetas de puerts WS-X4424-GB-RJ45 de 24 puerts 10/100/1000 baset para enlaces de alta velcidad en cbre y 2, de ls equips Cisc Catalyst 4507R incluyen ds tarjetas de puerts WS-X4448-GB-RJ45 de 48 puerts 10/100/1000 baset. El equip incluye ds fuentes de alimentación de 1000 vatis AC y una bandeja de ventiladres de alta velcidad. Pr tdas estas características, el cnmutadr Cisc Catalyst 4507R se presenta cm el equip ideal para cnstituir ls nuevs cnmutadres 1Gb para la Red I*Net. 235

250 Características de ls equips: El switch Catalyst 4507R es un equip de cnmutación multinivel de Cisc en dónde la fiabilidad, escalabilidad y visión de futur, hacen de esta platafrma un vehícul para integrar tdas las aplicacines tant presentes cm futuras de frma cómda y segura. Este equip se suministrará junt cn la Supervisra V-10GE dtándle así de funcinalidades avanzadas de QS y seguridad, además de presentar una gestión cmpleta y sencilla. La supervisra IV que incluye prprcina a la slución las siguientes funcinalidades: Características de nivel 2: Capacidad de cnmutación de Nivel 2 hasta 102 Mpps. Sprte de Trunks. Sprte de VLANs IEEE 802.1Q. Encapsulación VLAN Inter-Switch Link (ISL). Dynamic Trunking Prtcl (DTP). VLAN Trunking Prtcl (VTP) y Dminis VTP. Sprte de 4096 VLANs en el cnmutadr. Sprte de Spanning Tree pr VLAN y mejrad: Per-VLAN spanning tree (PVST), PVST+ y PVRST+. Características mejradas de Spanning Tree: Spanning-tree PrtFast. PrtFast guard. Spanning-tree UplinkFast. BackbneFast s w. Spanning-tree rt guard ad (estándar para permitir agregacines de enlaces). 236

251 Cisc Discvery Prtcl. IGMP snping v1, v2 y v3. Cisc EtherChannel, Fast EtherChannel y Gigabit EtherChannel en tdas las tarjetas de puerts de E/S. Prt Aggregatin Prtcl (PAgP). Link Aggregatin Prtcl (LACP). Unidirectinal link detectin (UDLD) y Aggressive UDLD. Q-in-Q en hardware. Layer 2 prtcl tunneling. Tramas Jumb (hasta 9216 bytes). Baby Giants (hasta 1600 bytes). Unidirectinal Ethernet. Stateful Switchver (SSO) en cas de fall de la Supervisra. Cntrl de trmentas (bradcast and multicast). Autnegciación frzada 10/100. Web Cntent Cmmunicatin Prtcl Versin 2 Layer 2 Redirect. Private VLAN Prmiscuus Trunk. Características de nivel 3: Cnmutación de nivel 3 en hardware mediante Cisc Express Frwarding a 48 Mpps. Ruting Infrmatin Prtcl (RIP y RIP2). Nn-Stp Frwarding (NSF). Ht Standby Ruter Prtcl (HSRP) para alta dispnibilidad de ruting. Sprte de ruting IPX y AppleTalk. Prtcl de Ruting.- Intermediate System t Intermediate System (IS-IS). IGMP v1, v2, y v3. 237

252 Filtrad de IGMP en tds ls puerts de acces y trunk (enlaces entre cnmutadres). Ruting de IP multicast: PIM, SSM. Pragmatic General Multicast (PGM). Cisc Grup Multicast Prtcl (CGMP) Server. Sprte de Internet Cntrl Message Prtcl (ICMP). ICMP Ruter Discvery Prtcl. Plicy-Based Ruting (PBR). Virtual Rute Frwarding-lite (VRF-lite). Nnstp Frwarding with Stateful Switchver (NSF/SSO). SSO-Aware Ht Standby Ruter Prtcl. Virtual Ruter Redundancy Prtcl (VRRP). Gestión de calidad de servici y gestión de tráfic avanzadas: Cnfiguración de parámetrs de QS pr puert. WCCP. Sprte de 4 clas pr puert en hardware. Clas de priridad estricta. Sprte de: IP differentiated service cde pint (DSCP). Clasificación y marcad basad en el camp IP Type Of Service (TS) DSCP. Clasificación y marcad basad en las cabeceras de niveles 3/4 (sól IP). Plíticas de entrada / salida basada en cabeceras de niveles 3/4 (sól IP). Sprte de hasta 8000 plíticas en entrada y 8000 en salida. Gestión de clas de salida shaping and sharing. DBL: Cngestin-avidance feature. 238

253 Sin impact en el rendimient al aplicar granularidad en la QS. Aut-QS cmmand-line interface (CLI) para despliegues VIP. Características de Seguridad Avanzada: TACACS+ y RADIUS, ls cuales van a permitir un cntrl centralizad del switch además de restringir a usuaris n autrizads de pder alterar la cnfiguración del equip. ACLs estándar y extendids en tds ls puerts. Autenticación de usuaris siguiend el estándar 802.1x (cn asignación de VLANs, VLANs de vz, prt security, guest VLAN) x accunting. Trusted Bundary. Ruter ACLs (RACLs) en tds ls puerts. VLAN ACLs (VACLs). Prt ACLs (PACLs). Private VLANs (PVLANs) sbre puerts de acces y trncales. Dynamic Hst Cnfiguratin Prtcl (DHCP) snping e inserción de Optin82. Prt Security. Sticky Prt Security. SSHv1 y SSHv2. VLAN Management Plicy Server (VMPS) Client. Unicast MAC filtering. Unicast Prt Fld Blcking. Dynamic Address Reslutin Prtcl (ARP) inspectin. IP Surce Guard.. Cmmunity Private VLANs. 239

254 802.1x Inaccessible Authenticatin Bypass. MAC Authenticatin Bypass. Cntrl Plane Plicing x Unidirectinal Cntrlled Prt. Vice VLAN Sticky Prt Security. Secure Cpy Prtcl (SCP) DESCRIPCIÓN DE PLATAFORMA RAS (CISCO AS5350) Cm equip de cncentración de clientes RAS, se ha incluid el Access Server Cisc 5350 de 1 Rack de tamañ y capacidad de cnectar 8 enlaces primaris para 240 usuaris remts simultánes. En nuestr cas se ha elegid una cnfiguración cn 2 enlaces primaris para sprtar hasta 60 clientes simultánes bien pr RDSI, bien pr MODEM analógic V.90. El RAS debe sprtar funcines de Call-Back y descnexión pr tiemp inactiv tiemp excedid. El RAS se integra cn sistemas TACACS y RADIUS para afianzar su seguridad y Manejar ls perfiles de usuari de repsitris cm LDAP. Además Cisc AS5350 Universal Gateway sprta las mejras en escalabilidad intrducidas pr H.323v3 y H.323v4 cm: Múltiples llamadas cncurrentes pueden estar sprtadas sbre un únic canal H.225 de señalización de llamada, reduciend ls tiemps de establecimient y finalización de llamada. Sprte SIP. Sprte MGCP y TGCP. Sprte de cdecs de vz G. 711, G (5.3K y 6.3K), G.726, G.729ab, G-Clear y GSM-FR. Sprte CAC. Sprte de funcinalidades de FAX. Puerts 10/100 Fast Ethernet (2 puerts). Prcesadr 250-MHz RISC. 240

255 Ranuras para ampliacines (3 ranuras). (128 pr defect) hasta una máxim de 512-MB SDRAM (64 MB pr defect) hasta una máxim de 128-MB memria cmpartida de I/O. (8 MB pr defect) hasta una máxim de 16-MB bt Flash. (32 MB pr defect) hasta una máxim de 64-MB system Flash. Mem 2-MB Layer 3 cache DESCRIPCIÓN DE LOS BALANCEADORES DE CARGA La serie Cntent Switch de Cisc ptimizan el tiemp de respuesta y la dispnibilidad de ls cntenids para sitis de cmerci electrónic y sitis web. Diseñads para granjas de servidres web de frnt-end clusters de caches, ls CSS11500 determinan el mejr servidr web caché al que entregar las peticines en ese determinad mment basad en el cntenid requerid, dispnibilidad y lcalización del cntenid y carga del servidr y de la red y td ell a velcidad de línea. Cn su tecnlgía de cntent switching, la serie Cisc CSS11500 prprcina máxim cntrl asegurand alta dispnibilidad de ls sitis web, asegurand ls recurss de ls sitis web sin cmprmeter el rendimient y utilizand eficientemente ls recurss de ls sitis web CARACTERÍSTICAS GENERALES DE LA PLATAFORMA CSS La serie de ls cntent switch de Cisc es una platafrma cmpacta y mdular que prprcina gestión de tráfic a niveles 4a 7, para aplicacines e-business. Está especialmente diseñada para prprcinar transprte rbust de servicis (L4-L7) para centrs de dats. El éxit de ls CSS11500 se basa en cinc áreas clave: Intrduce una arquitectura inteligente y distribuida para sprtar ls requerimients de escalabilidad de las infraestructuras actuales de las empresas. Mejra la dispnibilidad de ls sitis y la integridad de las transaccines intrduciend el cncept de Adaptive Sessin Redundancy (nuev estándar en la industria en failver). 241

256 Prprcina la mayr flexibilidad en equips de su clase para persnalizar cmbinacines de puerts, rendimients y servicis. Escala en rendimient de transaccines seguras a través del sprte de un módul integrad de alta capacidad de Secure Sckets Layer (SSL). Prtege la inversión prprcinand upgrades de rendimient, puerts y servicis a través de la mdularidad ASPECTOS CLAVE CONTENT SWITCH A cntinuación, se enumeran ls aspects aprtads pr ls Cntent Switch de Cisc y que pdems cnsiderar cm claves: Entrega de cntenids web de alta velcidad vía selección de la mejr site y servidr basad en la URL cmpleta, ckies e infrmación de la dispnibilidad de ls recurss. Alt nivel de seguridad vía prevención de denegación de servici (DS). Increments de hasta un 400 pr cient de mejra en el rendimient de web caches para cnfiguracines transparente, prxy y reverse prxy. Sprte de prtcls web basads en TCP y UDP, NAT a velcidad de línea y ruting IP integrad. Optimiza las peticines y las entregas http, FTP pasivs y prtcls de streaming media. Permite SLAs avanzads. Ofrecen cnfiguracines redundantes activ-activ y activ-pasiv CARACTERÍSTICAS TÉCNICAS CSS11503 Las principales características técnicas de ls Cntent Switch de Cisc sn las siguientes: Númer de slts: 3. Incluids en la cnfiguración base el Switch Cntrl Mdule (SCM) cn 2 prts Gigabit Ethernet y un módul de expansión de 8 puerts 10/100 adicinales. 242

257 Númer máxim de prts Gigabit Ethernet: 6. Númer máxim de prts Fast Ethernet: 32. Móduls dispnibles: 8 prts 10/100, 16 prts 10/100, 2 prts Gigabit, módul de aceleración de sesines SSL (1400 TPS). Anch de banda agregad: 20 Gbps. 2 RU de altura. VLAN 802.1Q. RIP v.1 y 2, OSPF. Prestacines de redundancia: Activ/Activ a nivel 5, Adaptive Sessin Redundancy (ASR) y Redundancia VIP (Virtual Internet Prtcl). Full URL, http (1.0, 1.1), Tds ls servicis TCP, UDP y SSL. Prtección DS cntra SYN flds y ataques de nivel 4. Gestión: SSH, SNMP, interfaz basad en brwser SSL, GUI DESCRIPCIÓN DE LOS PROXY Ls sistemas BlueCat Security Gateway es un appliance que permite prprcinar seguridad para prtcls web y cntenids a través del puert 80. El SG es la elección ideal para prteger aplicacines cm web brwsing, servicis de mensajería instantánea y cntenids multimedia. El SG está ptimizad para funcinalidades de seguridad, incluyend escane de virus web, seguridad de cntenids, filtrad de URLs y gestión del anch de banda. El SG400 trabaja cn ruters, switches, firewalls y servidres existentes para reducir la cmplejidad, cste y gestión necesaria para dispner de una slución cmpleta de seguridad APLICACIONES Escane de virus en web. El mdel Escane un, sirve a muchs, permite un escane en tiemp real y escalabilidad de las slucines existentes de virus. Seguridad de cntenids. Analiza el cntenid multimedia y web entrantes, así cm el códig móvil malicis y ls cntenids activs. 243

258 Filtrad de cntenids. El filtrad integrad de URLs permite prevenir el acces inaprpiad a cierts cntenids. Gestión de anch de banda. Prprcina psicinamient de cntenids y ahrr de anch de banda. Servidr Prxy. Prxy Caché de alt rendimient. Aceleración de aplicacines. En cnfiguracines cn ds equips en extrems, permite cnseguir un increment significativ en el rendimient de las aplicacines CARACTERÍSTICAS PRINCIPALES Mtr de prces basad en Plíticas. Elabración de plíticas basad en usuaris, grups de usuaris, hra del día, lcalización, prtcl, tip de cntenid, etc. Visual Plicy Manager. Definición de plíticas de seguridad vía interfaz gráfic web. Autenticación flexible. Sprta autenticación a través de prxy transaparente, cntra diferentes directris de autenticación. El sprte incluye Radius, LDAP y NTLM. Cache inteligente de ls cntenids web. Escane de virus. Mediante la integración vía ICAP, es psible realizar filtrad de antivirus http y FTP de alt rendimient. Resistencia ante ataques de DS. Distingue entre cnexines válidas y malicisas. Filtrad de URLs. Permite definir plíticas para gestinar, restringir y realizar seguimient del us que se hace de la web. Permite integración en la misma unidad de slucines de filtrad cm Websense y Smart Filter. Filtrad de tip MIME. Permite implementar plíticas para cntenids de tip MI- ME. Cntrl de anch de banda para streaming. Permite definir anchs de banda máxims cnsumids pr cntenids streaming para un determinad usuari. Gestión de cnfiguracines. Mnitrización y cnfiguración de ls equips de frma remta, vía CLI y de frma gráfica. 244

259 Lgging y Reprting. Prprcina visibilidad y reprting cmplet a ls administradres de red. Psibilidad de cntrl de la mensajería instantánea. Prxy de SOCKS v4/v5 y prxy de FTP CARACTERÍSTICAS BLUECOAT SG Las principales características de este equip sn: Discs durs de 73 GB 15,000 RPM (4 unidades). Mem 2 GB RAM. Dual Prcessr Xen 3,2 GHz. (4 interfaces pr defect) 10/100/1000 integrads (2 pcinales). Sftware de seguridad Security Gateway DESCRIPCIÓN DE LOS GESTORES DE ANCHO DE BANDA Packeteer dispne de una gama amplia de mdels que cubren diferentes necesidades y requerimients. En cncret el mdel 7500 es un equip de la gama alta que permite llegar a gestinar hasta 200 Mbps de tráfic CARACTERÍSTICAS PACKETSHAPER 7500 Capacidad para gestinar hasta 200 Mbps de anch de banda. Interfaces 10/100/1000 cn capacidad de 2 slts adicinal que permitirían la gestión de nuevas redes (2 interfaces). Gestión fuera de banda. Max Classes: 1,024. Max Partitins: 512 estáticas / 10,000 dinámicas. Max Shaping Plicys: 1,024. Nº Máxim de Direccines IP: 200,000. Nº Máxim de Flujs IP: 200,000 flujs TCP. 245

260 Cnfiguración de Classes a partir de Subred(es), IP usuari(s), IP servidr(es), IP Precedence, Diffserv, puert, ISL, 802.1p/Q, Etiqueta MPLS, VLAN, dirección MAC, URL y Fabricante/Versión del Web Brwser. Clasificación Nivel 7. Detección dinámica de la negciación y asignación dinámica de puerts pr las aplicacines. Esta capacidad permite identificar la descarga de fichers MP3 desde platafrmas de intercambi de archivs P2P, FTP pasivs PpleSft crriend en Citrix. Respnse-Time Management. En aplicacines Intranet permite mnitrizar el tiemp de respuesta de ls servicis crprativs indicand el retard acaecid en la red y en el prpi servidr. Esta infrmación ns permite identificar la causa cierts de prblemas que se manifiestan pr alts retards en la respuesta a ls usuaris. Netwrk Efficiency and TCP Health. Característica que ns permite calcular el prcentaje de anch de banda desperdiciad en retrasmisines. Efectúa además una crrelación del tráfic desechad cn las aplicacines y servidres que han estad implicads en la transferencia, permitiend así identificar el rigen de prblemas en la Red. Seguimient de más de 90 métricas permitiéndns cncer cualquier aspect de nuestra red. A cntinuación se enumeran algunas de ellas: Máquinas que más tráfic generan, servicis que más anch de banda cupan, inventari de aplicacines y direccines IP; Thrughput en Bytes, paquetes, transaccines cnexines; cntadres de Thrughput para cualquier dirección IP, lista de hst subred; cntadres y prcentaje de cnexines TCP que fuern denegads pr plíticas, ignradas rechazadas pr servidres y abrtadas pr el usuari. TCP Rate Cntrl. Packeteer desarrlla la gestión de anch de banda ptenciand ls mecanism de cntrl de ventana TCP, de esta frma se evitan situacines de cngestión en flujs de entrada y salida. Packeteer puede indicar a la estación final que disminuya el enví de paquetes evitándse situacines de cngestión y descarte de paquetes. El cntrl TCP se efectúa pr Packeteer en cuatr pass: Medición de la latencia existente en la red. Previsión de ritm de enví de paquetes. 246

261 Ajuste del tamañ de ventana de acuerd a la latencia y previsión anterir. Medición del caudal de mensajes de acuse de recib (ACK) para asegurar la entrega satisfactria de ls dats trasmitids. TCP Autbaud. Detecta la velcidad de la cnexión de un cliente servidr en el tr extrem de la cnexión Internet. Admissin Cntrl. Decide cm tratar a las sesines adicinales en ls estads de saturación: denegar el acces, acmdar la sesión en el espaci de trs usuaris y para peticines web redirigir la petición hacia tr servidr. Prtección DS. Prtección frente ataques del tip DS cntra la pila TCP de algún servidr. Sprte MPLS. Recncimient, clasificación y prirización a partir del etiquetad MPLS. Además es psible insertar las citadas etiquetas, eliminarlas y rescribir su cntenid RESUMEN DE CARACTERÍSTICAS A cntinuación, se muestra una tabla resumen de las principales características aprtadas pr el Packetshaper Marca: Packeteer. Mdel: PacketShaper Mbps. Númer de interfaces ethernet 10/100/1000: 2 interfaces 10/100/ LEMs adicinales (expansión) DESCRIPCIÓN DE LOS CORTAFUEGOS DESCRIPCIÓN DE LOS CORTAFUEGOS PRIMER NIVEL Ls equips de Juniper Netwrks Secure Services Gateway 500 Series (SSG) representan un tip de appliances de seguridad de prpósit específic que prprcinan una mezcla de alt rendimient, seguridad y cnectividad LAN/WAN. Tant el SSG 520 cm el SG 550 pueden ambs ser implementads cm dispsitivs standalne de seguridad para detener gusans, spyware, tryans, malware y trs ataques emergentes. 247

262 Adicinalmente, el SSG 500 cmbina funcinalidades de seguridad y ruting LAN, a partir de la platafrma de firewall en frmat appliance crriend ScreenOS cn las características de ruting y prtcls WAN desde la serie de ruters J cn JunOS, El resultad es una platafrma de alt rendimient que cmbina ruting cn seguridad. El SSG 550 prprcina 1 Gbps de firewall para tráfic IMIX, 500 Mbps de IPSec VPN y 500 Mbps de IPS (Deep Inspectin). El SSG 550 sprta fuentes de alimentación redundantes y cumple NEBS. Las características y beneficis clave de la serie SSG 500 incluyen: Platafrma dedicada de alt rendimient que prprcina cnectividad WAN y seguridad, además de prtección a velcidad LAN cntra ataques a nivel de aplicación. Cmbinación de seguridad y funcinalidades de ruting LAN/WAN, prprcinand cnslidación de dispsitivs. Dispnibilidad de interfaces LAN y WAN, incluyend serial, T1/E1, DS3, 10/100/1000, SFP y FE. Flexibilidad en cuant a interfaces y ruting según ls requerimients de cnectividad. Deep Inspectin integrad para prtección cntra gusans, spyware, tryans, malware y trs ataques emergentes, basándse en plíticas. Alta dispnibilidad para failver entre interfaces dispsitivs. Znas de seguridad custmizables para mejrar la densidad de interfaces sin hardware adicinal. Gestión a través de GUI, CLI, sistema NetScreen Security Manager. Gestión basada en plíticas DESCRIPCIÓN DE LOS CORTAFUEGOS SEGUNDO NIVEL La serie de dispsitivs de seguridad appliances Cisc ASA 5500 prpne slucines específicas que cmbinan l mejr de dispsitivs de seguridad y VPN cn la arquitectura AIM (Cisc Adaptive Identificatin and Mitigatin). 248

263 Diseñads cm un cmpnente clave de la estrategia Cisc Self-Defending Netwrks, la serie Cisc ASA 5500 prprcina defensa pre-activa que permite parar ataques antes de que se prpaguen pr la red, cntrl de la actividad de la red y del tráfic de aplicación y cntrl de la cnectividad VPN de frma flexible. La aprximación de un únic dispsitiv, múltiples servicis, reduce el númer de platafrmas que deben ser instaladas y gestinadas, a la vez que se frece una perativa cmún y un entrn de gestión unificad. Ell simplifica la cnfiguración, mnitrización, slución de prblemas y frmación del persnal. El resultad es un appliance de seguridad de red multifunción que prprcina seguridad amplia y en prfundidad que permite que una red sea segura, reduciend ls cstes de implantación y ls cstes peracinales. La serie Cisc ASA 5500 ayuda al desarrll más eficiente de la seguridad de red, prprcinand prtección de la inversión cn ls siguientes elements claves: Funcinalidades de seguridad y VPN líderes en el mercad Funcinalidades avanzadas y de alt rendimient de firewall, prevención de intrusines (IPS), antix y tecnlgía VPN SSL, que permiten un nivel rbust y granular de acces a las aplicacines, cn mitigación de gusans y virus, prtección cntra malware, filtrad de cntenids y cnectividad remta de usuaris. Arquitectura de identificación adaptativa y servicis de mitigación La arquitectura AIM permite la aplicación de servicis específics de seguridad y red, prprcinand plíticas de cntrl más granulares y prtección Anti-X. Cste de implantación y peración reducids. La serie Cisc ASA 5500 incluye ls appliances 5510, 5520, 5540 i Se trata de slucines de alt rendimient que aprvechan el cncimient de Cisc en el desarrll de slucines de netwrking y seguridad. Muchs de ls servicis de gestión unificada dispnibles en la serie ASA 5500 se incluyen en el Adapative Security Device Manager para la gestión de dispsitivs únics y en el Cisc Security Management Suite para la gestión de multi-dispsitivs. El Adaptive Security Device Manager es un gestr integrad de dispsitivs basad en web que permite la cnfiguración de tds ls servicis de dispsitivs VPN y de seguridad. Cn 249

264 esta herramienta se pueden definir de frma gráfica las reglas de filtrad pr dirección rigen, destin y puert, mnitrizar el rendimient del sistema, cnfigurar las VPN, las reglas IPS, etc. La arquitectura de servicis AIM y el diseñ multiprcesadr de la serie Cisc ASA cmbina el rendimient de múltiples prcesadres de alt rendimient que trabajan cnjuntamente para prprcinar servicis IPS, firewall, anti-x y servicis de filtrad de cntenids, servicis SSL y VPN, etc. Tds ls appliances Cisc ASA 5500 incluyen númer máxim de usuaris VPN IPSec en el sistema base; las licencias VPN SSL se adquieren de frma separada. El appliance Cisc ASA 5520 prprcina servicis de seguridad cn dispnibilidad activ/activ y activ/pasiv, cn cnectividad gigabit. Cn 4 interfaces gigabit y sprte de hasta 100 VLANs, permite un crecimient imprtante en función de las necesidades. Puede escalar hasta 750 peers VPN SSL pr cada Cisc ASA 5530 instaland la licencia de upgrade VPN SSL. La dispnibilidad de la slución VPN puede mejrar cn las capacidades de VPN clustering y balance del Cisc ASA Sprta hasta 10 appliances en un cluster, sprtand un máxim de 7500 VPN SSL 7500 VPN IPSec pr cluster. Las funcinalidades de seguridad de la capa de aplicación prprcinadas pr las defensas Anti-X pueden ser mejradas cn las capacidades de prevención de intrusines y mitigación de gusans del módul AIP-SSM, cn la prtección malware del módul CSC-SSM. Cn las capacidades de las pcines adicinales de cntexts de seguridad, se pueden implantar hasta 10 firewalls virtuales para pder separar las plíticas de seguridad a nivel de departaments. Las características principales del Cisc ASA 5520 sn: Rendimient Firewall: Hasta 450 Mbps. Rendimient de mitigación (firewall + IPS): Hasta 225 Mbps cn AIP-SSM-10. Hasta 375 Mbps cn AIP-SSM-20. Rendimient VPN: Hasta 225 Mbps. Sesines cncurrentes: 280,000. Túneles VPN IPSec:

265 SSL VPN (Licencias pcinales): 10, 25, 50, 100, 250, 500, r 750. Cntexts de seguridad (Licencias pcinales): Hasta 10*. Interfaces : 4 prts GE y 1 prt FE. Virtual interfaces (VLANs): 100. Escalabilidad: Cluster y Lad Balancing VPN. Alta Dispnibilidad: Activ/Activ, Activ/Stand-By DESCRIPCIÓN IDS/IPS La detección de intrusines se cncretará en la cnfiguración de equips IDS para la mnitrización de un varis segments crítics. Se prpne la utilización de un par de equips de Cisc IPS de la serie 4200 de Cisc. El IPS 4200 frece imprtantes prestacines para la detección y prevención de intrusines. Ls sensres de la serie 4200 permiten minimizar el cste ttal de prpiedad en la implantación de las slucines de IPS prprcinand: Funcinalidad de prevención de intrusines inline cn el sftware IPS v.5.0. Capacidad de prteger de frma simultánea múltiples segments de red a través del sprte de múltiples interfaces. Operación en md prmiscu e inline de frma simultánea. Gran rendimient. Gestión basada en web embebida. Entre las accines de respuesta activa que puede realizar la snda se encuentran las siguientes: Mdificación de ACLs en ruters, switches, firewalls. Finalización de sesines. Accines de drpad de paquetes para parar virus y gusans. Lgging y replay de sesines IP. La versión 5.0 del IPS aprta las siguientes funcinalidades: 251

266 Identificación multivectr de amenazas. Prtege la red de vilacines de plíticas, expltación de vulnerabilidades y actividad anómala a través de la inspección detallada del tráfic de niveles 2-7. Tecnlgías de prevención precisas. Prprcina la capacidad de llevar a cab accines de prevención sbre un gran númer de amenazas sin el riesg de drpar tráfic legítim. Las funcinalidades de Risk Rating y Meta-Event Generadr permiten identificar de frma precisa ataques, permitiend la rápida mitigación de la actividad malicisa. Clabración de red. Prprcina escalabilidad mejrada a través de clabración de red, incluyend técnicas de captura de tráfic eficientes, capacidades de balance de carga y visibilidad en el tráfic cifrad. Ls principales beneficis aprtads sn: Prprcina sprte de servicis IDS/IPS que permiten a únic sensr perar simultáneamente cm sensr IDS y sensr IPS. Prprcina un gran númer de accines de drpad de paquetes, incluyend la capacidad de drpar determinads paquetes maliciss, tds ls paquetes cn un fluj que cntenga múltiples paquetes maliciss y tds ls paquetes desde la dirección IP de un atacante. Cisc Meta Event Generadr (MEG) prprcina crrelación n-bx para prprcinar una clasificación precisa de gusans. Risk Rating incrementa la precisión del drpad de paquetes prprcinand una aprximación de balance del riesg para clasificar amenazas VPN/SSL La platafrma SSL VPN de Juniper (Secure Access 6000) está diseñada para entrns medians y grandes, prprcinand un gran rendimient, escalabilidad y redundancia para rganizacines cn uns requerimients elevads en cuant a vlumen de acces segur y autrización. 252

267 La platafrma SA 6000 está diseñada para escalar a grandes entrns, cn pcines dispnibles que incluyen discs durs redundantes ht-swap, así cm múltiples puerts ethernet basads en GBIC para cnfiguracines mesh redundantes. Así mism incluye un chipset de aceleración SSL para llevar a cab ls prcess intensivs de cifrad/descifrad, así cm la cmpresión de td el tráfic. Cm tds ls prducts cnstruids sbre la platafrma IVE, el SA 6000 usa SSL, dispnible en tds ls brwser web, cm medi de transprte segur FUNCIONALIDADES Y BENEFICIOS Ls aspects clave y beneficis del Secure Access 6000 incluyen ls siguientes: Rendimient, escalabilidad y alta dispnibilidad. Diseñad para gran númer de usuaris y necesidades cmplejas. Basad en hardware, cn mejras en rendimient para escalabilidad. Alta dispnibilidad, cn pcines de clustering multi-unidad. Chipset aceleración SSL. Opcines dispnibles incluyen discs durs redundantes ht swap, fuentes de alimentación y ventiladres. Seguridad extrem a extrem: Gestión de privilegis de acces para autenticación ptente y plíticas de autrización sin sftware adicinal. Cntrles sbre el dispsitiv cliente. Cntrles de identidad de acces, especificads pr grups de usuaris rles, así cm pr red, dispsitiv y atributs de sesión. Auditría y lgging. Opción de gestión central para administración unificada. 253

268 15.9 DESCRIPCIÓN SERVIDORES BLADE Ls equips servidres que se suministran están basads en la tecnlgía HP BladeSystem p-class. Esta permite reducir y simplificar la gestión, diseñ y mantenimient de la infraestructura de entrns que cuentan cn un gran númer de equips servidres. Esta tecnlgía da sprte y agrupa en una sla platafrma a tda la infraestructura de cmputación, almacenamient, red y alimentación eléctrica, l que permite acelerar la integración y ptimización de ls centrs de dats, además de facilitar su escalabilidad psterir. Esta tecnlgía se basa en el agrupamient en un sl chasis, Server Blade Enclsure (SBE), hasta ch servidres HP Prliant BLp junt cn su ínter cnexinad de red, alimentación eléctrica y herramientas de gestión, td ell integrad en el prpi chasis. En la infraestructura de equips servidres que se ferta, cada chasis está integrad pr ls siguientes cmpnentes: Hasta ch servidres del tip HP BL60p HP BL20p. Ds switch Cisc BLp Ethernet. 254

269 A cntinuación, se detalla el equipamient fertad para la infraestructura de ls equips servidres BASTIDOR Listad del equipamient del que se cmpne un bastidr HP. Mdel Descripción Cantidad AF002A HP Universal Rack G2 Shck Rack 1 AF002A 001 Factry Express Base Racking 1 AF054A HP G2 Sidepanel Kit 1 AF064A HP 10K G2 600W Hvy Dty Stabilizer Kit B33 HP 32A HV Cre Only Crded PDU B31 HP 32A High Vltage Mdular PDU B22 5M SW LC/LC FC Cable 8 Tabla 43 Descripción del Bastidr HP En la figura siguiente se puede ver un ejempl del aspect que presenta un bastidr HP universal de 42U integrad pr varis sistemas blade junt cn un gráfic detallad de la arquitectura de un chasis, en él aparecen ch servidres blade y ds equips de intercnexión. 255

270 Figura 45 Bastidr HP Blade System p-class SYSTEM BLADE Listad del equipamient del que se cmpne un sistema blade. Mdel Descripción Cantidad B22 HP BLp Enhanced Enclsure w/8 RDP Lic B21 Cisc BLp Ethernet Switch B21 HP BLp-Class Encl Shipping Bracket Kit 1 AG057A HP TFT7600 ES Rckmunt Keybard Mnitr B21 HP BLp 1U Pwr Encl w/6 Pwr Spply Kit B21 HP CAT5 0x1x8 KVM Server Cnsle Switch 1 AF100A HP BladeSystem CAT5 KVM Intf Adptr 8 Tabla 44 Sistema Blade 256

271 En la figura siguiente se puede ver la dispsición y cmpnentes que integran un sistema blade. + Server Cnsle Switch 1U + Mnitr and Keybard 1U Figura 46 Chasis HP Blade p-class Un sistema blade está integrad pr ls siguientes cmpnentes: Psibilidad de intercnectar hasta ch servidres BL y ds switchs Cisc BLp Ethernet dispuests en ls laterales (6U). Las fuentes de alimentación redundantes (1U). Un switch KVM para la cnsla de ls servidres (1U). Un mnitr 17 y teclad (1U). Así, el sistema blade en su cnjunt cupa 9U en la instalación en el bastidr CHASIS. SYSTEM BLADE ENCLOSURE Un chasis tiene espaci para diez bahías, ch para servidres blade y ds para móduls de intercnexión situads en ls extrems, en nuestr cas serán ds equips Cisc GESM, y td el ínter cnexinad para la alimentación y la red, además de un mdul de gestión para infrmar de ls events, recurss e inventari de tds ls servidres, td ell cn un sl puert físic ilo. La intercnexión del chasis hace que cada bahía de ls servidres blade este cnectada a cada un de ls ds switch cisc situads en las bahías de ls extrems. 257