REPÚBLICA BOLIVARIANA DE VENEZUELA UNIVERSIDAD RAFAEL BELLOSO CHACIN FACULTAD DE INGENIERÍA ESCUELA DE INFORMÁTICA

Transcripción

1 REPÚBLICA BOLIVARIANA DE VENEZUELA UNIVERSIDAD RAFAEL BELLOSO CHACIN FACULTAD DE INGENIERÍA ESCUELA DE INFORMÁTICA PROYECTO FINAL REDES Y TELEPROCESO II SECUREWARE, S.A. PRESENTADO POR: Abner Nuñez Leandra Laguna PROFESOR: Ing. Luis G. Molero MSc. Maracaibo, Julio 2008

2 2 INTRODUCCIÓN El propósito principal de este proyecto es presentar un diseño de la red wan para la empresa Secureware, S.A, con sede principal en la ciudad de Caracas, que le permita conectarse con las localidades: Maracaibo, Barquisimeto, Cabimas y Buenos Aires (Argentina). Entre los servicios que tendrán acceso con este diseño se ofrecen: Acceso a Internet, Seguridad lógica y física, Servicios Web (Intranet/Extranet), Correo electrónico interno y externo, servicio de FPT, sistemas de VoIP, Videoconferencia, servicios de directorio activo, Gestión en todas las sedes. En la presente propuesta se seleccionaron las tecnologías de enlaces de Frame Relay para Caracas Buenos Aires, Caracas Barquisimeto, E1 para Caracas Maracaibo, Maracaibo Cabimas y enlace óptico inalámbrico (FSO) para conectar Maracaibo-Delicias con Maracaibo San Francisco. También se definen el hardware/software, especificaciones técnicas, configuraciones, implementaciones, proveedores seleccionados para cada servicio ofrecido. Se presenta presupuesto total de inversión en hardware y software, así como también los costos mensuales que deben pagar para mantener activo este diseño.

3 3 CASO DE ESTUDIO EMPRESA: SECUREWARE, S.A. SEDE PRINCIPAL: CARACAS Secureware S.A, es una empresa de software que desarrolla aplicaciones de seguridad basándose en tecnologías de reconocimiento visual, por voz y por detección de movimiento. Secureware S.A, ha creado un departamento de investigación a nivel de Latinoamérica para potenciar este tipo de tecnologías combinándolas con programas de inteligencia artificial. Clientes habituales de esta empresa son gestores de transporte público, como aeropuertos y líneas de metros y ferrocarriles, agencias de seguridad privada y pública de diferentes países y compañías con altos niveles de exigencia en cuanto a seguridad. Como hecho relevante, el éxito de un algoritmo de aceleración en los procesos de reconocimiento visual aplicando técnicas de difracción a las imágenes podría suponer una importante expansión de la empresa. En este sentido y debido a la envergadura de Secureware, S.A, se hace necesario el diseño completo de una red de tipo WAN que permita conectar las siguientes locaciones País Argentina Capital Buenos Aires Venezuela Caracas Venezuela Maracaibo Venezuela Barquisimeto

4 4 Habilitando para ello, los siguientes servicios comerciales. 1. Proveer Acceso a Internet controlado. 2. Seguridad lógica y física en todos los niveles de la organización. 3. Brindar el servicio Web para la publicación en Internet. 4. Brindar el servicio de correo electrónico para el uso interno y externo. 5. Proveer del servicio FTP. 6. Sistemas de VoIP y/ó esquemas de voz provistos por terceros. 7. Videoconferencia. 8. Servicios de directorio activo. 9. Gestión 10. Presupuesto.

5 5 DETALLE DE PROPUESTA DE DISEÑO DE RED WAN CASO DE ESTUDIO: SECUREWARE, S.A 1. CLASES DE TRAFICO Calculo de Ancho de Banda y Tipos de tráfico A continuación se especifican el tráfico que se estará manejándose entre sucursales: Tráfico Latencia Ancho de banda SMTP Correo Electrónico tiempo=35ms TTL= Kbps (1024 Kbps. DPL) http Navegación Internet tiempo=150ms TTL= Kbps (1024Kbps Fr768Kbps CIRC) TCP/UDP Videconferencia tiempo=10ms TTL= Kbps E1 (2048Kbps) Active Directory tiempo=10ms TTL= Kbps Replication VOIP/Gatekeeper H323 tiempo=25ms TTL= Kbps FTP tiempo=30ms TTL= Kbps HTTPS/http Extranet/Intranet tiempo=120ms TTL=123 64Kbps. 2. TOPOLOGÍA DE LA RED Diseño Lógico Los esquema de configuración de Red LAN y WAN propuesto para Secureware, se pueden apreciar en los Anexos detallados a continucación: Esquema Configuración Red Secureware Caracas Esquema Configuración Servidores Secureware Caracas Esquema Configuración WAN Áreas Regionales Esquema Configuración Servidores Áreas Regionales

6 6 3. ESTIMACIÓN DE ANCHO DE BANDA Tabla de estimación Tráfico Ancho de banda real Ancho de banda estimado Caracas - Buenos 1024 Kbps CIRC 896 Kbps Aires 768Kbps Caracas Barquisimeto 384 Kbps CIRC 512 Kbps 256Kbps Caracas - Maracaibo 2048 Kbps Kbps (Mcbo- Cabimas) Caracas Internet 1024 Kbps CIRC 512 Kbps 768KBps Maracaibo - Cabimas 2048 Kbps 896 Kbps Maracaibo San Francisco 1.25 Gbps 896 Kbps 4. TECNOLOGÍA DE ENLACE Esquemas de conexión WAN ( Frame-Relay, E1, FSO) Especificaciones técnicas: Se utilizarán enlaces Frame Relay entre el área internacional con Caracas y enlaces de tipo E1 para la conexión de voz y datos entre las sucursales regionales a excepción de Barquisimeto Caracas, la cual se estará usando enlace Frame-Relay. Caracas Buenos Aires Argentina Frame relay 1024 Kbps CIRC 768 Kbps Maracaibo - Caracas E1 2048Kbps Maracaibo Cabimas E1 2048kbps Barquisimeto Caracas Frame relay 384 Kbps CIRC 256Kbps Maracaibo Delicias San Francisco FSO 1.25Gbps Caracas Internet Frame-relay 1024 kbps.

7 7 Se colocarán 5 Torres a lo largo de la Circunvalación 2, a fin de repetir la señal cada 2.5 Kmts. Tecnología Velocidad máxima Detalles de implementación E1 2048Kbps.- Ultima Milla con pares de cobres desde CANTV hasta el FX-Base del Edificio..- Instalación de DTU MainStreet Conectorizacion tipo V35 desde DTU hasta el router Cisco 3640 con CABLE DTE al puerto serial 0/0..- Configuración de E1 Controller en el router cisco, definiendo un canal común de 20 canales, 10 entrantes y 10 salientes con señalización de tipo DTMF..- Configuración de los Dial peer Pots con los prefijos de marcado y enrutamiento de paquetes de voz..- Implementación de políticas de QoS sobre el segmento de red de VoIP, aplicando técnicas de MAP-CLASS. FRAME-RELAY 1024Kbps CIRC I.- Instalación de ultima 768Kbps por parte de IMPSAT usando enlace Microondas entre Telecolor y azotea del edificio..- Instalación de Mástil y RADIO-PAD BOSH..- Instalación y configuración de Multiplexor ACT Networks 9400 SDM..- Configuración de PVC

8 8 de voz y datos.. -Asignación de prioridad en canales de tipo E&M. FSO Conexión ,25Gbps.- Instalación y montaje de la plataforma y el hardware..- Montaje del FSO y conexión de cables..- Sistema de Alineación..- Verificar las conexiones y los alineamientos. Especificaciones técnicas: Equipamiento de Enrutamiento (1) Cisco 3640 (E1 Controller, 2 Wan Serial 2 Fast Ethernet, NVRAM 4048Kbyte, IOS VERSION (4) Cisco 2620 (E1 Controller, 2 Wan Serial 2 fast Ethernet, NVRAM 4048Kbyte, IOS VERSION (1) Cisco 2502 (2 Wan Serial 1 Ethernet, NVRAM 2048Kbyte, IOS VERSION 5. SERVICIO DE INTERNET CANTV Frame Relay Set de Direccionamiento Publico Dirección de red /27 Proveedores del servicio Esquema de ancho banda Ancho de banda. 1024Kbps CIRC 768Kbps. Software: Implementaciones de Software/Hardware Implementación de Servidor Proxy Squid 2.0 (Sistema Operativo DEBIAN)

9 9 Cache limit Size : 20Gb (red Interna ) Externa ( /24) Servicio de Filtrado de contenido Web. Aplicación Web Sense 3.0 Hardware: Hp Proliant DL-380 G4 Especificaciones Técnicas RAID 5, 4 HD 36 Gb, 2 Gb de Memoria RAM, Interfases Fast- ethernet 10/100Mbps 6. SEGURIDAD LÓGICA Y FÍSICA Firewall y Configuración FirewallCheckpoint NG 56 VPN-PRO Autenticación VPN Ipsec y MD5 Encriptación Definición de Reglas NAT: 1.- NAT INSIDE correo Registro MX CANTV 2.- NAT OUTSIDE Navegación Internet Servicio asociados a la navegación : (HHTP, HTTPS,DNS,FTP, ICMP,POP,SMTP) Configuraciones Definición de reglas de trafico. Validación de estaciones de administración. Administración de logs de seguridad y control de eventos. Implementación Segmentación física del área DMZ, a través de la utilización de un Switch Capa 2 y 3, para el manejo del rango publico definido.

10 /27 Dirección red Frame Relay Network Address Fast Ethernet Cisco Dirección Externa FW Checkpoint Registro MX Secureware.com NAT-OUTSIDE Proxy Squid Extranet Secureware Videoconferencia INTERNET Broadcast Address 7. HOSPEDAJE WEB Implementaciones Indoor Equipamiento: Hp Proliant DL360 G5 RAID 5 36 Gb DD, 2 Gb RAM.- Microsoft Windows Internet information Server Net FrameWork. Configuraciones: Definición de 3 instancias de administración y servicios. 1.- Instancia de Intranet usuarios SecureWare.- Acceso OWA Outlook Web Access..- Administración y control de solicitudes de servicios internos.- Área de Publicación y Actualización intranet 2.- Área de Extranet

11 11 Definición de Acceso DMZ en conexión con FW Checkpoint. Aplicaciones publicas y conexión a la base de datos de producción. Generación de peticiones de servicios Clientes Externos. Agenda de Videoconferencia. 8.- CORREO ELECTRÓNICO Implementaciones Indoor (2) Servidores Microsoft Exchange (Caracas y Buenos Aires) (1) Barracuda SPAM FIREWALL 300 Hosting de Registro MX CANTV.NET Servicios de IMAP, MAPI, POP3, WEBMAIL http: Equipamiento: Compaq Proliant DL380 G4 RAID 5 DE 172GB Configuraciones: Creación del Dominio de Correo Definición de la Organización Exchange SECUREWARE Creación de Site Exchange Creación y definición de plantillas de buzones Definición de conectores X-400 Definición de Virtual SMTP Server. (Salida o conexión NAT Internet) Configuración del Exchange Mailbox Store Creación de Buzones de Correo con Active Directory Definición de políticas para la convención de Nombres tipo DC-OU Búsqueda de nombres y objetos usando LDAP protocolo.

12 12 9. SERVICIOS FTP Implementaciones Indoor Equipamiento: Hp Proliant DL360 G5 RAID 5 70 Gb DD 2 Gb RAM, S.O. Linux DEBIAN 4.0, FTP Services Configuraciones: Implementación de acceso y seguridad se utilizará políticas de trafico y control basado en IPTABLES #Realiza el flush inicial de cache ARP y RARP. iptables -F iptables -t nat -F iptables -P INPUT DROP iptables -P FORWARD DROP modprobe ip_conntrack_ftp modprobe ip_nat_ftp iptables -A INPUT -j LOG #para negar paquetes icmp iptables -A INPUT -p ICMP -i eth0 --icmp-type echo-request -j DROP iptables -A INPUT -p tcp --dport j DROP iptables -A INPUT -p udp --dport j DROP iptables -A INPUT -p tcp --dport 23 -j DROP iptables -A INPUT -p udp --dport 23 -j DROP iptables -A INPUT -p tcp --dport 20 -j ACCEPT # ftp

13 13 iptables -A INPUT -p tcp --dport 21 -j ACCEPT # ftp #iptables -A INPUT -p tcp --dport 53 -j ACCEPT # dns #iptables -A INPUT -p udp --dport 53 -j ACCEPT # dns iptables -A INPUT -p tcp --dport 80 -j ACCEPT # http iptables -A INPUT -p tcp --dport 110 -j ACCEPT # pop #iptables -A INPUT -p tcp --dport 443 -j ACCEPT # https #iptables -A INPUT -p tcp --dport j ACCEPT # webmin iptables -I INPUT -i lo -j ACCEPT iptables -I OUTPUT -o lo -j ACCEPT iptables -I FORWARD -j ACCEPT echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -I POSTROUTING -o eth0 -s /24 -j MASQUERADE iptables -I INPUT -s /24 -i eth1 -j ACCEPT # doy via libre a la red interna iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Permite el acceso de las redes internas o validadas con VPn Server al servicio FTP de Secureware. # ftp server iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 21 -j DNAT --to :21 iptables -A FORWARD -p tcp -i eth0 -d dport 21 -j ACCEPT

14 14 iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20 -j DNAT --to :20 iptables -A FORWARD -p tcp -i eth0 -d dport 20 -j ACCEPT iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT 10.- SISTEMA VOIP Se utilizará un servicio de H323 Gatekeeper de Cisco y la capacidad de Voip de las centrales NEC IPS 200 las cuales trabajan de manera Hibrida, es decir, proveen servicios de telefonía Analógica y telefonía Voz sobre IP a través de sus tarjetas IP-PAD y IPAD1 de compresión de voz. Equipamiento: (1) Cisco 1760 con IOS Call Manager Express. (4) Centrales NEC IPS PIM por cada sede, menos Caracas, capacidad de 3 PIM ( 200 Extensiones Máxima) Software: IOS ver 13.6 con capacidades de compresión y enrutamiento de paquetes IP. Sistema Operativo NEC MatWorks 2.01 Configuraciones: 1.- En la sede Principal en Caracas, se tendrá un E1 de CANTV definido 15/15, es decir 30 canales. La posibilidad de recibir 200 números entrantes a través de un master, que serán recanalizados y enrutados a las diferentes sedes. Los esquema en el plan de numeración se reflejan como sigue :

15 15 Caracas 1xx 65 Usuarios Maracaibo 2xx. 45 Usuarios Cabimas 2xx 30 Usuarios Barquisimeto 3xx 30 Usuarios Argentina 4xx 25 Usuarios A través del sistema de Voip y el Call Manager Express de Cisco, se tiene la posibilidad de conectar Laptops, Pcs y Equipos de telefonía abierta usando el protocolo H323, el cual se podrá comunicar a los usuarios móviles entre sucursales. Los equipos que se conecten a la Pbx NEC IPS 200 tendrán la ventajas de utilizar todos los servicios instalados sobre ella, tales como: PADLOCL, LDN, LDI, Do not Distrub, call Back, Hunting Gorup, entre otros. En los routers la aplicación de dialpper y Pots permitirán enrutar el trafico de VoIP a través de las distintas sucursales, ahorrando costos y permitiendo una comunicación segura y confiable. Dial Peer Configuration Voice over IP Network Dial Peer Extension Prefix Router CISCO 3640 Caracas Destination Pattern Type Voice Port xx POTS 0:D xx. POTS 0:D xx POTS 0:D Session Target VoIP

16 Router CISCO 2620 Maracaibo, Cabimas, Barquisimeto, Argentina , 1001, 1002, xx xx xx.. POTS 0:D VoIP VIDEOCONFERENCIA Se instalarán Equipos Picturetel PT900 para cada área. Equipamiento (5) Polycom Picture TEL PT900 Software: Polycom Vx900s (Software para Pcs) Configuraciones: Definición inicial del Gatekeper Extensión Multipunto de videoconferencia. Configuración de PIP Picture and Picture. Definición de cámaras y ajuste automático para la detección de movimiento. Preajustes de comparticion de recursos y desktops remotos. Colaboración y servicios de ambientes digitales. Trabaja simultáneamente en un documento y controla los cambios desde cualquier sala. 12. SERVICIOS DE DIRECTORIO

17 17 Configuraciones: Creación inicial del Forest Primario Creación del Primer DC Domain Controller SECUWARE.COM Instalación y configuración del servicio DNS Definición del Reverse LookUp Zone Configuración del Servicio DHCP y sus respectivas zonas de Direccionamiento: Caracas /24 Maracaibo /24 Cabimas /24 Barquisimeto /24 Buenos Aires /24 Creación de parámetros a entregar por área en DHCP: Default Gateway ROUTER CISCO3640 CCs, en cada area se instalará su respectivo Router DNS server : Active Directory SECUWARE05 DOMAIN NAME : secuware.com BOOTP : NO.- Definición de Grupos Globales, Grupos locales y usuarios por Área.- Implementación de la OU Unidades organizaciones para la delegación de administración por área..- Creación y definición de buzones de correo con Microsoft Exchange Implementación de Logins Scripts y políticas iniciales para la periodicidad de tiempos en cuentas de accesos a la red. Software:

18 18 (2) Servidores Microsoft Windows 2003 Advanced Server, se instalará uno (1) en Caracas y uno (1) en Buenos Aires. Gestión de red En Caracas Hardware (2) Swicht 3com 4400 de 24 puertos (1) Switch 3com 4900 de 12 puertos 10/100/1000 Bps Software:.- Monitoreo y control de flujo con Solarwinds de Orions.- Herramienta de monitoreo para los servicios LAN/WAN a través del protocolo ICMP, SNMP. En Áreas Regionales e Internacionales Hardware: (2) Swicth Cisco Catalyst 2960 de 24 Puertos Configuraciones:.- A través de puertos Gigaethernet se crearán Backbones de conexión trasera definiendo un arreglo único de de swicht por cada área..- En el Swicht 3com 4900 Gigaethernet se colocarán los servidores de Active Directory, Mensajeria, Videconferencia, FTP y Web, a fin de ofrecer un mejor rendimiento en el acceso y uso de los datos. El área DMZ en la que esta el Firewall Checkpoint, el sistema BARRACUDA SMTP Antispan y los servidores WEB Y FTP, serán conectados en un dispositivo de capa 2 diferente a la red Local.