UNIVERSIDAD POLITÉCNICA SALESIANA

Transcripción

1 UNIVERSIDAD POLITÉCNICA SALESIANA FACULTAD DE INGENIERÍAS SEDE QUITO-CAMPUS SUR CARRERA DE INGENIERÍA DE SISTEMAS MENCÍON TELEMATICA ANÁLISIS Y DISEÑO DE LA RED INALÁMBRICA DE ÁREA LOCAL PARA LA EMPRESA ELECTRO ECUATORIANA S.A.C.I. TESIS PREVIA A LA OBTENCIÓN DEL TITULO DE INGENIERO DE SISTEMAS LUIS ALFREDO CLAVIJO VILLACÍS ERIKA PATRICIA LOGROÑO CALISPA DIRECTOR: ING. LUIS OÑATE Quito, Julio 2008

2 DECLARACIÓN Nosotros, Erika Patricia Logroño Calispa y Luis Alfredo Clavijo Villacís, declaramos bajo juramento que el trabajo aquí descrito es de nuestra autoría; que no ha sido previamente presentada para ningún grado o calificación profesional; y, que hemos consultado las referencias bibliográficas que se incluyen en este documento. A través de la presente declaración cedemos nuestros derechos de propiedad intelectual correspondientes a este trabajo, a la Universidad Politécnica Salesiana, según lo establecido por la Ley de Propiedad Intelectual, por su reglamento y por la normatividad institucional vigente. Luis Clavijo V. Erika P. Logroño

3 CERTIFICACIÓN Certifico que el presente trabajo fue desarrollado por Luis Alfredo Clavijo Villacís y Erika Patricia Logroño Calispa bajo mi dirección. Ing. Luís Oñate Director de tesis

4 AGRADECIMIENTO Quiero dar las gracias desde lo más profundo de mi corazón a Erika Logroño quien fue la persona que se convirtió en un pilar muy importante en toda mi carrera, la cual en muchos momentos difíciles de la universidad me ayudo a sobrellevar y superar. GRACIAS. Agradezco a todos mis profesores de carrera los cuales impartieron los mejor conocimientos para mi futuro profesional, pero un agradecimiento especial para el Ing. Luis Oñate por sus consejos y tiempo para la elaboración de este proyecto muy importante. Luis Clavijo Villacís Mis agradecimientos sinceros a mis hermanos por su ejemplo de vida y superación. A Dios por darme salud y vida para poder cumplir con mis ideales. Erika Logroño C.

5 DEDICATORIA Este proyecto llego a cumplirse gracias a la perseverancia y apoyo incondicional de mis padres, los cuales con sus palabras de aliento y confianza inculcaron en mí la lucha eterna para llevar a concretar mis objetivos. Luis Clavijo Villacís Dedico este proyecto a mi madre y padre por ser mi fuente de inspiración para salir adelante. Gracias por criarme y enseñarme que siempre debo intentar llegar hasta las estrellas. Gracias por sus consejos y palabras de aliento cuando sentía que ya no debía seguir en la carrera y por regocijarse conmigo cuando culmine mi último semestre. Mi triunfo es su triunfo. Mi victoria es suya. Los Amo. Erika Logroño C.

6 CONTENIDO CAPÍTULO I INTRODUCCIÓN INTRODUCCIÓN OBJETIVOS OBJETIVO GENERAL OBJETIVOS ESPECÍFICOS JUSTIFICACIÓN ALCANCE DEL PROYECTO ANTECEDENTES PLANTEAMIENTO DEL PROBLEMA SOLUCÓN DEL PROBLEMA. 4 CAPÍTULO II MARCO TEÓRICO INTRODUCCIÓN METODOLOGÍA DEL DISEÑO DE REDES REDES DE INFORMACIÓN INTELIGENTES Y SERVICIO ORIENTADO A LA ARQUITECTURA DE REDES ARQUITECTURA IIN SONA CAPA INFRAESTRUCTURA DE RED CAPA SERVICIO INTERACTIVO CAPA APLICACIÓN BENEFICIOS DE SONA FASES DE PREPARACIÓN, PLANTACIÓN, DISEÑO, IMPLEMENTACIÓN, OPERACIÓN Y OPTIMIZACIÓN FASE PREPARACIÓN FASE PLANTACIÓN FASE DISEÑO FASE IMPLEMENTACIÓN FASE OPERACIÓN... 16

7 FASE OPTIMIZACIÓN METODOLOGÍA DE DISEÑO BAJO IDENTIFICANDO REQUISITOS DEL CLIENTE CARACTERIZACIÓN DE LA RED ACTUAL PASOS EN LA RECOPILACIÓN DE INFORMACIÓN HERRAMIENTAS PARA AUDITORIA DE RED HERRAMIENTAS DE ANÁLISIS DE RED LISTA DE COMPROBACIÓN DE RED DISEÑANDO LA TOPOLOGÍA Y LAS SOLUCIONES DE LA RED PROPUESTA TOP-DOWN PRUEBA PILOTO Y PROTOTIPOS DISEÑO DEL INFORME MODELOS DE ESTRUCTURA DE RED MODELOS DE REDES JERÁRQUICOS BENEFICIOS DEL MODELO JERÁRQUICO DISEÑO DE RED JERÁRQUICO CAPA NÚCLEO CAPA DISTRIBUCIÓN CAPA ACCESO MODELO DE ARQUITECTURA EMPRESARIAL MODULO DEL CAMPUS EMPRESARIAL MODULO DE BORDE DE LA RED.. 36 a) E-COMMERCE 37 b) INTERNET 38 c) ACCESO REMOTO / VPN. 40 d) WAN EMPRESARIAL MODULO PROVEEDOR DE SERVICIOS (ISP) DISEÑO DE LAN EMPRESARIAL MEDIOS DE COMUNICACIÓN LAN.. 44

8 REGLAS DE DISEÑO ETHERNET REGLAS DE DISEÑO PARA ETHERNET 10-MBPS REGLAS DE DISEÑO PARA FAST ETHERNET 100-BPS.. 46 a) FAST ETHERNET 100BASE-TX. 47 b) FAST ETHERNET 100BASE-T4. 47 c) FAST ETHERNET 100BASE-FX. 48 d) REPETIDORES 100BASE-T REGLAS DE DISEÑO GIGABIT ETHERNET GIGABIT ETHERNET DE GRAN LONGITUD DE ONDA 1000BASE-LX GIGABIT ETHERNET DE CORTA LONGITUD DE ONDA 1000BASE-SX GIGABIT ETHERNET SOBRE UTP 1000BASE-T REGLAS DE DISENO PARA 10 GIGABIT ETHERNET (10GE) TIPOS DE MEDIOS DE COMUNICACIÓN 10GE CANAL FAST ETHERNET HARDWARE DE LA RED LAN REPETIDORES HUBS SWITCHES ROUTERS SWITCHES DE CAPA MODELOS Y TIPOS DE DISEÑOS LAN MEJORES PRÁCTICAS PARA CAPAS JERÁRQUICAS MEJORES PRÁCTICAS PARA CAPA ACCESO MEJORES PRÁCTICAS PARA CAPA 61

9 MEJORES PRÁCTICAS PARA CAPA NÚCLEO REDES LAN DE MEDIANO TAMAÑO MODULO GRANJA DE SERVIDORES OPCIONES DE CONECTIVIDAD DEL SERVIDOR INFRAESTRUCTURA DE LOS CENTROS DE DATOS EMPRESARIALES CONSIDERACIONES DE CALIDAD DE SERVICIO PARA LAN DE CAMPUS DISEÑO DE RED INALÁMBRICA TECNOLOGÍAS DE RE LAN INALÁMBRICAS ESTÁNDARES DE RED LAN INALÁMBRICAS FRECUENCIAS ISM Y UNII RESUMEN DE NORMAS DE REDES LAN INALAMBRICAS IDENTIFICADOR DE ASIGNACIÓN DE SERVICIOS (SSID- SERVICE SET IDENTIFIER) MÉTODO DE ACCESO DE CAPA 2 DE WLAN SEGURIDAD WLAN ACCESO NO AUTORIZADO ENFOQUE DE DISEÑO DE SEGURIDAD WLAN AUTENTIFICACIÓN BASADA EN EL PUERTO 802.1X CLAVES DINÁMICAS WEP Y LEAP CONTROL DE ACCESO A LOS SERVIDORES WLAN REDES INALÁBRICAS UNIFICADAS ARQUITECTURA UWN LWAPP MODOS DE PUNTO DE ACCESO LWAPP DESCUBRIMIENTO LWAPP... 84

10 AUTENTICACIÓN WLAN OPCIONES DE AUTENTICACIÓN CONTROLADOR DE COMPONENTES WLAN TIPOS DE INTERFACES WLC ROAMING Y GRUPOS DE MOVILIDAD ROAMING DENTRO DEL CONTROLADOR ROAMING DENTRO DEL CONTROLADOR DE CAPA ROAMING DENTRO DEL CONTROLADOR DE CAPA GRUPOS DE MOVILIDAD DISEÑO DE RED LAN INALÁMBRICA DISEÑO DE CONTROLADOR DE REDUNDANCIA a) REDUNDANCIA WLC N b) REDUNDANCIA WLC N+N c) REDUNCDANCIA WLC N+N ADMINISTRACIÓN DE RADIOS Y GRUPOS DE RADIOS. 96 a) GRUPOS DE RADIO FRECUENCIA (RF) SITE SURVEY DE RF USANDO TÚNELES EOIP PARA SERVICIOS AL CLIENTE REDES INALÁMBRICAS EN MALLA PARA REDES DE EXTERIORES. 99 a) RECOMENDACIONES DE RED INALÁMBRICA EN MALLA CONSIDERACIONES DE DISEÑO DE CAMPUS INTERFERENCIA Y ATENUACION ADMINISTRACIÓN DE SEGURIDAD DESCRIPCIÓN DE SEGURIDAD DE RED.. 103

11 2.6.2 AMENAZAS DE SEGURIDAD RECONOCIMIENTO Y ESCANEO DE PUERTO EXPLORACIÓN DE VULNERABILIDADES ACCESO DESAUTORIZADO RIESGOS DE SEGURIDAD OBJETIVOS DE ATAQUE PÉRDIDA DE DISPONIBILIDAD VIOLACIONES DE INTEGRIDAD Y ABUSO DE CONFIDENCIALIDAD POLÍTICAS DE SEGURIDAD Y PROCESOS DEFINIENDO POLÍTICAS DE SEGURIDAD ENFOQUE BÁSICO DE UNA POLÍTICA DE SEGURIDAD PROPÓSITO DE LAS POLÍTICAS DE SEGURIDAD COMPONENTES DE LAS POLÍTICAS DE SEGURIDAD EVALUACIÓN DE RIESGO CONTINUIDAD EN LA SEGURIDAD DISEÑO DE MECANISMOS DE INTEGRACIÓN DE SEGURIDAD DENTRO DE LA RED ADMINISTRACIÓN DE CONFIANZA E IDENTIDAD IDENTIDAD CONTRASEÑAS TOKENS CERTIFICADOS CONTROL DE ACCESO CONECTIVIDAD SEGURA FUNDAMENTOS DE CIFRADO LLAVES DE ENCRIPTACIÓN PROTOCOLOS VPN CONFIDENCIALIDAD DE TRANSMISIÓN INTEGRIDAD DE DATOS. 126

12 2.6.7 DEFENSA DE AMENAZA SEGURIDAD FÍSICA PROTECCIÓN DE INFRAESTRUCTURA TECNOLOGÍAS DE SEGURIDAD Y DISEÑO AUTODEFENSA DE LA RED TECNOLOGÍAS DE CONFIANZA E IDENTIDAD FIREWALL ACL SERVICIOS DE IDENTIDAD DE RED DETECCIÓN Y MITIGACIÓN DE LAS AMENAZAS SOLUCIONES DE DETECCIÓN Y MITIGACIÓN DE LAS AMENAZAS ADMINISTRACIÓN DE SEGURIDAD ASEGURANDO LA RED EMPRESARIAL IMPLEMENTACIÓN DE SEGURIDAD EN EL CAMPUS IMPLEMENTACIÓN DE SEGURIDAD EN EL CENTRO DE DATOS CAPÍTULO III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA INTRODUCCIÓN REQUISITOS DE DISEÑO OBJETIVO FINANCIERO OBJETIVO TÉCNICO SITUACIÓN ACTUAL DE LA RED SERVICIOS DE RED QUE DISPONE ELECTRO ECUATORIANA S.A.C.I DENSIDAD DE USUARIOS NÚMERO DE PUNTOS DE RED Y HOST REQUERIMIENTOS DE LOS USUARIOS ESCALABILIDAD DE LA RED ACTUAL DISPONIBILIDAD DE LA RED ACTUAL CALIDAD SEGURIDAD.. 148

13 SEGURIDAD LÓGICA SEGURIDAD FÍSICA ADMINISTRACIÓN GRUPOS DE USUARIOS ALMACENAMIENTO DE DATOS APLICACIONES DE RED APLICACIÓN DE SISTEMA TOPOLOGÍA FÍSICA DIMENSIONAMIENTO DEL EDIFICIO DISTRIBUCIÓN MATERIALES QUE COMPONEN EL ÁREA DE TRABAJO DEL EDIFICIO ESQUEMA DE DISTRIBUCIÓN FÍSICA TOPOLOGÍA LÓGICA ESQUEMA DE RED ACTUAL RED INALÁMBRICA RED LAN PROPUESTA ANÁLISIS DE OBJETIVOS TÉCNICOS ESCALABILIDAD DISPONIBILIDAD CALIDAD SEGURIDAD SEGURIDAD LÓGICA SEGURIDAD FÍSICA ADMINISTRACIÓN Y GESTIÓN DE LA RED DIRECCIONAMIENTO Y NOMENCLATURA DISEÑO LÓGICO DISEÑO FÍSICO RED WLAN PROPUESTA CRITERIOS PARA DISEÑO DE RED INALÁMBRICA MAPA DE COBERTURA COBERTURA HORIZONTAL COBERTURA VERTICAL. 180

14 3.5.3 DIRECCIONAMIENTO IP PARA EQUIPOS INALÁMBRICOS SEGURIDAD RESUMEN DE SEGMENTO INALÁMBRICO 183 CAPÍTULO IV ANÁLISIS DE COSTOS INTRODUCCIÓN INVERSION EN EQUIPAMIENTO INVERSION EN INSTALACION Y CONFIGURACIÓN VALOR DEL DISEÑO CAPÍTULO V CONLUSIONES Y RECOMENDACIONES CONCLUSIONES RECOMENDACIONES. 188 REFEENCIAS BIBLIOGRAFICAS ANEXOS ABREVIATURAS

15 CONTENIDO DE FIGURAS Figura 1.1 Topología de red Inalámbrica propuesta. 5 Figura 2.1 Arquitectura SONA.. 10 Figura 2.2 Ciclo de vida de la red PPDIOO 14 Figura 2.3 Diseño de proceso Top-Down Figura 2.4 El diseño de la red jerárquica tiene tres capas: núcleo, distribución y acceso Figura 2.5 Arquitectura del modelo empresarial 33 Figura 2.6 Modelo de campus empresarial 35 Figura 2.7 Modulo borde de la red Figura 2.8 Conexión simple de Internet.. 38 Figura 2.9 Opciones de Internet multihoming 39 Figura 2.10 Arquitectura VPN. 41 Figura 2.11 Modulo WAN 42 Figura 2.12 Modulo de borde del IPS WAN/Internet Figura 2.13 Regla de repetidores Figura 2.14 Control de dominio de colisión de switches 56 Figura 2.15 Control de dominios de colisión y broadtcast de routers.. 57 Figura 2.16 Capa distribución. 62 Figura 2.17 Triángulos de capa Figura 2.18 Núcleo de switches. 64 Figura 2.19 Red LAN de campus mediana.. 65 Figura 2.20 Granja de servidores Figura 2.21 Centro de datos empresarial. 68 Figura 2.22 Trama ISL. 69 Figura 2.23 Trama IEEE 802.1Q 70 Figura 2.24 Marcando tramas o paquetes 71 Figura 2.25 Canales ISM 2, Figura 2.26 Arquitectura UWN 80 Figura 2.27 Nivel 3 LWAPP. 82

16 Figura 2.28 Autenticación WLAN Figura 2.29 Controlador de componentes WLAN 88 Figura 2.30 Dentro del controlador roaming. 90 Figura 2.31 Roaming dentro del controlador de capa Figura 2.32 Roaming dentro del controlador de capa Figura 2.33 Redundancia de control N Figura 2.34 Redundancia de controlador N+N. 95 Figura 2.35 Redundancia de controlador N+N+1 96 Figura 2.36 Túneles EoIP 99 Figura 2.37 Componentes de red inalámbrica en malla. 100 Figura 2.38 Amenaza de DoS. 109 Figura 2.39 Amenaza de confidencialidad e integridad Figura 2.40 Seguridad de red: Ciclo de vida del sistema Figura 2.41 Componentes de evaluación de riesgos. 116 Figura 2.42 Continuidad en la seguridad Figura 2.43 Confianza y administración de identidad. 119 Figura 2.44 Uso de tokens Figura 2.45 Claves de encriptación 124 Figura 2.46 Amenazas de seguridad física Figura 2.47 Fases de la auto defensa Figura 2.48 Firewalls, ACL y zonas Figura x y ESPOL Figura 2.50 Detección y mitigación de amenazas Figura 2.51 Seguridad en el campus empresarial Figura 3.1 Tamaño de paquetes Figura 3.2 Utilización de la red. 148 Figura 3.3 Nuevo diseño de red de Electro Ecuatoriana. 171 Figura 3.4 Esquema de conexión de servidores Figura 3.5 Esquema de conexión a Internet Figura 3.6 Conexión de dispositivos para cada piso 174

17 Figura 3.7 Puntos de acceso en cada piso 176 Figura 3.8 Asignación de canales múltiples pisos. 177

18 CONTENIDO DE TABLAS Tabla 2.1 Comparando diseño Top-Down y Bottom-Top 24 Tabla 2.2 Escalabilidad para IEEE Tabla 2.3 Escalabilidad para Ethernet 10 Mbps 46 Tabla 2.4 Tamaño máximo de colisión para 100Base-T. 49 Tabla 2.5 Escalabilidad para Gigabit Ethernet.. 50 Tabla 2.6 Tipos de medios de comunicación 10GE. 53 Tabla 2.7 Tipos de aplicaciones.. 60 Tabla 2.8 Resumen de las normas WLAN. 74 Tabla 2.9 Consideraciones de diseño WLAN 102 Tabla 2.10 Materiales que provocan interferencia en las señales inalámbricas 103 Tabla 2.11 Calculo del índice de riesgo 117 Tabla 3.1 Puntos de datos y hosts habilitados Tabla 3.2 Densidad de usuarios por piso Tabla 3.3 Datos de disponibilidad de red actual 146 Tabla 3.4 Parámetros de throughput Tabla 3.5 Tipos de aplicaciones por departamento Tabla 3.6 Detalle de usuarios que acceden servidores Tabla 3.7 Detalle de aplicaciones 156 Tabla 3.8 Aplicaciones manejadas por administrador de la red. 157 Tabla 3.9 Direcciones IP asignadas a servidores. 163 Tabla 3.10 Direcciones IP para computadores de la red Tabla 3.11 Lista de nombres de estaciones de trabajo Tabla 3.12 Direcciones y nombres de red propuesta. 170 Tabla 3.13 Asignación de canales para pisos de edificio. 177 Tabla 3.14 Medición cobertura horizontal subsuelo Tabla 3.15 Medición cobertura horizontal planta baja Tabla 3.16 Medición cobertura horizontal mezanine 179 Tabla 3.17 Medición cobertura horizontal primer piso. 179 Tabla 3.18 Medición cobertura horizontal segundo piso.. 180

19 Tabla 3.19 Medición cobertura horizontal tercer piso 180 Tabla 3.20 Medición cobertura vertical subsuelo Tabla 3.21 Medición cobertura vertical planta baja Tabla 3.22 Medición cobertura vertical mezanine. 181 Tabla 3.23 Medición cobertura vertical primer piso Tabla 3.24 Medición cobertura vertical segundo piso Tabla 3.25 Medición cobertura vertical tercer piso 182 Tabla 3.26 Direcciones IP para equipos inalámbricos Tabla 3.27 Resumen de segmento inalámbrico Tabla 4.1 Detalle costo equipos interconexión Tabla 4.2 Detalle costos equipos inalámbricos. 185 Tabla 4.3 Detalle costos instalación y configuración 185 Tabla 4.4 Detalle costo total del proyecto.. 185

20 CONTENIDO DE ANEXOS Anexo 1 Planos del edificio Electro Ecuatoriana S.A.C.I Anexo 2 Esquema de conexión física Electro Ecuatoriana S.A.C.I. 161 Anexo 3 Datsheet 3Com 4800G. 161 Anexo 4 Datsheet SuperStack Anexo 5 Datsheet 3Com 3C16464B-US Anexo 6 Esquema de conexión lógica Electro Ecuatoriana S.A.C.I. 162 Anexo 7 Simulación OPNET 167 Anexo 8 Resultados del Site Survey Anexo 9 Ejemplo de implementación de seguridad Linux Anexo 10 Ejemplo de implementación de seguridad Windows 183 Anexo 11 Configuración de VLAN en equipos 3Com Anexo 12 Datsheet D-Link DWL-7200AP 185

21 RESUMEN La empresa Electro Ecuatoriana S.A.C.I. es la empresa líder en el mercado ecuatoriano en cuanto a lo que se refiere a su objetivo el cual es vender y dar soporte a equipo eléctricos que el mercado necesita, por lo cual se ha visto en la necesidad de integrar nuevas tecnologías en su inf raestructura para aumentar la productividad de los trabajadores y así poder brindar un mejor servicio. La empresa al ser una empresa privada, posee la capacidad de realizar inversiones en equipos tecnológicos es por eso que aparece la necesidad de realizar modificaciones en su infraestructura de datos, permitiendo esto no quedarse relegada en relación con otras empresas. Esta investigación aborda temas relacionados con la red de datos actual de la empresa ya que para integrar una nueva tecnología se debe saber cuáles son las falencias actuales y detectándolas, para que cuando algo nuevo sea desplegado no se tenga problemas. La solución que se diseña en el presente documento es una restructuración de la topología de la red, esto se lo hace con el afán de tener un mejor rendimiento y soportar nuevas adiciones a esta, sin que sea penalizada por las deficiencias o limitaciones que pueda tener. La red inalámbrica que se ha diseñado se la planteado de tal manera en que sea totalmente funcional para los usuarios móviles y sea totalmente segura sin involucrar deficiencias en la red. Con toda esta propuesta de red, la empresa Electro Ecuatoriana S.A.C.I. podrá brindar una mejor servicio y seguir siendo una de las empresas líderes a nivel nacional.

22 PRESENTACIÓN El presente proyecto de tesis trata el Análisis y diseño de la red inalámbrica para la empresa Electro Ecuatoriana S.A.C.I; con lo que se pretende cubrir los requerimientos de varios de los usuarios de la misma. A continuación se describen los diferentes temas tratados en la presente tesis: En el capítulo 1 se plantea el problema de la red actual de la empresa Electro Ecuatoriana S.A.C.I para esto se analizará loso objetivos propuestos los cuales no guiaran durante el desarrollo del proyecto. En el capítulo 2 se analiza una basta información como metodología y diseño de una red, la utilización del modelo jerárquico, topologías, estándares y seguridad de una red inalámbrica; lo cual nos permitirá desarrollar un proyecto con un alto nivel de calidad y confiabilidad. En el capítulo 3 primero se realiza un análisis de la red actual de la empresa para posteriormente poder dar una solución utilizando la metodología PDIOO y el método jerárquico para de esta manera poder obtener un resultado con alta escalabilidad, disponibilidad y seguridad tanto al nivel lógico como físico. En el capitulo 4 se presenta y analiza los costos de implementación del proyecto propuesto para la red inalámbrica de la empresa Electro Ecuatoriana S.A.C.I. En el capítulo 5 se detalla las conclusiones y recomendaciones que se obtuvieron en el transcurso del desarrollo del proyecto. Adicionalmente se encuentra adjunto información relevante del tema los mismos que completan los temas antes mencionados.

23 Capítulo I INTRODUCCIÓN 1 CAPÍTULO INTRODUCCIÓN En el presente capitulo se pretende analizar el problema de internetworking de la empresa Electro Ecuatoriana S.A.C.I. de la ciudad de Quito y a su vez se presentara una idea general de la solución que se va a plantear para mitigar dichas necesidades. 1.2 OBJETIVOS A continuación se describen los objetivos OBJETIVO GENERAL El principal objetivo del presente proyecto es diseñar la red de comunicaciones inalámbrica para el edificio matriz de la empresa Electro Ecuatoriana S.A.C.I. de la ciudad de Quito OBJETIVOS ESPECÍFICOS Estudiar las circunstancias técnicas actuales del edificio matriz de la empresa Electro Ecuatoriana S.A.C.I. de la ciudad de Quito. Analizar el funcionamiento y su comportamiento de la tecnología inalámbrica utilizada a redes de área local. Diseñar la red inalámbrica para los usuarios móviles de la red de datos. Aplicar las respectivas medidas de seguridad para la infraestructura inalámbrica. Analizar los diferentes equipos tanto características como funcionalidades de los

24 Capítulo I INTRODUCCIÓN 2 equipos inalámbricos que pueden ser utilizados en la red inalámbrica. Establecer un análisis de costos. 1.3 JUSTIFICACIÓN Al culminar el proyecto se podrá proponer una respuesta a los problemas que actualmente atraviesa la empresa Electro Ecuatoriana S.A.C.I., permitiendo que los usuarios jefes de área puedan dar soluciones de una manera más rápida, evitando el traspaso de información de un computador a otro por medio de dispositivos de almacenamiento externo (flash memory, diskette, cd/dvd) tal como se lo hace en la actualidad. El diseño de una red inalámbrica es necesaria, ya que los usuarios jefes de área de todos los departamentos existentes en la empresa se encuentran distribuidos en cada piso de la misma, los cuales necesitan estar en continua movilidad debido a la labor que estos desempeñan; además también la empresa desea elevar el grado de productividad de equipos portátiles que fueron entregados a los jefes de área. Además con la red inalámbrica se pretende brindar una mayor flexibilidad a los usuarios, para que puedan acceder a los recursos y servicios que la empresa les brinda a estos, ya sea el correo interno o servicio de Internet. Con el proyecto se pretende llegar a dar un alto grado de seguridad a la red inalámbrica, pues dicha red debe ser lo mas segura posible por que este segmento se encuentra expuesto a posibles intentos de intrusión. 1.4 ALCANCE DEL PROYECTO Se realizará el análisis para el diseño de la red inalámbrica de área local en el edificio matriz de la empresa Electro Ecuatoriana S.A.C.I.

25 Capítulo I INTRODUCCIÓN 3 Se realizará el diseño de la red inalámbrica siempre teniendo en cuenta, que los usuarios de dicha red serán los jefes departamentales y no será utilizado por personas que no se encuentren en esta clasificación; esto se debe a las políticas propias de la empresa. Para el diseño y el esquema de seguridad que se planteará se tomará muy en cuenta todos los lineamientos que la empresa designe, pero siempre logrando un punto de equilibrio entre necesidad y eficiencia. Para evitar el acceso de personas no autentificadas a la red se va a realizar una propuesta de seguridad la cual va a ser elegida según las necesidades propias de la empresa, permitiendo así que todo usuario móvil de la misma sea validado y verificado por el departamento de sistemas, evitando así posibles ataques de personas externas así como también se podrá llevar un historial de las actividades de los equipos y de la red. Se realizará el análisis de costos respectivo para la implementación de la red inalámbrica de la empresa Electro Ecuatoriana S.A.C.I. Para brindar una solución profesional se realizara el respectivo site survey para la red inalámbrica logrando con esto tener una alto grado de desempeño. Se realizara una propuesta de configuración para los equipos que se vayan a utilizar, así como: Punto de acceso, servidores de autenticación, Firewall y estaciones de trabajo. 1.5 ANTECEDENTES Actualmente la empresa Electro Ecuatoriana S.A.C.I. posee una red LAN la cual cumple casi todas sus expectativas, pero en la actualidad la empresa ha visto la necesidad que parte del segmento de la red tenga que ser inalámbrica para la utilización de ciertos usuarios de la empresa, es por tal motivo el desarrollo de este estudio puesto que no se ha realizado estudios referentes a este.

26 Capítulo I INTRODUCCIÓN PLANTEAMIENTO DEL PROBLEMA La empresa Electro Ecuatoriana S.A.C.I. tras 54 años de funcionamiento a nivel nacional y gracias a su constante crecimiento tanto en infraestructura como en personal, se ve en la necesidad de brindar soporte a los usuarios móviles que la empresa se ha visto en la necesidad de manejar, es por tal motivo que la infraestructura actual de la empresa no da abasto para soportar a este tipo de usuarios. En estos momentos las tareas que los usuarios móviles desempeñan no son aprovechadas al máximo y las actividades para el manejo de la información que estos realizan ponen en peligro la información ya sea por su perdida o por la modificación mal intencionada de esta, produciendo daños a la empresa. Ya que los diferentes usuarios móviles se encuentran ubicados en los diferentes pisos del edificio y cada piso presenta distribuciones diferentes se nenecita que los accesos a la red en cada piso sea la mejor y sin ningún problema la segmentación del ancho de banda se necesita que sea la optima. 1.7 SOLUCIÓN DEL PROBLEMA Ya conocido el problema que en la actualidad la empresa Electro Ecuatoriana S.A.C.I. se encuentra atravesando, y tras analizar todos los requerimientos y características que el proyecto debe contener, se va a tratar de exponer una propuesta totalmente profesional la cual va a incluir desde el análisis del sitio hasta configuraciones de los equipos para la comunicación En el análisis del sitio o site survey se va a realizar un exploración de todos los pisos los cuales van a encontrarse los usuarios móviles, este análisis se lo efectuara en busca de la mejor ubicación de los puntos de accesos para que así no se vea comprometido el desempeño de ese segmento de la red. Una vez analizado el problema se ha podido plantear una posible solución a

27 Capítulo I INTRODUCCIÓN 5 utilizarse la cual incluye el acceso de los usuarios sea a través de puntos de acceso en cada piso el cual sea necesario permitiendo esto la conexión con la red actual. Piso 3 Piso 2 Cuarto de Equipos Piso 1 Mezanine Planta baja Subsuelo Figura 1.1 Topología de Red Inalámbrica Propuesta. 1 1 Fuente: Autores de Tesis

28 Capítulo II MARCO TEORICO INTRODUCCIÓN CAPÍTULO 2 En este capítulo se hablará acerca de las Redes de Información Inteligentes de Cisco (IIN) y el Servicio Orientado a la Arquitectura de Redes (SONA) realizan una orientación de los recursos IT con prioridades de negocio; además del ciclo de vida de la red que es continuo: Prepara, Planifica, Diseña, Implementa, Opera y Optimiza (PPDIOO); cada etapa incluye pasos claves que permiten una operación satisfactoria de la red. También se verá el modelo de red jerárquica que divide las redes en las capas núcleo, distribución y acceso. Además de una jerarquía, los módulos son usados para organizar granjas de servidores, direcciones de redes, redes de campus, WAN e Internet. Este capítulo contendrá el diseño de LANs así como los componente, medios y modelos de diseño. Además, este capítulo explora los tipos de medios de comunicación en la red local así como las especificaciones físicas de Ethernet, Fast Ethernet y Gigabit Ethernet. En este capítulo se contemplara todo acerca de las tecnologías inalámbricas así como las frecuencias, métodos de acceso, seguridad y autentificación. De igual forma en este capítulo se describe los tipos de ataques que puedan comprometer la seguridad de la red y las clasificaciones de amenazas. Se enfoca a cubrir los riesgos esenciales en seguridad de la red. Este capítulo proporciona un marco para la seguridad de la red construida alrededor de la política de la seguridad de una compañía.

29 Capítulo II MARCO TEORICO METODOLOGÍA DEL DISEÑO DE REDES REDES DE INFORMACIÓN INTELIGENTES Y SERVICIO ORIENTADO A LA ARQUITECTURA DE REDES. Cisco ha desarrollado una estrategia para orientar e incrementar la demanda de las redes actuales. Mas halla de solamente la conectividad básica, la red juega un rol crucial porque este involucra a muchos componentes en la infraestructura: Usuarios Finales, Servidores, Herramientas y Aplicaciones, que demanda el crecimiento de las redes, esta se puede volver compleja y dificultosa por el tamaño y administración. Muchas de las aplicaciones no son visibles para los administradores de la red, impidiendo la capacidad de planificación y rendimiento del servicio. Además la red debe estar disponible para responder rápidamente ante cualquier ataque de denegación de servicio (DoS - Denial-of-Service), virus y otros eventos relacionados con seguridad que impidan su productividad. Las características para la nueva arquitectura de red están resumidos en: Desarrollo de las aplicaciones. Evolución de la IT desde la conectividad básica hacia lo sistemas inteligentes. Incremento de las necesidades del negocio de las redes ARQUITECTURA IIN. La Arquitectura IIN es una visión que añade inteligencia a una red, esto es implementando en una fase aproximada para la integración de la red con aplicaciones, herramientas, servidores y servicios. La idea es tener un solo sistema integrado para utilizar la inteligencia a través de múltiples capas para que se enlacen con el resto de infraestructura IT. Al añadir inteligencia a la red deja que esta participe activamente en la entrega de servicios y aplicaciones. IIN define la evolución de una red facilitando la integración de la red con los servicios y aplicaciones para una orientación de los recursos IT con las prioridades de

30 Capítulo II MARCO TEORICO 8 negocio. Esto permite a la empresa una rápida adaptación al ambiente IT y responder a los requerimientos cambiantes del negocio. Un IIN tiene las siguientes capacidades: Sistema Integrado La red esta integrada con aplicaciones, herramientas y servicios. Participación Activa Permite a la red manejar, monitorear y optimizar aplicaciones y servicios de entrega. Política de Robustez La red impone políticas enlazando los procesos de negocio con las reglas de la red. IIN tiene una evolucionaría aproximación que consiste de tres fases Transporte Integrado, Servicio Integrado y Aplicaciones Integradas. La meta es que la empresa migre a la red de información inteligente. El transporte Integrado envuelve la convergencia de la voz, datos y video en una sola red de transporte. El uso de Las Plataformas Unificadas de Comunicación permite a la empresa utilizar las nuevas aplicaciones y enlazarlas con las comunicaciones. Los mensajes unificados son un ejemplo de una aplicación en donde un usuario puede revisar los mensajes desde un teléfono IP o vía mail en texto o grabación de voz. Los servicios Integrados mezclan los elementos comunes como es el almacenamiento y capacidad de los servidores de datos centrales. Las tecnologías de virtualización 2 permiten la integración de servidores, almacenamiento y elementos de la red. Con la virtualización de los sistemas con recursos redundantes, la red puede proveer de servicios en casos de falla de la red local, el cual aumenta la continuidad de los negocios. 2 Virtualización: Ubicación en un solo servidor, múltiples equipos virtuales los cuales son simulados pero el funcionamiento es como un equipo real, los recursos de estos equipos son asumidos por el equipo físico.

31 Capítulo II MARCO TEORICO 9 Las aplicaciones integradas permiten a la red llegar a tener aplicaciones exitosas. La red puede optimizar la calidad de la red con el manejo de mensajes de aplicaciones integradas, aplicaciones optimizadas y seguridad en las aplicaciones SONA. SONA es una arquitectura estructurada que guía la evolución de las redes de una empresa del IIN hacia el soporte de esta nueva estrategia de IT. Con SONA, la distribución de aplicaciones y servicios son manejados centralizadamente sobre una única plataforma. Un sistema integrado que permite el acceso hacia las aplicaciones que utilizan las redes de trabajo y servicios desde todas las localizaciones con altas velocidades y calidad de servicio. La figura 2.1 Muestra la Arquitectura de SONA y los ofrecimientos incluidos en cada capa. Las redes de SONA están basadas en diseño de tres capas que incorporan las aplicaciones, servicios y red. Los ofrecimientos están contenidos dentro de cada capa: Capa Infraestructura de Red contiene la Arquitectura empresarial (campus, LAN, WAN, centro de datos, ramificaciones) y las facilidades del transporte de servicios a través de la red. Esto incluye servidores, almacenamiento y clientes. Capa Servicio Interactivo optimiza la comunicación entre aplicaciones y servicios usando la inteligencia artificial de las funciones de red como son seguridad, identificación, voz, virtualización y calidad de servicio. Capa Aplicación contiene las aplicaciones usadas para negocios y apoyo a los usuarios finales así como fuentes de planificación de la empresa, procedimientos, relaciones entre consumidores, mensajes unificados y conferencia.

32 Capítulo II MARCO TEORICO 10 Capa Aplicación PLM HCM CRM Adquisiciones ERP SCM Capa Colaboración Mensajes Instantaneos IPCC Mensajeria Unificada Teléfono IP Lugar Encuentro Video Entrega Middleware y plataformas de aplicación Capa de Servicios Interactivos Gestión servicios Análisis avanzado y de apoyo a la decisión Entrega de Aplicación Aplicación orientado a la entrega Servicios de Servicios de Voz / Seguridad Colaboración Servicios Servicios a la Servicios de virtualizacion Servicios de cómputo Movilidad Infraestructura Servicios de Almacenamiento Servicios de Identidad Virtualización de la infraestructura de red Gestión de Infraestructuras Servicios de adaptación Mgmt Capa de infraestructura de red Campus Subdivisión Servidores Centro de datos Borde de la red empresarial Almacenamiento WAN / MAN Teletrabajador Clientes Figura 2.1 Arquitectura SONA CAPA INFRAESTRUCTURA DE RED. La Capa Infraestructura de Red contiene la Arquitectura de Red Corporativa, la cual incluye el Campus Corporativo, Ramificaciones Empresariales, Centro de Datos, Borde de la Red, WAN y LAN. Esta capa contiene elementos de switching y routing para aumentar la calidad y su capacidad, incluyendo confiabilidad y seguridad. La infraestructura de la red esta construida con redundancia para proveer el incremento de confiabilidad. Las configuraciones de seguridad están aplicadas hacia la infraestructura para reforzar las políticas de seguridad. 3 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

33 Capítulo II MARCO TEORICO CAPA SERVICIO INTERACTIVO. Esta capa soporta esencialmente aplicaciones y a la Capa de Infraestructura de Red. La función de estandarización y virtualización de redes son usados para permitir la seguridad y servicios de voz para alcanzar una mayor escala. Una arquitectura de red estandarizada puede duplicar y copiar más allá la escala de la red. Los servicios proveídos por esta capa se agrupan en dos categorías: Infraestructura de Servicios y Servicios de redes para Aplicaciones. a) Infraestructura de Servicios. Las seis infraestructuras de servicios son esenciales en la operación y optimización de los servicios de red y aplicaciones: Identidad de servicios incluye autentificación, autorización y conteo (AAA Authentication, Authorization, Account); Control de Admisión a la Red (NAC - Network Access Control); y Reconocimiento de Aplicación basada en Red (NBAR - Network Based Application Recognition). Movilidad de servicios permiten a la red el acceso respecto de la localización. Un ejemplo es VPN. Servicios de Almacenamiento mejora el almacenamiento de los datos críticos. Los datos críticos deben estar respaldados y almacenados fuera para permitir la continuidad del negocio y recuperación de los desastres. Servicios Computacionales mejora los recursos informáticos de cómputo en la empresa. Servidores finales pueden ser usados como maquinas virtuales para balancear la cantidad de servidores en la red. Servicios de Seguridad la entrega de seguridad para todos los dispositivos de la red, servidores y usuarios. Estos servicios incluyen detección de intrusos y prevención de dispositivos. Servicios de Voz y Colaboración permiten al usuario la colaboración a través de todos los recursos de la red.

34 Capítulo II MARCO TEORICO 12 b) Servicios de Aplicación de Redes. Este nivel usa las aplicaciones con herramientas intermedias y AON para optimizar la entrega de aplicaciones. Los servicios de entrega de información a las aplicaciones, optimizan la entrega de las aplicaciones, manipulando los mensajes de aplicación y proveyendo seguridad en las aplicaciones y eventos en niveles de aplicación. Las tecnologías de virtualización en esta capa son usadas para maximizar el uso de recursos y proveer de una mayor flexibilidad. Los servidores con múltiples maquinas virtuales maximizan el uso de los recursos del hardware CAPA APLICACIÓN. La capa aplicación incluye aplicaciones de negocio y aplicaciones de colaboración. Las aplicaciones de negocio incluyen. Gestión en el ciclo de vida de un producto. Aplicaciones de Manejo de Relaciones con los Clientes. Aplicaciones de Planificación de Recursos Corporativos. Administración del Capital Humano. Aplicaciones de Procedimientos. Administración de Cadenas de Información. Las aplicaciones de colaboración incluyen: Mensajes Instantáneos. Mensajes Unificados. Centros de Contactos IP. Lugares de Encuentro. Entrega de Video.

35 Capítulo II MARCO TEORICO BENEFICIOS DE SONA. Los beneficios de SONA son los siguientes: Funcionalidad SONA soporta los requerimientos operacionales de la empresa. Los servicios de red se encuentran con los requerimientos de negocio. Escalabilidad SONA separa las funciones en capas, permitiendo el crecimiento y la expansión de las tareas de la organización. Modularidad y jerarquías que permiten que los recursos de la red puedan ser añadidas al crecer la red. Disponibilidad SONA provee los servicios desde cualquier lugar en una empresa y en cualquier momento. La red esta construida con redundancia y resistencia para prevenir el colapso de la red. Rendimiento SONA provee un rápido tiempo de respuesta, con calidad de servicio por aplicación. La red esta configurada al máximo para responder ante cualquier aplicación crítica. Gestionamiento SONA provee la administración de la configuración, monitoreo de rendimiento y detección de fallas. Las herramientas de manejo de redes son usadas para detectar y corregir fallas en la red antes de que las aplicaciones sean afectadas. Eficiencia SONA provee los servicios de red con razonable costo operacional e inversión de capital razonable. Uso máximo de los recursos existentes y equipo adicional es añadido únicamente cuando la aplicación demanda un incremento FASES DE PREPARACIÓN, PLANEACIÓN, DISEÑO, IMPLEMENTACIÓN, OPERACIÓN Y OPTIMIZACIÓN Cisco ha formalizado el ciclo vital de una red en seis fases: Preparación, Planificación, Diseño, Funcionamiento, y Optimización. Estas fases se conocen como PPDIOO. El ciclo vital de PPDIOO proporciona cuatro ventajas principales:

36 Capítulo II MARCO TEORICO 14 Reducción del costo total de la propiedad validando los requisitos de la tecnología y planeando los cambios de la infraestructura y los requisitos de los recursos necesarios. Aumenta disponibilidad de la red produciendo un sólido diseño de red y validando la operación de la red. Mejora agilidad del negocio estableciendo requisitos del negocio y estrategias de tecnología. Aumenta el acceso a las aplicaciones y a los servicios mejorando disponibilidad, confiabilidad, seguridad, escalabilidad, y funcionamiento. Figura 2.2 Ciclo de Vida de la Red PPDIOO 4. 4 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

37 Capítulo II MARCO TEORICO FASE PREPARACIÓN. La fase preparación establece los requisitos de la organización y del negocio, que desarrolla una estrategia de red, y propone una arquitectura de alto nivel para apoyar la estrategia. Se identifican las tecnologías que apoyan la arquitectura. Esta fase crea una justificación financiera para una estrategia de la red FASE PLANEACIÓN. Se identifica los requisitos de la red caracterizando y determinando los accesos de la red, realizando un análisis de relación a la mejor arquitectura en la práctica, y mirando desde el ambiente operacional. Una plantación del proyecto se desarrolla para manejar las tareas, metas y los recursos para hacer el diseño y la ejecución. El plan del proyecto se sigue durante todas las fases del ciclo FASE DISEÑO. Se desarrolla el diseño de red en base a los requisitos técnicos y de negocio obtenidos a partir de las fases anteriores. El diseño de red proporciona alta disponibilidad, confiabilidad, seguridad, escalabilidad y rendimiento. El diseño incluye diagramas de la red y una lista de equipos. El plan del proyecto se pone al día con una información más granular para la ejecución. Después de que la fase del diseño sea aprobada, la fase de implementación comienza FASE IMPLEMENTACIÓN. El nuevo equipo está instalado y configurado en esta fase. Los nuevos dispositivos sustituyen o aumentan la infraestructura existente. El plan del proyecto se sigue durante esta fase. Los cambios previstos de la red se deben comunicar en reuniones del control del cambio con aprobaciones necesarias para proceder. Cada paso en la puesta en práctica incluye una descripción, pautas detalladas de la implementación, un tiempo estimado para la implementación, los pasos a seguir en caso de una falla, y cualquier información de referencia

38 Capítulo II MARCO TEORICO 16 adicional. Como los cambios ya están implementados también se prueban antes de pasar a la fase del funcionamiento (operación) FASE OPERACIÓN. La fase operativa mantiene el bienestar de la red. Las operaciones incluyen el manejo y la supervisión de componentes de la red, encaminando, mejoras de manejo, funcionamiento de manejo, e identificación y corrección de fallas de la red. Esta fase es la prueba final del diseño. Durante la operación, las estaciones de la dirección de la red deben supervisar la salud general de la red y generar trampas cuando se alcanzan ciertos umbrales FASE OPTIMIZACIÓN. La fase de optimización implica la pro-actividad de las direcciones de la red identificando y resolviendo ediciones antes de que afecten a la red. La fase de optimización puede crear un diseño de red modificado si se presentan muchos problemas en la red, para mejorar ediciones del funcionamiento o para resolver ediciones del uso de aplicaciones. El requisito para un diseño de red modificado conduce al principio del ciclo vital de red METODOLOGÍA DE DISEÑO BAJO PPDIOO. Las secciones siguientes se centran en una metodología de diseño para las primeras tres fases de la metodología de PPDIOO. Esta metodología de diseño tiene tres pasos: El paso 1 El paso 2 El paso 3 Identifica los requisitos de la red. Caracterizar la red existente. Diseño de la topología de la red y las soluciones.

39 Capítulo II MARCO TEORICO 17 En el paso 1, los encargados de tomar decisiones identifican las necesidades, y se propone una arquitectura conceptual. Este paso ocurre en el PPDIOO es la etapa de preparación. En el paso 2, se determina la red y un análisis de lagunas que se realiza para determinar la infraestructura necesaria para satisfacer las necesidades. La red se evalúa en función de la calidad. Este paso ocurre en la fase del plan PPDIOO. En el paso 3, la topología de la red se diseña para resolver los requisitos y cierra las lagunas de la red identificados en los pasos anteriores. Un documento detallado del diseño se elabora durante esta fase. Las soluciones del diseño incluyen la infraestructura de la red, Voz sobre IP (VoIP), contenido de la red y servicios de red inteligente. Este sistema ocurre en la fase del diseño de PPDIOO IDENTIFICANDO REQUISITOS DEL CLIENTE. Para obtener los requisitos del cliente, se necesita hablar no solamente con los ingenieros de la red, sino también se habla con el personal de negocio y los directivos de la compañía. Las redes se diseñan para dar soporte a las aplicaciones; se desea determinar los servicios de red que se necesite apoyar. Los pasos para identificar las necesidades del cliente son los siguientes: Paso 1 Paso 2 Paso 3 Paso 4 Paso 5 Identificación de las aplicaciones y servicios de red. Definir los objetivos de la organización. Definir las posibles limitaciones de organización. Definir los objetivos técnicos. Definición de las posibles limitaciones técnicas. Se necesita identificar los usos actuales y previstos para determinar la importancia de cada uso. Es el tan importante como ayuda al cliente? Se está desplegando la telefonía IP? Alta disponibilidad y gran ancho de banda necesitan ser identificados para que el diseño acomode los requisitos de la red.

40 Capítulo II MARCO TEORICO 18 Para las metas de organización, se debe identificar si la meta de la empresa es mejorar el apoyo al cliente, agregar nuevos servicios para el cliente, aumentar la competitividad, o reducir costos. Puede ser una combinación de estas metas, con algunos de aquellos que son más importantes que otros. Las restricciones de la organización incluyen el presupuesto, el personal, la política, y el horario. La compañía puede limitarle a un cierto presupuesto en un rango de tiempo. La organización puede requerir que el proyecto sea terminado en un margen de tiempo ilógico. Puede existir personal limitado para apoyar los esfuerzos del diseño, o puede ser que tenga limitaciones de la política para utilizar ciertos protocolos. Las metas técnicas soportan los objetivos de la organización y las aplicaciones soportadas. Las metas técnicas incluyen lo siguiente: Mejorar el rendimiento de procesamiento del tiempo de reacción de la red. Disminuir los fallos de la red y el tiempo de respuesta. Simplificar la gestión de la red. Mejorar la seguridad de la red. Mejorar la fiabilidad de las aplicaciones de misión crítica. Modernizar las tecnologías anticuadas (tecnología de actualización). Mejorar la escalabilidad de la red. El diseño de la red puede ser restringida por parámetros que limiten la solución. Aplicaciones existentes pueden que todavía se hallen funcionamientos que deben ser soportadas en un futuro, y estas aplicaciones pueden requerir un protocolo antiguo el cual puede limitar el diseño. Las limitaciones técnicas incluyen: El cableado existente no soporta nueva tecnología. La banda ancha puede no soporta nuevas aplicaciones. La red debe soportar el uso de equipo antiguo. Las aplicaciones antiguas deben ser soportadas.

41 Capítulo II MARCO TEORICO CARACTERIZACIÓN DE LA RED ACTUAL. La caracterización de la red es el paso 2 de la metodología de diseño. En esta sección se va a identificar las características importantes de la red, herramientas para analizar tráfico existente de la red y herramientas para auditar y supervisar el tráfico de la red PASOS EN LA RECOPILACIÓN DE INFORMACIÓN. Al llegar a un sitio que tenga una red existente, se necesita obtener toda la documentación existente. A veces no existe ninguna información documentada, entonces se debe estar preparado para utilizar las herramientas para obtener la información y/o para conseguir el acceso al registro en los dispositivos de la red para obtener la información. Estos son los pasos para recopilar la información: Paso 1 Paso 2 Paso 3 Identificar toda la información y documentación existentes. Realizar una auditoria de la red. Utilice el analizador del tráfico para aumentar la información sobre las aplicaciones y protocolos utilizados. Cuando la recolección de documentación tenga un resultado, se busca información como nombres del sitio, direcciones del sitio, contactos del sitio, horas de funcionamiento del sitio, y construcción de acceso a las habitaciones. La infraestructura de información de la red incluye ubicaciones y tipos de servidores y dispositivos de red, centro de datos y lugares privados, el cableado LAN, las tecnologías WAN y velocidad de circuitos. La información Lógica de la red incluye las direcciones IP, protocolos de enrutamiento, gestión de redes, listas de acceso de seguridad utilizadas.

42 Capítulo II MARCO TEORICO HERRAMIENTAS PARA AUDITORIA DE RED. Al realizar una auditoria de red, se tiene tres fuentes principales de información: Documentación existente. Software existente del administrador de red. Nuevas herramientas de red existentes. Después de recolectar la documentación existente, se debe obtener el acceso al administrador de software existente. El cliente puede ya tener herramientas de administración de la red de las cuales se pueda obtener modelos del hardware y componentes y versiones del programa. Se puede también obtener las configuraciones existentes de los routers y switches. La auditoria de red debe proporcionar la siguiente información: Lista de dispositivo de la red. Modelos del hardware. Versiones de software. Configuraciones. Herramientas de auditoria con salida de información. Interfaces de velocidades. Enlaces, CPU y utilización de memoria. Tipos de tecnología y red WAN. Aquí hay algunas de las herramientas de administración de red que se puede utilizar para obtener la información de auditoria de la red: CiscoWorks es la configuración Cisco y la herramienta de revisión de la cual se puede obtener un inventario del dispositivo y la información de la configuración.

43 Capítulo II MARCO TEORICO 21 WhatsUP Gold/WhatsUP Professional es una herramienta de monitoreo de los Switch IP. Puede supervisar el ancho de banda de un router y hacer el análisis de tendencia. Castle Rock SNMPc monitoreo de los dispositivos de la red, servidores y accesos WAN. Reportes WEB pueden ser generados Cacti es un software de monitoreo de recursos y una herramienta de representación gráfica. Netcordia NetMRI es un producto para el análisis de la red que descubre la red, realiza análisis y hace recomendaciones de la configuración NetQoS NetVoyant hace la supervisión e informes de funcionamiento del dispositivo sobre la infraestructura de la red, los dispositivos y los servicios Otras herramientas incluyen los analizadores del protocolo de red (sniffers) por ejemplo el Network General Sniffer y WildPackets EtherPeek HERRAMIENTAS DE ANÁLISIS DE LA RED. Para obtener la información del nivel de aplicación, el paquete IP necesita ser examinado más a fondo. Los dispositivos de Cisco o los analizadores dedicados de hardware o de software capturan los paquetes o utilizan SNMP para recopilar la información específica. Las herramientas de análisis de la red incluyen lo siguiente: Network-Based Application Recognition (NBAR) es una herramienta del IOS de Cisco usada para identificar los usos y protocolos mas conocidos. NetFlow es el software del IOS que recoge y mide los datos mientras se pasa a través de interfaces del router y switch. CNS NetFlow Collector Engine es un hardware de Cisco que recolecta cada flujo en un segmento de la red. Third-party tools incluyen el Sniffer, Ethereal, y SolarWinds Orion.

44 Capítulo II MARCO TEORICO LISTA DE COMPROBACIÓN DE RED. La siguiente es una lista de comprobación de la red puede utilizar para determinar el estado de una red: Se han saturado los segmentos de Ethernet y no entrega archivos. Nuevos segmentos deberían usar conmutación y no la tecnología de direcciones. No se sature ninguno de los enlaces WAN (no más de 70 por ciento de utilización de la red). El tiempo de reacción es generalmente menos que 100ms (un décimo de un segundo). Más comúnmente menos que 2ms en una LAN. Ningún segmento debe tener más del 20 por ciento de broadcast o tráfico multicast. El broadcast se envían a todos los hosts en una red y deben ser limitadas. El tráfico Multicast se envía a un grupo de hosts pero este debe también ser controlado y limitado solamente a esos hosts registrados para recibirlo. Ninguno segmento tienen más de un control de error de redundancia cíclica (CRC) por millón de octetos de datos. En los segmentos Ethernet, menos de 0.1 por ciento de los paquetes da lugar a colisiones. La utilización del CPU no debe sobrepasar el 75 por ciento en un intervalo, sugiere cinco minutos probablemente problemas de la red. La utilización normal del CPU debe ser mucho más baja durante períodos normales. El número de cola de salida no exceda de 100 de una hora en ningún router. El número de cola de entrada no exceda de 50 de una hora en ningún router. El número de datos errados en el buffer no exceda de 25 de una hora en ningún router. El número de paquetes ignorados no exceda de 10 de una hora en ningún router.

45 Capítulo II MARCO TEORICO DISEÑANDO LA TOPOLOGÍA Y LAS SOLUCIONES DE LA RED. Esta sección describe el diseño de red top - down, las revisión del plan piloto y el prototipo de las redes de prueba y describe los componentes del diseño del documento. Como parte de la fase del diseño de la metodología de PPDIOO, se utiliza un acercamiento al diseño top - down que comienza con los requisitos de la organización antes de mirar tecnologías. Se prueban los diseños de red usando una red piloto o del prototipo antes de moverse a la fase de Implementación PROPUESTA TOP - DOWN. El diseño top - down simplemente significa que comienzan su diseño de la capa superior del modelo de OSI y que trabajan hacia abajo. El diseño top - down adapta a la red y la infraestructura física a las necesidades del uso de la red. Con una propuesta top - down, los dispositivos y las tecnologías de la red no se seleccionan hasta que se analizan los requerimientos de las aplicaciones. En la figura 2.3 muestra el proceso del diseño de la estructura top - down. El proceso del diseño comienza con las aplicaciones y recorre hacia abajo a la red. Nótese que la infraestructura de la red de SONA y los servicios de la infraestructura están incorporados en el proceso del diseño. Las subdivisiones lógicas se incorporan con las especificaciones.

46 Capítulo II MARCO TEORICO 24 Figura 2.3 Diseño de Proceso Top - Down 5. En la tabla 2-1 Compara la propuesta top - down con la propuesta de down - top del diseño de red. Propuesta de Diseño Beneficios Desventajas Top - down Incorpora los requerimientos de Mas tiempo las organizaciones. Proporciona un gran panorama. El diseño cumple con los requisitos actuales y futuros. Down - top El diseño esta basado en Puede resultar un diseño experiencias previas y permite inadecuado. una rápida solución. Las necesidades de organización no están incluidas. Tabla 2.1 Comparando diseño Top-Down y Down. 6 5 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

47 Capítulo II MARCO TEORICO PRUEBAS PILOTO Y PROTOTIPOS. Tan pronto las pruebas como el diseño estén completas y antes de la puesta en marcha (implementación) este completa, es un buen momento para probar la nueva solución. Esta prueba se puede hacer de dos maneras: prototipo o piloto. Una red prototipo es un subconjunto del diseño completo, probado en un ambiente aislado. El prototipo no conecta con la red existente. La ventaja de usar un prototipo es que permite la prueba del diseño de red antes de que se despliegue y antes de afectar a una red de producción. Un sitio de red piloto es un lugar "en vivo" que sirve como un sitio de prueba antes de que se despliegue la solución a todos los lugares en una empresa. Un piloto permite que se descubran los problemas del mundo real antes de la implantación de una solución de diseño de red para el resto de la intranet. Con el lanzamiento de un prototipo y un piloto, el éxito de las pruebas conlleva a probar el diseño y avanzar en la ejecución. El fracaso lleva a corregir el diseño y la repetición de las pruebas para corregir las posibles deficiencias DISEÑO DEL INFORME. El diseño del informe describe los requerimientos del negocio; la antigua arquitectura de red; requisitos de red y diseño, planificación, e información de la configuración para la nueva red. Los arquitectos y analistas de la red documentan los cambios en la nueva red y sirve como documentación para la empresa. El documento del diseño debe incluir las siguientes secciones: Introducción describe las razones del proyecto, el propósito y el diseño de red. Requerimientos de Diseño la lista de los requisitos, las limitaciones, y las metas de la organización. 6 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

48 Capítulo II MARCO TEORICO 26 Infraestructura Existente de Red la infraestructura existente de red lógica (Capa 3); diagramas físicos de la topología; resultados de la auditoria; protocolos de enrutamiento; un resumen de las aplicaciones; una lista de las routers de red, switches y de otros dispositivos; configuraciones; y una descripción de las cosas. Diseño contiene la información específica del diseño, tal como topología lógica y física, direcciones IP, protocolos de enrutamiento, y configuraciones de la seguridad. Prueba del Concepto resultado de la prueba en vivo del piloto o del prototipo. Plan de Implementación incluye los pasos detallados para que el personal de la red aplique la nueva instalación y los cambios. Apéndices contiene la información adicional y configuraciones. 2.3 MODELO ESTRUCTURA DE RED MODELOS DE REDES JERÁRQUICOS. Los modelos jerárquicos permiten diseñar redes que utilizan las funciones combinadas con una organización jerárquica. Este diseño simplifica las tareas requeridas para crear una red que satisfaga las necesidades actuales y pueda crecer para satisfacer los requerimientos futuros. Los modelos jerárquicos usan capas para simplificar las tareas de las redes. Cada capa puede enfocarse en una función específica, permitiéndole escoger los sistemas y características de cada capa, los modelos Jerárquicos se aplica para diseños LAN y WAN BENEFICIOS DEL MODELO JERÁRQUICO. Los beneficios de la utilización de los modelos jerárquicos de la red de diseño incluyen lo siguiente: Ahorro en costos. Fácil entendimiento. Crecimiento de red modular. Mejora el aislamiento de fallos.

49 Capítulo II MARCO TEORICO 27 Después de la adaptación de los modelos de diseños jerárquicos, muchas organizaciones reportan ahorro de costos porque ya no se trata de hacer todo en una plataforma de routing o switching. La naturaleza del modelo modular permite el uso apropiado del ancho de banda con cada una de las capas de la jerarquía, reduciendo el suministro de ancho de banda en una avanzada necesidad actual. Manteniendo cada uno de los elementos simples en el diseño y enfocados en las facilidades de funcionamiento, es fácil de entender cuanto ayuda el control en el entrenamiento y costo de personal. Se puede distribuir el monitoreo de la red y el manejo de los sistemas de información las diferentes capas de la arquitectura de la red modular, la cual ayuda al manejo de costos. El diseño jerárquico facilita cambios en un diseño de red, permite crear un diseño elemental que pueden ser replicados en el crecimiento de la red. Así como cada elemento en el diseño de la red que necesite cambios, el costo y complejidad de hacer un aumento están contenidos en un subconjunto pequeño de la red total. A lo largo, las arquitecturas de redes uniformes, los cambios tienden a impactar en un gran número de sistemas. Limitados por la topología en malla dentro de una capa o componente, como son los núcleos de campus o los sitios centrales de conectividad del backbone, conservan el valor incluso en los modelos del diseño jerárquico. Al estructurar la red pequeña, se hace fácil entender y los elementos mejoran el aislamiento de fallas. Los administradores de la red pueden fácilmente entender los puntos de transición en la red, los cuales les ayuda a identificar los puntos con fallas. Hoy en día la fácil convergencia de protocolos ha sido diseñada para las topologías jerárquicas. Para controlar el impacto de protocolos de enrutamiento y consumo de ancho de banda, se puede usar la topología modular jerárquica con protocolos diseñados con esos controles en mente, como son OSPF (Open Shortest Path First - Abiertos a la trayectoria mas corta).

50 Capítulo II MARCO TEORICO 28 El diseño de redes jerárquicas resume el enrutamiento. EIGRP y otros protocolos de enrutamiento benefician la sumarización de enrutamiento. La sumarización de enrutamiento reduce los elevados procesos de enrutamiento en los enlaces de red y reduce el proceso de enrutamiento dentro de los routers DISEÑO DE RED JERÁRQUICO Como se muestra en la figura 2.4, una jerarquía tradicional en el diseño LAN tiene 3 capas: La capa núcleo provee una rápida transportación entre los switches de distribución dentro del campus de la empresa. La capa distribución provee políticas basadas en conectividad. La capa acceso proporciona grupos de trabajo y acceso a usuarios a la red. Figura 2.4 El diseño de la red jerárquica tiene tres capas: Núcleo, Distribución y Acceso 7. 7 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

51 Capítulo II MARCO TEORICO 29 Cada capa suministra la funcionalidad necesaria para el campus de red empresarial. No es necesario implementar las capas como entidades físicas distintas. Se puede implementar cada capa en uno o más dispositivos o como componentes de interfaces cooperativos compartiendo una ubicación común. Las redes mas pequeñas pueden colapsar en múltiples capas hacia un solo dispositivo mediante una implementación jerárquica. Manteniéndose explícitamente en el conocimiento de la jerarquía es útil según como la red crezca CAPA NÚCLEO. La capa núcleo en las redes de alta velocidad switching en el backbone es crucial para la incorporación de las comunicaciones. La capa núcleo debe tener las siguientes características: Rápida transportación. Alta confiabilidad. Redundancia. Tolerante a fallos. Baja latencia y buena administración. Evita la baja manipulación de paquetes causada por filtros u otros procesos. Limitado y consistente diámetro. Calidad de servicio (QoS). Cuando una red usa routers, el número de saltos de enrutamiento desde el un extremo al otro extremo es llamado diámetro. Se considera una buena práctica para el diseño un diámetro dentro de la red jerárquica. El viaje desde cualquier estación final hacia otra estación final cruza el backbone y debería tener el mismo número de saltos. La distancia desde cualquier estación final hacia el servidor en el backbone debería tener consistencia.

52 Capítulo II MARCO TEORICO 30 Limitando los diámetros de la intranet proporciona rendimientos y facilidad de localización de problemas. Se puede añadir capas de distribución, routers y clientes LAN para el modelo jerárquico sin incrementar el diámetro en la capa del núcleo. Usando una implementación de bloqueo que aislé las estaciones finales existentes de los efectos del crecimiento de la red CAPA DISTRIBUCIÓN La capa distribución de las redes es el punto de aislamiento entre la red de acceso y la capa núcleo. La capa distribución puede tener muchas funciones, incluyendo la implementación de las siguientes funciones: Políticas (por ejemplo, asegurando el tráfico enviado hacia una red en particular esta remitido hacia fuera en una interfase cuando todo el tráfico es remitido hacia afuera a otra interfase). Redundancia y balanceo de carga. QoS. Filtros de seguridad. Direccionamiento, agregaciones de área o sumarización. Desviación o accesos de los grupos de trabajo. Broadcast o definición de dominios multicast. Enrutamiento entre LANs virtuales (VLAN). Traducción de Medios de información (por ejemplo, entre Ethernet y Token Ring). Redistribución entre dominios de enrutamiento (por ejemplo, entre dos diferentes protocolos de enrutamiento). Demarcación entre protocolos de enrutamiento estáticos y dinámicos. La capa distribución proporciona añadidura de rutas dando sumarización de rutas hacia el núcleo. En las LANs, las capas de distribución suministran rutas entre VLANs que también son aplicadas en seguridad y políticas de QoS.

53 Capítulo II MARCO TEORICO CAPA ACCESO. La capa acceso proporciona al usuario acceso a los segmentos locales en la red, está caracterizada por conmutadores y distribución del ancho de banda de los segmentos LAN en un ambiente. La micro segmentación usando los switches LAN proporcionan un gran ancho de banda a los grupos de trabajo reduciendo los dominios de colisión en lo segmentos Ethernet. Algunas de las funciones de la capa acceso incluyen lo siguiente: Alta disponibilidad. Seguridad en puertos. Supresión del broadcast. QoS. Protocolo de resolución de direcciones (ARP - Address Resolution Protocol). Lista virtual del control de accesos. Protocolo Spanning Tree. Clasificación de confianza. Ethernet sobre red eléctrica (PoE - Power over Ethernet) y VLANs auxiliares para VoIP. VLANs auxiliares. Los switches LAN en la capa acceso pueden controlar el acceso al puerto y el límite de velocidad a la que se envía el tráfico desde y hacia el puerto. Se puede implementar acceso identificando la dirección MAC usando ARP, confiando en el host y usando listas de acceso. Para los ambientes pequeños en la casa u oficina (SOHO - Small Office Home Office), toda la jerarquía de interfaces colapsa en un solo dispositivo. El acceso remoto a la red corporativa central es a través de las tecnologías tradicionales WAN como lo es ISDN, Frame Relay y líneas arrendadas. Se puede implementar avances como Enrutamiento en demanda de marcado (DDR Dial-on-Demand

54 Capítulo II MARCO TEORICO 32 Routing) y ruteo estático para control de costos. El acceso remoto puede incluir red privada virtual (VPN - Virtual Private Network) MODELO DE ARQUITECTURA EMPRESARIAL. El modelo de la arquitectura empresarial facilita el diseño de redes mucho más grandes y redes más escalables. Representa la forma en que el Servicio Orientado a la Arquitectura de Redes de Cisco (SONA -Cisco Service-Oriented Network Architecture), se concentra en cada una de las áreas de la red. Como las redes llegan ha ser cada vez más sofisticadas, es necesario el uso de un acercamiento modular para que el diseño se ajuste a un núcleo WAN o LAN, distribución y capa acceso. La arquitectura divide la red en módulos funcionales de red. Los seis módulos de la Arquitectura Empresarial Cisco son: Módulo del campus de la empresa. Módulo del borde de la empresa. Módulo WAN de la empresa. Módulo del centro de datos de la empresa. Módulo de ramificaciones de la empresa. Módulo de tele operadores de la empresa. La arquitectura empresarial mantiene el concepto de los componentes de distribución y acceso que conectan al usuario, servicios WAN y granja de servidores a través de un backbone de alta velocidad en el campus. El enfoque del diseño modular debe ser una guía para el arquitecto de la red, las capas pueden colapsar en una sola capa, incluso en un solo dispositivo, pero sigue habiendo funcionalidad. La figura 2.5 muestra el modelo de la arquitectura empresarial. El módulo del campus de la empresa contiene la infraestructura que consiste en el núcleo o base, construcción de la distribución y construcción de las capas de acceso, con una granja de servidores, centro de datos y distribución de borde.

55 Capítulo II MARCO TEORICO 33 El borde de distribución proporciona funciones de distribución en la infraestructura del campus hacia el borde de la empresa. El módulo del borde de la empresa consiste en Internet, e-commerce (comercio electrónico), VPN y funciones WAN que conectan a la empresa con las instalaciones del proveedor de servicios. El borde del ISP proporciona Internet, PSTN y servicios WAN. Los servidores de administración de la red residen en la infraestructura del campus pero tienen relación con todos los componentes de la red empresarial para monitoreo y administración. El borde de la empresa conecta el módulo distribución de borde del campus empresarial. En pequeños y medianos lugares, la distribución del borde activa componentes en el backbone del campus. Esto proporciona conectividad hacia los servicios de salida que se describen más a fondo en las últimas secciones. Figura 2.5 Arquitectura del Modelo Empresarial 8. 8 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

56 Capítulo II MARCO TEORICO MÓDULO DEL CAMPUS EMPRESARIAL. El Campus Empresarial consiste en los siguientes sub-módulos: Núcleo de campus. Distribución del edificio. Acceso al edificio. Borde de distribución. Granja de servidores / Centro de datos. En la figura 2.6 se muestra el modelo del campus empresarial. La infraestructura del campus consiste en el núcleo del campus, la distribución del edifico y la capa acceso del edificio. El núcleo del campus proporciona un backbone de alta velocidad entre edificios, la granja de servidores y la distribución de la empresa. Este segmento consiste en una conectividad redundante, rápida y convergente. La capa acceso de distribución del edificio agrega todos los accesos a los switches en los armarios y realiza un control de acceso, QoS, rutas de redundancia y balanceo de carga. Los switches de la capa acceso del edificio proporcionan acceso a las VLAN, PoE para teléfonos IP, puntos de acceso wireless, supresión de broadcast (difusión) y spanning tree.

57 Capítulo II MARCO TEORICO 35 Campus Corporativo Granja de servidor / Centro de datos Núcleo de campus Borde de distribución Distribución del edificio Acceso al edificio Figura 2.6 Modelo del Campus Empresarial 9. La granja de servidores o centro de datos proporciona un acceso de alta velocidad y alta disponibilidad (redundancia) hacia los servidores. Los servidores de la empresa como servidores de archivo o impresión, servidor de aplicaciones, servidores de correo ( ) y servidores Sistema de Dominio de Nombres (DNS- Domain Name Server), son colocados en la granja de servidores. Los servidores de manejo o administración de llamadas son colocados en la granja de servidores para las redes de telefonía IP. Los servidores de administración de la red son colocados en la granja de servidores pero estos servidores se enlazan a cada módulo en el campus para proporcionar un monitoreo de la red, registro, obtención y administración de la configuración. Una infraestructura de campus empresarial puede aplicarse a pequeñas, medinas y grandes instalaciones. En mucho de los casos, las instalaciones de campus más grandes tienen un diseño de tres niveles con un armario de 9 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

58 Capítulo II MARCO TEORICO 36 cableado (capa acceso del edifico), una capa acceso de distribución y un núcleo del campus. Las instalaciones pequeñas del campus tienen probablemente un diseño de dos niveles con un armario de cableado (capa acceso del edificio) y un núcleo backbone (capas de distribución y núcleo colapsado). Es también posible configurar funciones de distribución en dispositivos de la capa de acceso al edificio de múltiples capas para mantener la atención del backbone del campus con un transporte rápido. Los diseños de red de tamaño mediano a veces pueden utilizar una implementación de tres o dos niveles, dependiendo del número de puertos, requisitos del servicio, flexibilidad, rendimiento y disponibilidad requerida MÓDULO BORDE DE LA RED. Como muestra la figura 2.7, el borde de la red consiste de los siguientes sub-módulos: Redes de comercio electrónico y servidores. Conectividad a Internet y DMZ. VPN y acceso remoto. WAN empresarial.

59 Capítulo II MARCO TEORICO 37 Figura 2.7 Módulo borde de la red 10. a) E-COMMERCE (COMERCIO ELECTRÓNICO). El sub-módulo de comercio electrónico proporciona redes de alta disponibilidad para servicios de negocios. Es usado el diseño de alta disponibilidad en la granja de servidores con conectividad a Internet. Las técnicas de diseño son las mismas como se describieron para estos módulos. Los dispositivos localizados en el submódulo de comercio electrónico incluyen: Web y servidores de aplicaciones. Servidores de base de datos. Firewalls. 10 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

60 Capítulo II MARCO TEORICO 38 Red y servidores con sistemas de detección de Intrusos (IDS - Intrusion Detection System). b) INTERNET El sub-módulo de Internet proporciona servicios como son servidores públicos, e- mail, y DNS. Conectividad hacia uno o más proveedores de servicio de Internet (ISP - Internet Service Provider). Los componentes de este sub-módulo incluyen: Firewalls. Routers de Internet. FTP y servidores HTTP. SMTP y servidores de correo. Servidores DNS. Muchos de los modelos conectan a la empresa hacia el Internet. La forma más simple es tener un circuito entre la empresa y el ISP, como se muestra en la figura 2.8. La desventaja es que no se tiene redundancia o respaldo si uno de los circuitos falla. Figura 2.8 Conexión simple de Internet Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

61 Capítulo II MARCO TEORICO 39 Se puede usar soluciones de multihoming 12 proporcionan redundancia y respaldo para los servicios de Internet. La figura 2.9 muestra cuatro opciones de multihoming para Internet: Opción 1 Un solo router, ambos enlaces hacia un ISP. Opción 2 Un solo router, ambos enlaces hacia dos ISP. Opción 3 Dos routers, ambos enlaces hacia un ISP. Opción 4 Dos routers, ambos enlaces hacia dos ISP. Opción 1 Opción 2 ISP A ISP A ISP B Borde Corporativo Opción 3 Borde Corporativo Opción 4 ISP A ISP A ISP B Borde Corporativo Borde Corporativo Figura 2.9 Opciones de Internet Multihoming 13. Opción 1 proporciona un enlace redundante pero no proporciona redundancia en el router local. Opción 2 proporciona un enlace y redundancia al ISP pero no proporciona redundancia a las fallas del router local. 12 Multihoming: La conexión de un host o sitio a mas de un ISP a la vez. 13 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

62 Capítulo II MARCO TEORICO 40 Opción 3 proporciona un enlace y redundancia al router local pero no le proporciona al ISP si este falla. Opción 4 proporciona redundancia total para los routers locales, enlaces y a los ISP. c) ACCESO REMOTO/VPN. El sub-módulo VPN/acceso remoto proporciona servicios terminales de acceso remoto, incluyendo autentificación para usuarios remotos y sitios. Los componentes de este sub-módulo incluyen: Firewalls. Concentradores VPN. Concentradores de acceso Dial-in. Dispositivos de Seguridad adaptable (ASA - Adaptive Security Appliances). Dispositivos con Sistemas de detección de intrusos a la Red (IDS - Intrusion detection system). Si se usa un servidor para acceso remoto, este módulo se conecta hacia un PSTN. Hoy en día las redes todavía prefieren servidores terminales con acceso remoto a VPNs con enlaces dedicados WAN. Las VPNs reducen el costo de comunicación aprovechando la infraestructura de los ISP. Para aplicaciones críticas, el ahorro en costos puede ser compensado por una reducción en el control de la empresa y en la pérdida de determinado servicio. Oficinas remotas, usuarios móviles y acceso a las oficinas desde el hogar, usan el Internet como ISP locales con túneles provistos de seguridad IP (tuneles IPsec) hacia los sub-módulos de accesos remoto VPN vía Internet. En la figura 2.10 muestra un diseño de una VPN. Las amplificaciones de oficina obtienen acceso al Internet local desde un ISP.

63 Capítulo II MARCO TEORICO 41 Las personas que trabajan a distancia también obtienen acceso a Internet. El software VPN crea túneles de seguridad VPN hacia los servidores VPN que están localizados en el borde de la empresa. Figura 2.10 Arquitectura VPN 14. d) WAN EMPRESARIAL. El borde de la red incluye un acceso WAN. La tecnología WAN incluye lo siguiente: MPLS. Metro Ethernet. Líneas arrendadas. Red Óptica Sincrónica (SONET) y Jerarquía Digital Sincrónica (SDH - Synchronous Digital Hierarchy). Protocolos punto - punto (PPP Point-to-Point Protocol). Frame Relay. 14 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

64 Capítulo II MARCO TEORICO 42 Cable ATM. Subscriptor a la Línea Digital (DSL - Digital Subscriber Line). Wireless. Los routers en una WAN empresarial proporcionan acceso WAN, QoS, ruteo, redundancia, y control de acceso hacia las WAN. Para las redes MPLS, los routers WAN establecen prioridades en los paquetes IP basados en la configuración de los valores DSCP para el uso de uno o más MPLS y niveles de QoS. La figura 2.11 muestra la conectividad desde la WAN hacia el borde del ISP con Frame Relay. Los routers de bordes de red en la WAN se conectan a los switches de Frame Relay del ISP. Figura 2.11 Módulo WAN MÓDULO PROVEEDOR DE SERVICIOS (ISP). El módulo de borde del ISP, que se muestra en la figura 2.12, consta de los siguientes servicios: Servicios de Internet. Servicios de PSTN. Servicios WAN. 15 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

65 Capítulo II MARCO TEORICO 43 Las empresas usan ISP para adquirir servicios de red. Los ISP ofrecen acceso empresarial hacia el Internet. Los ISP pueden establecer rutas para las redes empresariales hacia sus redes, upstream y conexión con otros ISP. Algunos de los ISP pueden proporcionar servicios de Internet con acceso DSL. Para servicios de voz, los proveedores PSTN proporcionan ofertas de acceso hacia la red de voz pública global. Para la red empresarial, el PSTN deja a los usuarios dial-up tener acceso a la empresa vía tecnología análoga o celulares wireless. Esta también es usada para redes WAN de respaldo usando servicios ISDN. Los ISP WAN ofrecen MPLS, Frame Relay, ATM, y otros servicios WAN a la empresa para la conectividad de lugar a lugar con conexiones permanentes. Figura 2.12 Módulo de borde del ISP WAN/Internet Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

66 Capítulo II MARCO TEORICO DISEÑO LAN EMPRESARIAL MEDIOS DE COMUNICACIÓN LAN. En esta sección se identifica algunos de los pasos que se deben considerar al aprovisionar varios de los tipos de medios de comunicación en la red local. Estas cubren las especificaciones físicas de Ethernet, Fast Ethernet y Gigabit Ethernet. Comprendiendo muy bien como es la implementación de redes wireless REGLAS DE DISEÑO ETHERNET. Ethernet es la base más amplia y subyacente para las tecnologías usadas en redes LAN. El estándar IEEE contiene las especificaciones físicas para las tecnologías Ethernet a 10 Gbps. En la Tabla 2.2 describe las especificaciones físicas de Ethernet de hasta 100 Mbps. Este proporciona escalabilidad en la información que puede ser usada como provisión de red IEEE De estas especificaciones, 10BASE5 y 10BASE2 ya no son más usadas pero son incluidas para integridad. Especificación 10base5 10Base2 10 Base-T 100Base-T Topología Física Bus Bus Estrella Estrella Longitud Máxima del segmento(en metros) Número máximo de archivos adjuntos por cada segmento Máximo Dominio de Colisión desde el hub a la estación (hub y estaciones o hub a hub) 2500 metros (m) de los cinco 100 desde el hub a la estación 2(hub y estaciones o hub a hub)

67 Capítulo II MARCO TEORICO 45 segmentos y cuatro repetidores; sólo tres segmentos Tabla 2.2 Escalabilidad para IEEE Las reglas de diseño más importantes para Ethernet es el retraso de la propagación de ida y vuelta en un dominio de colisión que no debería exceder los 512-bit times (512 pulsaciones). Este es un requisito para la detección de colisiones para funcionar correctamente. Esta regla significa que el máximo de retrasos de propagación para una red Ethernet de 10-Mbps es de 51.2 microsegundos. El máximo retraso de propagación para una red Ethernet de 100-Mbps es de únicamente 5.12 microsegundos porque el bit time (pulsación) en una red Ethernet de 100-Mbps es de 0.01 microsegundos, lo opuesto de 0.1 microsegundos en una red Ethernet de10-mbps REGLAS DE DISEÑO PARA ETHERNET 10-MBPS. Tabla 2.3 proporciona guías de apoyo para los medios de comunicación de fibra Ethernet basados en los 10-Mbps para el diseño de redes. Los estándares 10BASE-FP usan una topología pasiva tipo estrella. El estándar 10BASE-FB es para un backbone o un sistema de base repetidoras. El estándar 10BASE-FL proporciona especificaciones de enlaces de fibra. 17 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

68 Capítulo II MARCO TEORICO 46 Especificación 10BASE-FP 10BASE-FB 10BASE-FL Topología Estrella Pasiva Backbone de fibra Link sistema de repetidoras Longitud máxima del segmento 1000m 2000m 200m Permite repetidores en cascada? No Si No Máximo dominio de colisiones 2500m 2500m 2500m Tabla 2.3 Escalabilidad para Ethernet 10-Mbps REGLAS DE DISEÑO PARA FAST ETHERNET 100-MBPS. El estándar 100BASE-T es similar a Ethernet de 10-Mbps en este se usa (CSMA/CD); funciona en la categoría (CAT) 3, 4 y 5 del cable UTP y configuran la estructura de estos formatos. La conectividad todavía usa hubs, repetidores y puentes. 100-Mbps Ethernet o Fast Ethernet, son topologías que presentan una distinta configuración en el diseño de red por el tipo de velocidad. La combinación de latencia en conjunto con la longitud del cable y repetidores deben conformar la especificación del trabajo en la red apropiadamente. La regla para el diseño de las redes Ethernet de 100-Mbps es el retraso de colisión de ida y vuelta que no deberá exceder los 512 bit times o pulsaciones. De todas maneras, las pulsaciones en las redes Ethernet de 100-Mbps es de 0.01 microsegundos, lo opuesto a la red Ethernet de 10-Mbps. Por consiguiente, el retraso máximo de ida y vuelta para una red Ethernet de 100-Mbps es de 5.12 microsegundos, lo opuesto a lo más indulgente de 51.2 microsegundos en una red Ethernet a 10-Mbps. Las siguientes especificaciones son para Fast Ethernet: 100BASE-TX. 18 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

69 Capítulo II MARCO TEORICO BASE-T4. 100BASE-FX. a) FAST ETHERNET 100BASE-TX. Las especificaciones de 100BASE-TX usan cableado UTP CAT 5. Al igual que 10BASE-T, Fast Ethernet utiliza únicamente dos pares de los 4 pares del cableado UTP. Si el cableado CAT5 ya se encuentra en el lugar, actualizar a Fast Ethernet requiere únicamente un hub o switch y una tarjeta de Interface de Red o (NIC). Por su bajo costo, muchas de las instalaciones hoy en día usan switchs. Las especificaciones son las siguientes: Transmisión sobre cableado UTP CAT 5. Conectores RJ-45 conector (los mismos que en 10BASE-T). Codificación 4B5B. b) FAST ETHERNET 100BASE-T4. La especificación 100BASE-T4 fue desarrollada para el cableado UTP CAT 3. Esta especificación tiene la ventaja de una Ethernet de alta-velocidad sin re cablear el UTP CAT 5. Esta implementación no se extenderá ampliamente. Las especificaciones son las siguientes: Transmisión sobre cableado CAT 3, 4, o 5 UTP. 3 pares son usados para transmisión y los 4 pares restantes son usados para detección de colisiones. No están presentes las transmisiones y recepciones separadas, entonces las operaciones de full-dúplex no se hacen posibles. Codificación 8B6T.

70 Capítulo II MARCO TEORICO 48 c) FAST ETHERNET 100BASE-FX. La especificación 100BASE-FX para fibra son las siguientes: Esta funciona sobre 2 fibras de cableado de fibra, multi-modo o mono-modo. Este puede transmitir a grandes distancias sobre los medios de comunicación de cobre. Los conectores SC de fibra definidos por la FDDI y las redes de 10BASE-FX. Codificación 4B5B. d) REPETIDORES 100BASE-T. Para hacer que una Ethernet de 100-Mbps trabaje, las limitaciones en distancia son mucho más que alguno que otro requerimiento que usa las Ethernet de 10- Mbps. Los repetidores de red no tienen reglas de 5 hub; Fast Ethernet está limitado por dos repetidores. La regla general es que el 100-Mbps Ethernet tiene una longitud máxima de 205mts con cableado UTP, mientras que el 10-Mbps Ethernet tiene un diámetro máximo de 500mts con 10BASET y 2500mts con 10BASE5. La mayoría de las redes hoy en día usan switches en vez de repetidores, que limita la longitud de 10BASE-T y 100BASE-TX a 100mts entre el switch y el host. La limitación en la distancia impuesta depende en el tipo de repetidor. La especificación IEEE 100BASE-T se definen en dos tipos de repetidores: Clase I y Clase II. Los repetidores de Clase I tienen una latencia (retraso) de 0.7 microsegundos o menos. Únicamente un salto en el repetidor es permitido. Los repetidores de Clase II tienen una latencia de 0.46 microsegundos o menos. Uno o dos saltos en el repetidor son permitidos. Tabla 2.4 muestra el tamaño máximo de dominios de colisión, dependiendo del tipo de repetidor.

71 Capítulo II MARCO TEORICO 49 Tipo de Repetidor Cobre Mezcla de cobre y fibra Fibra multimodo multimodo DTE-DTE Switch- 100mts No Aplicable 412 m 2000 full duplex Switch Un repetidor de Clase I 200mts 260mts 272mts Un repetidor de Clase 200mts 308mts 320mts II Dos repetidores de Clase II 205mts 216mts 228mts Tabla 2.4 Tamaño Máximo de Dominios de Colisión para 100BASE-T. 19 Para redes con switches, la distancia máxima entre el switch y el host es de 100mts REGLAS DE DISEÑO DE GIGABIT ETHERNET El estándar IEEE 802.3z especifica las operaciones de Gigabit Ethernet sobre fibra y cable coaxial e introduce la Interfase Gigabit de Medios de Comunicación Independiente (GMII). Este estándar es reemplazado por la última versión de todos los estándares de incluido IEEE El estándar IEEE 802.3ab especifica el funcionamiento de Gigabit Ethernet sobre UTP CAT 5. Gigabit Ethernet todavía conserva el marco y tamaños estructurales y este todavía utiliza CSMA/CD. Al igual que Ethernet y Fast Ethernet, las operaciones de full-duplex se hacen posibles. Las diferencias aparecen en la codificación; Gigabit Ethernet usa codificación 8B10B con simple (NRZ). Porque del 20 por ciento sobrepasado, los pulsos funcionan a 1250 MHz para lograr un salida de 1000 Mbps. Tabla 2.5 da una vista de la escalabilidad contenida por Gigabit Ethernet. 19 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

72 Capítulo II MARCO TEORICO 50 Tipo Velocidad Longitud Máxima del Segmento Codificación Medios de Comunicación 1000 Base-T 1000 Mbps 100mts. Nivel 5 Cat 5 UTP 1000 Base-LX 1000 Mbps 550mts. 8B10B Fibra Multimodo/Modo Simple 1000 Base-SX 1000 Mbps 62.5Micrómetros:220m 8B10B Fibra Multimodo 50 Micrómetros: 500m 1000 Base-CX 1000 Mbps 25 mts. 8B10B Recubierto de Cobre Tabla 2.5 Escalabilidad para Gigabit Ethernet. 20 Las siguientes son especificaciones físicas para Gigabit Ethernet, cada una es descrita en las siguientes secciones: 1000BASE-LX. 1000BASE-SX. 1000BASE-CX. 1000BASE-T GIGABIT ETHERNET DE GRAN LONGITUD DE ONDA DE 1000BASE- LX. IEEE 1000BASE-LX usa ópticas de gran longitud de onda sobre un par de hilos de fibra. Las especificaciones son las siguientes: Usa grandes longitudes de onda (1300 nanómetros [nm]). Usa una fibra multimodo o mono modo. La máxima longitud para una fibra multi-modo son: micrómetros de fibra: 440mts micrómetros de fibra: 550mts. 20 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

73 Capítulo II MARCO TEORICO 51 La máxima longitud para una fibra mono-modo (9 micrómetros) es de 5km. Usa una codificación 8B10B con simple NRZ GIGABIT ETHERNET DE CORTA LONGITUD DE ONDA DE 1000BASE-SX. IEEE 1000BASE-SX usa ópticas de poca longitudes de ondas sobre un par de hilos de fibra multimodo. Las especificaciones son las siguientes: Usa longitud de onda corta (850 nm). Usa una fibra multimodo. La longitud máxima: micrómetros de fibra: 260mts micrómetros de fibra: 550mts. Usa una codificación 8B10B con simple NRZ GIGABIT ETHERNET SOBRE UTP. El estándar IEEE para 1000-Mbps Ethernet sobre UTP CAT 5 fue IEEE 802.3ab; Esta fue aprobada en Junio de Esta ahora incluida en la IEEE Este estándar usa los cuatro pares en el cable. (100BASE-TX y 10BASE-T Ethernet usa únicamente 2 pares.) Las especificaciones son las siguientes: CAT 5, cuatro pares UTP. Longitud máxima de 100 m. En codificación definida por un esquema de codificación a nivel cinco. 1 byte es enviado sobre los cuatro pares a 1250 MHz.

74 Capítulo II MARCO TEORICO REGLAS DE DISEÑO PARA 10 GIGABIT ETHERNET (10GE). El IEEE 802.3ae suplementa al estándar 802.3, publicado en agosto del 2002, especificado para el estándar 10 Gigabit Ethernet. Está definido únicamente por las operaciones full-dúplex sobre los medios de comunicación ópticos. Hubs o repetidores no pueden ser usados porque estos operan en modo halfduplex. Este permite el uso de tramas Ethernet sobre típicas distancias que se encuentran en redes de áreas metropolitanas (MAN) y WANs. Otros usos incluyen centros de procedimiento de datos, backbones corporativos y granjas de servidores TIPOS DE MEDIOS DE COMUNICACIÓN 10GE. 10GE tiene siete especificaciones de medios de comunicación físicas basadas en los diferentes tipos de fibra y en codificación. Las fibras Multi modo (MMF) y fibras mono modo (SMF) son usadas. La tabla 2.6 describe los diferentes tipos de medios de comunicación de 10GE. Tipo 10GE Longitud de onda Distancia Descripción 10GBase-SR Longitud de onda corta MMF Hasta 300mts Utilización de codificación 66B 10GBase-SW Longitud de onda corta MMF Hasta 300mts Utiliza la sub capa interfaz WAN (WIS) 10GBase-LR Longitud de onda larga SMF Hasta 10Km Utilización de codificación 66B usado por fibra oscura 10GBase-LW Longitud de onda Hasta 10Km Utiliza WIS larga SMF 10GBase-ER Longitud de onda extra corta SMF Hasta 40Km Utilización de codificación 66B usado por fibra oscura 10GBase-EW Longitud de onda Hasta 40Km Utiliza WIS

75 Capítulo II MARCO TEORICO 53 extra corta SNMP 10GBase-LX4 Utiliza multiplexación Hasta 10Km Utilización de por división de MMF y codificación 8B/10B SMF Tabla 2.6 Tipos de Medios de Comunicación 10GE. 21 Las fibras multi-modo de longitud de onda corta son de 850 nm. Las de longitud de onda larga es de 1310 nm, y extra longitud de onda es 1550 nm. El WIS es usado para inter-operar con Redes Ópticas Sincrónicas (SONET) CANAL FAST ETHERNET. Las implementaciones de canales Ethernet proporciona un método para incrementar el ancho de banda entre dos sistemas de agrupación de enlaces para Fast Ethernet o Gigabit Ethernet. Cuando la agrupación de enlaces de Fast Ethernet, usan canales Fast Ethernet. Los puertos de canales Ethernet permiten agrupar en múltiples puertos en un solo camino de transmisión lógico entre el switch y un router, host u otro switch. Los canales Ethernet proporcionan un incremento en el ancho de banda, repartición de carga y redundancia. Si un enlace falla, el otro enlace toma la carga del tráfico. Se puede configurar los canales Ethernet como enlaces bases. Dependiendo del hardware, se puede formar un canal Ethernet a más de 8 puertos compatibles para ser configurados en el switch. Los puertos participantes deben tener la misma velocidad, el modo dúplex y pertenecer a la misma VLAN. 21 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

76 Capítulo II MARCO TEORICO HARDWARE DE LA RED LAN. Los dispositivos de hardware pueden ser aplicados para el diseño de una red LAN. Se colocan los dispositivos en la LAN dependiendo de las funciones y capacidades. Los dispositivos en la LAN están categorizados basados en la forma que operan en el modelo OSI. Repetidores. Hubs. Switches. Routers. Switches Capa REPETIDORES. Los repetidores son la unidad básica en las redes para conectar segmentos separados. Los repetidores recogen las tramas, regeneran el preámbulo, amplifican la señal y envían las tramas hacia otras interfaces. Los repetidores no operan en la capa física del modelo OSI. Porque los repetidores no pueden predecir si recibirán paquetes o los formatos de tramas, ya que no controlan el broadcast o los dominios de colisión. Los repetidores son conocidos por usar protocolos transparentes porque estos no pueden colocarse en niveles superiores y manejar protocolos como IP, Intercambio de Paquetes de Internetwork (IPX - Internetwork Packet Exchange), y así sucesivamente. Una de las reglas básicas del uso de los repetidores Ethernet es la regla 5-4-3, que se muestra en la figura 2.13 La ruta máxima entre dos estaciones en la red no deberá ser más de cinco segmentos, con cuatro repetidores entre estos segmentos y no más de tres segmentos de población. Los repetidores introducen una pequeña cuota de latencia o retraso, cuando las tramas empiezan a propagarse. Un dispositivo de transmisión debe ser capaz de

77 Capítulo II MARCO TEORICO 55 detectar una colisión con otro dispositivo que tenga especificado el tiempo de retraso incluido en los segmentos de cable y los repetidores que vinieron de fábrica. La especificación de las 512 pulsaciones también gobierna la longitud de los segmentos HUBS. Figura 2.13 Regla de Repetidores Los hubs tradicionales operan en la capa física del modelo OSI y su rendimiento son las mismas funciones básicas de los repetidores. La diferencia es que en los hubs se tienen más puertos que en los básicos repetidores SWITCHES. Los switches usan circuitos integrados especializados para reducir la latencia en los puentes regulares. Los switches son la evolución de los puentes. Algunos de los switches pueden funcionar en un modo de cut-through, donde el switch no espera por el ingreso de un paquete entero, este lo almacena en 22 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

78 Capítulo II MARCO TEORICO 56 memoria; luego, este empieza a reenviar los paquetes tan pronto como este termine de leer la dirección MAC de destino. Las operaciones de cut-through incrementan la probabilidad de que los paquetes con errores sean propagados por la red ya que los reenvíos de paquetes se lo hace antes de que todo el puente sea almacenado y verificación de errores. Por este tipo de errores, mucho de los switches hoy en día llevan a cabo operaciones de almacenado y reenvió como lo hacen los puentes. Tal como muestra en la figura 2.14, los switches son exactamente parecidos a los puentes con respecto a las características en dominio de colisión y dominio de broadcast. Cada puerto en el switch es una separación de los dominios de colisión. Por defecto, todos los puertos en un switch son los mismos para un dominio de broadcast. Asignados a diferentes cambios de comportamiento para las VLAN. Dominio de Colisión Dominio de Colisión Dominio de Broadcast (IP Subred) Figura 2.14 Control de Dominio de Colisión de Switches. 23 Los switches tienen características similares a los puentes; de cualquier forma estos tienen más puertos y funcionan más rápido. Los switches tienen una tabla de direcciones MAC por puerto y estos implementan STP. Los switches son dispositivos de capa enlace. Estos son transparentes a los protocolos que operan en la capa red y sobre esta. 23 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

79 Capítulo II MARCO TEORICO 57 Cada puerto en un switch es un dominio de colisión pero es parte también del mismo dominio broadcast. Los switches no pueden controlar el broadcast en la red. El uso de los switches LAN en vez de los puentes o hubs es cercanamente universal. Los switches son preferidos porque proporcionan total ancho de banda en cada dirección cuando se configura en modo dúplex. Todos los dispositivos en un hub comparten el ancho de banda en un solo dominio de colisión. Los switches pueden también ser usados en VLANs para proporcionar más segmentación ROUTERS Los routers toman decisiones de reenvió basados en la capa de direcciones de la red. Cuando un paquete ethernet entra al router, la cabecera de la capa 2 es removida, el router reenvía basado en la capa 3, la dirección IP y añade una nueva capa 2 de direcciones como salida de interfase. Adicionalmente estos controlan los dominios de colisión, obligados en los routers de la capa enlace. Cada interfase de un router está en un dominio broadcast separado. Los routers no reenvían los broadcast de la capa enlace. La IP define el dominio broadcast de la capa enlace con una subnet y máscara. Los routers son conscientes del protocolo de red, los cual significa que estos pueden reenviar paquetes de protocolos ruteo, como IP e IPX. La figura 2.15 muestra a un router; cada interfase es un dominio de broadcast y colisión. Figura 2.15 Control de Dominios de Colisión y Broadcast de Routers Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

80 Capítulo II MARCO TEORICO 58 El intercambio de información de los routers acerca del las redes de destino usan un de los tantos protocolos de ruteo: Enhanced Interior Gateway Routing Protocol (EIGRP - Protocolo de Ruteo Interior Realzado de Salida). Primero la Ruta Libre más Corta (OSPF - Open Shortest Path First). Protocolo de Salida por Bordes (BGP - Border Gateway Protocol). Protocolo de Información de Ruteo (RIP - Routing Information Protocol). Los routers trasladan los protocolos de enlace de datos. Estos prefieren métodos de reenvió de paquetes entre redes de diferente tipo de medios de comunicación, como lo son Ethernet hacia Token Ring o Ethernet hacia Serial. Estos también proporcionan métodos de filtrado de tráfico basado en la capa de direcciones de red, redundancia de ruteo, balanceo de carga, jerarquía de direcciones y ruteo multicast SWITCHES DE CAPA 3 Los switches LAN pueden funcionar como protocolos de ruteo son los switches de Capa 3. Estos switches pueden funcionar con protocolos de ruteo y comunicarse con sus routers vecinos. Los switches de capa 3 tienen interfaces con tecnología LAN que representan el reenvió de los paquetes en la capas de la red. El uso de tecnologías de switcheo es perfecto para acelerar el reenvió de paquetes en las capas de la red entre las LAN conectadas, incluyendo VLAN. Se puede usar la capacidad del router para guardar las futuras implementaciones, como son filtrados de seguridad y detección de intrusos. Los switches de capa 3 mejoran el rendimiento de las funciones de ambas capas de enlace en los routers y switches de red. Cada puerto es un dominio de colisión. Este puede agrupar en las capas de red a un grupo de puertos en los dominios de

81 Capítulo II MARCO TEORICO 59 broadcast (sub-redes). Como con los routers, un protocolo de ruteo proporciona a la red información sobre los otros switches de capa 3 y routers MODELOS Y TIPOS DE DISEÑOS LAN. Las LAN pueden ser clasificadas como LAN para grandes edificios, LAN para campus, o pequeñas y LAN remotas. Las LAN para grandes edificios tienen típicamente un centro de datos importante con armarios de comunicaciones, acceso de alta velocidad; las LAN para grandes edificios usualmente son los cuarteles generales en las grandes compañías. Las LANs de campus proporcionan conectividad entre edificios en un campus. La redundancia es usualmente es un requisito para despliegues de LAN en grandes edificios y de campus. Las LANs pequeñas y remotas proporcionan conectividad a las oficinas remotas con un número relativamente pequeño de nodos. Los factores de diseño de un campus incluyen lo siguiente: Características de uso de aplicación de red. Características de los dispositivos de infraestructura. Características de ambiente. Las Aplicaciones están definidas por el negocio y la red debe estar disponible para soportarlos. Las aplicaciones pueden requerir un gran ancho de banda o ser sensible al tiempo. Los dispositivos de infraestructura influyen en el diseño. Las decisiones sobre las arquitecturas y limitaciones de switcheo o ruteo y la influencia de limitaciones de puertos en el diseño. Las distancias físicas reales afectan al diseño. La selección de los medios de cobre o de fibra puede ser influenciada por los requerimientos de ambiente y distancia. En la tabla 2.7 resume los diferentes tipos de aplicaciones.

82 Capítulo II MARCO TEORICO 60 Tipo de Aplicación Descripción Punto a Punto Incluye mensajes instantáneos, compartir archivos, llamadas de teléfono IP y videoconferencia Servidores clientes locales Servidores están localizados en algún segmento como los clientes o cerca Granja servidores/clientes Correo, archivos y servidores de base de datos. El acceso es controlado y fiable. Servidores de borde empresarial Externos, como los servidores de SMTP, Web, servidores públicos, y comercio electrónico. Tabla 2.7 Tipos de Aplicaciones MEJORES PRÁCTICAS PARA CAPAS JERÁRQUICAS. Cada capa de la arquitectura jerárquica contiene consideraciones especiales MEJORES PRÁCTICAS DE LA CAPA ACCESO. En el diseño de la capa de acceso a los edificios, deberá tomar en consideración el número de usuarios de los puertos o la obligación de tamaño hasta los switches LAN. La velocidad de conectividad para cada host también debe considerarse. Los hosts se pueden conectar usando varias tecnologías como Fast Ethernet, Gigabit Ethernet, o canales. Las VLAN planificadas entran en el diseño. El rendimiento en la capa de acceso es también importante. La redundancia y la calidad de servicio también deben ser consideradas. Las siguientes son las mejores prácticas recomendadas para la construcción de la capa de acceso: 25 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

83 Capítulo II MARCO TEORICO 61 Limitar las VLAN a un solo armario de lo posible determinar una topología lo más determinista y altamente disponible. Uso de RPVST+ si STP es requerido. Este proporciona una mejor convergencia. Establecer VLAN con protocolos de Ruteo Dinámico (DTP) para negociaciones más atractivas. Reducción Manual de VLAN para evitar la propagación del broadcast. Utilice VTP en modo transparente, porque hay poca necesidad de una base de datos común de VLAN en las redes jerárquicas. Deshabilitar el ruteo en los puertos de los host, ya que no es necesario. El hacer esto proporciona mayor seguridad y velocidad en los puertos rápidos. Considerar la implementación de ruteo en las capas para proporcionar una rápida convergencia y balanceo de carga en la capa MEJORES PRÁCTICAS EN LA CAPA DE DISTRIBUCIÓN Como se muestra en la figura 2.16, las capas de distribución agregan a todos los armarios de switches conexiones hacia la capa principal o núcleo. Las consideraciones de diseño para la capa de distribución incluyen el proporcionar un alto rendimiento del cableado para todos los puertos, redundancia de enlaces y de los servicios de infraestructura.

84 Capítulo II MARCO TEORICO 62 Figura 2.16 Capa distribución. 26 La capa de distribución no debe limitarse en el funcionamiento. Los enlaces hacia el núcleo deben estar disponibles para soportar el ancho de banda usado por los switches en la capa de acceso. Enlaces redundantes desde los switches de acceso hacia la capa de distribución y desde la capa de distribución hacia la capa principal o núcleo permitiendo alta disponibilidad si un enlace falla. La infraestructura de servicios incluye configuración del QoS, seguridad y políticas de aplicación. Las listas de acceso están configuradas en la capa de distribución. Las siguientes son recomendaciones para mejores prácticas en la capa distribución: Uso de los protocolos de redundancia del primer salto. Protocolo de router de Espera en Caliente) (HSRP - Hot Stand by Router Protocol) o Protocolo de balanceo de carga para gateway (GLBP - Gateway Load Balancing Protocol) 26 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

85 Capítulo II MARCO TEORICO 63 deberían ser usados si se implementan enlaces de capa 2 entre la capa 2 de switches de acceso y la capa de distribución. Uso de enlaces de capa 3 entre los switches de distribución y núcleo para permitir una rápida convergencia y balanceo de carga. Construcción de triángulos de capa 3, no cuadrados como muestra en la figura Figura 2.17 Triángulos de capa Uso de los switches de distribución para conectar las VLAN de capa 2 que atraviesan los múltiples switches de la capa de acceso. Sumarize las rutas desde la red de distribución hacia el núcleo para reducir los gastos generales de enrutamiento encaminamientos MEJORES PRÁCTICAS PARA LA CAPA NÚCLEO. Dependiendo del tamaño de la red, una capa principal o núcleo puede o no tener necesidades. Para redes extensas, la construcción de switches de distribución son agregados en el núcleo. Esto proporciona una conectividad bastante elevada hacia la granja de servidores y centro de datos en el borde de la empresa (para la WAN y el Internet). 27 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

86 Capítulo II MARCO TEORICO 64 Figura 2.18 muestra la importancia de los switch del núcleo. El núcleo proporciona alta velocidad de switcheo con trayectorias redundantes para alta disponibilidad hacia todos los puntos de distribución. El núcleo debe soportar velocidades de Gigabit e integración de datos y voz. Lo siguiente son las mejores prácticas para el núcleo del campus: Reducción de switch punto a punto por un triángulo de conexiones redundantes entre switches. Utilice enrutamiento que proporciona una topología sin ningún salto en la capa 2 como la que son vistos en el árbol de protocolos usados en la capa 2. Uso de switches de capa 3 en el núcleo para que proporcionen servicios inteligentes los cuales en los switches de capa 2 no puedan soportar. Figura 2.18 Núcleo de Switches Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

87 Capítulo II MARCO TEORICO REDES LAN DE MEDIANO TAMAÑO. Las LAN de mediano tamaño contienen 200 a 1000 dispositivos. Usualmente las capas de distribución y núcleo están colapsadas en las redes de mediano tamaño. Los switches de acceso todavía son conectados a los switches de distribución /núcleo proporcionan redundancia. La figura 2.19 muestra LAN de campus mediana. Figura 2.19 Red LAN de campus mediana MÓDULO GRANJAS DE SERVIDORES. Los módulos de granjas de servidores y centros de datos proporcionan accesos de alta velocidad hacia los servidores de la red de campus. Se puede unir los servidores a los switches vía Gigabit Ethernet o 10 Gigabit Ethernet. La figura 2.20 muestra un ejemplo de un módulo de una granja de servidores para una red pequeña. Los servidores están conectados vía Fast Ethernet. 29 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

88 Capítulo II MARCO TEORICO 66 Figure 2.20 Granja de servidores. 30 Los switches de la granja de servidores se conectan vía puertos de elevación de enlace a los switches del núcleo. Los grandes despliegues pueden encontrarse útil en la construcción jerárquica del servicio hacia el centro de datos usando los dispositivos de acceso y distribución de las redes. Los switches de los servidores de distribución son usados para grandes redes. El acceso a las listas de control y QoS son implementadas en los switches de los servidores de distribución para proteger a los servidores y servicios en las políticas de la red reforzadas OPCIONES DE CONECTIVIDAD DEL SERVIDOR. Los servidores pueden conectarse con tres opciones primarias: Simple NIC. Dual NIC EtherChannel. Contención de Switcheo. Simple NIC conectada a los servidores que tienen velocidades Fast o Gigabit Ethernet full-duplex sin ninguna redundancia. Los servidores requieren 30 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

89 Capítulo II MARCO TEORICO 67 redundancia para ser conectados ambos con dual o doble NICs usando EtherChannel switchs. Las soluciones de redundancia avanzadas usan switchs contenedores que multiplican la llegada a los servidores. Esto proporciona redundancia y balanceo de carga por petición de cada usuario INFRAESTRUCTURA DE LOS CENTROS DE DATOS EMPRESARIALES. Los centros de datos (DC Data Center) contienen diferentes tipos de tecnología, incluyendo servidores independientes, servidores blade, mainframes, clusters de servidores, y servidores virtuales. En la figura 2.21 se muestra el DC Empresarial. La capa de acceso DC debe proporcionar la densidad de puerto de apoyo para soportar a los servidores, proporcionar un rendimiento más alto y baja latencia en los switchs de capa 2 soportando ambos o un solo servidor conectado. La preferencia del diseño es la de contener la capa 2 hacia la capa de acceso y la capa 3 en la de distribución. Alguna de las soluciones es mandar los enlaces de capa 3 hacia la capa de acceso.

90 Capítulo II MARCO TEORICO 68 Núcleo Capa Distribución Capa Acceso DC Cluster capa 2 Grupo de trabajo NIC Chasis Blade con Passthru Chasis Blade con Switch integrado Acceso Capa 3 Mainframe Figure 2.21 Centro de datos empresarial. 31 La incorporación de la capa de distribución agrega tráfico hacia el núcleo. Balanceadores de Carga para proporcionar balanceo de carga hacia múltiples servidores. Dispositivos SSL de expulsión de carga para terminar las sesiones de SSL. Firewalls (Contrafuegos) para controlar y filtrar el acceso. Dispositivos de detección de intrusos para detectar los ataques a las redes. 31 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

91 Capítulo II MARCO TEORICO CONSIDERACIONES DE CALIDAD DE SERVICIO PARA LAN DE CAMPUS. Para la capa de acceso de la LAN de campus, se puede clasificar y marcar tramas o paquetes para aplicar las políticas de calidad de servicio en la distribución o en el borde empresarial. La clasificación es fundamental en la construcción del bloque de QoS y envuelve el reconocimiento y distinción entre las diferentes tramas de tráfico. Por ejemplo, si se quiere distinguir entre el tráfico HTTP/HTTPS, FTP y VoIP. Sin ninguna clasificación, todo el tráfico se volverá el mismo. La marca en los bits de los paquetes o tramas también tendrá que ser clasificados. Esto es llamado coloreo o etiquetación. La capa 2 tiene dos métodos para marcar tramas para CoS: Inter-Switch Link (Enlace de Inter-Switcheo) (ISL). IEEE 802.1p/802.1Q. ISL añade etiquetas a cada trama para identificar a que VLAN pertenece. Como lo muestra en la figura 2.22, la marca es de una cabecera de 30 bytes y un CRC que debe ser añadido alrededor de la trama Fast Ethernet. Esto incluye los 26bytes de cabecera y los 4bytes de CRC. La cabecera incluye 15bit VLAN ID que identifica cada VLAN. El campo de usuario también incluye 3 bits para el CoS. Figura 2.22 Trama ISL Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

92 Capítulo II MARCO TEORICO 70 El estándar IEEE 802.1Q comunica las VLAN sobre Fast Ethernet y las interfaces Gigabit Ethernet, esto puede causar el uso múltiple de ambientes. IEEE 802.1Q usa una instancia de STP para cada VLAN permitiendo el trunk. Como en ISL, IEEE 802.1Q usa una marca en cada trama con un identificador VLAN. La figura 2.23 muestra la trama IEEE 802.1Q. No es lo mismo que ISL, 802.1Q usa una marca interna. IEEE 802.1Q también soporta un estándar primordial IEEE 802.1p, la cual está incluida en la especificación 802.1D Con 3-bits del campo prioritario es incluido en la trama 802.1Q para CoS. Figura 2.23 Trama IEEE 802.1Q. 33 La localización preferida para marcar tráfico es de hacerla tan cerca como sea posible de la fuente. La figura 3.24 muestra un segmento de la red con Teléfonos IP. Muchas de las estaciones de trabajo envían paquetes con CoS o preferencia de bits IP (ToS) puestos en 0. Si las estaciones de trabajo soportan IEEE 802.1Q/p, Este puede etiquetar los paquetes. El teléfono IP puede reclasificar el tráfico desde la estación de trabajo hacia 0. El tráfico de VoIP desde el teléfono se envía en capa 2 con CoS puesto en 5 o capa 3 ToS puesto en 5. El teléfono también reclasifica datos desde la PC hacia un CoS/ToS de 0. Con Puntos de Servicios Codificados Diferenciados (DSCP), el tráfico de VoIP es puesto por Reenvió Excesivo (EF), valores binarios (hexadecimal 2E). 33 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

93 4 7 PQ RS * 1 2 A B C 4G H I 5 J KL 7 8 T U V P Q R S * 3 D E F 6 M N O 9 WX Y Z 0 # CISCO IP PHONE 7905 SERIES Capítulo II MARCO TEORICO 71 Figura 2.24 Marcando tramas o paquetes. 34 Como se muestra en la figura 2.24, las capacidades de los switches varían en la capa de acceso. Si los switches en esta capa están disponibles, se configuran estos para aceptar las marcas de CoS/ToS o remapeado de los valores de las diferentes marcas de CoS/ToS. 2.5 DISEÑO DE RED INALÁMBRICA TECNOLOGÍAS DE LAN INALÁMBRICAS ESTÁNDARES DE RED LAN INALÁMBRICAS. Redes LAN inalámbricas (WLAN) incluye redes dentro de edificios, extensiones LAN, comunicaciones fuera del edificio, acceso público y comunicaciones entre pequeñas office/home (SOHO). El primer estándar para Wireless LAN es IEEE , aprobado por IEEE en La especificación actual es IEEE , con muchas enmiendas posteriores. IEEE implemento redes LAN inalámbricas a velocidades de 1 Mbps y 2 Mbps usa Espectro extendido de secuencia directa (DSSS - Direct Sequence Spread Spectrum) y Salto de frecuencia de espectro expandido (FHSS - Frequency Hopping Spread Spectrum) en la capa física del modelo de interconexión de sistema abierto (OSI - Open Systems Interconnection). DSSS divide datos en secciones separadas; cada sección circula por diferentes 34 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

94 Capítulo II MARCO TEORICO 72 frecuencias al mismo tiempo. FHSS utiliza una frecuencia de salto para enviar datos por ráfagas. Con FHSS, ciertos datos transmiten en la frecuencia 1 y el sistema modula a la frecuencia 2 para enviar más datos así sucesivamente volviendo a transmitir más datos en la frecuencia 1. En 1999, la enmienda b fue introducida, proporcionando 11 Mbps de velocidad de transmisión de datos. Ofrece velocidades de 11, 5.5, 2 y 1 Mbps y utiliza 11 canales de frecuencias industriales, científicas y médicas (ISM). La certificación de interoperabilidad IEEE b WLAN es la fidelidad inalámbrica (Wi-Fi). Wireless Ethernet Compatibility Alliance (WECA) regula la certificación Wi-Fi. IEEE b utiliza DSSS y es compatible con los sistemas que utilicen DSSS. IEEE aprobó un segundo estándar en IEEE a proporciona una tarifa de datos máximo de 54 Mbps pero es incompatible con b que proporciona velocidades de 54, 48, 36, 24, 18, 12, 9 y 6 Mbps. IEEE a utiliza 13 canales de frecuencias, UNII (UNII - Unlicensed National Information Infrastructure) y es incompatible con b y g. IEEE a también se conoce como Wi- Fi5. En el 2003, el estándar IEEE g fue aprobado, proporcionando una velocidad de datos de 54 Mbps usando las frecuencias ISM. La ventaja de g y a es que es compatible con b FRECUENCIAS ISM Y UNII. ISM son frecuencias reservadas por ITU-R de radio reglamentos y En los EE.UU la Comisión Federal de Comunicaciones (15.247) específica las bandas ISM para uso sin licencia. Varias bandas se especifican en los siguientes rangos: 900 a 928 MHz. 2.4 a 2.5 GHz.

95 Capítulo II MARCO TEORICO a GHz. De éstos, los canales situados en el rango 2.4 GHz se utilizan para b y g. Como se muestra en la figura 2.25, 11 canales sobrepuestos son habilitados para el uso. Cada canal tiene 22 MHz de ancho. Es común utilizar los canales 1, 6 y 11 en las mismas zonas, ya que estos tres canales, no se superponen. Figura 2.25 Canales ISM 2,4. 35 Las bandas de radio UNII fueron especificadas para el uso con inalámbricas a. UNII opera en tres rangos: UNII hasta 5.25 GHz y 5.25 hasta 5.35 GHz. UNII to GHz. Este rango es utilizado por LAN de alto rendimiento (HiperLAN) en Europa. UNII to GHz. Este rango se superpone con ISM. UNII ofrece 12 canales no sobrepuestos para a. 35 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

96 Capítulo II MARCO TEORICO RESUMEN DE NORMAS DE REDES LAN INALAMBRICAS. La tabla 2.8 resume las normas WLAN estándar, frecuencias y velocidad de datos. Protocolo IEEE Fecha de lanzamiento del estándar Frecuencia Tasa de transferencia típica Tasa de transferencia máxima Legancy 1997 ISM 1 Mbps 2 Mbps a 1999 UNII 25 Mbps 54 Mbps b 1999 ISM 6.5 Mbps 11 Mbps g 2003 ISM 25 Mbps 54 Mbps Tabla 2.8 Resumen de las normas WLAN IDENTIFICADOR DE ASIGNACIÓN DE SERVICIOS (SSID-SERVICE SET IDENTIFIER-). WLAN utiliza un SSID para identificar la WLAN "nombre de red". El SSID puede ser 2 a 32 caracteres de longitud. Todos los dispositivos de la WLAN deben tener el mismo SSID configurado para comunicarse. Es similar a un identificador de VLAN en una red cableada. La dificultad en la configuración de grandes redes es el SSID, la frecuencia y la configuración de energía para cientos de puntos de acceso situados a gran distancia MÉTODO DE ACCESO DE CAPA 2 DE WLAN. IEEE utiliza el control de acceso al medio (MAC - Media Access Control) y como protocolo de método de acceso que utiliza en (CSMA/CA). Con CSMA/CA, cada estación de WLAN escucha para ver si una estación está transmitiendo. Si no se produce actividad, la estación transmite. Si se está produciendo actividad, la 36 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

97 Capítulo II MARCO TEORICO 75 estación utiliza un temporizador de cuenta atrás al azar. Cuando el temporizador expira, la estación transmite SEGURIDAD WLAN. Las redes WLAN proporcionan una solución eficaz para los de difícil acceso y permite movilidad a un nivel que era previamente inalcanzable. Sin embargo, WLAN se presenta sin ningún tipo de encriptación lo que significa un riesgo en la seguridad, ya que el software esta disponible para el público y se puede obtener el SSID. El identificador de conjunto de servicio (WEP - Wired Equivalent Privacy) es un protocolo de seguridad utilizado en el estándar IEEE b, se considera defectuoso y vulnerable numerosos ataques. El protocolo b es el protocolo inalámbrico más comúnmente desplegado y aunque tiene la capacidad de utilizar 64 bits o 128 bits de cifrado, este puede ser desencriptado por medio de software. En junio de 2004, el estándar IEEE i fue ratificado para proporcionar seguridad adicional en redes WLAN. IEEE i también se conoce como Wi- Fi2 Protected Access 2 (WPA2). La arquitectura i contiene los siguientes componentes: 802.1X para la autentificación que exige el uso de Protocolo de Autenticación Extensible (EAP - Extensible Authentication Protocol) y de un servidor de la autentificación. Redes con seguridad robusta (RSN - Robust Security Network) para no hacer el seguimiento de las asociaciones. Estandar de encriptación avanzada (AES - Advanced Encryption Standard) para la codificación, integridad y autentificación de origen ACCESO NO AUTORIZADO. Un problema que enfrenta WLAN viene del hecho de que las señales inalámbricas no están controladas ni están contenidas fácilmente. WEP trabaja en la capa

98 Capítulo II MARCO TEORICO 76 enlace de datos, compartiendo la misma clave para todos los nodos que se comunican. El estándar fue desplegado ya que permite una velocidad de ancho de banda acelerada de hasta 11 Mbps y se basa en la tecnología DSSS. DSSS también permite al AP identificar tarjetas WLAN a través de su dirección MAC. Como los límites físicos tradicionales no se aplican a las redes inalámbricas, los atacantes pueden obtener acceso inalámbrico utilizando desde el exterior del perímetro de seguridad física. Los atacantes alcanzan el acceso no autorizado si la red inalámbrica no tiene un mecanismo para comparar una dirección MAC de una tarjeta inalámbrica a una base de datos que contenga un directorio con los derechos de acceso. Una persona puede caminar con el PC dentro de un área y cada AP que entre en contacto con la tarjeta que debe también basarse en un directorio. Permitir el acceso a través de una dirección MAC es también inseguro, porque las direcciones MAC pueden ser falsas. Algunos AP pueden aplicar direcciones MAC y filtrado de protocolos para mejorar la seguridad o limitar los protocolos más utilizados en WLAN. Con cientos de clientes WLAN, el filtrado de dirección MAC no es una solución escalable. Una vez más los atacantes pueden cortar el filtrado de direcciones MAC. Un usuario puede esperar a escuchar transmisiones, recopilar una lista de direcciones MAC y después utilizar una de esas direcciones MAC para conectarse con el AP ENFOQUE DE DISEÑO DE SEGURIDAD WLAN. El enfoque de diseño de seguridad WLAN hace dos hipótesis. Las hipótesis son que todos los dispositivos WLAN están conectados a una única subred IP y que la mayoría de los servicios disponibles a la red cableada están también disponibles para los nodos inalámbricos. Con estas dos premisas, la seguridad WLAN y diseño ofrecen dos enfoques básicos en materia de seguridad: Uso de protocolo de Autenticación Extensible Ligero (LEAP - Lightweight Extensible Authentication Protocol) para garantizar la autentificación. Uso de VPN con seguridad IP (IPsec) para garantizar el tráfico WLAN a la red cableada.

99 Capítulo II MARCO TEORICO 77 Considerando WLAN como una alternativa de acceso, hay que recordar que los servicios de acceso de usuarios WLAN son a menudo los mismos que acceden por cable. WLAN abre un mundo nuevo de acceso para hacker y se debe considerar los riesgos antes del despliegue. Para aumentar la seguridad, se puede implementar redes WLAN con el software de IPsec VPN, utiliza un puerto de control de acceso basado en el protocolo IEEE 802.1X-2001 y la utilización dinámica de claves WEP AUTENTIFICACIÓN BASADA EN EL PUERTO 802.1X IEEE 802.1X es un estándar de autenticación basado en puerto para redes LAN. Que autentica a los usuarios antes de permitir el acceso a la red. Se puede utilizar en Ethernet, Fast Ethernet y redes WLAN. El cliente de estación de trabajo con IEEE 802.1X-2001 ejecuta un pedido de acceso a servicios. Los clientes usan EAP para comunicarse con el switch de la red LAN. El switch verifica la información con que se autentifica el servidor y se responde al cliente. Los switches de la red LAN usan el servicio de Autenticación Remota de Usuarios Entrantes (RADIUS - Authentication Dial-In User Service) para comunicarse con el servidor. La autentificación del servidor RADIUS valida la identidad del cliente y autoriza al cliente. El servidor usa RADIUS con extensión EAP para realizar la autorización CLAVES DINÁMICAS WEP Y LEAP. También ofrece a los usuarios dinámicos claves por cada sesión WEP, para proporcionar las claves estáticamente configuradas adicionales a la seguridad WEP, que no son únicas por usuario. Para la autentificación centralizada basada en usuario, Cisco desarrolló LEAP. LEAP utiliza autentificación mutua entre cliente y servidor de red y utiliza IEEE 802.1X y para la autentificación de 37 IEEE 802.1X: Estándar del IEEE de 2001 para proporcionar un control de acceso en redes basadas en puertos.

100 Capítulo II MARCO TEORICO 78 mensajería. LEAP utiliza un servidor RADIUS para manejar información del usuario. LEAP es una combinación de 802.1X y EAP. Combina la capacidad de autenticar a los diversos servidores RADIUS como WLAN en una sesión a un punto de acceso que compare la información de conexión al RADIUS. Esta solución es más escalable que el filtrado de direcciones MAC. Debido a que el acceso WLAN depende de la recepción de una dirección, utilizando el Protocolo de Configuración Dinámica de Servidor (DHCP - Dynamic Host Configuration Protocol) y la autenticación del usuario mediante RADIUS, WLAN necesita el acceso constante a estos servidores back-end. Además, LEAP no soporta contraseñas de una sola vez, de manera que debe utilizar buenas prácticas de contraseña de seguridad. En la práctica la edición y mantenimiento de la contraseña es un componente básico de la política de seguridad corporativa CONTROL DE ACCESO A LOS SERVIDORES WLAN. En la misma forma se coloca servidores accesibles DNS para Internet o DMZ, se debe aplicar una estrategia similar a los servidores RADIUS y DHCP accesibles a WLAN. Estos servidores deben ser los servidores secundarios que se encuentran en otro segmento (VLAN separada) de sus principales contrapartes. El acceso a esta VLAN se filtra. Esta colocación se asegura de que cualquier ataque lanzado sobre estos servidores se encuentren contenidos dentro de este segmento. Se debe controlar el acceso de red a los servidores; se debe considerar a WLAN un segmento sin garantía y aplicar segmentación y listas de acceso. Esta medida garantiza que el acceso WLAN sea controlado y dirigido solamente a las zonas que lo necesiten. Por ejemplo, puede ser que no se desee permitir el acceso a WLAN a los servidores de gerencia y servidores de recursos humanos.

101 Capítulo II MARCO TEORICO 79 Se debe también proteger estos servidores contra ataques de red. La importancia de estos servidores les hace una objetivo ideal para los ataques de negación de servicio (DoS). Considere el uso de sistemas basada en host de detección de intrusos (IDS) para detectar ataques de red contra estos dispositivos REDES INALÁBRICAS UNIFICADAS ARQUITECTURA UWN Con la explosión de soluciones inalámbricas dentro y fuera de la empresa, los diseñadores deben crear propuestas que den movilidad y servicios a las empresas mientras se mantiene la seguridad de la red. La red inalámbrica unificada combina elementos de la arquitectura de red inalámbrica y por cable para entregar escalabilidad, administración y asegurar redes WLAN. Como se muestra en la figura 2.26, la arquitectura UWN se compone de cinco elementos de red: Equipo del Cliente- Estos incluyen computadoras portátiles, estaciones de trabajo, teléfonos IP, PDA y fabricación de dispositivos para tener acceso a WLAN. Puntos de Acceso- Estos dispositivos proporcionan acceso a la red inalámbrica. Los AP se colocan en lugares estratégicos para minimizar la interferencia. Unificación de la Red- WLAN de la red debe ser capaz de apoyar aplicaciones inalámbricas, proporcionando políticas de seguridad, QoS, prevención de intrusos y gestión de Radiofrecuencia (RF). Los controladores WLAN proporcionan esta funcionalidad e integración en todas las plataformas importantes de conmutación y enrutamiento. Gestión de Red- Se proporciona una herramienta de gestión central que permite diseñar, controlar y supervisar redes inalámbricas. Servicios de Movilidad- Esta incluye el acceso de los clientes, servicios de localización, servicios de voz y detección de amenazas y mitigación.

102 4 7 P * QRS 1 2 A B C 4 5 JK L G HI 7 8 P Q R S T UV 3 D E F 6 M N O 9 W X Y Z * 0 # CISCO IP PHONE 7912 SERIE S 4 7 P * QRS 1 2 A B C 4 5 JK L G HI 7 8 P Q R S T UV 3 D E F 6 M N O 9 W X Y Z * 0 # CISCO IP PHONE 7912 SERIE S Malla Malla Malla Malla Malla Malla Malla Capítulo II MARCO TEORICO 80 Figura 2.26 Arquitectura UWN. 38 UWN ofrece las siguientes ventajas: Reducción del costo total. Mejora el control de visibilidad. Gestión dinámica de RF. Seguridad WLAN. 38 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

103 Capítulo II MARCO TEORICO 81 Redes unificadas alámbricas e inalámbricas. Movilidad de la empresa. Mejora la productividad y colaboración en la empresa LWAPP. Protocolo ligero para puntos de acceso (LWAPP - Lightweight Access Point Protocol-) es un proyecto de Internet del Grupo de Trabajo de Ingeniería de Internet (IETF- Engineering Task Force) estándar para el control de mensajería, autentificación y operaciones entre los puntos de acceso (AP) y controladores inalámbricos LAN (WLC). El control y los mensajes de datos se dividen. Punto de acceso liviano (LWAP) se comunican con WLC usando el excedente de los mensajes de control de la red cableada. Los mensajes de datos de LWAPP se encapsulan y se envían a los clientes inalámbricos. El WLC administra múltiples AP proporcionando información de la configuración y actualizando el firmware cuando sea necesario. Las funciones MAC de LWAP son: Paquetes de trama respuesta de prueba Control- Reconocimiento y transmisión del control de paquete e- Priorización de paquetes y colas de trama i- Capa MAC de encriptación/desencriptación. Las funciones del controlador MAC Gestión MAC- Asociado a peticiones y acceso e Reservación de recurso- Reserva recursos para usos específicos i- Autenticación y gestión de claves.

104 Capítulo II MARCO TEORICO 82 En el proyecto de LWAPP, son mensajes de control LWAPP pueden ser transportados en los túneles de capa 2 o capa 3. Los túneles de capa 2 LWAPP fue el primer método desarrollado en el cual el AP no requiere una dirección IP. La desventaja de capa 2 LWAPP es que WLC necesita estar en cada subred en la que reside el AP. La capa 2 LWAPP es una solución obsoleta. La capa 3 LWAPP es la solución preferida. Como se muestra en la figura 2.27, túneles LWAPP de capa 3 se utilizan entre LWAP y WLC. Los mensajes WLC utilizan el puerto UDP para el control y el puerto para los mensajes de datos. En esta solución, los puntos de acceso requieren una dirección IP, pero WLC no necesita residir en el mismo segmento. Red Cableada Clientes inalámbricos LWAP Tuneles LWAP Capa3 WLC Figura 2.27 Nivel 3 LWAPP MODOS DE PUNTO DE ACCESO LWAPP. LWAPP puntos de acceso operan en uno de los seis modos diferentes: Modo Local- Este es el modo de operación por defecto. En este modo, cada 180 segundos el AP pasa 60 milisegundos en los canales que no funcionan. Durante 39 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

105 Capítulo II MARCO TEORICO 83 los 60 ms, el AP conseguir las mediciones de ruido en la habitación o cuarto, medidas de interferencia y busca eventos IDS. Modo del AP Borde Remoto (REAP)- Este modo permite un LWAP residir a través de un vínculo WAN y poder comunicarse con WLC y proporcionar la funcionalidad de un LWAP. Actualmente, el modo REAP es soportado solamente en 1030 LWAP. Modo Monitor- En modo monitor se consigue diseñar para especificar un LWAPP habilitado a los AP para ejecutar el manejo de tráfico de datos entre clientes y la infraestructura. Ellos actúan como sensores dedicados para los servicios basados en localización (LBS - location-based services), la detección de punto de acceso y detección de intrusos (IDS - Intrusion Detection System). Cuándo el AP está en modo monitor, estos no puede atender clientes y un ciclo continuo entre todos los canales configurados, escuchando cada canal aproximadamente 60ms. Modo de Detección de Intrusos- LWAP opera en un monitoreo de detector de intrusos en un AP. No transmiten ni contienen el intruso AP. La idea es que el detector de intrusos pueda ver todas las VLANs en la red, porque el intruso AP se puede conectar con cualquiera de las VLAN en la red (o se conecta a los puertos trunk). El switch envía todos los intrusos al AP/listas de direcciones MAC de los clientes al RD. El RD entonces remite ésos al WLC para comparar con las direcciones MAC de los clientes a que el AP WLC ha escuchado. Si encaja la dirección MAC, el WLC conoce el AP intruso y se conecta con los clientes de la red alámbrica. Modo Espía- LWAPP opera en el modo sniffer por tanto funciona como un sniffer el cual captura y envía todos los paquetes en un canal particular a una máquina remota que funcione con AiroPeek. Estos paquetes contienen información sobre el tiempo de muestra, potencia de la señal, tamaño del paquete y así sucesivamente. La característica del sniffer es que puede ser activada solo si se ejecuta AiroPeek, un software de tercera persona del analizador de red que soporte decodificación de paquetes de datos.

106 Capítulo II MARCO TEORICO 84 Modo Puente- Proporciona un menor costo, gran ancho de banda de la conectividad inalámbrica. Aplicaciones soportadas en punto a punto, punto a multipunto, punto a punto inalámbrico con acceso integrado al backhaul DESCUBRIMIENTO LWAPP. Cuando LWAPP se coloca en la red, primero realiza el descubrimiento de DHCP para obtener una dirección IP. Entonces la capa 3 LWAPP descubre si el intento. Si no hay respuesta WLC, el punto de acceso se reinicia y se repite este proceso. El algoritmo de descubrimiento de la capa 3 LWAPP es el siguiente: 1.El AP envía una petición de descubrimiento de capa 3 LWAPP. 2.Todo el WLC que recibe la contestación de la petición del descubrimiento con un mensaje de respuesta del descubrimiento del unicast LWAPP. 3.El AP compila una lista de WLC. 4.El AP selecciona un WLC basado en ciertos criterios. 5.El AP valida el WLC seleccionado y envía un LWAPP enlazado a una respuesta. Se selecciona una clave de cifrado y se cifran los mensajes futuros. Las peticiones de descubrimiento de capa 3 se envían como se indica a continuación: Broadcast de la subnet local. Las peticiones del descubrimiento de Unicast LWAPP a las direcciones IP de WLC anunciados por otros AP. Para previamente almacenar la dirección IP WLC. Para las direcciones IP aprendidas por la opción 43 de DHCP. Para las direcciones IP aprendidas por la resolución de DNS de CISCO- LWAPP. 40 Backhaul: Punto de interconexión entre redes de diferentes tecnologías alámbricas o inalámbricas.

107 Capítulo II MARCO TEORICO 85 El WLC seleccionado se basa en lo siguiente: WLC primario, secundario y/o terciario previamente configurado. WLC configurado como el controlador principal. WLC con la mayor capacidad para el AP asociado AUTENTICACIÓN WLAN. Los clientes inalámbricos primero se asocian a un punto de acceso. Entonces los clientes inalámbricos necesitan ser autenticados por un servidor de autentificación antes de que el punto de acceso permita el acceso a los servicios. Según lo mostrado en la figura 2.28, el servidor de autentificación se encuentra en la infraestructura cableada. Un túnel EAP/RADIUS se produce entre el WLC y el servidor de autentificación. El servidor de control de acceso seguro (ACS) que usa EAP es un ejemplo de un servidor de autentificación. Figura 2.28 Autenticación WLAN Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

108 Capítulo II MARCO TEORICO OPCIONES DE AUTENTICACIÓN. Los clientes inalámbricos se comunican con el servidor de autentificación usando EAP. Cada tipo de EAP tiene sus ventajas y desventajas. Existen soluciones de seguridad entre las que se ofrece, tipo de EAP, el soporte a los sistemas operativos, los dispositivos cliente que soportan, el software de cliente y de administración de mensajería de autentificación, requerimiento de certificado, facilidad de uso y la infraestructura de soporte a dispositivo de infraestructura de WLAN. A continuación se resumen las opciones de autenticación: EAP- Capa Transporte la seguridad (EAP-TLS- Extensible Authentication Protocol - Transport Layer Security) es un estándar abierto del IETF apoyado entre los proveedores inalámbricos pero implantado raramente. Utiliza PKI para garantizar las comunicaciones de autenticación RADIUS al servidor mediante TLS y certificados digitales. Protocolo de autentificación extensible protegido (PEAP - Protected Extensible Authentication Protocol) es una propuesta común de Cisco Systems, Microsoft y la seguridad RSA es un estándar abierto. PEAP/MSCHAPv2 es la versión más común y es ampliamente disponible en los productos. Es similar en diseño a EAP-TTLS, que requieren solo un certificado del servidor en el lado del servidor para crear un túnel seguro de TLS para proteger la autentificación del usuario. PEAP-GTC permite una autentificación más genérica a un número de bases de datos tales como los servicios del directorio de Novell (NDS). EAP- Tunelizado. TLS (EAP-TTLS) fue co-desarrollado por Funk software y Certicom. Se trata de un amplio apoyo a través de plataformas y ofrece una seguridad muy buena, usando certificados PKI solamente en el servidor de autentificación Protocolo de autentificación extensible liviano de Cisco (LEAP - Lightweight Extensible Authentication Protocol) es un método propietario EAP soportado por certificados Cisco de extensiones (CCX). Es vulnerable a los ataques del diccionario

109 Capítulo II MARCO TEORICO 87 Autentificación Flexible EAP vía túnel seguro (EAP-FAST) es una propuesta de Cisco Systems para solucionar las debilidades de LEAP. EAP- FAST utiliza una credencial de acceso protegida (PAC) y es una opción para ser usada por el servidor de certificados. EAP-FAST tiene tres fases. La fase 0 es una fase opcional en la cual el PAC puede ser otorgado manualmente o dinámicamente. En la fase 1, el cliente y el servidor de AAA utilizan el PAC para establecer el túnel de TLS. En la fase 2, el cliente envía la información del usuario a través del túnel CONTROLADOR DE COMPONENTES WLAN. Se debe entender los tres componentes principales de WLCs: Redes LAN inalámbricas. Interfaces. Puertos. Las redes LAN inalámbricas son identificadores únicos de red SSID. La red LAN es una entidad lógica. Cada WLAN se asigna a un interfaz en el WLC. Cada WLAN es configurada con políticas de radios, QoS y otros parámetros de WLAN. Un interfaz WLC es una conexión lógica que direcciona a un VLAN en la red cableada. Cada interfaz se configura con una dirección IP única, gateway por defecto, puertos físicos, etiqueta de VLAN y un servidor de DHCP. El puerto es una conexión física al vecino por medio de un switch o un router. Por defecto, cada puerto es un puerto trunk de IEEE 802.1Q. Puede haber múltiples puertos en un WLC en una sola interfaz del puerto. Estos puertos pueden ser agregados utilizando enlaces agregados (GAL). Algunos WLCs tienen un puerto de servicio que se utiliza para la administración fuera de banda. La figura 2.29 muestra los componentes de WLC.

110 Capítulo II MARCO TEORICO 88 Figura 2.29 Controlador de componentes WLAN TIPOS DE INTERFACES WLC Un WLC tiene cinco tipos del interfaz: Administración de interfaces es utilizado para la administración fuera de banda, conectividad al AAA y descubrimiento de capa 2 de asociación. Interfaz servicio-puerto se utiliza para la administración fuera de banda. Esta es una interfaz opcional que se configura estáticamente. Administración de interfase AP se utiliza para el descubrimiento de capa 3 y de asociación. Este tiene una dirección IP de origen del AP que esta configurado estáticamente. 42 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

111 Capítulo II MARCO TEORICO 89 Interfase dinámica es análogo a las VLANs y es diseñada para los datos de los clientes WLAN. Interfaz virtual se utiliza para la autentificación de seguridad de la capa 3, soporta DHCP relay y administración de movilidad ROAMING Y GRUPOS DE MOVILIDAD. La razón primordial para tener redes inalámbricas es la capacidad de acceder a los recursos de la red desde áreas difíciles donde los cables no pueden ser implantados. Los clientes finales desean moverse de un lugar a otro. La movilidad permite que los usuarios tengan acceso a la red desde diversos lugares. Romming ocurre cuando el cliente inalámbrico cambia de un punto de acceso a otro. El desafío es escalar la red inalámbrica para permitir al cliente que realice roaming. El roaming puede ser dentro del controlador o entre controlador ROAMING DENTRO DEL CONTROLADOR. Roaming dentro del controlador, muestra en la figura 2.30 que ocurre cuando un cliente mueve se mueve de un AP a otro AP que esta unido al mismo WLC. El WLC actualiza la base de datos del cliente con el nuevo AP asociado y no cambia la dirección IP del cliente. Si es necesario, los clientes son re autenticados y se establece una nueva asociación de seguridad. El cliente en la base de datos sigue teniendo la misma WLC.

112 Capítulo II MARCO TEORICO 90 Figura 2.30 Dentro del controlador roaming ROAMING DENTRO DEL CONTROLADOR DE CAPA 2. Roaming dentro del controlador ocurre cuando un cliente asociación a un AP se mueve a otro AP que se une a otra WLC. El roaming de capa 2 ocurre cuando el tráfico del cliente se envía a la misma subnet IP. En la figura 2.31 se muestra roaming dentro del controlador de capa 2. El tráfico sigue siendo de la misma subnet IP y la dirección IP del cliente no sufre cambios. La base de datos del cliente se mueve desde el WLC1 a WLC2. El cliente es re autenticado, y se establece una nueva sesión de seguridad. 43 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

113 Capítulo II MARCO TEORICO ROAMING DENTRO DEL CONTROLADOR DE CAPA 3. El roaming dentro del controlador de capa 3, mostrado en la figura 2.32, un cliente mueve la asociación a partir de un AP a otro AP que es enlazado a otro WLC. Entonces el tráfico se envía dentro de una IP subnet. Cuando el cliente se asocia a un AP2, el WLC2 intercambia mensajes de movilidad con el WLC1. La base de datos original del cliente no se mueve al WLC. En lugar, WLC1 marca a cliente con una entrada tipo "ancla" en su base de datos. La entrada de la base de datos es copia a la base de datos de la WLC2 y está es marcada como una entrada "extranjera". El cliente inalámbrico mantiene su dirección IP original y es re autenticado. Una nueva sesión de seguridad entonces se establece. Figura 2.31 Roaming dentro del controlador de capa Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

114 Capítulo II MARCO TEORICO 92 Figura 2.32 Roaming dentro del controlador de capa GRUPOS DE MOVILIDAD. Cuando se asigna movilidad a los grupos WLCs, los intercambios dinámicamente de mensajes de movilidad del los WLCs y los túneles de datos vía EtherIP. La movilidad de los grupos soporta hasta 24 reguladores. El límite superior de los APs es limitada por el tipo de controlador y el número de AP soportados por cada controlador. Cada WLC es configurado con una lista de los miembros en el grupo de movilidad. Los mensajes del intercambio de WLCs usan el puerto UDP para desencriptar los mensajes o los puertos UDP para encriptar mensajes. Como ejemplo del escalabilidad, si se utilizan 24 WLCs, 24 * 6 = 144 cuentan con el apoyo de esos APs. 45 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

115 Capítulo II MARCO TEORICO 93 Se recomienda reducir al mínimo el roaming dentro del controlador en la red. También se recomienda que haya menos de 10ms en tiempo de latencia de idavuelta entre controladores. También se indica que el roaming de capa 2 es más eficiente que roaming de capa 3 debido a la comunicación asimétrica de roaming de la capa DISEÑO DE RED LAN INALÁMBRICA DISEÑO DE CONTROLADOR DE REDUNDANCIA. Las WLCs pueden ser configuradas para una redundancia dinámica o determinista. Para la redundancia determinista, el punto de acceso se configura con un controlador primario, secundario y terciario. Esto requiere más cálculos pero permite una mejor pre-visibilidad más rápida de tiempos de fallos. La redundancia determinista es la mejor práctica recomendada. N+1, N+N, y N+N+1 son ejemplos de la redundancia determinista. Los controladores dinámicos usan LWAPP para balancear la carga de los APs a través de WLCs. LWAPP pueblan a los APs con una reserva de WLC. Esta solución trabaja mejor cuando las WLCs están en un cluster centralizado. Esta solución es más fácil de desarrollar que la solución determinista y permite a los APs hacer balanceo de carga. Las desventajas son tiempos más largos de tiempo de falla y operación imprevisible. Un ejemplo es AP adyacente registrados con diferentes WLCs. a) REDUNDANCIA WLC N+1. Con redundancia N+1, mostrada en la figura 2.33, un simple evento del WLC como el backup de múltiples WLCs. El backup del WLC se configura como el WLC secundario en cada AP. Una limitación es que el diseño de la copia de seguridad puede convertirse en WLC sobre abonado. El WLC secundario es el controlador para todo el APs.

116 Capítulo II MARCO TEORICO 94 Figura 2.33 Redundancia de control N b) REDUNDANCIA WLC N+N. Con la redundancia N+N, que se muestra en la figura 2.34, un número igual de controladores de backup para cada otro, por ejemplo, un par de WLCs en un piso con un backup para un segundo par en otro piso. La parte superior del WLC es primordial para el AP1 y el AP2 y secundaria para el AP3 y el AP4. La base del WLC es primario para AP3 y AP4 y secundario para AP1 y AP2. 46 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

117 Capítulo II MARCO TEORICO 95 Figura 2.34 Redundancia de controlador N+N. 47 c) REDUNCDANCIA WLC N+N+1. Con la redundancia N+N +1 que se muestra en la figura 2.35 un igual número de controladores backup por cada otro (como en N+N) añadiendo un WLC backup es configurado como WLC terciario para los puntos de acceso. La redundancia N+N+1 funciona igual como la redundancia N+N añadiendo un controlador terciario que respalde al controlador secundario. 47 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

118 Capítulo II MARCO TEORICO 96 Figura 2.35 Redundancia de controlador N+N ADMINISTRACIÓN DE RADIOS Y GRUPOS DE RADIOS. El limite de canales habilitados en las frecuencias ISM usadas por el estándar IEEE b/g presenta retos al diseño de red. Hay tres canales que no se sobreponen (canales 1, 6 y 11). Lo recomendado por AP es de hasta 20 dispositivos de datos, o no más de siete llamadas de voz sobre WLAN (VoWLAN) concurrentes usando g.711 u ocho llamadas VoWLAN usando g.729. Adicionalmente se debe añadir APs según se poblé de usuarios, se debe mantener esta relación de datos y voz por AP. La administración de recursos de Radio de Cisco (MRR) es un método para la administrar la frecuencia de radio del canal del AP y la configuración del poder. Cisco WLCs utilizar el mecanismo de reacción rápida para configurar automáticamente el algoritmo, optimizar, y auto-sanarse. Las funciones de Cisco MRR son las siguientes: 48 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

119 Capítulo II MARCO TEORICO 97 Monitoreo de los recursos de radio- Cisco LWAPs monitorea todos los canales. Colectando paquetes que se envían al WLC, que puede detectar AP intruso, clientes y de AP de interferencia. Asignación dinámica de canal- El WLCs asigna automáticamente los canales para evitar interferencias. Detección de interferencia y prevención- El LWAPs monitorea todos los canales, interferencias detectadas por un umbral predefinido (10 por ciento por defecto). La interferencia puede ser generado por AP intrusos, dispositivos Bluetooth, WLAN o vecinas. Transmisión de control dinámico de poder- El WLCs ajustar automáticamente los niveles de potencia Detección de agujeros de cobertura y corrección- El WLC podrá ajustar la potencia de salida del AP si los clientes informan un reporte de baja señal recibida (RSSI - Received Signal Strength Indication), el nivel es detectado. Clientes y balanceo de carga de la red- Los clientes pueden ser influenciados a asociarse con determinados APs para mantener el equilibrio de la red. a) GRUPOS DE RADIO FRECUENCIA (RF) Un grupo de RF es un cluster de dispositivos WLC que coordina los cálculos de RRM. Cuando los WLCs son remplazados en un grupo de RF, los cálculos RRM pueden ser escalados desde un WLC hasta múltiples pisos, edificios o campus. Con un grupo de RF, los mensajes de APs vecinos son enviados a otros APs. Si los mensajes de los vecinos es alrededor de -80dBm desde los controladores hacia un grupo de RF. El RF de los WLCs eligen a un líder de grupo para analizar los datos de RF. El grupo de RF líder intercambia mensajes con el grupo RF miembros usando el puerto en UDP para b/g y el puerto UDP para a SITE SURVEY DE RF Similar a la realización de una evaluación del diseño para una red cableada, los site surveys de RF se realizan para determinar los parámetros de diseño para

120 Capítulo II MARCO TEORICO 98 redes LAN inalámbricas y las necesidades de los clientes. El site survey de RF ayudan a determinar las áreas de cobertura y verificación de interferencias de RF. Esto ayuda a determinar la ubicación apropiada de AP inalámbrico. El site survey de RF tiene que seguir los siguientes puntos: Paso 1 Definir los requerimientos del cliente, definir los niveles de servicio y soporte para VoIP. Paso 2 Identificar las áreas de cobertura y densidad de usuarios, incluir horas pico de uso y lugares de salas de conferencia. Paso 3 Determinar localización preliminar de AP, el acceso a la red cableada, los lugares de montaje y antenas. Paso 4 Realizar el survey actual usando un AP para analizar el sitio y análisis de la fuerza de la RF recibida basada en la colocación del AP. Considere los efectos de la maquinaria eléctrica. Hornos de microondas y los ascensores pueden distorsionar la señal del AP Paso 5 Documento de los resultados mediante el registro de los lugares de AP, tipos de datos, y las lecturas de la señal USANDO TÚNELES EOIP PARA SERVICIOS AL CLIENTE. Soluciones básicas para separar VLANs para visitantes y usuarios corporativos para separar el tráfico de los clientes corporativos. Todos los demás parámetros de seguridad están configurados. Otra solución es usar Ethernet sobre IP (EoIP) para enviar el tráfico de visita por un túnel desde el LWAPP a un WLC. Como se muestra en la Figura 2.36, EoIP se utiliza para segmentar lógicamente y transportar el tráfico desde el borde del AP a un WLC. No hay necesidad de definir VLANs para clientes en la red interna. Las tramas Ethernet desde el cliente visitante se mantienen a través del LWAPP y túneles EoIP

121 Capítulo II MARCO TEORICO 99 Figura 2.36 Túneles EoIP REDES INALÁMBRICAS EN MALLA PARA REDES DE EXTERIORES Tradicionalmente, las soluciones inalámbricas de exteriores se han limitado a punto-a-punto y punto-multipunto entre edificios. Con estas soluciones, cada AP con cable a la red. La creación de redes inalámbricas en mallas son una solución, que se muestra en la figura 2.37, elimina la necesidad de cada cable al AP y permite a los usuarios vagar de un área a otra sin tener que reconectarse. 49 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

122 Capítulo II MARCO TEORICO 100 Ma ll a WCS RAP WLC Ma ll a Ma lla MAPs Ma lla Ma l la Ma l la Ma ll a Ma l la Figura 2.37 Componentes de red inalámbrica en malla.50 Sistemas de control inalámbrico (WCS - Wireless Control System) es la malla inalámbrica de administración SNMP que permite la configuración de toda la red y la administración. Controlador de red inalámbrica (WLC - Wireless LAN Controller) vincula la malla los APs a la red cableada y realiza todas las tareas anteriormente descritas para un WLC. Rooftop AP se conecta a la malla de la red cableada y sirve como la raíz (o gateway). También se comunica con la MAPs 50 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

123 Capítulo II MARCO TEORICO 101 Malla de puntos de acceso (PAM) son APs remotos. Se comunican con el PAR para conectarse a la red cableada. a) RECOMENDACIONES DE RED INALÁMBRICA EN MALLA La latencia de 2 a 3ms por salto. Para despliegues exteriores, cuatro o pocos saltos son recomendados para un mejor desempeño; pero son soportados un máximo de ocho saltos. Para despliegues internos, es soportado un salto. 20 nodos MAP por cada RAP son recomendados para un mejor desempeño. Son soportados arriba de 32 MAPs CONSIDERACIONES DE DISEÑO DE CAMPUS Hay que tener en cuenta la capacidad para determinar la cuantos LWAPs se deben poner en un lugar y como se administraran con la WLCs. La tabla 2.9 resumen las consideraciones de campus. Ítem de diseño Número de APs Descripción El diseño debe tener suficientes APs para proveer una cobertura completa para los clientes inalámbricos para todos los lugares en la empresa. Se recomienda 20 dispositivos de datos por AP y 7 g.711 concurrentes u 8 llamadas VoWLAN g.729 concurrentes Localización de Los APs deben ser ubicados en un lugar céntrico de la zona a APs dar servicio. Los APs deben ser ubicación en cuartos de conferencia para acomodar los picos requeridos. Poder de los APs Tradicionalmente el poder debe ser usado, pero la solución preferida es usar Poder sobre ethernet para dar poder a los APs. Número de WLCs El número de WLCs depende del modelo de redundancia seleccionada basada en los requerimientos del cliente. El

124 Capítulo II MARCO TEORICO 102 número de controladores depende del número de APs requeridos y el número de APs soportados por los diferentes modelos WLC Localización de Los WLCs deben ser ubicados en los closets de cableado o en WLCs los data center. Determinando la redundancia es recomendado, y el roaming debe ser minimizado. Los WLCs pueden ser ubicados en un lugar central o distribuido en el campus en la capa distribución. Tabla 2.9 Consideraciones de diseño WLAN INTERFERENCIA Y ATENUACION Debido a que las redes inalámbricas operan en un espectro de frecuencias utilizado por otras tecnologías, pueden existir interferencias que pueden afectar negativamente al rendimiento Las tecnologías que pueden producir interferencias son las siguientes: Bluetooth Hornos Microondas Algunos teléfonos DECT inalámbricos Otras redes WLAN Debido a la naturaleza de la tecnología de radio, las señales de radio frecuencia pueden desvanecerse o bloquearse por materiales medioambientales. La inspección in situ nos ayudará a identificar los elementos que afecten negativamente a la señal inalámbrica. En la tabla 2.10 se enumeran los materiales nocivos que se deben tomar en cuenta al momento de realizar el diseño inalámbrico. 51 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

125 Capítulo II MARCO TEORICO 103 Material Madera Vidrio Amianto Yeso Ejemplo Tabiques Ventanas Techos Paredes interiores Interferencia Baja Baja Baja Baja Ladrillo Hojas Agua Cerámica Papel Vidrio con alto contenido en plomo Metal Paredes interiores y exteriores Arboles y plantas Lluvia / Nebla Tejas Rollos de papel Media Media Alta Alta Alta Ventanas Vigas, armarios Alta Muy Alta Tabla 2.10 Materiales que provocan interferencia en las señales inalámbricas ADMINISTRACIÓN DE SEGURIDAD DESCRIPCIÓN DE LA SEGURIDAD DE RED. Por muchos años, redes fueron diseñadas para estar abiertas en naturaleza y no requirió mucha seguridad. El motivo de la mayor la preocupación era acceso físico. En un cierto plazo, las redes crecieron de tamaño, y la complejidad aumentó la necesidad de la seguridad de la red. Para los negocios de hoy, la seguridad ahora es una parte obligatoria de diseñarla los sistemas, porque los riesgos son demasiado altos si los datos críticos se pierden o se tratan de forzar. Los equipos de la seguridad dentro de organizaciones deben proporcionar niveles adecuados de protección para el negocio para manejar sus operaciones. La seguridad de la red se utiliza para defender contra ataques de la red y para prevenir el acceso desautorizado de intrusos. Además, la seguridad de la red protege datos contra la manipulación y el robo. Los negocios también necesitan cumplir con la política y seguridad de la empresa que están para ayudar a proteger los datos y a mantenerlos privados. 52 Fuente:

126 Capítulo II MARCO TEORICO 104 La seguridad de la red necesita ser transparente para los usuarios finales y se debe también diseñar teniendo en cuenta: Bloqueo de atacantes exteriores Prevenir ataques que vengan de adentro (internamente) Diversos niveles de soporte de acceso a usuario Salvaguardar los datos de la manipulación o mal uso erróneo AMENAZAS DE SEGURIDAD Es importante estar enterado de los diversos tipos de ataques que puedan afectar seguridad del sistema. Las amenazas de la seguridad se pueden clasificar en tres amplias categorías: Reconocimiento- El objetivo del reconocimiento es recopilar tanta información como sea posible sobre el anfitrión (HOST) y/o la red Objetivo. Este tipo de información reunida se hace generalmente antes de que el ataque se salga de la red. Obtención de acceso no autorizado -Este es el acto de atacar o de explorar el sistema o el anfitrión (HOST). Los sistemas operativos, los servicios, y el acceso físico al anfitrión (HOST) deben ser conocidas las vulnerabilidades del sistema que el atacante puede aprovecharse y utilizar para aumentar sus privilegios. La ingeniería social es otra técnica para obtener la información confidencial de empleados. Como resultado del la exploración del atacante, la información confidencial puede ser leída, cambiada, o borrada del sistema. Negación del servicio (los ataques DoS)-El propósito de los ataques de DoS es saturar los recursos tales como memoria, CPU y ancho de banda, esto afecta el sistema y niega el acceso a usuarios legítimo. Los ataques distribuidos del DoS implica que múltiples orígenes trabaje juntos para generar el ataque RECONOCIMIENTO Y ESCANEO DE PUERTO Las herramientas de red para el reconocimiento y la exploración del puerto se utilizan para recopilar la información de los anfitriones (HOSTS) unidos a la red.

127 Capítulo II MARCO TEORICO 105 Tienen muchas capacidades, incluyendo identificar los anfitriones (HOSTS) activos y qué servicios de los anfitriones (HOSTS) están funcionando. Además, estas herramientas pueden encontrar relaciones de confianza, determinar el sistema operativo, e identificar permisos de archivos. Algunas de las técnicas que usan estas herramientas de la exploración se conectan por TCP, TCP SYNs, ACK, ICMP, SYN, y las exploraciones de la falta de información. Aquí están algunas de las herramientas populares para la exploración de puertos: NMAP (mapper de red) es diseñado para explorar redes grandes o un solo anfitrion (HOST).Es una utilidad open source usada la exploración y/o auditorias de seguridad Superscan proporciona una exploración de alta velocidad, la detección del anfitrion (HOST). Superscan es hecho para clientes Windows. NetStumbler identifica redes inalámbricas usando estándares a/b/g con o sin SSID de difusión. Funciona en las plataformas de Windows, incluyendo Windows mobile. Kismet es un sniffer de redes inalámbricas y el uso es recoger el tráfico de redes de a/ b/g. Recoge los paquetes y detecta red inalámbricas aunque estén ocultas EXPLORACIÓN DE VULNERABILIDADES. Los exploradores de vulnerabilidades determinan qué exposiciones potenciales están presentes en la red. Las herramientas pasivas de la exploración se utilizan para analizar el tráfico que fluye en la red. La prueba activa inyecta tráfico de muestra sobre la red. La información general de vulnerabilidades se publica en los siguientes enlaces: Cert CC- MITRE- Microsoft-

128 Capítulo II MARCO TEORICO 106 Aquí algunas herramientas usadas para la exploración de vulnerabilidades: Nessus es diseñado para automatizar la prueba y el descubrimiento de vulnerabilidades conocidas. Nessus es una herramienta open source que requiere Linux/UNIX o Windows para funcionar. SAINT (Herramienta integrada de red para administración de seguridad) su uso es evaluar vulnerabilidades de aplicaciones que se ejecuta en hosts UNIX. MBSA (analizador de seguridad basadas para Microsoft) se utiliza para explorar sistemas y para identificarlos si faltan parches para los productos de Windows o para el sistema operativo, IIS, SQL, Exchange, Internet Explorer, Media Player, y de Microsoft Office. MBSA tiene alarmas que si encuentra algunas vulnerabilidades sabidas de la seguridad tales como contraseñas débiles o falta ACCESO DESAUTORIZADO. Los hackers utilizan varias técnicas para tener el acceso al sistema. Uno de los puntos de vista es cuando la gente desautorizada utiliza nombres de usuarios y contraseñas para extender los niveles del privilegio de su cuenta. Además, algunas cuentas de usuario del sistema tienen privilegios administrativos y poseen contraseñas por defecto, que son de conocimiento común, que los hace muy inseguros. Las relaciones de la confianza entre los sistemas y las aplicaciones son otra manera que ocurre el acceso desautorizado. El acceso desautorizado también es obtenido con el uso de la práctica ingeniería social para adquirir información confidencial manipulando a usuarios legítimos. La mayoría de la información confidencial tal como distintivos, nombre de usuario, y contraseñas puede ser descubiertas apenas caminando alrededor de una organización. El método de la psicología es otra manera de conseguir la información confidencial. Por ejemplo, alguien que finge ser del departamento de IT llama a usuario y pide su información de la cuenta con el fin de mantener o corregir una incompatibilidad de la cuenta.

129 Capítulo II MARCO TEORICO 107 Además de estos acercamientos, los hackers pueden obtener la información de la cuenta usando utilidades para crackear contraseñas o capturar el tráfico de la red RIESGOS DE SEGURIDAD Para proteger recursos, procesos, y procedimientos de la red; la tecnología necesita tratar los temas para hacer frente a los riesgos de la seguridad. Las características importantes de la red pueden estar en riesgo a las amenazas de la seguridad incluyen confidencialidad de los datos, integridad de datos, y disponibilidad de sistema: La disponibilidad de sistema debe asegurar el acceso ininterrumpido a la red y a los recursos que computan para prevenir la interrupción del negocio y la pérdida de productividad. La integridad de datos debe asegurarse de que solamente los usuarios autorizados puedan cambiar la información crítica y garantizar la autenticidad de datos. La confidencialidad de los datos debe asegurarse de que solamente los usuarios legítimos puedan ver la información sensible para prevenir robo, responsabilidades legales, y daño a la organización. Además, el uso de hardware redundante y de cifrado puede reducir significativamente los riesgos asociados a disponibilidad de sistema, integridad de datos, y confidencialidad de los datos OBJETIVOS DE ATAQUE. Se ha dado la amplia gama de amenazas potenciales, casi todo en la red vulnerable se a convertido en vulnerabilidades y en un blanco potencial. Los equipos ordinarios encabezan la lista como la blanco preferida, especialmente para los gusanos y los virus. Después de que se haya comprometido un equipo, con frecuencia es utilizado para comenzar nuevos ataques con otros sistemas próximos.

130 Capítulo II MARCO TEORICO 108 Otros blancos de alto valor incluyen los dispositivos que descansan en la red. Aquí está una lista de algunos dispositivos, servidores, y dispositivos de seguridad que se destacan como posibles objetivos: Dispositivo de infraestructura -Routers, switches Dispositivo de seguridad -Firewalls, IDS/IPS Servicios de red -DHCP y servidores de DNS Terminales -Estaciones de administración y teléfonos IP Infraestructura -Red de rendimiento y capacidad PÉRDIDA DE DISPONIBILIDAD. Denegación de servicio (DoS) ataques que tratan de bloquear o denegar el acceso a la disponibilidad de servicios de red. Este tipo de ataques puede interrumpir las transacciones comerciales, causar considerables pérdida, o el daño a la reputación de la compañía. Ataques de denegación de servicio son bastante sencillos de llevar a cabo, incluso por un atacante no calificado. Ataques de denegación de servicio distribuidos (DDoS - Distributed Denial-of-Service) son los ataques iniciados por múltiples lugares dentro de la red para incrementar la magnitud del ataque e impacto. Ataques DDoS se producen cuando el atacante se aprovecha de las vulnerabilidades de la red y / o equipo. He aquí algunos puntos comunes de fallo. Una red, host, aplicación que deja de procesar grandes cantidades de datos, con fallas o se cortes en la comunicación. Un host o aplicación es incapaz de manejar una inesperada condición, como el inapropiado formato de datos y el agotamiento de los recursos o memoria. Casi todos los ataques del DOS se realizan con métodos el spoofing 53 y del flooding54. Aquí están algunas maneras de combatir ataques del DOS: 53 Spoofing: Técnica de suplantación de identidad, se la realiza por medio de creación de tramas TCP/IP utilizando direcciones o nombres falsos.

131 Capítulo II MARCO TEORICO 109 DHCP snooping verificar las transacciones de DHCP y evita que el estafador interfiera con tráfico de los servidores del DHCP. Inspección dinámica de ARP intercepta los paquetes del ARP y verifica que tanto IP y MAC sean válidos. Unicast RPF evitar que las direcciones desconocidas de origen usen la red como mecanismo de transporte para realizar ataques al exterior. Listas de control de acceso (ACLs) controlar qué tráfico esta permitido en la red. Limitación de tasas controlar el ancho de banda del tráfico entrante que está siendo utilizando, por ejemplo las peticiones ARPs y de DHCP. En la figura 2.38 muestra una amenaza de DoS. El atacante está realizando un ataque de DoS contra la red y los servidores realizan una inundación de paquetes. Hay que tener presente que esto lo hace un ataque externo; sin embargo, un ataque interno es también ciertamente posible. Figura 2.38 Amenaza de DoS Flooding: Envió desmesurado de información en un intervalo corto de tiempo a determinado usuario o red para así saturar los recursos del atacado. 55 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

132 Capítulo II MARCO TEORICO VIOLACIONES DE INTEGRIDAD Y ABUSO DE CONFIDENCIALIDAD. Cuando los atacantes cambian datos sensibles sin la autorización apropiada, esto se llama una violación a la integridad. Por ejemplo, un atacante pudo tener acceso a datos financieros y suprimir la información crítica. El efecto de este cambio no se puede sentir en una cierta hora hasta que una pérdida significativa haya ocurrido. Los ataques de integridad como esto son considerados por muchas compañías una de las amenazas más serias a su negocio. Además, identificar estos ataques puede ser bien difícil, y los efectos pueden ser devastadores. Los abusos de confidencialidad ocurren cuando el atacante se propone a leer la información sensible. Es difícil detectar estos tipos de ataques, y la pérdida de datos puede suceder sin el conocimiento del dueño. Es importante utilizar controles de acceso restrictivas para evitar que la integridad y la confidencialidad sean violentadas por estos ataques. Aquí están algunas maneras de hacer cumplir el control de acceso para reducir riesgos: Restrinja el acceso separando redes (VLANs) y usar firewalls con filtrado de paquetes. Restrinja el acceso con controles basados en el sistema operativo ya sea en Windows y UNIX Limite el acceso de usuario usando los perfiles de usuario para diversos papeles departamentales Utilice las técnicas del cifrado para asegurar datos o datos digitales de muestra. En la figura 2.39 se muestra una visión del atacante, alterando, y robando la información competitiva. La atención particular del atacante es saltar los obstáculos para poder ir a conseguir los datos.

133 Capítulo II MARCO TEORICO 111 Campus empresarial Acceso al edificio E-comerce / DMZ SI Distribución del edificio Internet Internet Nucleo del edificio WAN / MAN Ver y alterar información confidencial Robo de información competitiva Granja de servidores / Centro de datos Atacante Acceso Remoto VPN Figura 2.39 Amenaza de confidencialidad e integridad POLÍTICAS DE SEGURIDAD Y PROCESOS Para proporcionar los niveles adecuados de seguridad, y aumentar la disponibilidad de la red, una política de seguridad es un elemento crucial en la prestación de servicios de red segura. Además, es importante entender que la seguridad de la red se articula en torno a una política de seguridad que es parte de un sistema de ciclo de vida. En términos de la seguridad de la red en el ciclo vital del sistema, las necesidades de la empresa son un área dominante a considerar. Las necesidades de la empresa definen lo que desea el negocio hacer con la red. La evaluación del riesgo es otra parte del ciclo vital del sistema. Explica los riesgos y sus costes. Las necesidades empresariales y la evaluación riesgos aprendidos en las políticas de seguridad. 56 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición. de los

134 Capítulo II MARCO TEORICO 112 La política de seguridad describe los procesos, los procedimientos, las pautas, y los estándares de la empresa. Además, la industria y las mejores prácticas de seguridad son empujadas para proporcionar procesos y procedimientos bien conocidos. Finalmente, el equipo de operaciones de seguridad de una organización necesita disponer de los procesos y procedimientos definidos. Esta información ayuda a explicar lo que tiene que suceder para la ofrecer una respuesta en caso de un incidente, monitoreo de seguridad, mantenimiento del sistema, gestión y el cumplimiento. La figura 2.40 muestra el flujo del ciclo de vida de la seguridad de red. Necesidad de negocios Análisis de riesgo Políticas de seguridad Directrices, Procesos, Normas Sistemas de segurdad Mejores practicas Operaciones de Seguridad Respuesta a Incidentes, Supervisión, cumplimiento Figura 2.40 Seguridad de red: Ciclo de vida del sistema Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

135 Capítulo II MARCO TEORICO DEFINIENDO POLÍTICAS DE SEGURIDAD. La política RFC define, "una política de seguridad es una declaración formal de las reglas las cuales la gente se da puede tener acceso a la tecnología y de la información de una organización." Al desarrollar las políticas de seguridad para una organización, puede servir como guía para los procesos y los procedimientos de la seguridad. Este RFC enumera las características y factores que una organización debe considerar al tomar sus políticas. Las organizaciones necesitan tomar muchas decisiones y llegar a un acuerdo durante la creación de las políticas de la seguridad ENFOQUE BÁSICO DE UNA POLÍTICA DE SEGURIDAD. Para ayudar a crear una política de la seguridad, este es un acercamiento generalmente aceptado y ofrecido por la RFC 2196: Paso 1 Identificar que es lo que se esta intentando proteger. Paso 2 Determinar de quien intentara proteger. Paso 3 Determinar cómo las amenazas. Paso 4 Implementar las medidas para proteger los activos de una manera rentable. Paso 5 Revisar el proceso de forma continua, y realizar mejoras cada vez que una debilidad se encuentra PROPÓSITO DE LAS POLÍTICAS DE SEGURIDAD. Los propósitos principales de una política de seguridad es describir los papeles y los requisitos para asegurar activos de tecnología y de información. La política define las maneras de las cuales estos requisitos serán resueltos. 58 RFC 2196 menciona Computer Technology Purchasing Guidelines, o sea Guías de compra de tecnología informática. Se ha cambiado en este texto tecnología informática por tecnología de la información, término más amplio que el anterior, alineado con la filosofía de la ISO 17799:2000

136 Capítulo II MARCO TEORICO 114 Hay dos razones principales del tener una política de la seguridad: Proporcionar un marco para la puesta en práctica de la seguridad: - Identifica activos y cómo utilizarlos. - Defina y comunica funciones y responsabilidades. - Describa las herramientas y los procedimientos. - Clarifica la orientación del incidente de los acontecimientos de seguridad. Crear una línea de referencia de seguridad de la postura actual de seguridad: - Describa comportamientos permitidos y no permitidos. - Define consecuencias del uso erróneo del activo. - Proporcione los costos y análisis del riesgo. Aquí algunas preguntas que se puede necesitar hacer al desarrollar una política de seguridad: Qué datos y activos serán incluidos en la política. Qué comunicación de la red se permite entre los hosts. Cómo las políticas serán puestas en ejecución. Qué sucede si se violan las políticas. Cómo los ataques más recientes afectaron los sistemas de la red y de seguridad COMPONENTES DE LAS POLÍTICAS DE SEGURIDAD. Una política de seguridad se divide en partes más pequeñas que ayuden a describir la política general de gestión de riesgo, identificación de activos, y donde la seguridad debe ser aplicada. Otros componentes de la política de la seguridad explican de qué manera las responsabilidades relacionadas con la gestión de riesgo se manejan a través de la empresa. Más documentos se concentran en áreas específicas de gestión de riesgos:

137 Capítulo II MARCO TEORICO 115 Política de uso aceptable es un documento para usuario final que esta escrito en un lenguaje fácil de comprender. Este documento define las funciones y responsabilidades dentro de la gestión de riesgo y debe tener explicaciones claras para evitar las confusiones. Política de control de acceso a red define los principios generales de control de acceso usados y cómo los datos se clasifican, por ejemplo confidencial, alto secreto o interno. Gestión de política de seguridad explica cómo manejar la infraestructura de seguridad. Política de incidente de manipulación define los procesos y los procedimientos para manejar los incidentes e incluso escenarios de emergencias. La diferenciación de los documentos depende de la organización. La política de la seguridad requiere la aceptación y la ayuda de todos los empleados para hacerla exitosa. Todas las partes claves, incluyendo miembros de la gerencia mayor, deberían formar parte del desarrollo de la política de seguridad. Además, deben continuar participando en las actualizaciones a la política de seguridad EVALUACIÓN DE RIESGO Dentro de la seguridad de la red, una buena gestión de riesgo apropiada es una técnica usada para bajar riesgos dentro de los niveles aceptables. Una buena manera de diseñar las políticas de seguridad de la red es colocar los componentes en ejecución incluyendo la política de la seguridad. Las políticas de la seguridad de una organización que emplea las evaluaciones de riesgo y análisis de costo beneficio para reducir los riesgos de la seguridad. En la figura 2.41 muestra los tres componentes principales de la evaluación de riesgo. El control se refiere a cómo se utiliza la política de seguridad para reducir al mínimo riesgos potenciales. La severidad describe el nivel del riesgo a la organización, y la que ocurra un ataque contra los activos.

138 Capítulo II MARCO TEORICO 116 Figura 2.41 Componentes de evaluación de riesgos. 59 Las evaluaciones del riesgo deben explicar lo siguiente: Qué activos a asegurar?. El valor monetario de los activos. La pérdida real que resultaría de un ataque. La gravedad y probabilidad de que un ataque ocurra en contra de los activos. Cómo utilizar la política de la seguridad para controlar o reducir al mínimo riesgos. Un índice de riesgo se utiliza para considerar los riesgos de amenazas potenciales. El índice del riesgo se basa en la evaluación de los componentes de riesgo (factores): Severidad de la pérdida si se compromete el activo. Probabilidad del riesgo que ocurre realmente. Capacidad de controlar y de administrar el riesgo. Uno de los enfoques para determinar un factor de riesgo es dar un valor a cada uno de los riesgos a partir de 1 (el más bajo) a 3 (lo más alto posible). Por ejemplo, un riesgo de alto riesgo tendría un impacto substancial en la base del usuario y/o la organización entera. Los riesgos de Mediano riesgo tendrían un efecto en un solo departamento o sitio. 59 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

139 Capítulo II MARCO TEORICO 117 Los riesgos de Bajo riesgo tendría un impacto limitado y serían relativamente directos o puntuales. El índice del riesgo es calculado multiplicando los factores de la severidad y factor de probabilidad y después dividiendo eso por el factor del control: El índice del riesgo = (factor de la severidad * factor de la probabilidad)/factor de control. En la tabla 2.11 del factor del control demuestra un cálculo del índice del riesgo de la muestra para una corporación. Si el número de índice del riesgo calculado es alto, hay más riesgo y así más impacto a la organización. Más bajo el número de índice calculado significa que hay menos riesgo y menos impacto a la organización. Riesgo Ataque Probabilidad Control Índice de riesgo (G) (P) (C) ((G*P)/C) Rango (1 a 3) Rango (1 a 3) Rango (1 a 3) Rango (.3 a 9) DoS 2 durante horas Gravedad ,5 en servidor el de correo electrónico Incumplimiento 3 de confiabilidad de lista de clientes Tabla 2.11 Calculo de índice de riesgo Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

140 Capítulo II MARCO TEORICO CONTINUIDAD EN LA SEGURIDAD. Como requisitos de cambio y nueva tecnología desarrollada, la política de la seguridad de red se debe poner al día para reflejar cambios. Cuatro pasos se utilizan para facilitar la continuación de los esfuerzos en las políticas de seguridad: Paso 1 Seguridad: Identificación, autentificación, ACLs, inspección de estado de paquete, cifrado, y VPN s. Paso 2 Monitor: Intrusiones y contenido basado en detecciones y alertas. Paso 3 Pruebas: Evaluaciones, escaneo de vulnerabilidades y auditoria de seguridad. Paso 4 Mejora: Seguridad de análisis de datos, presentación de informes y seguridad en redes inteligentes. La figura 2-42 muestra los cuatro pasos de la seguridad para actualizaciones y Monitor Mejorar desarrollo de políticas de la seguridad. Figura 2-42 Continuidad en la seguridad Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

141 Capítulo II MARCO TEORICO DISEÑO DE MECANISMOS DE INTEGRACIÓN DE SEGURIDAD DENTRO DE LA RED. Muchos de los servicios de seguridad tales como IDS/IPS, firewalls, y concentradores de VPN con IPsec residen dentro de la infraestructura interna de la red. Se recomienda que se incorpore seguridades de red durante el proceso del planeamiento del diseño de red. Esto requiere una cercana coordinación entre los ingenieros y los equipos de la operación ADMINISTRACIÓN DE CONFIANZA E IDENTIDAD. La confianza y administración de identidad, es crucial para el desarrollo de un sistema seguro de red. Define quién, como puede tener acceso a la red, cuando, donde, y cómo ese acceso puede ocurrir. El acceso a aplicaciones del negocio y del equipo de red se basan en los niveles de privilegio del usuario. La administración de confianza y de identidad procura aislar y mantener las maquinas infectadas fuera mediante la aplicación de política de control de acceso. Los tres componentes principales de la administración de confianza y de identidad son: confianza, identidad, y control de acceso, como muestra la figura Figura 2.43 Confianza y administración de identidad Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

142 Capítulo II MARCO TEORICO IDENTIDAD. En la identidad es "quién" en una relación de la confianza. Éste puede ser usuarios, dispositivos, organizaciones, o todos esos. Las entidades de red son validadas por las credenciales. La autentificación de la identidad se basa por las siguientes condiciones: Algo que conoce- El conocimiento de un secreto, de una contraseña, de un PIN, o de una llave privada. Algo que se tiene- Posee una tarjeta inteligente o llave de hardware. Algo que tiene características- Características como huellas, retina o reconocimiento de voz. En general, se comprueban las credenciales de identidad, al exigir contraseñas, tokens, o certificados CONTRASEÑAS. Las contraseñas se utilizan para dar el acceso de usuarios y para permitirles el acceso a los recursos de la red. Las contraseñas son un ejemplo de la cualidad de la autentificación llamada "algo que se sabe". Típicamente, los usuarios no desean utilizar contraseñas fuertes; desean hacer cuál es el más fácil para él. Esto presenta un problema con seguridad y requiere hacer cumplir una política de contraseña. Las contraseñas no deben ser palabras comunes del diccionario y deben ser limitadas por el tiempo. Las contraseñas nunca deben compartir o fijar en un monitor de la computadora TOKENS. Tokens representa una manera de aumentar la seguridad requiriendo la "autentificación de dos." Este tipo de autentificación se basa en "algo que se sabe " y "algo que se tiene." Por ejemplo, un factor puede ser un PIN de seis dígitos, y otro sería el código del siete dígitos en el token. El código en el token cambia con

143 Capítulo II MARCO TEORICO 121 frecuencia y no es útil sin el PIN. El código más el PIN se transmite al servidor de la autentificación para la autorización. Después el servidor permite o niega el acceso basado en el nivel de acceso predeterminado del usuario. La figura 2.44 muestra la autentificación de dos usando un username y una contraseña junto con un código de acceso simbólico. Figura 2.44 Uso de tokens CERTIFICADOS. Los certificados digitales se utilizan para probar su identidad o derecho a tener acceso a la información o a servicios. Los certificados, también conocidos como certificados digitales, unen una identidad a un par de las llaves electrónicas que se pueden utilizar para cifrar y para firmar la información digital. Un certificado digital es firmado y publicado por una autoridad de la certificación (CA) con la llave privada de CA's. Un certificado digital contiene el siguiente: 63 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

144 Capítulo II MARCO TEORICO 122 Llave pública del dueño. Nombre del dueño. Fecha de vencimiento de la llave pública. Nombre del autoridad certificadora. Número de serie. La firma de digital de los certificados del CA CONTROL DE ACCESO. El control de acceso es un mecanismo de seguridad para el controla de admisión a redes y a recursos. Estos controles hacen cumplir la política de la seguridad y emplean las reglas sobre las cuales los recursos pueden ser alcanzados. El control de acceso asegura la confidencialidad y la integridad de los recursos de la red. La base del control de acceso de red consiste en lo siguiente: Autentificación establece la identidad y el acceso del usuario a los recursos de la red. Autorización describe qué pueden ser hechas y qué puede ser alcanzada. Conteo proporciona un rastro de actividades de intrusión registrando las acciones del usuario. La autentificación, la autorización, y el conteo son los servicios de seguridad de la red apoyados por AAA que ayudan a manejar el control de acceso de red en el equipo de la red CONECTIVIDAD SEGURA. La conectividad segura es un componente de red la red autodefensa. Este componente apunta a proteger la integridad y a aislar la información sensible de las organizaciones. Con riesgos crecientes la seguridad es crítica. Los segmentos internos de la red tradicionalmente se han considerado seguros. Sin embargo, las

145 Capítulo II MARCO TEORICO 123 amenazas internas son de diez veces más costosas y destructivas que amenazas exteriores. Los datos que fluyen a través de la red necesitan ser asegurados para preservar su confidencialidad e integridad. Éstos son conceptos importantes a tener presente al tomar decisiones económicas sobre conectividad asegura. El sistema de la conectividad segura proporciona el transporte seguro para los datos y el uso de técnicas de cifrado y de la autentificación. Muchas tecnologías de seguridad existen para asegurar datos, voz, y el tráfico usando en redes cableadas o inalámbricas. Las tecnologías de seguridad incluyen: IPsec SSH Secure Socket Layer (SSL) Multiprotocol Label Switching (MPLS) VPNs MPLS VPNs con IPsec FUNDAMENTOS DE CIFRADO. Utiliza el cifrado para mantener datos privados, así proteger su confidencialidad. Los datos encapsulados se cifran con una llave secreta que asegure los datos para el transporte. Cuando los datos alcanzan el otro lado de la conexión, otra llave secreta se utiliza para descifrar los datos y para revelar el mensaje transmitido. El cifrado y el desciframiento se pueden utilizar solamente por los usuarios autorizados. La mayoría de los algoritmos de cifrado requieren que el usuario tenga conocimiento de las llaves secretas. IPsec es un ejemplo de protocolo de la seguridad que utiliza algoritmos del cifrado para ocultar la carga útil del paquete del IP durante la transmisión LLAVES DE ENCRIPTACIÓN. Una sesión entre dos puntos finales necesita una llave de cifrar el tráfico y una llave para descifrar el tráfico en el punto final. Hay dos maneras de enviar la llave

146 Capítulo II MARCO TEORICO 124 al punto final, secretos compartidos e infraestructura de llave pública (PKI - Public key infraestructure): Secretos compartidos. - Ambos lados pueden utilizar la misma llave o utilizar un transformador para crear la llave del des encriptación. - La llave se pone en punto final. - Este es un mecanismo simple, pero tiene temas de seguridad porque la llave no cambia con frecuencia. PKI. - Confía en la criptografía asimétrica, que utiliza dos diversas llaves para el cifrado. - Las llaves públicas se utilizan para cifrar y las llaves privadas a descifrar. - PKI es utilizado por muchos sitios de e-comercio en el Internet. La figura 2.45 demuestra qué ocurre durante el proceso de cifrado usando llaves secretas. Protegeme, Por favor Protegeme, Por favor Dato es seguro Dato es seguro Encritpando con la llave secreta Desencritpando con la llave secreta Figura 2.45 Claves de encriptación PROTOCOLOS VPN Los dos protocolos más comunes de VPN son IPsec y SSL: 64 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

147 Capítulo II MARCO TEORICO 125 IPsec. - Usa AH y ESP para asegurar datos. - Usa intercambio de llave del Internet (IKE Internet Key Exchange) para el intercambio de llave dinámico. - Los puntos finales necesitan software IPsec. SSL - Usa el puerto 443 TCP (HTTPS) - Proporciona conectividad cifrada de VPN usando un web browser - La mayoría de navegadores soportan SSL VPN IPsec viene en dos formas - IP con carga útil encapsula (ESP- Encapsulating Security Payload) y cabecera de autentificación IP (AH - Autentication Header) utilizan los protocolos con números 50 y 51, respectivamente. Se define ESP en RFC 2406, y AH se define en RFC ESP proporciona confidencialidad y autenticación, integridad, y servicio de anti-replay en los datos de origen. AH tiene en cuenta la integridad sin conexión, autentificación de origen, y protección antireplay. Estos protocolos se pueden utilizar juntos o independientemente. La mayoría de los clientes o routers utilizan Ipsec, IKE para intercambiar llaves y ESP para cifrar el tráfico. El SSL de las VPNs ha llegado a ser cada vez más popular debido a su naturaleza sin cliente. Una ventaja importante de SSL VPNs no necesita software en el cliente -solamente un navegador Web puede ser acezado dondequiera que una conexión del Internet exista CONFIDENCIALIDAD DE TRANSMISIÓN. El secreto para asegurarse de que los datos sean privados pese a que son enviados en las redes inseguras tales como el Internet, es que se utilice por medio de una transmisión confidencial. Porque el Internet es una red pública, los mecanismos ordinarios del control de acceso son inasequibles. Por lo tanto, se

148 Capítulo II MARCO TEORICO 126 necesita cifrar los datos antes de transportar sobre redes inseguras como el Internet. Para proporcionar confidencialidad en la transmisión, IPsec en VPNs es un apoyo en el cifrado puede al crear un túnel seguro entre la fuente y la destino. Como los paquetes salen de un sitio, se cifran; cuando alcanzan el sitio destino, se descifran. Se pude escuchar detrás de las puertas del Internet, pero con IPsec se cifran los paquetes, y se hace más difícil escuchar. Algoritmos bien conocidos usan IPsec en VPNs comúnmente para realizar el manejar la confidencialidad de los paquetes. Los algoritmos criptográficos bien conocidos incluyen el estándar de cifrado de datos triple (3DES - Triple data Encritption Satandar), el estándar avanzado del cifrado (AES - Advanced Encryption Standard), y cifrado de rivest 4 (RC4 - Rivest Cipher). Estos algoritmos se prueban y se comprueban a fondo y se consideran confiables. Sin embargo, tenga presente que la criptografía puede plantear algunos problemas de funcionamiento, dependiendo del estado de la red. Ése es porqué es importante analizar cuidadosamente la red antes de desplegar VPNs con IPsec INTEGRIDAD DE DATOS. Los protocolos criptográficos protegen la integridad de datos, protegen contra la manipulación, se asegura empleo de huellas digitales y las firmas digitales que pueden detectar cambios en integridad de datos. Huellas digitales seguras añaden a la información una adición de datos que se generan y se verifican con la clave secreta. Un ejemplo de huellas digitales seguras es el código hash basado en la autentificación del mensaje, que mantiene la integridad del paquete y la autenticidad de los datos protegidos. Las firmas de Digital utilizan un método relacionado con la criptografía, los cuales firman los datos del paquete. Un firmante crea la firma usando una llave que es única y conocida solamente al firmante original. Los receptores del mensaje

149 Capítulo II MARCO TEORICO 127 pueden comprobar la firma usando la llave de la verificación de la firma. La criptografía inherente en firmas digitales garantiza exactitud y la autenticidad de que el autor la firmó. Los negocios financieros confían en firmas digitales para firmar electrónicamente documentos y también probar que las transacciones hicieron. Aquí están algunas pautas para la integridad de los datos a tener en cuenta: Analice la necesidad de la integridad de la transmisión. El factor rendimiento, es el uso más importante para el uso de criptografía. Utilice siempre los algoritmos criptográficos bien conocidos DEFENSA DE AMENAZA. La defensa de amenazas realiza la seguridad en la infraestructura de la red agregando niveles crecientes de la protección de la seguridad en los dispositivos, las aplicaciones y los puntos finales de la red. Las amenazas internas y exteriores han llegado a ser mucho más destructivas que en el pasado. Los ataques de DoS, los ataques man-in-the-middle, y los caballos de Troya tienen el potencial de afectar seriamente a las operaciones de negocio. El sistema de defensa de la amenaza proporciona una defensa fuerte contra estas amenazas internas y exteriores. La defensa de la amenaza tiene tres áreas principales: Endurecer la seguridad de la red existente- Prevención de caídas, intrusiones, y de reputación. Adición de los servicios de seguridad para redes finales- Asegurando servidores y computadores con los agentes de seguridad. Permitiendo integrar seguridades en routers, switches y aplicacionestécnicas de seguridad habilitadas para todas las redes, no sólo en productos puntuales o lugares.

150 Capítulo II MARCO TEORICO SEGURIDAD FÍSICA. Durante la implementación de seguridades, esto es esencial para incorporar seguridad física para incrementar la fuerza de los diseños de seguridad general. La seguridad física ayuda a proteger y restringir el acceso a recursos de red y equipos de red físicos. Alarmas de seguridad son políticas que se definen en potenciales ataques que pueden causar pérdida de servicios. Aquí están algunas consideraciones para las amenazas físicas potenciales: Vulnerabilidades esenciales en sistemas cuando los atacantes tienen acceso directo al hardware a través de consolas de acceso o por software inseguro. Acceso a la red, permitiendo que los atacantes capturen, altere, o quite los datos que fluyen en la red. Los atacantes pueden utilizar su propio hardware, tal como una computadora portátil o un router, para inyectar tráfico malévolo sobre la red. Aquí están algunas pautas para la seguridad física a tener presente al diseñar arquitecturas físicas de seguridad: Utilice controles de acceso físicos tales como cerraduras o alarmar. Evalúe las aberturas potenciales de la seguridad. Determine el impacto de los recursos y del equipo robados de la red. Utilice los controles tales como criptografía para asegurar el tráfico que fluye en redes que no están bajo control. Figura 2.46 muestra algunas seguridades físicas que un atacante podría potencialmente explotar.

151 Capítulo II MARCO TEORICO 129 Figura 2.46 Amenazas de seguridad física PROTECCIÓN DE INFRAESTRUCTURA. La infraestructura necesita ser protegida usando características y servicios de seguridad para resolver las necesidades sin la interrupción del negocio. La protección de la infraestructura es el proceso de tomar medidas para reducir los riesgos y las amenazas a la infraestructura de red, para mantener la integridad y la alta disponibilidad de los recursos de la red. Usando las mejores prácticas y política de seguridad, se puede asegurar y endurecer la infraestructura para prevenir ataques potenciales. Para combatir amenazas de red, se ha realzado el IOS del los equipos con las características de seguridad para apoyar la infraestructura y para aumentar la disponibilidad de la red. Aquí están algunas soluciones para que revisar si el equipo posee características integradas de seguridad: 65 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

152 Capítulo II MARCO TEORICO 130 Aplicación adaptante de seguridad (ASA - Adaptative Security Appliance) integra tecnologías de seguridad esenciales en una plataforma (firewalls, IPS, IPsec VPN, y SSL VPN). Routers consolidan el cortafuego del IOS, IPS, IPsec VPN, DMVPN, y SSL VPN en las plataformas de encaminamiento para asegurar si el router es atacado. Switches combinando con el firewall, el IPS, SSL VPN, IPsec VPN, mitigación de DoS, y servicios virtuales para construir en zonas de la seguridad. Aquí están algunas buenas prácticas recomendadas para la protección de la infraestructura: Acceso a equipo de la red remotamente con SSH en vez del telnet. Utilice AAA para la administración de control de acceso. Permita la colección del syslog; revisando los registros para el análisis adicional. Utilice SNMPv3 por sus características de seguridad y de aislamiento. Utilice el FTP o SFTP en vez de TFTP para manejar imágenes. Utilice clases del acceso para restringir el acceso a la administración de la consola. 2.7 TECNOLOGÍAS DE SEGURIDAD Y DISEÑO AUTODEFENSA DE LA RED La red autodefensa tiene tres fases que funcionan juntas para proporcionar una red segura desde la capa red hasta la capa aplicación. Seguridad integrada- la seguridad en la infraestructura existente cada dispositivo de red actúa como punto de la defensa. Los dispositivos de hardware incluyen routers, switches, RADIUS y las aplicaciones de seguridad apoyan SSL, VPN, IPsec VPN y comunicaciones WAN cifradas.

153 Capítulo II MARCO TEORICO 131 Componentes de colaboración de seguridad- los componentes de seguridad trabajan junto con las políticas de seguridad de una organización. El control de admisión de red es un ejemplo de control que permita acceso a los puntos finales solamente después que han pasado la autentificación basada en políticas de seguridad. Defensa adaptable contra amenazas- herramientas utilizadas para la defensa contra amenazas de seguridad y diferentes condiciones de red. El conocimiento de aplicaciones defiende contra ataques en Internet y el reconocimiento del comportamiento defiende contra virus, spyware y ataques del DOS. El control de la red proporciona funciones de supervisión y administra la infraestructura de seguridad, permitiendo utilizar herramientas para auditorias y análisis. Además, otros servicios de seguridad se incluyen en este marco, como agente de seguridad del Cisco, agente de confianza Cisco, NAC y prevención de intrusos. La autodefensa se puede desplegar independientemente o combinar para tener en cuenta una solución más completa de seguridad. En la figura 2.47 Muestra las tres fases de la red de autodefensa donde residen varias tecnologías de seguridad, mecanismos y aplicaciones.

154 Capítulo II MARCO TEORICO 132 IPsec VPN CISCO 7905 IP P SERIES HONE 1 A BC 2 D EF 3 4HI G J KL 5 M NO 6 V 4 7 RS PQ T UV 8 W XY Z 9 * 0 # 7 R Q P S * CISCO 7905 IP P SERIES HONE Defensa contra amenazas 1 2 A BC 3 D EF 4HI G J KL 5 M NO 6 PQ R S7 T UV 8 W XY Z9 0 # 4 7 Q P R S * * CI S CO I PPHONE S ERIES 79CI0 5S S COI ERIPPHONE ES 1 HI 4 G 4 7 S R Q P AK J2 5 BC L DE N F 3 M 6 O 7 QR S P T UV 8 WX Y Z 9 * 0 # DDoS Mitigation * SSL VPN IPS y ASA 4 7 Q P R S JA K 5 4 G B HL C I DN M 6 EO F T UR 8 7 Q P VS WX Y Z 9 *0 # * Encriptado de comunicaciones WAN V Control de acceso al a red Agente AV Router ISR SEGURIDAD INTEGRADA Agente de seguridad Cisco COLABORACIÓN DE SEGURIDAD Agente de confianza Cisco Figura 2.47 Fases de la autodefensa TECNOLOGÍAS DE CONFIANZA E IDENTIDAD. Tecnologías de confianza e identidad son controles de seguridad que permiten un tráfico de red seguro. Los siguientes son ejemplos de las tecnologías utilizadas para apoyar la gestión de confianza e identidad: Lista de control de acceso- ACL se utiliza en routers, switches, y firewall para controlar el acceso. Por ejemplo, las ACL son utilizadas comúnmente para restringir tráfico en el ingreso o salida de un interfaz con una variedad amplia de métodos, tales como usar direcciones IP y puertos TCP o UDP. Firewall- Es un dispositivo diseñado para permitir o negar el tráfico de red basado en la dirección de origen, dirección de destino, protocolo y puerto. El firewall hace cumplir la seguridad utilizando las políticas de acceso y autorización para determinar si es confiable o no. El firewall también realiza la inspección del estado del paquete, que mantiene el estado de cada conexión TCP/UDP. SPI permite tráfico de ingreso si el tráfico se originó en una interfaz con mayo nivel de seguridad. 66 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

155 Capítulo II MARCO TEORICO 133 Servicios de identidad de red- Basado en varias soluciones se integra autentificación, control de acceso y políticas del usuario a la infraestructura y recursos seguros de red FIREWALL ACL. El firewall se utiliza para el control de acceso y salida a Internet y para proveer de la interacción con los clientes, proveedores, y empleados. Pero debido a que Internet es inseguro, el firewall necesitan utilizar listas de control de acceso para permitir y negar el tráfico que fluye a través de él. Los firewall utilizan zonas de seguridad para definir los niveles de confianza que se asocian a las interfaces del firewall. Por ejemplo, la zona de confianza está asociada a una interfaz conectada a la red interna, y zona sin confianza se asocia a una interfaz conectada fuera del firewall. La figura 2.48 muestra un firewall PIX con tres zonas, política, flujo permitidos del tráfico y autorización. Zona Pública DMZ HTTP/ FTP E-commerce SSL HTTP/FTP/SSL Zona Interna de Confianza HTTP/SSL Figura 2.48 Firewall, ACL y Zonas Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición. INTERNET

156 Capítulo II MARCO TEORICO 134 La política para el firewall se muestra en la Figura 2.48 incluye los siguientes: Permitir HTTP y HTTPS a Internet. Permitir HTTPS y FTP a la Web pública y servidor FTP. Permitir HTTPS al público servidor de comercio electrónico SERVICIOS DE IDENTIDAD DE RED El protocolo 802.1X es un protocolo estándar para la autentificación de los clientes de la red permitiendo o negando el acceso a la misma. El protocolo 802.1X opera entre el usuario final y el acceso de clientes que buscan un switch Ethernet o punto de acceso inalámbrico para la conexión a la red. En la terminología 802.1X, llaman a los clientes los supplicants, y a los switches y AP se llaman los authenticators. Un servidor RADIUS proporciona la base de datos de los usuarios para aplicar la autentificación y autorización. Las aplicaciones 802.1X utilizan protocolo de autenticación extensible (EAPoL Extensible Authentication Protocol over LANs) para enviar las credenciales e iniciar una sesión a la red. Después de que el host y switch establezcan la conectividad de LAN, se solicita el nombre de usuario y la contraseña. El cliente envía las credenciales al switch, que las remite al servidor RADIUS. RADIUS realiza operaciones de búsqueda sobre nombre de usuario y contraseña para determinar la validez de las credenciales. Si el nombre de usuario y contraseña están correctos, un mensaje de aceptado se envía al switch o al AP para permitir el acceso a la maquina del cliente. Si el nombre de usuario y contraseña son incorrectos, el servidor envía un mensaje al switch o al AP para bloquear el puerto de la maquina del cliente. En la figura 2.49 ilustra el flujo de la comunicación de dos host usando 802.1X y EAPoL con el switch, AP, y el servidor RADIUS.

157 Capítulo II MARCO TEORICO 135 Figura X y ESPOL DETECCIÓN Y REDUCCIÓN DE LAS AMENAZAS. El uso de la detección de amenazas y técnicas de reducción permite la detección temprana de notificaciones sobre tráfico malicioso. Los objetivos son detectar, notificar imprevistos y ayudar a detener tráfico no autorizado. Estas técnicas ayudan a aumentar la disponibilidad de la red, particularmente contra ataques no identificados e inesperados. Las soluciones de la detección y de la mitigación de las soluciones incluyen lo siguiente: Protección a puntos finales- Los virus y gusanos pueden crear estragos propagando infecciones de host a host a través de la red. Para combatir estas infestaciones, la protección del punto final es importante. Los servicios de antivirus pueden ayudar a los host con la detección y quitar las infecciones. Aplicación de seguridad y Defensa anti-x - Varios productos nuevos de red de la capa aplicación ayudan a dirigirse a nuevas clases de amenazas, tales 68 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

158 Capítulo II MARCO TEORICO 136 como Spam69, phishing70, spyware71. Anti-X proporciona defensa de antivirus, anti-spyware, bloqueo de URL y servicios de filtración de contenido. Estos productos suplen firewall tradicionales y soluciones basadas en la red y sistema de detección de intrusos (NIDS) con servicios más específicos de inspección del tráfico, de tal modo el tráfico se pone en cuarentena de modo que no propague a través de la red SOLUCIONES DE DETECCIÓN Y MITIGACIÓN DE LAS AMENAZAS. Las soluciones de mitigación se despliegan a través de la red y puede servir como un medio eficaz de defensa en capas para la comunicación segura en red. Por ejemplo, digamos que la red está siendo atacada por Internet, con un gusano o virus. Los routers WAN de Internet son su primera línea de protección y se puede utilizar para detectar el aumento de la carga de la red o datos sospechosos de NetFlow. Después de que se haya recogido cierta información, los ACLs pueden utilizar para identificar el ataque. El firewall puede realizar inspecciones del paquete y bloquear el tráfico no deseado de la red local en caso de un ataque. Sin embargo, es preferible contratar un ISP y hacer que este bloquee el ataque incluso de ingresar a su red. Para poder detectar las amenazas y mitigar las mismas, es importante comprender donde buscar posibles amenazas. Las siguientes son buenas fuentes de información para detectación y mitigación de las amenazas: NetFlow Syslog Eventos RMON Interfaz de CPU y estadísticas 69 Spam: También conocido como correo basura o sms basura los mensajes no solicitados, habitualmente de tipo publicitario, enviados en grandes cantidades que perjudican de alguna al receptor 70 Phishing: Método de estafa que intenta adquirir información personal por medio de ingeniería social. 71 Spyware: Aplicaciones que recopilan información sobre una persona u organización sin su conocimiento.

159 Capítulo II MARCO TEORICO 137 La figura 2.50 representa un ataque que proviene desde Internet, apunta a la red interna y la forma en que la amenaza puede ser detectada y mitigada. Figura 2.50 Detección y mitigación de amenazas ADMINISTRACION DE SEGURIDAD. Consolidar la gestión de seguridad y supervisión de red permite un control más seguro de la red. La gestión de seguridad proporciona varias funciones: Repositorio central para la recopilación de información de la red para un análisis más detallado de los acontecimientos relacionados con la seguridad. Además, muchas solicitudes de información tienen la capacidad de ayudar a los gestores de red actuales. Algunos ejemplos incluyen la autentificación, autorización, y conteo (AAA) con servidores TACACS y RADIUS, los servidores del syslog, y los sistemas de la detección de intrusos, permiten la inspección profunda de los acontecimientos complejos de seguridad. 72 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

160 Capítulo II MARCO TEORICO 138 Tener en cuenta un despliegue más fácil de las políticas de seguridad en los dispositivos de seguridad a través de herramientas de interfaz grafica de usuario. Estas herramientas le ayudan a mantener la consistencia en las políticas de seguridad a través de un amplio espectro de los tipos de dispositivo de red. La implementación de seguridad necesita ser planeada correctamente usando las políticas de seguridad que rigen la organización para hacer un buen uso de estas. De vez en cuando son necesarias, las actualizaciones de la política de seguridad y a las aplicaciones relacionados con la gestión de seguridad. Un riesgo importante al implementar la seguridad es el hacer una política errónea. La gestión tiene que ser conciente de la política de seguridad y saber manejar incidentes correctamente ASEGURANDO LA RED EMPRESARIAL IMPLEMENTACION DE SEGURIDAD EN EL CAMPUS. La seguridad para el campus comienza con ver que se necesita para aplicar seguridad en ejecución a través de su red. Varias tecnologías, protocolos, soluciones y dispositivos trabajan juntos para proporcionar la seguridad del campus. La seguridad de la red se debe poner en el núcleo de distribución y las capas de acceso; se puede agrupar en cuatro amplias categorías: Identidad y control de acceso X, NAC, ACL y firewall Detección de amenazas y mitigación- NetFlow, syslog, SNMP, RMON, CSMARS, PIN y HIPS Protección de la infraestructura- AAA, TACACS, RADIUS, SSH, SNMPv3, IGP/EGP MD5, y acoda 2 características de la seguridad La figura 2.51 ilustra el uso de seguridad del campus de la empresa y muestra donde las tecnologías de seguridad, los protocolos y los mecanismos pueden ser desplegados en el campus de la empresa.

161 Capítulo II MARCO TEORICO 139 Figura 2.51 Seguridad en el campus empresarial IMPLEMENTADO DE SEGURIDAD EN EL CENTRO DE DATOS. El centro de datos alberga servidores y aplicaciones críticas. Muchos de los servidores requieren de la alta disponibilidad debido a la importancia de la información y del alto volumen de usuarios a los que sirven. Varios de los servidores pueden contener información sensible que es crucial para la empresa y por tanto no puede ser comprometido. Por lo tanto, tiene que ser de alta seguridad. El funcionamiento de la red es otra área que es críticamente importante, lo que puede limitar la elección de los mecanismos y de las tecnologías de protección. Se puede proporcionar servicios adecuados de protección de seguridad, para lo cual las organizaciones pueden aplicar las siguientes: Control de acceso e Identidad X, NAC, ACL, y firewall (FWSM/PIX) Detección de amenazas y mitigación- NetFlow, syslog, módulos del SNMP, de RMON, módulos NAM, módulos IDS, CS-MARS NIPS y HIPS 73 Fuente: Guía oficial para examen de certificación CCDA, Tercera Edición.

162 Capítulo II MARCO TEORICO 140 Protección de infraestructura- AAA, TACACS, RADIUS, SSH, SNMPv3, IGP/EGP MD5 y características de seguridad de nivel 2.

163 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 141 CAPÍTULO INTRODUCCIÓN. En el presente capitulo se expondrá todos los detalles de administración, equipos de networking, de configuración la red de datos de la Empresa Electro Ecuatoriana S.A.C.I. Conjuntamente se presentara la propuesta de diseño de le red inalámbrica. 3.2 REQUISITOS DE DISEÑO. Para el análisis y diseño de la red inalámbrica de la Empresa Electro Ecuatoriana S.A.C.I. se ha tomado en cuenta los presentes objetivos financieros y técnicos OBJETIVO FINANCIERO. Este proyecto tiene como objetivo fundamental reducir costos de operación a los señores jefes departamentales facilitando todas las actividades que hasta el día se realizan siendo estos procesos largos e inseguros además se pretende entregar mejores facilidades para hacer un proceso de producción continuo, esto implica el aumentando de la productividad, optimización de los recursos destinados a las personas involucradas; el costo inicial del proyecto será recuperado con el aumento de productividad de los usuarios jefes departamentales y por ende el aumento en la línea de supervicio OBJETIVO TÉCNICO. Teniendo en cuenta que la empresa Electro Ecuatoriana S.A.C.I. es una de las principales y unas de las fundadoras en el Ecuador en el negocio, la responsabilidad de no quedarse rezagada en el uso de nuevas tecnologías y de

164 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 142 optimizar sus recursos hace que busque nuevas formas que los usuarios accedan a la información que la empresa ofrece. Permitir movilidad al personal de la empresa dentro de la misma y así poder mejorar los procesos para paso de información del resto de departamentos. Buscar la mejor opción que se adapte a las necesidades de la empresa para brindar un servicio de calidad pero sobre todo seguir permitiendo el funcionamiento de todas las aplicaciones que son de primordial necesidad para que el negocio siga funcionando en su totalidad. 3.3 SITUACIÓN ACTUAL DE LA RED. Todos los componentes por los que se encuentra conformada la red de datos de la empresa serán listados a continuación, con su respectivo análisis y detalle. Estos datos son tomados de la empresa Electro Ecuatoriana S.A.C.I. mirando siempre las falencias y fortalezas que la red de datos posee para así poder un resultado optimo en el diseño que se desea mostrar SERVICIOS DE RED QUE DISPONE ELECTRO ECUATORIANA S.A.C.I. a) Servicios generales. Control de acceso por dominio. Servicio de Internet Intranet. Navegación WEB: - Control de acceso por usuario. - Control de acceso por contenido. - Control de acceso por horario. Web-mail. POP3. Compartir archivos. b) Tipo de conexión a Internet

165 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 143 Ecuanet. Enlace dedicado 1Mbps. c) Servidores de red Proxy. Servidor de Correo + Dominio + DNS. Servidor de Antivirus (NOD 32) + Nómina + Impresión. Servidor de Aplicaciones (Departamento de contabilidad y ventas). - MBA Storage. - SDMO Products SERPIC Sistemas de preformas. Servidor FTP + Terminal remota. Servidor de Fax DENSIDAD DE USUARIOS. La cantidad de usuarios con la cual se encuentra funcionando la empresa se ubican diseminados por todos los pisos en la cual Electro Ecuatoriana S.A.C.I. tiene a su poder, los usuarios de la empresa por ser esta una pionera a nivel nacional, tienen como factor común el constante movimiento por las sucursales así como por todas las áreas en la que se ven involucrados los usuarios NÚMERO DE PUNTOS DE RED Y HOST. En la tabla 3.1 se muestra un detalle de todos los puntos de datos se encuentran instalados y libres en cada piso, así como también se muestra cuantos puntos de datos se encuentran siendo ocupados por los usuarios. 74 MBA: Sistema contable integrado que permite realizar transacciones contables, actualizando modulos relacionados con la actividad de la empresa. 75 SDMO: Sistema que almacena partes y repuesto de motores que funcionan a diesel de diferentes marcas comerciales. 76 SERPIC: Programa el cual en su base de datos almacena los nombres y partes que sirve para identificar partes y repuestos de los motores DEUTZ.

166 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 144 Piso Numero de puntos de red Hosts habilitados Subsuelo 11 9 Planta Baja 11 8 Mezanine 9 2 Piso Piso Piso Total Tabla 3.1 Puntos de datos y hosts habilitados REQUERIMIENTOS DE LOS USUARIOS. Al ser una empresa cuyo objetivo financiero es la venta de equipos, partes, mantenimiento y asesoramiento de equipos electro mecánicos a nivel nacional e internacional, los requerimientos de los usuarios en de encontrar datos en Internet no son muchos, pero las visitas a sitios con los proveedores si son muy comunes por tal motivo el uso de Internet necesita que tenga un buen ancho de banda ya que los manuales o información son un poco grandes los archivos. Por tal motivo la velocidad es de 1Mbps es suficiente para los usuarios. En la tabla 3.2 se presenta la densidad de usuarios por cada piso. Piso Numero de usuarios Subsuelo 8 Planta Baja 7 Mezanine 2 Piso 1 16 Piso 2 20 Piso 3 12 Total 65 Tabla 3.2 Densidad de usuarios por piso Fuente: Autores de Tesis.

167 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA ESCALABILIDAD DE LA RED ACTUAL. Al momento de ser diseñada la red en sus inicios se tuvo en cuenta este factor, pero actualmente con el crecimiento de la empresa y por su puesto el incremento de personal los puntos de datos en cada piso fueron escanciando hasta llegar al punto que ya no hay puntos de red disponibles en la mayoría de pisos en la que Electro Ecuatoriana S.A.C.I. funciona. Por lo cual no soportaría un incremento excesivo de usuarios pero si se tiene proyectado espacio para el incremento de usuarios de forma mesurada y planificada. Los puntos de datos que se encuentran a disponibilidad de Electro Ecuatoriana S.A.C.I. son un total de 88 puntos, los cuales son únicamente para transmisión de datos, esta cantidad de puntos de datos abastecen sin ningún problema a la necesidad de la empresa, estoy valores se pueden observar con detalle en la tabla DISPONIBILIDAD DE LA RED ACTUAL. Por políticas de la empresa el mantenimiento que se proporciona a los equipos de comunicación y servidores se lo hace varias veces al año haciendo que el servicio de la red se vea comprometida durante una hora en el tiempo que se realiza dicho mantenimiento, este mantenimiento consiste en verificación de todos los puntos de datos de los equipos de comunicación así como actualizaciones de ciertos procedimientos o programas en los servidores. El mantenimiento que se da a los equipos es el siguiente: Mantenimiento de equipos comunicación cada 6 meses. Servidores cada 3 meses. La caída del servicio por motivos sin explicación es alrededor de 30 minutos cada 6 meses. 78 Fuente: Autores de Tesis.

168 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 146 Horas laborales semanal Horas laborales fin semana Total horas laborables mes Horas laborables al semestral Red caída horas al semestral ,5 4.5 Tabla 3.3 Datos de disponibilidad de red actual. 79 Con los datos explicados en la tabla 3.3, se consigue hallar el coeficiente de disponibilidad de la red 99,96321, este cálculo es hallado únicamente para la red sin acceso al Internet, es decir la red de datos o intranet CALIDAD. A continuación se muestra los parámetros de calidad de la red de datos de Electro Ecuatoriana S.A.C.I., para observar los parámetros de throughput se presenta en la tabla 3.4 los elementos para el cálculo de este. Archivo / Directorio Tiempo (segundos) Tamano (Kbytes) /PRH/MBA_user.dat < /PRH/Dates.dat < /PRH/Trig.dat /PRH/Dat_ext.dat /PRH/Time.dat Tabla 3.4 Parámetros de throughput. 80 Numero de archivos: 4 Tamaño: Tiempo de retardo: Velocidad: KB/s 79 Fuente: Autores de Tesis. 80 Fuente: Autores de Tesis.

169 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 147 En la tabla 3.4 se muestra la ubicación y nombre del archivo descargado, el tiempo de respuesta y el tamaño del archivo, gracias a las estadísticas de la tabla se puede mencionar que el retardo es de segundos en la red. En la figura 3.1 se muestra el tamaño de los paquetes en la red de datos de la empresa en un periodo de tiempo de 10 minutos. Figura 3.1 Tamaño de paquetes. 81 Como se muestra en la figura 3.2, se puede observar la utilización que tiene la red en un periodo de tiempo corto a horas pico, esta utilización es cuando se desea ingresar al servidor de MBA. 81 Fuente: Autores de Tesis.

170 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 148 Figura 3.2 Utilización de la red SEGURIDAD. La seguridad para la red de datos en la empresa Electro Ecuatoriana S.A.C.I. ha sido dividida en dos partes, la seguridad lógica orientada a la seguridad de aplicaciones o de los servicios que la red actualmente provee y la seguridad física esta orientada a la protección de los equipos y el cableado de la red SEGURIDAD LÓGICA. La seguridad que se encuentra implementada en la empresa Electro Ecuatoriana S.A.C.I. se encuentra definida según el recurso que se desee proteger, es decir existen normas de seguridad creadas para el uso del Internet, para accesos a aplicaciones propias de la empresa, para operaciones propias de cada computador. La empresa Electro Ecuatoriana S.A.C.I. denominado eesaci.com cuyo objetivo es tener un control total de la red y así poder otorgar o denegar permisos ya sea para acceso a la red como para impedir que los usuarios puedan instalar o desinstalar las aplicaciones y así poder estropear el normal funcionamiento del computador. 82 Fuente: Autores de Tesis.

171 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 149 Cada usuario al momento de ingresar al dominio de la empresa se genera un script en el cual se mapeada una unidad y ésta apunta a una carpeta que se encuentra en el servidor de respaldos, cuya finalidad es que los usuarios coloquen toda la información relevante y si ocurre algún percance no se pierda nada. El uso del Internet se encuentra limitado por 3 tipos de perfiles en general los cuales son según la necesidad u obligaciones que posee con la empresa, esto se lo hace pese a que todos los usuarios tienen acceso a Internet, a continuación se detalla cual es el nombre de usuario así como sus permisos y restricciones: ISO: Son la gran mayoría de los usuarios de la empresa, el uso del Internet viene dado y permitido por 3 factores fundamentales: - Horario: Los usuarios solo pueden navegar desde las 8:00 a.m. hasta las 18:00 p.m. - Negación por tipo de archivo: Se encuentra prohibido la descarga de documentos de audio o videos. Gerentes: Este grupo de usuarios son todos los usuarios dirigentes o cabezas de cada área, no poseen solo una restricción y es para evitar el contagio con virus o troyanos. Administrador: No posee ninguna restricción en específica. La restricción de navegador viene dada en el servidor Proxy el cual tiene como sistema operativo Linux con la distribución Centos 5, el cual se encarga de bloquear puertos y de realizar un filtrado del contenido de las páginas que los usuarios desean visitar; todo lo que refiere a permisos son dado en archivos planos y no se encuentran en el mismo archivo de configuración del Proxy. El servidor de correo tiene cargado el sistema operativo Linux Centos 5 cuya distribución es Centos 5, el agente de transporte de correo que se utiliza es Postfix y utiliza la configuración mailbox para almacenar los correos, para evitar

172 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 150 spam en los correos electrónicos maneja SpamAssassin; los usuarios para recibir los correos en sus estaciones de trabajo manejan Outlook para que el manejo sea más fácil y conocido. El servidor de antivirus utiliza NOD32 para que las estaciones de trabajo que posean licencias actualicen las definiciones de virus de este servidor. Las actualizaciones de dichas definiciones de virus se almacenan en el servidor y pueden ser utilizadas en cualquier momento. Todas las estaciones de trabajo para los usuarios manejan el sistema operativo Windows XP con Service Pack 2, permitiendo a las estaciones de trabajo tener un firewall integrado y con mayores seguridades SEGURIDAD FÍSICA. La seguridad de los equipos de comunicación y servidores no es la mejor ya que en el cuarto de equipos se encuentra una impresora y el acceso a la habitación se ve comprometida por usuarios los cuales pueden ocasionar un daño irreparable en la red ADMINISTRACIÓN. La administración de los servidores se realiza dependiendo el sistema operativo que se posea mientras que la red es monitoreada por medio de una herramienta: Servidores Windows: Los servidores son administrados de manera remota por medio de la herramienta NetOp, permitiendo mayor seguridad al cuarto de servidores para que no tenga que ingresar a dicha habitación y así poder tener un accidente por la manipulación de alguna persona. Servidores Linux: Los servidores son iguáleme administrados remotamente por medio de conexiones ssh, todas las acciones que se hacen en los servidores son por medio de comandos.

173 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 151 Internet: Para el monitoreo del trafico de la Internet es decir del trafico que pasa por la red o que es lo que esta sucediendo se utiliza el comando IPTraf de Linux, el cual con una interfaz grafica se puede visualizar que trafico es que mas pasa por la red y que IP esta generando dicho trafico. Intranet: Todos los sucesos de la intranet y de los dispositivos de comunicación son manejados o visualizados con la herramienta whatsup, la cual ya se encuentra configurada para eventos de fuera de servicio de los servidores o dispositivos GRUPOS DE USUARIOS. En la tabla 3.5 se puede observar todas las aplicaciones que manejan los usuarios y se encuentra agrupado por el departamento en el cual los usuarios se encuentran trabajando, además se puede observar el lugar físico de dicho departamento así como la cantidad de usuarios que se encuentran en dicha área. Departamento Departamento de mantenimiento Departamento técnico / eléctrico Numero de usuarios Localización de usuarios Aplicaciones por usuarios 2 Subsuelo Internet Explorer, Microsoft Office, Nod32, Secure FTP, Script Storage, Adobe reader, Power Archiver, SERPIC. 3 Subsuelo Internet Explorer, Microsoft Office, Nod32, Secure FTP, Script Storage, Adobe, Power Archiver, SERPIC.

174 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 152 Bodega 3 Subsuelo Internet Explorer, Microsoft Office, Nod32, Secure FTP, Script Storage, Adobe reader, Power Archiver, SERPIC. Atención al cliente 2 Planta baja Internet Explorer, Microsoft Office, Nod32, Secure FTP, Script Storage, Adobe reader, Power Archiver. Departamento Administrativo 5 Planta baja Internet Explorer, Microsoft Office, Nod32, Secure FTP, Script Storage, Adobe reader, Power Archiver, SDMO, Proformas, MBA. Capacitación 2 Mezanine Internet Explorer, Microsoft Office, Nod32, Secure FTP, Script Storage, Adobe reader, Power Archiver. Contabilidad 7 Piso 1 Internet Explorer, Microsoft Office,

175 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 153 Nod32, Secure FTP, Script Storage, Adobe reader, Power Archiver, Proformas, MBA. Financiero 3 Piso 1 Internet Explorer, Microsoft Office, Nod32, Secure FTP, Script Storage, Adobe reader, Power Archiver, Proformas, SDMO, MBA. Sistemas 3 Piso 1 Internet Explorer, Microsoft Office, Nod32, Secure FTP, Script Storage, Adobe reader, Power Archiver, NETOP, Centos, whatsup. Unidad operativa 3 Piso 1 Internet Explorer, Microsoft Office, Nod32, Secure FTP, Script Storage, Adobe reader, Power Archiver, SDMO, SERPIC. Terminal 10 Piso 2 Internet Explorer,

176 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 154 Microsoft Office, Nod32, Secure FTP, Script Storage, Adobe reader, Power Archiver. Electrico 10 Piso 2 Internet Explorer, Microsoft Office, Nod32, Secure FTP, Script Storage, Adobe reader, Power Archiver, SDMO. Gerencia operativa 2 Piso 3 Internet Explorer, Microsoft Office, Nod32, Secure FTP, Script Storage, Adobe reader, Power Archiver, SDMO. Proyectos 5 Piso 3 Internet Explorer, Microsoft Office, Nod32, Secure FTP, Script Storage, Adobe reader, Power Archiver, Autocad Gerencia General 2 Piso 3 Internet Explorer, Microsoft Office, Nod32, Secure FTP, Script Storage, Adobe

177 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 155 reader, Power Archiver Tabla 3.5 Tipos de aplicaciones por departamento ALMACENAMIENTO DE DATOS. En la tabla 3.6 se muestra en detalle cuales son los servidores que maneja Electro Ecuatoriana S.A.C.I., su función y cuales son los usuarios que hacen uso de dicho servidor. Nombre servidor Dirección IP Localización de servidor DDSERVER Departamento sistemas NOMINA Departamento sistemas ISERVER Departamento sistemas FAXSERVER Departamento sistemas TERMINAL Departamento sistemas MAILSERVER Departamento sistemas MBASERVER Departamento sistemas Aplicaciones Dominio, DNS Nomina, Antivirus, Impresión Proxy FAX FTP, Terminal remoto Correo Storage, MBA, Aplicaciones Usuarios hacen uso Todos Todos Todos Todos Todos Todos Todos Tabla 3.6 Detalle de usuarios que acceden servidores Fuente: Autores de Tesis. 84 Fuente: Autores de Tesis.

178 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA APLICACIONES DE RED. La tabla 3.7 muestra las aplicaciones de los usuarios que manejan comúnmente y el grado de importancia que dichas aplicaciones poseen para ellos, estas aplicaciones son analizadas desde el punto de vista si se cae la red de datos que posibilidad existe que el trabajo de los usuarios continué con normalidad. Nombre de aplicación Tipo de aplicación Aplicación nueva Critica Costo de caída de la aplicación OUTLOOK.exe Cliente de NO Alta Alto correo electrónico Explorer.exe Interfaz grafica NO Media - Alta Medio sistema operativo Iexplorer.exe Navegador WEB NO Media Medio MBA Contable SI Alta Alto Microsoft Office Paquete NO Media Medio ofimática scriptbackup Script para SI Baja Bajo respaldos Nod32 Antivirus SI Media Bajo Fax SI Baja Bajo Secure FTP Cliente FTP NO Media Medio Tabla 3.7 Detalle de aplicaciones Fuente: Autores de Tesis.

179 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA APLICACIÓN DE SISTEMA. En la tabla 3.8 se muestra el nivel de importancia que tienen las aplicaciones para el administrador, siendo estas aplicaciones las utilizadas para el monitoreo y administración de la red de datos, se muestra además cuan critica es la herramienta para el administrador de la red. Nombre de aplicación Tipo de aplicación IPTraf Monitoreo de trafico de Internet Netop Administración remota Whatsup Monitoreo de red y dispositivos Aplicación nueva Critica Costo de caída de la aplicación NO Media Bajo NO Media Bajo SI Alta Alto Tabla 3.8 Aplicaciones manejadas por administrador de la red TOPOLOGÍA FÍSICA. La topología física implica como se encuentra conectado físicamente los equipos de comunicación y las terminales; además se toma muy en cuenta de cómo es la distribución física de los usuarios así como el material del edificio donde se encuentra Electro Ecuatoriana S.A.C.I DIMENSIONAMIENTO DEL EDIFICIO. El edificio matriz de la empresa Electro Ecuatoriana S.A.C.I consta de seis pisos los mismos que tienen una dimensión de 142 metros cuadrados y de un subsuelo que tiene una extensión de 100 metros cuadrados. Como se muestra en el

180 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 158 anexo1 se detalla el esquema de los pisos y el área de trabajo de los diferentes departamentos: DISTRIBUCIÓN. La empresa en su edificación tiene distribuido en cada piso los diferentes departamentos de la siguiente manera: Subsuelo. Departamento de mantenimiento. Jefe de mantenimiento. Asistente. Departamento técnico / eléctrico. Jefe de técnicos. Técnicos. Copiadora / Impresora. Bodega. Bodeguero. Asistentes. Planta Baja. Atención al cliente. Recepción / Información. Guardia. Departamento Administrativo. Cobranzas. Pagaduría. Caja. Mensajero. Copiadora / Impresora. Mezanine. Capacitación. Capacitación. Secretaria.

181 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 159 Audiovisuales. Comedor. Piso 1. Contabilidad. Contador. Secretaria. Presupuesto. Adquisiciones. Copiadora / Impresora. Tesorería. Financiero. Auditor. Copiadora / Impresora. Cartera. Facturación. Sistemas. Jefe de sistemas. Asistente. Área técnica. Cuarto de equipos. Copiadora / Impresora. Piso 2. Unidad operativa. Jefe técnico. Secretaria. Área técnica. Copiadora / Impresora. Terminal. Copiadora / Impresora. Eléctrico. Copiadora / Impresora. Piso 3. Gerencia operativa.

182 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 160 Gerencia. Secretaria. Asesoría jurídica. Asesor. Secretaria. Archivo general. Proyectos. Gerencia. Secretaria. Diseños. Estructuras. Analistas. Copiadora / Impresora. Gerencia general. Gerencia. Secretaria. Sala de sesiones MATERIALES QUE COMPONEN EL ÁREA DE TRABAJO DEL EDIFICIO. Para poder realizar un diseño de red inalámbrico es importante identificar los materiales de los que esta hecho el edificio ya que esto permite determinar el nivel de perdida de señal debido a la atenuación que se presenta por la característica de absorción de señal de los materiales. El edificio de la empresa Electro Ecuatoriana S.A.C.I que se encuentra ubicado en la Av. 10 de Agosto N y Naciones Unidas se encuentra construido en su totalidad de hierro y hormigón armado en su parte externa, con vidrios de color café claro. Las divisiones de las oficinas en cada piso se encuentran realizadas por modulares los cuales son de madera forrados con tela con una altura de 1.6

183 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 161 metros, y en el tercer piso las divisiones son del mismo material con su altura hasta el techo. La estructura de los modulares esta conformada por armazones de aluminio. Los muebles de oficina en todos los cubículos son en su gran mayoría de madera. El material del cual se encuentra en el edifico son de interferencia media, a excepción del aluminio que se encuentra en los armazones de los modulares que son de interferencia alta, pero ya que su presencia tiene un porcentaje no tan significativa se lo puede tomar como un nivel de atenuación media. En resumen, no existen elementos que no puedan alterar la señal de los quipos inalámbricos en una forma representativa ESQUEMA DE DISTRIBUCIÓN FÍSICA. En el anexo 2 se muestra el esquema de la red de la empresa Electro Ecuatoriana S.A.C.I., este esquema es expuesto desde el punto de vista de conexión física. La conexión de entre el piso 1, mezanine y planta baja se lo realiza por medio de un switch 3Com 4800G el cual es de 48 puertos, en esta conexión se encuentra la granja de servidores. Las características del equipo de interconexión se puede observar en el anexo 3. En el piso 2 la conexión de los equipos se lo realiza con un switch 3Com SuperStack 3226 el cual posee 24 puertos, este piso tiene su propio equipo pues el otro equipo que se encuentra en el piso 1 no abastece en puertos para cubrir las necesidades del piso 2. Las características del equipo de interconexión se puede observar en el anexo 4. En el piso 3 se encuentra colocado un switch 3Com SuperStack 3226, este equipo se coloco aquí ya que por las distancias que existen no es posible cubrir con un equipo desde el primer piso, ver anexo 4.

184 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 162 La conexión de los equipos en el subsuelo se lo realiza por medio de un 3Com SuperStack Baseline 3C16464B-US de 12 puertos, en este piso se ubico el equipo ya que existen computadores que por su distancia no se pueden comunicar. Las características del equipo de interconexión se puede observar en el anexo 5. La comunicación entre los switch se los realiza por medio del piso 3, piso 2 y subsuelo se realizan por medio de cables backbone UTP Categoría 5 extendida, existen 2 cables uno para conexión y otro de respaldo TOPOLOGÍA LÓGICA. A continuación se describe como se encuentra y conformada la topología de la red de Electro Ecuatoriana S.A.C.I., esta distribución muestra de forma detallada como se encuentra jerarquizada la red de datos de la empresa ESQUEMA DE RED ACTUAL. En el anexo 6 se muestra la topología que posee la red, este diseño es de tipo plano ya que no presenta capas o se distingue una jerarquía la cual no separa reglas de negocio en cada nivel. El direccionamiento IP que posee la empresa es de tipo estático, es decir no se posee un servidor DHCP, por tal motivo a los servidores se les a asignado las direcciones IP de hasta con una mascara de red Esta distribución y a que servidor se le a asignado se la puede observar en la tabla 3.9. Nombre de servidor Dirección IP Funcionalidad DDSERVER Dominio DNS NOMINA Antivirus Nomina

185 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 163 Impresión ISERVER Proxy FAXSERVER Fax TERMINAL FTP Terminal Remoto MAILSERVER Correo MBASERVER Servidor de aplicaciones MBA Storage Tabla 3.9 Direcciones IP asignadas a servidores. 86 El direccionamiento IP para los computadores se lo a hecho asignando un cierto rango para cada piso al que pertenece el computador, en la tabla 3.10 se muestra una descripción de las direcciones IP de cada piso, además se muestra cuantas direcciones se encuentran utilizadas y cuantas direcciones tiene libres para el crecimiento de usuarios en dicho piso. Piso Rango Inicial Rango Final Direcciones utilizadas Direcciones libres para piso SB PB MZ Tabla 3.10 Direcciones IP para computadores de la red Fuente: Autores de Tesis. 87 Fuente: Autores de Tesis.

186 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 164 El servidor Web de la empresa no se encuentra dentro de la empresa ya que el hosting del sitio Web se lo tiene arrendado a EcuaNet. El domino registrado para el sitio Web es cuya dirección IP es Todas las estaciones de trabajo tienen como estándar de nombres la palabra MTZ seguida por la primera letra del nombre y del apellido del usuario que se encuentra en posesión de la maquina, esta información de todos los computadores se muestra en la tabla DNS Lookup Dirección IP MTZ-AO.eesaci.com MTZ-ADA.eesaci.com MTZ-CA.eesaci.com MTZ-DM.eesaci.com MTZ-ME.eesaci.com MTZ-RC.eesaci.com MTZ-SR.eesaci.com MTZ-SF.eesaci.com IMP1SB.eesaci.com MTZ-CAN.eesaci.com MTZ-CE.eesaci.com MTZ-CM.eesaci.com MTZ-FG.eesaci.com MTZ-FE.eesaci.com MTZ-GC.eesaci.com MTZ-JO.eesaci.com IMP1PB.eesaci.com MTZ-EC.eesaci.com MTZ-WS.eesaci.com MTZ-TB.eesaci.com MTZ-WR.eesaci.com MTZ-YT.eesaci.com MTZ-BB.eesaci.com MTZ-FV.eesaci.com MTZ-GL.eesaci.com MTZ-MC.eesaci.com MTZ-VV.eesaci.com MTZ- AG.eesaci.com MTZ-GV.eesaci.com

187 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 165 MTZ-IV.eesaci.com MTZ-MH.eesaci.com MTZ-MI.eesaci.com MTZ-PJ.eesaci.com MTZ-SN.eesaci.com MTZ-AZ.eesaci.com IMP1P1.eesaci.com IMP2P1.eesaci.com IMP3P1.eesaci.com IMP4P1.eesaci.com MTZ-BV.eesaci.com MTZ-EO.eesaci.com MTZ-FC.eesaci.com MTZ-LF.eesaci.com MTZ-LH.eesaci.com MTZ-PC.eesaci.com MTZ-RR.eesaci.com MTZ-VC.eesaci.com MTZ-AA.eesaci.com MTZ-MS.eesaci.com MTZ-EL.eesaci.com MTZ-LV.eesaci.com MTZ-DR.eesaci.com MTZ-FO.eesaci.com MTZ-PO.eesaci.com MTZ-LT.eesaci.com MTZ-CC.eesaci.com MTZ-JI.eesaci.com MTZ-MN.eesaci.com MTZ-PS.eesaci.com IMP1P2.eesaci.com IMP2P2.eesaci.com MTZ-MR.eesaci.com MTZ-FJ.eesaci.com MTZ-AP.eesaci.com MTZ-RN.eesaci.com MTZ-VT.eesaci.com MTZ-MM.eesaci.com MTZ-GT.eesaci.com MTZ-FM.eesaci.com MTZ-SA.eesaci.com MTZ-CP.eesaci.com MTZ-DS.eesaci.com MTZ-PA.eesaci.com

188 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 166 IMP1P3.eesaci.com IMP2P3.eesaci.com Tabla 3.11 Lista de nombres de estaciones de trabajo RED INALÁMBRICA. La red Electro Ecuatoriana S.A.C.I. no posee una red inalámbrica, por esto los usuarios solo pueden acceder a los servicios que provee la red conectándose por medio de patch cords. 3.4 RED LAN PROPUESTA. La propuesta que se va a nombrar ha sido formada después de un análisis de todas las variantes que componen la red de datos de la empresa, se ha tomado una solución en los puntos que se ha visto que son una falencia de la red actual ANÁLISIS DE OBJETIVOS TÉCNICOS. La red de datos se pretende que siga brindando los servicios que se ha venido prestando hasta el día de hoy, los cambios que se pretendan realizar van a ser con el afán de mejorar el desempeño y funcionamiento que se posee. Las modificaciones en la topología de la red se realizaran para así poder involucrar nuevas innovaciones en la red de datos y para solucionar los problemas que se han venido presentando desde el transcurso de la aparición o creación de la actual red de datos ESCALABILIDAD. Ya que el nuevo esquema de red se presenta en un modelo jerárquico de tres capas, este permite obtener mayor escalabilidad de una forma horizontal debido a 88 Fuente: Autores de Tesis.

189 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 167 que se puede implementar equipos evitando en lo posible saturaciones y disminuyendo el tráfico de la red, además este modelo es muy útil si en un futuro se pretende implementar nuevas tecnologías las cuales comprometan el diseño actual de la red. Puesto que se va a incrementar puntos de acceso en cada piso, y se va a incrementar el servidor de autenticación en la red, existirá un incremento de de 6 equipos nuevos es decir en total serian 93 hosts en constante funcionamiento DISPONIBILIDAD. Puesto que se presenta un nuevo esquema de red, en la que todas las reglas de negocio se ven separadas por medio de capas las cuales ejecutan tareas especificas, esto permite que la red sea mucho más administrable y monitoreable; con este modelo se pretende mantener o superar la disponibilidad que la red actualmente posee. Se pretende mantener una disponibilidad del 99,9715 ya que la topología a sido separada en capaz y la administración de servicios se a separado CALIDAD. Para poder percibir la calidad de la red propuesta se realizó una simulación con el sistema OPNET el cuál nos permite observar el nivel de calidad, el mismo que nos dio como resultado una mejora considerable de la utilización de la red. Los resultados de la simulación se muestran en el anexo SEGURIDAD SEGURIDAD LÓGICA. Para este tipo de seguridad se mantendrá el actual esquema, ya que con las políticas implantadas han tenido un buen funcionamiento pero como ningún

190 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 168 sistema de seguridad es perfecto se recomienda que en el servidor Proxy se tomen las siguientes medidas: Páginas: Pueden acceder a todo tipo de sitios excepto a páginas pornográficas, páginas referentes a redes sociales (hi5, myspace, etc.). Negación por aplicación: Se encuentra bloqueado todo programa que sea tipo P2P. Estas mediadas e toman en cuenta ya que en algunas paginas se encuentran códigos maliciosos los cuales pueden comprometer tanto al computado r como algún servidor. También se recomienda mantener el servidor Web alojado con el proveedor del enlace es decir con EcuaNet ya que el sitio Web que maneja no amerita crear una DMZ dentro de la res propia de la empresa SEGURIDAD FISICA. Para evitar que existan daños en el cuarto de servidores se recomienda ubicar a la impresora fuera del mismo y a este colocarla una puerta de seguridad para que el ingreso sea restringido ADMINISTRACIÓN Y GESTIÓN DE LA RED. Para el nuevo modelo de red propuesto la administración de los equipos se recomienda mantener en un constante monitoreo los equipos de comunicación y para ello se debe tener en cuenta el servicio SYSLOG, el cual es soportado por todos los dispositivos administrables que se pretende hacer el cambio. Además gracias al servicio SYSLOG se va a poder monitorear los equipos inalámbricos llevando un seguimiento constante pero sobre todo llevar estadísticas y registro de caída de los equipos.

191 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 169 La implementación de este servicio representara que se pueda estar verificando y contrarrestando si por algún motivo se realiza un ataque de DoS (Denial of Service). Para la administración del segmento de la red que es inalámbrico se implementará un servidor de autenticación, el cual servirá para tener una gestión mucho más rápida al momento de estar monitoreando la red. Se mantendrá la herramienta Whatsup la cual es la interfaz gráfica para monitorear la red, esta herramienta deberá ser configurada con los nuevos valores IP de los dispositivos y equipos a tener supervisados DIRECCIONAMIENTO Y NOMENCLATURA. En el diseño propuesto se encontrará formado por cuatro redes que estarán divididas jerárquicamente y asignadas dependiendo de su función. Los servidores mantendrán las direcciones IP actuales debido a que, las IP van del a excepción del servidor Proxy que estará en una red diferente debido al nuevo diseño y la dirección que llevará es ; para los usuarios finales no se utilizará DHCP, estos usuarios utilizaran direcciones IP estáticas que estarán en la red Como se muestra en la tabla 3.12, se presenta el esquema de direcciones y nombres que se asignará a los servidores, dichas propiedades no sufrirán cambios ya que toda la red se encuentra configurada para que funcione con dichas direcciones, pues tenemos como ejemplo el servidor los servidores de Dominio, DNS, MBA y Script se encuentran ya configurados, además se pretende mantener para que el impacto de migración al nuevo esquema de red no sea tan fuerte.

192 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 170 Dirección IP Funcionalidad Dominio DNS Antivirus Nomina Impresión Fax Servidor FTP Terminal Remoto Correo Servidor de aplicaciones MBA Storage Proxy Tabla 3.12 Direcciones y nombres de red propuesta DISEÑO LÓGICO. Teniendo en cuenta que el nuevo diseño se caracteriza por separar en capas a la red de datos, se va a realizar una división para el núcleo, acceso y distribución. En la figura 3.3 se muestra el esquema de red Ecuatoriana S.A.C.I. propuesto para la red Electro 89 Fuente: Autores de Tesis.

193 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 171 Servidor FTP Terminal Remoto Servidor Antivirus Nomina Impresión Internet Dominio DNS Proxy Servidor Aplicaciones MBA Storage Servidor Correo Fax Figura 3.3 Nuevo diseño de red de Electro Ecuatoriana. 90 Capa Núcleo. Como se visualiza en la figura 3.4 esta capa se encuentra conformada por la granja de servidores, esto se lo realiza pues en esta capa se manejan altas velocidades de acceso y esto incrementa el rendimiento de la red. 90 Fuente: Autores de Tesis.

194 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 172 Figura 3.4 Esquema de conexión de servidores. 91 Capa Acceso. Como se visualiza en la figura 3.5, esta capa únicamente se encuentra el servidor Proxy el cual es el encargado permitir el acceso al Internet de los usuarios, esta capa se caracteriza pues se añade seguridad a la red. Además en esta capa se va a segmentar en VLANs, las cuales serán destinadas para el acceso de los usuarios de la red inalámbrica y cableada. 91 Fuente: Autores de Tesis.

195 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 173 Figura 3.5 Esquema de conexión a Internet. 92 Capa Distribución. Esta capa únicamente tiene como finalidad distribuir la conectividad con los usuarios finales, en esta capa se encuentran los switches que anteriormente se encontraban con el afán de que todas las conexiones existentes no se encuentren comprometidas, además se encontraran los puntos de acceso para los usuarios inalámbricos. Como se encuentra en la figura 3.6, se muestra que esta capa únicamente se encuentra conectados los puntos de acceso y los switches de capa 2, esto proporciona conectividad entre servidores y computadores. 92 Fuente: Autores de Tesis.

196 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 174 Figura 3.6 Conexión de dispositivos para cada piso DISEÑO FÍSICO. Todo el cableado estructurado que posee la empresa se conservara, ya que el cableado posee normas que se encuentran dentro de los estándares que este debe cumplir, es por todo esto que seria innecesario realizar modificaciones sustanciales a dicha parte de la red. Los puntos de datos para la conexión con los puntos de acceso que se va a implementar en cada piso se tiene a disposición por tal motivo únicamente se hará uso de estos para realizar la conexión con los dispositivos. 3.5 RED WLAN PROPUESTA. El proyecto tiene como finalidad analizar y diseñar el segmento inalámbrico de la red de datos para la empresa, otorgando así facilidad a los usuarios que necesitan tener movilidad con su equipo por las oficinas de la empresa, este segmento de la red se ve necesaria ya que los usuarios en sus constantes reuniones o movimiento por el edificio no pueden seguir con su trabajo normal. El diseño que se presenta tiene como objetivo hacer que los usuarios continúen recibiendo todos los servicios que la red les proporciona. 93 Fuente: Autores de Tesis.

197 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 175 Para presentar una propuesta efectiva se va a realizar pruebas con dispositivos estándar los cuales se encuentran dentro de las mismas capacidades CRITERIOS DE DISEÑO DE RED INALÁMBRICA. La propuesta de diseño de red que se presenta, tiene que cumplir los requisitos básicos de conectividad, es decir brindar los servicios que el segmento cableado lo hace; siempre brindando una buena transmisión y recepción de datos. Brindar soporte a todos los usuarios que realicen uso de este segmento de red, sin ninguna preocupación de saber cuantos usuarios simultáneos se encuentran conectados a la red. El segmento inalámbrico debe tener la capacidad de llegar a todas las áreas de trabajo de la empresa siempre brindando una óptima calidad de señal, detectar y evitar pérdidas de señal además. Brindar seguridad en el segmento inalámbrico, con el fin de mantener todos los datos de la empresa en total confidencialidad. Todos los aspectos de red antes mencionados pueden ser solucionados por medio de la buena ubicación de los puntos de acceso y la correcta configuración de los equipos, evitando así un mal diseño. Al diseñar una red inalámbrica, la cual va a dar servicio a cada piso de las oficinas que la empresa actualmente posee tal como se muestra en la figura 3.7, es decir todos los puntos de acceso van a ser colocados de manera esquemática de forma vertical, esto implica que se tiene que diseñar envidando la interferencia cocanal 94 e interferencias inter-canales 95 de la señales de los dispositivos inalámbricos y así limitar la capacidad de la red inalámbrica. 94 Co-canal: Interferencia que se provoca al transmitir sobre el mismo canal. 95 Inter-canal: Interferencia que se provoca sobre los canales adyacentes.

198 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 176 Figura 3.7 Puntos de acceso en cada piso. 96 Siguiendo los consejos para diseños de redes inalámbricas, se asignará canales para múltiples pisos, es decir se asignará los canales 1, 4, 7, 11 con el afán de que canales adyacentes usen el mismo canal, en la figura 3.8 se presenta un esquema de asignación para múltiples pisos. 96 Fuente: Autores de Tesis.

199 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 177 Figura 3.8 Asignación de canales múltiples pisos. 97 Los puntos de acceso que se ubicaran en cada piso serán ubicadas tomando referencia desde el piso inferior al superior como se muestra en la tabla 3.13 Piso Canal Subsuelo 1 Planta Baja 4 Mezanine 7 Primer Piso 11 Segundo Piso 1 Tercer Piso 4 Tabla 3.13 Asignación de canales para pisos de edificio Fuente: Autores de Tesis. 98 Fuente: Autores de Tesis.

200 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA MAPAS DE COBERTURA. Los mapas de cobertura son gráficos que indican la propagación de la señal de los equipos inalámbricos de acuerdo a las características de las antenas; en nuestro caso se utilizó equipos con características promedio como las siguientes: estándar b y g, velocidad de transmisión de hasta 108 Mbps, tecnología de modulación OFDM y seguridad inalámbrica PSK, WEP 128 bit y WEP 64 bit. Para la medición de nivel de señal se utilizó el software Network Stumbler, el mismo que proporciona la siguiente información: Nombre SSID. MAC del punto de acceso. Canal en el que se encuentra funcionado el punto de acceso. Tipo de dispositivo inalámbrico. Relación Señal a Ruido Fuerza de la señal. Numero de bandera. Intervalo de Beacon enviado. Para la realización de las pruebas de estado de conexión se usó el comando ping el cual sirve para comprobar el IP alcanzado y registrar resultados como el tiempo exacto que tardan los paquetes de eco en ir y volver a través de la red hacia un equipo remoto, pérdidas, tiempos máximos y mínimos, este tiempo es el mismo que se tomará en cuenta en las mediciones a realizarse COBERTURA HORIZONTAL. Esta cobertura fue analizada de acuerdo al piso en el que se va a ubicar el AP ya que la topología de cada piso es diferente al igual que la densidad de usuarios. Se realizaron mediciones en varias distancias de la ubicación del AP el mismo que fue situado en el centro del espacio que se desea dar cobertura a los

201 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 179 usuarios. El resultado obtenido de varias pruebas fue que se enviaron 40 paquetes de datos en un tiempo promedio; esto se presenta en los siguientes gráficos. Con esto se puede ver que la señal se va degradando mientras más lejos se encuentra el equipo del AP, pero sin embargo se sigue manteniendo una recepción buena para la utilidad que se le va a dar a la red; además se pudo determinar los niveles de velocidad de conexión para el edificio, los mismo que son detallados a continuación en las siguientes tablas. Subsuelo DISTANCIA 0 a 3 mts. 3 a 6 mts. VELOCIDAD 108 Mbps 108 Mbps POTENCIA -20 dbm -33 dbm Tabla 3.14 Medición cobertura horizontal subsuelo. 99 Planta Baja DISTANCIA 0 a 3 mts. 3 a 6 mts. VELOCIDAD 108 Mbps 108 Mbps POTENCIA -23 dbm -34 dbm Tabla 3.15 Medición cobertura horizontal planta baja 100 Mezanine DISTANCIA 3 a 6 mts. 6 a 9 mts. VELOCIDAD 108 Mbps 108 Mbps POTENCIA -35 dbm -45 dbm Tabla 3.16 Medición cobertura horizontal mezanine 101 Primer Piso DISTANCIA 3 a 6 mts. 6 a 9 mts. VELOCIDAD 108 Mbps 108 Mbps POTENCIA -36 dbm -44 dbm Tabla 3.17 Medición cobertura horizontal primer piso Fuente: Autores de Tesis. 100 Fuente: Autores de Tesis. 101 Fuente: Autores de Tesis.

202 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 180 Segundo Piso DISTANCIA 3 a 6 mts. 6 a 9 mts. VELOCIDAD 108 Mbps 108 Mbps POTENCIA -35 dbm -45 dbm Tabla 3.18 Medición cobertura horizontal segundo piso 103 Tercer Piso DISTANCIA 3 a 6 mts. 6 a 9 mts. VELOCIDAD 108 Mbps 108 Mbps POTENCIA -34 dbm -45 dbm Tabla 3.19 Medición cobertura horizontal tercer piso 104 En el anexo 8 se puede observar las imágenes de medición que se realizaron en el Site Survey realizado con la herramienta Network Stumbler COBERTURA VERTICAL. El análisis para la cobertura vertical fue realizado tomando en cuenta los pisos a ser cubiertos tanto inferior como superior con relación a la ubicación del AP del piso donde se encuentra ubicado el AP. En las siguientes tablas se mostrara cual es el nivel de potencia que se emite de un punto acceso al piso superior o inferior, como se puede notar con un punto de acceso no se puede abarcar dos pisos es por ello que la necesidad de utilizar un punto de acceso para cada piso se ve inevitable. Subsuelo DISTANCIA 0 a 3 mts 3 a 6 mts 6 a 9 mts RELACIÓN Superior Inferior Superior Inferior Superior Inferior POTENCIA -62 dbm dbm dbm - VELOCIDAD 54 Mbps 36 Mbps 18 Mpbs Tabla 3.20 Medición cobertura vertical subsuelo Fuente: Autores de Tesis. 103 Fuente: Autores de Tesis. 104 Fuente: Autores de Tesis. 105 Fuente: Autores de Tesis.

203 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 181 Planta Baja DISTANCIA 0 a 3 mts 3 a 6 mts 6 a 9 mts RELACIÓN Superior Inferior Superior Inferior Superior Inferior POTENCIA -58 dbm -61 dbm -73 dbm -79 dbm -86 dbm -90 dbm VELOCIDAD 54 Mbps 36 Mbps 18 Mpbs Tabla 3.21 Medición cobertura vertical planta baja 106 Mezanine DISTANCIA 0 a 3 mts 3 a 6 mts 6 a 9 mts RELACIÓN Superior Inferior Superior Inferior Superior Inferior POTENCIA -60 dbm -60 dbm -72 dbm -79 dbm -82 dbm -87 dbm VELOCIDAD 54 Mbps 36 Mbps 18 Mpbs Tabla 3.22 Medición cobertura vertical mezanine 107 Primer Piso DISTANCIA 0 a 3 mts 3 a 6 mts 6 a 9 mts RELACIÓN Superior Inferior Superior Inferior Superior Inferior POTENCIA -59 dbm -64 dbm -74 dbm -76 dbm -84 dbm -87 dbm VELOCIDAD 54 Mbps 36 Mbps 18 Mpbs Tabla 3.23 Medición cobertura vertical primer piso 108 Segundo Piso DISTANCIA 0 a 3 mts 3 a 6 mts 6 a 9 mts RELACIÓN Superior Inferior Superior Inferior Superior Inferior POTENCIA -65 dbm -63 dbm -71 dbm -78 dbm -81 dbm -86 dbm VELOCIDAD 54 Mbps 36 Mbps 18 Mpbs Tabla 3.24 Medición cobertura vertical segundo piso Fuente: Autores de Tesis. 107 Fuente: Autores de Tesis. 108 Fuente: Autores de Tesis. 109 Fuente: Autores de Tesis.

204 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 182 Tercer Piso DISTANCIA 0 a 3 mts 3 a 6 mts 6 a 9 mts RELACIÓN Superior Inferior Superior Inferior Superior Inferior POTENCIA dbm dbm dbm VELOCIDAD 54 Mbps 36 Mbps 18 Mpbs Tabla 3.25 Medición cobertura vertical tercer piso DIRECCIONAMIENTO IP PARA EQUIPOS INALÁMBRICOS. Para el diseño de la nueva red inalámbrica se debe asignar direcciones IP estáticas a los puntos de acceso y para ello como se muestra en la tabla 3.26 se asignara las primeras direcciones a los equipos inalámbricos y su servidor de autenticación. Tipo Ubicación Dirección IP Punto de acceso Subsuelo Punto de acceso Planta Baja Punto de acceso Mezanine Punto de acceso Piso Punto de acceso Piso Punto de acceso Piso Tabla 3.26 Direcciones IP para equipos inalámbricos SEGURIDAD. Para otorgar seguridad al segmento inalámbrico de la red de datos se vio necesaria la implementación de un servidor el cual se levantaran dos servicios para proporcionar gestión y seguridad al segmento inalámbrico. 110 Fuente: Autores de Tesis. 111 Fuente: Autores de Tesis.

205 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 183 El primer servicio es SYSLOG el cual se encargara de llevar un histórico de todas las acciones o actividades que se generan en los equipos inalámbricos, con ello se pretende detectar algún intruso o algún ataque que han sufrido los equipos inalámbricos La seguridad para la red inalámbrica será otorgada por un servidor RADIUS, el cual se encargara de la autenticación y autorización de los usuarios, para ingresar a la red inalámbrica a cada usuario se le autorizar el acceso. La creación de las credenciales de los usuarios que se necesitan para ser autenticados en el servidor RADIUS, serán creadas por el administrador de la red de datos de la empresa. El tipo de autenticación que se va a realizar es por medio de WPA el cual utilizara para la encriptación el protocolo de autenticación extensible EAP y conjuntamente utilizara TLS para la seguridad de transmisión. Un ejemplo para la implementación con sistema operativo Linux se encuentra en el anexo 9 y con sistema Windows en el anexo 10. Además se otorgara una seguridad especial, solo permitiendo el acceso a la red por medio de la MAC de la tarjeta inalámbrica, igualmente estos valores serán añadidos por el administrador de la red. EL segmento inalámbrico con el segmento inalámbrico se separa entre ellas por medio de VLAN para implementar un grado más de seguridad a la red. Un ejemplo de configuración de VLAN en los dispositivos de la red podemos observar en el anexo RESUMEN DE SEGMENTO INALÁMBRICO Característica Descripción SSID eesaci Canal Depende del piso de ubicación despunto de

206 Capítulo III DISEÑO Y CONFIGURACIÓN DE LA RED INALÁMBRICA 184 acceso, referencia tabla 3.11 Autenticación WPA Protocolo de autenticación EAP IP servidor RADIUS Depende de la plataforma a levantar servicio Puerto 1812 Frase secreta Claveeesaci12 Tabla 3.27 Resumen de segmento inalámbrico Fuente: Autores de Tesis.

207 Capítulo IV ANÁLISIS DE COSTOS 184 CAPÍTULO INTRODUCCIÓN. En este capitulo se mostrará todo lo referente a costos que implica el análisis y diseño de la red inalámbrica para la empresa Electro Ecuatoriana S.A.C.I., así como también el fundamento del por que la elección de los equipos que hacen falta o remplazo para el diseño. 4.2 INVERSION EN EQUIPAMIENTO. La inversión en equipamiento se realizará a través de la adquisición de equipos que sirvan para el óptimo funcionamiento de la red y la utilización de equipos ya existentes en la red actual. Los nuevos equipos que se van a comunicar entre la capa núcleo y capa acceso de la nueva red, se muestran en la tabla 4.1. Cantidad Modelo Valor Unitario Total 1 3COM Switch 3C16464B-US $ 150 $ COM Switch 3226 $ 850 $ 1700 Total $ 1850 Tabla 4.1 Detalle costo equipos interconexión. Estos equipos fueron seleccionados de acuerdo a la necesidad que presenta la nueva topología de red ya que su diseño actual posee una topología de tipo plano y el diseño planteado es de tipo jerárquico. Las especificaciones del equipo de interconexión se muestran en el anexo 5 y anexo 4 respectivamente. Para el segmento inalámbrico los equipos seleccionados se muestran en la siguiente tabla 4.2.

208 Capítulo IV ANÁLISIS DE COSTOS 185 Cantidad Modelo Valor Unitario Total 6 D-Link DWL-7200AP $ 183 $ 1098 Total $ 1098 Tabla 4.2 Detalle costos equipos inalámbricos. Las especificaciones del equipo de interconexión inalámbrica se muestran en el anexo INVERSION EN INSTALACION Y CONFIGURACIÓN. Todo el diseño y configuración de equipos requiere su respectiva configuración e instalación es por ello que se describe en la tabla 4.3 el valor de los mismos. Cantidad Descripción Valor Unitario Total 1 Configuración de Servidor RADIUS $ 120 $ Instalación de dispositivos $ 20 $ 120 inalámbricos (Puntos de acceso) 6 Configuración de dispositivos $ 30 $ 180 inalámbricos (Puntos de acceso) Total $ 420 Tabla 4.3 Detalle costos instalación y configuración. 4.4 VALOR DEL DISEÑO. El costo total del proyecto se resume en la tabla 4.4 que se presenta a continuación.

209 Capítulo IV ANÁLISIS DE COSTOS 186 Cantidad Descripción Total 1 Diseño de red alámbrica * $ Diseño de red inalámbrica * $ 1518 Total $ 5218 * El diseño incluye mano de obra, equipos y diseño. Tabla 4.4 Detalle costo total del proyecto.

210 Capítulo V CONCLUSIONES Y RECOMENDACIONES CONCLUSIONES CAPÍTULO 5 Se ha podido cumplir con los objetivos planteados al inicio del desarrollo del proyecto, que era la realización del diseño para la red inalámbrica de la empresa Electro Ecuatoriana S.A.C.I. La implementación de la tecnología de redes inalámbricas nos permite una gran movilidad, reducción de costos de infraestructura y además una gran escalabilidad de la red entre otros; para que todo esto funcione de una manera adecuada se debe tomar en cuenta la seguridad ya que la confidencialidad en estas es vulnerable y los servidores RADIUS son los más recomendados por su nivel de seguridad. El uso del diseño jerárquico en la actualidad en las empresas es muy necesario ya que permite una alta velocidad de acceso a los datos por parte de los clientes esta alta velocidad se ve ya que la conexión entre dispositivos esta dada por niveles. Todo mecanismo de seguridad siempre debe estar ligado a políticas de seguridad creadas por las personas encargadas del área de tecnología, permitiendo esto alcanzar un alto grado de seguridad en los segmentos de la red que no son controlados de manera física o tangible. La migración de las redes a nuevos diseños como son las redes jerárquicas donde las reglas del negocio en cada nivel se separan permitiendo una mayor administración, son cada vez más comunes, pues la aparición de nuevas tecnologías provoca dicha migración. La adición de un segmento inalámbrico a la red existente, provoca que la red de datos se vuelva mucho más versátil permitiendo a los usuarios movilizarse sin la preocupación de quedarse sin conectividad.

211 Capítulo V CONCLUSIONES Y RECOMENDACIONES RECOMENDACIONES La gente encargada del área de tecnología debe preocuparse por definir políticas de restricción de acceso a los usuarios móviles, estas restricciones deben ser orientada a bloquear el ingreso a paginas que consuman una gran cantidad de ancho de banda como son video en línea, radios por Internet Ej. etc. Se debe instruir a los usuarios sobre el buen uso de los computadores portátiles, educando a que los usuarios no abusen de los recursos compartidos que otros computadores pueden proporcionar. Los encargados del área tecnológica deben tener en claro como funciona el diseño jerárquico de la red, diferenciando para que sirve cada capa para así poder implementar nuevas tecnologías o añadir nuevos requerimientos de la red. La lectura y análisis de los archivos de registro de sucesos o log s generados por el servidor de autenticación para así poder analizar sobre amenazas que a sufrido el segmento inalámbrico. Si después del análisis de los archivos de registro de sucesos se sospecha que se esta atentando o se están generando intentos de modificaciones a las configuraciones de los puntos de acceso, se recomienda verificar la fuente del ataque y aplicar medidas de seguridad como por ejemplo cambiar la contraseña de administrador del equipo por una más fuerte o en su defecto crear nuevos certificados e instalarlos en los clientes y servidor.

212 BILBIOGRAFÍA SITIOS WEB FreeRADIUS + WPA + EAP + TLS : Punto de acceso DWL-4200AP ftp://ftp10.dlink.com/pdfs/products/dwl-7200ap/dwl-7200ap_ds.pdf Switch 3COM ase&sku=3cr Switch 3COM 4800G Switch 3COM Switch 3COM 3C16464B-US rt&sku=3c16464b-us Configuración RADIUS 4ee8-a bb8ec38a9&displayLang=en E-BOOKS Anthony Bruno, Steve Jordan (2007). CCDA Official Exam Certification Guid.e Third Edition. Cisco Press. Jordi Herrera Joancomartí, Joaquín García Alfaro, Xavier Perramón Tornil. (2004). Aspectos avanzados de seguridad en redes: Fundació per a la Universitat Oberta de Catalunya Bruce Potter, Bob Fleck. (2002) Security: O REILLY DOCUMENTACIÓN Ing. Pérez Ernesto, Escuela Politécnica Nacional, Administración Linux II, 2007 Ing. Pérez Ernesto, Escuela Politécnica Nacional, Protocolo TCP/IP sobre Linux, 2007

213 ANEXO 1 PLANOS DEL EDIFICIO ELECTRO ECUATORIANA S.A.C.I.

214

215 ANEXO 2 ESQUEMA DE CONEXIÓN FÍSICA ELECTRO ECUATORIANA S.A.C.I.

216 ESQUEMA DE CONEXIÓN FÍSICA ELECTRO ECUATORIANA S.A.C.I. Piso 3 Piso 2 Cuarto de Equipos Piso 1 Mezanine Planta baja Cableado Backbone UTP Categoría 5 Extendida Subsuelo Cableado horizontal UTP Categoría 5 Extendida

217 ANEXO 3 DATASHEET 3COM 4800G

218 3Com Switch 4800G Gigabit Family Data Sheet DATA SHEET Premium Gigabit Switches with Enhanced IPv4/IPv6 Networking, and Maximum Security, Convergence and Intelligence OVERVIEW The 3Com Switch 4800G Gigabit Family delivers outstanding security, reliability and multi-service support capabilities for robust switching at the edge or aggregation layer of large enterprise networks and campus networks, or in the core layer of medium- and small-sized enterprise networks. The family is comprised of Layer 2/3/4 Gigabit Ethernet switches that can accommodate the most demanding applications, providing resilient and secure connectivity and the latest traffic-prioritization technologies to optimize applications on converged networks. Designed for maximum flexibility, these models are available with 24 or 48 Gigabit ports. The family offers Power over Ethernet (PoE) and non- PoE models, with optional 10-Gigabit expansion capability and SFP mini-gbic Gigabit combo ports for fiber flexibility. An additional, all-sfp model with dual power supplies, for highest availability applications, allows for very flexible fiber with copper Gigabit connectivity. Each of the five 3Com Switch 4800G models comes in a convenient, stackable 1U-high enclosure: Switch 4800G 24-Port: 24 10/100/1000 Mbps ports with two dualport 10-Gigabit slots; includes four SFP Gigabit combo ports Switch 4800G 48-Port: 48 10/100/1000 Mbps ports with two dualport 10-Gigabit slots; includes four SFP Gigabit combo ports Switch 4800G PWR 24-Port: 24 10/100/1000 Mbps PoE ports with two dual-port 10-Gigabit slots; includes four SFP Gigabit combo ports Switch 4800G PWR 48-Port: 48 10/100/1000 Mbps PoE ports with two dual-port 10-Gigabit slots; includes four SFP Gigabit combo ports Switch 4800G 24-Port SFP: 24 SFP Gigabit ports with two dual-port 10-Gigabit slots and dual removable power supplies, with up to two power-cord inputs; includes eight 10/100/1000 Mbps combo ports from top: 3Com Switch 4800G 24-Port, Switch 4800G 48-Port, Switch 4800G 24-Port SFP, Switch 4800G PWR 24-Port, Switch 4800G PWR 48-Port

219 3Com Switch 4800G Gigabit Family Data Sheet KEY BENEFITS HIGH EXPANDABILITY FOR INVESTMENT PROTECTION All models in the 3Com Switch 4800G Gigabit Family include autosensing 10-, 100- and 1000-Mbps connections, giving you the ability to gradually upgrade your edge connections to higher bandwidth while retaining full compatibility with slower desktops. Support for dual-speed SFPs facilitates connections to both 100 and 1000 MB fiber cabling, making network migration easier. Two expansion slots, each supporting available 1-port or 2-port 10-Gigabit extension modules, allow for the adoption of 10-Gigabit interfaces for high bandwidth unit-to-unit local connections and uplinks, helping you to protect your network investment. Every Switch 4800G model has the ability to pass and route IPv4 and IPv6 data. As an IPv4/IPv6 dual-stack platform, the switches are IPv4- and IPv6 ready, supporting the major L3 routing protocols, multicast protocols and policy routing mechanisms and ensuring a seamless migration from IPv4 to IPv6. Premium Security Multiple layers of security are built into each Switch 4800G. Management access can be limited to known stations and unauthorized access can be prevented by encrypting management traffic with SSH for CLI access, SSL/HTTPS for web access and SNMPv3 for SNMP management access. Advanced processor queuing mechanisms prevent Denial of Service (DOS) attacks while DHCP servers preserve data integrity. Enhanced Access Control Lists (ACLs) restrict users to certain areas of your network. Unicast Reverse Path Finding (urpf) technology verifies the authenticity of a route from the receiving interface to the source address, deleting the data packet if the route does not exist and preventing malicious network attacks that are based on source address spoofing. Advanced network access control features, including IEEE 802.1X and MAC-based network login, ensure that only authorized users get access to the network. Multilayer Reliability 3Com 4800G switches interoperate with a number of link reliability technologies including Rapid Ring Protection Protocol (RRPP), a fast ring protection mechanism created by 3Com. If a link or node on the Ethernet ring fails, RRPP rapidly moves traffic to a backup link, ensuring normal operations without impacting network convergence time. Other network resiliency features include Spanning Tree, Rapid Spanning Tree and Multiple Spanning Tree protocol support. Hardware resiliency, delivered with available redundant power system support, allows for the continued operation of the switch in the event of a power supply failure, and supplements power for full PoE operation across all ports. For high-availability fiber connections, the Switch 4800G 24-Port SFP comes with dual 1+1 redundant power supplies with dual power inputs. All switches in this family include fault detection and alarms, power supply and fan monitoring, and remote management. 2

220 3Com Switch 4800G Gigabit Family Data Sheet KEY BENEFITS (CONTINUED) Convergence-Ready Support Built-in PoE enables certain models of the Switch 4800G to power network-attached equipment, significantly reducing costs associated with terminal equipment cabling and management. Industry-standard IEEE 802.3af Power over Ethernet speeds deployment of VoIP, wireless access points and network-attached video surveillance camera systems. The voice VLAN technology embedded in this family ensures the highest level of security and performance by placing voice traffic on a virtual voice network. By identifying voice streams at their ports and adding corresponding access ports to voice VLANs, the switches provide dedicated channels for voice traffic. Priority rules are then issued to ensure that voice streams are transmitted before data or video streams and conversation quality is optimal. Unparalleled Quality of Service The 3Com Switch 4800G offers L2 L4 packet filtering and delivers flow classification based on source IP and MAC addresses, destination IP and MAC addresses, ports, protocols or VLANs. The switches also offer flexible queue scheduling algorithms that support settings based on ports and queues and include three scheduling modes: Strict Priority (SP), Weighted Round Robin (WRR) and SP+WRR. Committed Access Rate (CAR) provides minimum granularity of 64 kbps. Outbound and inbound port mirroring monitors and duplicates data packets for network detection and troubleshooting. Powerful, Integrated Management Capabilities The Switch 4800G supports Simple Network Management Protocol (SNMP) versions 1/2c/3 and open network management platforms such as OpenView and the QuidView Network Management System (NMS). The switches may also be managed via Command Line Interface (CLI), Web network management, TELNET and Huawei Group Management Protocol (HGMP) cluster (stacking) management, making equipment management more convenient. Encryption modes such as SSH2.0, SNMPv3 and HTTPS are embedded in the Switch 4800G, ensuring that management traffic is highly secure. MAC-based and protocol-based VLANs, combined with ACL policies in the global or VLAN mode, minimize hardware resources and simplify configuration. Inbound and outbound packets are randomly sampled and collected according to a set ratio with the sflow function. LLDP and LLDP-MED are supported for standards-based neighbor discovery. 3

221 3Com Switch 4800G Gigabit Family Data Sheet KEY BENEFITS (CONTINUED) Redundant Power System Support Four 3Com Switch 4800G models support a redundant power system (RPS) connection. RPS units provide these benefits: For PWR switches, an RPS can deliver more power budget for IEEE 802.3af Power over Ethernet than what the switches alone can provide. For example, the 48-port PWR switch has a PoE power budget of 370 Watts, which means that approximately half of the ports can provide the full 802.3af PoE power of 15.4 Watts. With an RPS providing power, all 48-ports can provide a full 15.4 Watts of PoE power. They deliver redundant power to switches so there is continued operation should the main switch unit power supply fail. This allows for continuous operation of advanced Enterprise networks, particularly important for converged networks running IP phones on the network. 3Com switches are compatible with these RPS solutions: Eaton Powerware RPS 3Com s recommended premium solution is made by Eaton Powerware. Eaton is an industry leader in enterprise-capable power solutions, and they designed and released an RPS line for 3Com with standard -48V DC connections, one that stands up to the rigors of an enterprise switch network with Power over Ethernet. The units have a customizable design, can be built for highest N+1 redundancy, support a full stack up to eight-high of PoE switches, support integrated battery backup units, and can be remotely monitored. H3C RPS 1000 The H3C RPS 1000 is manufactured by H3C, a 3Com company. The RPS 1000 is a 1U high design which operates with one or two power rectifiers, providing -48V DC connections for H3C and 3Com-branded stackable switches. The unmanaged unit supports up to two connections at 25A for PWR switches, and up to six connections at 8A for non PWR switches, with support of 1+1 power redundancy. H3C RPS 500 The H3C RPS 500 is manufactured by H3C, a 3Com company. The RPS 500 is a fixed configuration 1U high design with a single rectifier and a single power connection. It can provide -48V and +12V DC connections for H3C and 3Com-branded non-pwr stackable switches. The table below summarizes RPS support for the 3Com Switch 4800G. Eaton Powerware H3C RPS 1000 H3C RPS 500 Switch 4800G Model RPS Support PWR 24-Port Yes (-48V) Yes Yes No PWR 48-Port Yes (-48V) Yes Yes No 24-Port Yes (+12V) No No Yes 48-Port Yes (+12V) No No Yes 24-Port SFP No use 2x PSU for power redundancy Table 1: Redundant power supply support for the 3Com Switch 4800G 4

222 3Com Switch 4800G Gigabit Family Data Sheet SPECIFICATIONS CONNECTIVITY Switch 4800G 24-Port 24 10/100/1000 Mbps with 4 SFP combo interfaces Switch 4800G PWR 24-Port 24 10/100/1000 Mbps with 4 SFP combo interfaces 10/100/1000 ports with 15.4W per port maximum; 370W total PoE power budget without supplemental RPS power Switch 4800G 48-Port 48 10/100/1000 Mbps with 4 SFP combo interfaces Switch 4800G PWR 48-Port 48 10/100/1000 Mbps with 4 SFP combo interfaces 10/100/1000 ports with 15.4W per port maximum; 370W total PoE power budget without supplemental RPS power Switch 4800G 24-Port SFP /1000 Mbps SFP with 8 10/100/1000 Mbps combo interfaces All models 2 expansion slots each supporting up to 2 10-Gigabit interfaces 10BASE-T/100BASE-TX/1000BASE-T ports configured as auto-mdi/mdix PERFORMANCE 24-port models 128 Gbps full duplex switching capacity 95.2 Mpps forwarding rate 48-port models 176 Gbps full duplex switching capacity Mpps forwarding rate All models: Wirespeed performance across ports Store-and-forward switching Latency <10 µ LAYER 2 SWITCHING 32K MAC addresses in address table 1K static configurable unicast MAC addresses (in addition to default addresses) Jumbo frame support 4,094 port-based IEEE 802.1Q VLANs IEEE Q-in-Q double-tagged VLANs IEEE 802.1v protocol-based VLANs MAC-based VLANs using RADA auto- VLAN assignment IEEE 802.3ad Link Aggregation Control Protocol (LACP); manual and static modes Link aggregation trunk groups per switch: 24-port models: 14 groups; 48-port models: 26 groups 8 10/100/1000 ports or 4 10-Gigabit ports per group Auto-negotiation and manual configuration of port speed and duplex IEEE 802.3x full-duplex flow control and back pressure Half-duplex back pressure flow control Unidirectional Link Detection (UDLD) Broadcast, Multicast and Unicast traffic suppression IEEE 802.1D Spanning Tree Protocol (STP) IEEE 802.1w Rapid Spanning Tree Protocol (RSTP) IEEE 802.1s Multiple Spanning Tree Protocol (MSTP), 16 instances Bridge Protocol Data Unit (BPDU) protection Spanning Tree root guard Internet Group Management Protocol (IGMP) v1, 2 and 3 snooping Filtering for 128 multicast groups IGMP querier Dynamic Host Configuration Protocol Relay (DHCP) Option 82 LAYER 3 ROUTING Hardware based IPv4 and IPv6 routing 256 static routes, in addition to default address Address Resolution Protocol (ARP) entries: 8K dynamic, 1K static 128 Virtual IP interfaces Routing Information Protocol (RIP) v1 and v2: 2K routes Open Shortest Path First (OSPF) v1 and v2: 12K routes Protocol Independent Multicast-Dense Mode (PIM-DM) Protocol Independent Multicast- Sparse Mode (PIM-SM) IGMP v1, v2, v3 Border Gateway Protocol (BGPv4); 12K routes IEEE 802.1Q GARP VLAN Registration Protocol (GVRP) Equal Cost Multipath Protocol (ECMP); up to 3 ECMP instances Multicast VLAN Registration (MVR) Multicast Source Discovery Protocol (MSDP) Multicast Listener Discovery (MLD) v1 and 2, and MLD Snooping v1, 2 and 3 Dynamic Host Configuration Protocol Relay (DHCP Relay) Virtual Router Redundancy Protocol (VRRP) Rapid Ring Protection Protocol (RRPP) Policy-based routing Routing Information Protocol next generation (RIPng) for IPv6; 2K routes OSPF version 3 for IPv6; 6K routes Border Gateway Protocol 4 (BGP4) for IPv6; 6K routes MSDP for IPv6 Manual configuration of IPv6 over IPv4 tunnels Compatible with 6to4 tunneling and Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) CONVERGENCE 8 hardware output queues at each port IEEE 802.1p Class of Service/Quality of Service (CoS/QoS) on ingress and egress Remarking of packet priority based on: Type of Service (ToS) IEEE 802.1p CoS IP precedence Physical port Source/destination MAC address (IPv4 / IPv6) VLAN information Ethertype Source/destination IP address Source/destination TCP port Source/destination UDP port Packet / traffic redirection Inbound and outbound ACL policies VLAN-based ACL policies Time-based Access Control Lists (ACLs) Auto-voice VLAN for automatic vendor-independent segregation and prioritization of VoIP traffic Auto-prioritization of voice traffic determined by vendor OUI Weighted Round Robin (WRR) Queuing Strict Priority (SP) Queuing Mixed mode WWR + SP Queuing DiffServ Code Point (DSCP) priority / expedited remarking of packets Forwarding (DSCP EF) remarking for prioritization of VoIP traffic Application rate limiting, inbound and outbound; Committed Access Rate (CAR) with granularity of 64 kbit/sec. Restricted packet sending and receiving rates with granularity of 64 kbits/sec. Storm suppression based on port rate percentage and pps Port-based traffic shaping on egress Wake-on-LAN support IEEE 802.3af Power over Ethernet standards-compliant (PWR models) SECURITY IEEE 802.1X Network login user authentication: Local, RADIUS, or TACACS+ server authentication Port-based, MAC-based and trunk port authentication PAP, CHAP, EAP over LAN (EAPoL), EAP-TLS/TTLS and PEAP Automatic port assignment of VLANs, ACLs and QoS profile based on user Multiple users per port 1,024 max online users Guest VLAN option Multiple authentication server realm definitions Centralized MAC address authentication AAA authentication RADIUS/TACACS+ session accounting RADIUS Authenticated Device Access (RADA): authenticate devices based on MAC address against RADIUS server or local database Combined MAC and IEEE 802.1X authentication on same port Black-hole MAC addresses DHCP Tracker DHCP snooping, including DHCP Trust Wirespeed packet filtering in hardware ACLs filter at Layers 2, 3 and 4: Source/destination MAC address Ethernet type Source/destination IP address Source/destination TCP port Source/destination UDP port User-defined ACL filters 5

223 3Com Switch 4800G Gigabit Family Data Sheet SPECIFICATIONS (CONTINUED) VLAN-based ACLs Port-based MAC address Disconnect Unknown Device (DUD) ARP inspection and IP source guard IEEE 802.1X or TACACS+ user authentication of switch management on TELNET and console sessions MD5 cipher-text and clear-text authentication for OSPF v2 and RIP v2 packets and SNMP v3 traffic Hierarchical management and password protection for management interface and encrypted traffic, with SNMP v3, SSL, and SSH v2 4 local user access privilege levels Trusted management station IP and/or MAC address Encoded Archival Description (EAD) Denial of service protection MANAGEMENT Single console interface Configuration via CLI (Command Line Interface), Console port, Simple Network Management Protocol (SNMP), embedded web interface Remote configuration via TELNET Embedded web management interface System configuration with SNMP v1, 2c and 3 Comprehensive statistics, including ACL/QoS and IP interface Syslog IPv4 management including ping, traceroute, telnet, and remote ping IPv6 management including pingv6, tracertv6, Telnetv6, TFTPv6, DNSv6 and ARPv6 IPv6 management interface IP address configuration Remote Monitoring (RMON) groups statistics, history, alarm and events DHCP server including options 60, 82 and 184 Supports multiple software images and bank swap, stored in non-volatile memory 1-to-1 port mirroring Many-to-1 port mirroring VLAN-to-1 / flow-based port mirroring Remote port mirroring (RSPAN) Ability to apply ACL to mirror port and forward only certain traffic types Detailed alarm and debug information Front panel indicators for port and unit status information Configuration file for backup and restore, stored in non-volatile memory; multiple configuration files available Backup and restore of software images Network Time Protocol (NTP) DHCP Relay and UDP Helper System file transfer mechanisms: Xmodem, FTP, Trivial FTP (TFTP) Cluster management with Huawei Group Management Protocol version (HGMPv2) Power alarms; fan and temperature alarms Debugging information output Virtual Cable Test (VCT) function Device Link Detection Protocol (DLDP) Port loopback detection Management applications: 3Com Network Supervisor (3NS) 3Com Network Director (3ND) 3Com Enterprise Management Suite (EMS) QuidView Network Management Systems (NMS) DIMENSIONS Height: 43.6 mm (1.7 in or 1 RU) Width: mm (17.4 in) Depth: 24- and 48-port non-pwr: mm (11.8 in) 24- and 48-port PWR: mm (16.5 in) 24-port SFP: mm (14.2 in) Weight: Switch 4800G 24-Port: 4.0 kg (8.8 lbs) Switch 4800G 48-Port: 4.5 kg (9.9 lbs) Switch 4800G PWR 24-Port: 6.0 kg (13.2 lbs) Switch 4800G PWR 48-Port: 6.5 kg (14.3 lbs) Switch 4800G 24-Port SFP: 6.3 kg (13.9 lbs) POWER SUPPLY AC Rated voltage range: 100 V to 240, 50/60 Hz DC-rated voltage range (for RPS) Switch 4800G 24-Port: 10.8 to 13.2 Switch 4800G 48-Port: 10.8 to 13.2; -52 to 55 Switch 4800G PWR 24-Port: -52 to 55 Switch 4800G PWR 48-Port: -52 to 55; -48 to 60 Switch 4800G 24-Port SFP: -48 to 60 Power consumption (max) Switch 4800G 24-Port: 110 W Switch 4800G 48-Port: 155 W Switch 4800G PWR 24-Port: 205 W, plus up to 370 W for PoE Switch 4800G PWR 48-Port: 270 W, plus up to 370 W for PoE Switch 4800G 24-Port SFP: 115 W Optional RPS available to provision additional PoE power to ports (PWR models only) ENVIRONMENTAL REQUIREMENTS Operating temperature: 0 to 45 C (32 to 113 F) Operating humidity: 10% to 90% non-condensing Heat dissipation (max) Switch 4800G 24-Port: 380 BTU/hour Switch 4800G 48-Port: 530 BTU/hour Switch 4800G PWR 24-Port: 700 BTU/hour; excludes heat from PoE Switch 4800G PWR 48-Port: 925 BTU/hour; excludes heat from PoE Switch 4800G 24-Port SFP: 395 BTU/hour RELIABILITY 24-port: 42 years (374,000 hours) 48-port: 37 years (328,000 hours) 24-port PWR: 44 years (389,000 hours) 48-port PWR: 35 years (307,000 hours) 24-port SFP: 36 years (322,000 hours) EMISSIONS / AGENCY APPROVALS CISPR 22 Class A FCC Part 15 Class A EN Class A EN , ICES-003 Class A VCCI Class A IMMUNITY EN SAFETY AGENCY CERTIFICATIONS UL IEC EN CAN/CSA-C22.2 No STANDARDS AND PROTOCOLS IEEE standards IEEE 802.1D (STP) IEEE 802.1p (CoS) IEEE PAE (PAE MIB) IEEE 802.1Q GVRP (GVRP) IEEE 802.1w (RSTP) IEEE LAG (LAG MIB) IEEE 802.3ac (VLAN Tagging Extension) IEEE 802.3ad (Link Aggregation) IEEE 802.3ae (10 Gigabit Ethernet) IEEE 802.3af (Power over Ethernet) IEEE 802.3i (10BASE-T) IEEE 802.3u (Fast Ethernet) IEEE 802.3x (Flow Control) IEEE 802.3z (Gigabit Ethernet) RFC standards RFC 791 (IP) RFC 792 (ICMP) RFC 793 (TCP) RFC 854 and RFC 856 (TELNET) RFC 925 (Multi-LAN Address Resolution) RFC 950 (IP Datagram Forwarding) RFC 951 (BootP) RFC 1058 (RIP v1) RFC 1122 (IP Options) RFC 1141 (IP Datagram Forwarding) RFC 1157 (SNMPv1/v2) RFC 1212 (Concise MIB Definitions) RFC 1213 (SNMP MIB II) RFC 1215 (SNMP Traps) RFC 1253 (OSPFv2 MIB) RFC 1305 (NTPv3) RFC 1350 (TFTP) RFC 1389 (RIP MIB) RFC 1492 (HWTACACS) RFC 1519 (CIDR) RFC 1542 (BootP) RFC 1587 (OSPF NS SA) RFC 1657 (BGP-4 MIB) RFC 1723 (RIPv2) RFC 1724 (RIPv2 MIB Extension) 6

224 3Com Switch 4800G Gigabit Family Data Sheet SPECIFICATIONS (CONTINUED) RFC 1757 (RMON I MIB) RFC 1771 (BGP) RFC 1812 (IPv4 Router Compliance) RFC 1850 (OSPFv2 MIB) RFC 1881 (IPv6 Address Allocation Management) RFC 1886 (IPv6 DNS Extensions) RFC 1887 (IPv6 Unicast Address Allocation Architecture) RFC 1901 (SNMPv2) RFC 1907 (SNMPv2c, SMIv2 and Revised MIB-II) RFC 1918 (Private Internet Address Allocation) RFC 1981 (IPv6 Path MTU Discovery) RFC 2096 (IP Forwarding Table MIB) RFC 2012 (TCP SNMPv2 MIB) RFC 2080 (IPv6/RIPng) RFC 2131 (DHCP Client) RFC 2233 (MIB) RFC 2236 (IGMP Snooping) RFC 2284 (EAP over LAN) RFC 2328 (OSPFv2) RFC 2373 (IPv6 Addressing Architecture) RFC 2375 (IPv6 Multicast Address Assignments) RFC 2401 (IP Security Architecture) RFC 2402 (IP Authentication Header) RFC 2406 (IP Encapsulating Security Payload) RFC 2409 (IKE) RFC 2452 (TCP/IP) RFC 2454 (UDP6) RFC 2460 (IPv6 Specification) RFC 2461 (IPv6/ND) RFC 2462 (IPv6 Stateless Address Auto-configuration) RFC 2463 (ICMPv6) RFC 2464 (IPv6 Over Ethernet) RFC 2465 and 2466 (IPv6 MIB) RFC 2474 (DSCP Diffserv) RFC 2475 (IPv6 Diffserv Architecture) RFC 2526 (Reserved IPv6 Anycast Addresses) RFC 2571 (SNMP Framework) RFC (SNMP) RFC 2578 (New Traps) RFC 2581 (TCP6) RFC 2597 (DSCP Diffserv Expedited Forwarding) RFC 2616 (HTTP Compatibility v1.1) RFC 2618 (RADIUS Authentication Client MIB) RFC 2620 (RADIUS Accounting Client MIB) RFC 2644 (Directed Broadcast Control) RFC 2710 (MLD IPv6 / MLD Snooping) RFC 2740 (OSPFv3) RFC 2767 (Dual stacks IPv4 & IPv6) RFC 2819 (RMON I MIB) RFC 2858 (BGP-4 Multi-protocol Extensions) RFC 2865 (Remote Authentication Dial-In User RADIUS) RFC 2866 (RADIUS RFC 2138/ Accounting) RFC 2893 (IPv6 Host and Router Transition Mechanism) RFC 2925 (Ping MIB) RFC 3056 (6to4 Tunneling) RFC 3246 (Expedited PHB) RFC 3306 (Unicast Prefix-Based IPv6 Multicast Addresses) RFC 3307 (IPv6 Multicast Address Allocation) RFC 3410 (SNMP) RFC 3414 (SNMP User-Based SM MIB) RFC 3415 (SNMP View-based ACM MIB) RFC 3416 (SNMPv2) RFC 3417 (SNMP Transport) RFC 3484 (IPv6 Default Address Selection) RFC 3493 (IPv6 Basic Socket Interface) RFC 3513 (IPv6 Addressing Architecture) RFC 3542 (Advanced Sockets API for IPv6) RFC 3587 (IPv6 Global Unicast Address) RFC 3596 (IPv6/DNS6 Extensions) RFC 3623 (OSPF GR) RFC 3768 (VRRP) RFC 3810 (MLDv2) RFC 4113 (IPv6 MIB for UDP) RFC 4213 (IPv6 Host and Routers Transition Mechanisms) RFC 4443 (ICMPv6 for IPv6) PRODUCT WARRANTY AND OTHER SERVICES Warranty Hardware coverage In-warranty hardware replacement* Software coverage Software updates* Telephone support* Limited Lifetime Warranty. For as long as the original end user owns the product, or for five years after 3Com discontinues the sale of the product, whichever occurs first. Covers the complete unit including power supplies and fan. Advanced Hardware Replacement of hardware for the duration of the warranty. In the US 48 contiguous states this is same-day ship with next business day delivery when call received before noon Pacific time. For Canada, Alaska and Hawaii, this is same-day ship when call received before noon Pacific time. For the rest of the world, it is next-business-day ship. Actual delivery times may vary depending on customer location. Reasonable commercial efforts apply. 90 days for media replacement. Access to releases with incremental software features and bug fixes. Technical support via phone for 90 days. *These services are not included as part of the Warranty and 3Com reserves the right to modify or cancel this offering at any time, without advance notice. This offering is not available where prohibited by law. Services are effective at warranty start date, and are enabled with product registration. Customers receive a user ID with esupport registration. 7

225 3Com Switch 4800G Gigabit Family Data Sheet ORDERING INFORMATION PRODUCT DESCRIPTION 3Com Switch 4800G 24-Port 3Com Switch 4800G 48-Port 3Com Switch 4800G PWR 24-Port 3Com Switch 4800G PWR 48-Port 3Com Switch 4800G 24-Port SFP Modules 3Com 2-Port 10-Gigabit Module (XFP) 3Com 2-Port 10-Gigabit Local Connection Module 3Com 1-Port 10-Gigabit Module (XFP) Power Supplies 3Com Switch 4800G 24-Port SFP AC Power Module * Gigabit SFP Transceivers 3Com 1000BASE-SX SFP 3Com 1000BASE-LX SFP 3Com 1000BASE-LH SFP Fast Ethernet SFP Transceivers 3Com 100BASE-FX SFP (Dual-Mode) 3Com 100BASE-LX SFP (Dual-Mode) 10-Gigabit XFP Transceivers 3Com 10GBASE-LR 3Com 10GBASE-SR 3Com 10GBASE-ER Cables 3Com CX4 Local Connection Cable 50 cm 3Com CX4 Local Connection Cable 100 cm 3Com CX4 Local Connection Cable 300 cm ORDER NUMBER 3CRS48G CRS48G CRS48G-24P-91 3CRS48G-48P-91 3CRS48G-24S-91 3C C C A66A 3CSFP91 3CSFP92 3CSFP97 3CSFP9-81 3CSFP9-82 3CXFP92 3CXFP94 3CXFP96 3C C C Com Global Services 3Com Network Health Check, Installation Services, and Guardian SM and Express SM Maintenance 3Com University Courses * For the Switch 4800G 24-Port SFP only. The switch ships with one PSU and one empty redundant PSU slot. Order this for 1+1 PSU redundancy. Visit for more information about 3Com secure converged network solutions. 3Com Corporation, Corporate Headquarters, 350 Campus Drive, Marlborough, MA Com is publicly traded on NASDAQ under the symbol COMS. Copyright Com Corporation. All rights reserved. 3Com and the 3Com logo are registered trademarks, and Guardian and Express are service marks, of 3Com Corporation. All other company and product names may be trademarks of their respective companies. While every effort is made to ensure the information given is accurate, 3Com does not accept liability for any errors or mistakes which may arise. All specifications are subject to change without notice /08

226 ANEXO 4 DATASHEET SUPERSTACK 3226

227 3Com SuperStack 3 Switch 3200 Family DATA SHEET Key Benefits Wirespeed, Layer 2/3 switches with 10/100 desktop connections and Gigabit downlinks Dynamic Layer 3 routing simplifies implementation IEEE 802.1X network login and RADIUS authentication Performance Wirespeed, non-blocking Layer 2/3 switching for 10/100 desktop connections with built-in Gigabit downlinks. Packet prioritization gives optimal performance to real-time applications such as voice and video. Link aggregation of the downlinks enables high-performance connectivity to the core of the network, with resiliency to improve availability and uptime. Layer 3 switching at the edge enables fast switching of traffic between local subnets while offloading routers in the core of the network. Flexibility Available in managed 50- or 26-port configurations, with 48 or 24 auto-sensing 10/100 ports and two dual-personality ports for 10/100/1000 or SFP connectivity. Ease of Use Supports dynamic routing through RIP, with automatic updating of the Layer 3 network without any manual intervention. Much easier than implementing static routes. Automatically auto-negotiates speed and duplex mode of cables connected to it preventing misconfiguration of the network. Switches detect and adjust to cross-over or straight-through cable connections a feature called auto MDI/MDIX eliminating the need for specific crossover cables. Scalability Supports up to 2,000 external routes, allowing the switch to scale as the network grows ideal for deployments at the edge of a network. Supports up to 255 VLANs and standards-based IEEE 802.3ad trunking (LACP). Rate limiting enables the bandwidth on each port to be restricted, preserving network bandwidth and allowing maximum control of network resources. Security Supports IEEE 802.1X network login to secure user entry into the network, with access control directed from a central standards-based RADIUS server for ease of management. Intrusion prevention features protect the network and will discard all packets from unauthenticated users. Port-based Access Control Lists further enhance security. Communication of attached stations can be restricted to certain destinations, in essence segmenting the network into more secure areas. Management of the switch can be implemented using Secure Shell (SSH) and Secure Sockets Layer (SSL/HTTPS) encryption (56 or 168 bit) preventing unauthorized remote access to the switch over IP networks or from a web browser. Network Control Network management through embedded web interface, command line interface, or an SNMP management station. Network management is further simplified with the use of 3Com Network Supervisor for configuration and troubleshooting of multiple devices on the network. Limited Lifetime Hardware Warranty Limited Lifetime Hardware Replacement. See for details. Service 3Com products are backed by 3Com Global Services and authorized partners with demonstrated expertise in network assessment, implementation, and maintenance. Ask about 3Com's Network Health Check, installation services, and maintenance service packages available in your area. 1

228 3CR SuperStack 3 Switch CR SuperStack 3 Switch COM SUPERSTACK 3 SWITCH 3200 FAMILY DATA SHEET 3Com SuperStack 3 Switch 3200 family switches are wirespeed, Layer 3 switches with 10/100 desktop connections and Gigabit downlinks for high performance connectivity to the rest of the network. These switches support dynamic Layer 3 routing, simplifying the implementation of Layer 3 networks by automatically configuring and updating the switch with all topology changes. This ability to dynamically reconfigure the routing provides a significant benefit over the use of static routes, avoiding the drawback of many Layer 3 switches which require manual intervention when changing the topology of the network. The SuperStack 3 Switch 3200 is optimized for edge desktop connections. Layer 3 switching for the network s edge, with the Switch 3200 s hardware-based wirespeed routing, improves performance by routing locally without data having to travel back to the network core. This is especially useful in organizations having or anticipating multiple subnets in their workgroups, where even local traffic may otherwise need to be routed via a core switch. Also, for edge-optimized deployment, the SuperStack 3 Switch 3200 supports the learning of up to 2,000 IP routes through an uplink to a core router using Router Internet Protocol (RIP). This high number of routes enables the switch to operate in larger networks than can other switches which have significantly smaller numbers of routes. The SuperStack 3 Switch 3200 also supports core-level switching in smaller networks, with local routing for 32 IP interfaces and up to 14 routes distributed from other local Layer 3 devices. The SuperStack 3 Switch 3200 family confirms 3Com s commitment to strong network security. Its implementation of IEEE 802.1X network login security helps ensure all users are authorized before being granted access to any network resource. User authentication is carried out using any standards-based RADIUS server, avoiding any proprietary authentication mechanisms. Containment of users to specific areas of the network can be easily controlled through Access Control Lists (ACLs), restricting the IP addresses with which a port can communicate. Configuration Example Building1 2 3 Floor Com SuperStack 3 Switch Com Switch 4060 XRN Distributed Fabric 3Com Switch 7700 d) SuperStack 3 Switch 4924 XRN Distributed Fabric 3Com 1000BASE-T ServerNICs Server farm 2

229 3COM SUPERSTACK 3 SWITCH 3200 FAMILY DATA SHEET Features PERFORMANCE Switching capacity Forwarding rate LAYER 2 SWITCHING MAC Address VLAN Link Aggregation Auto-negotiation Traffic control Spanning Tree Protocol / Rapid Spanning Tree Protocol LAYER 3 SWITCHING Routes IP Routing Multicast Network protocol CONVERGENCE Priority Queues Traffic Prioritization Bandwidth Management SuperStack 3 Switch 3226, 8.8 Gbps; Switch 3250, 13.6 Gbps Switch 3226, 6.6 Mpps; Switch 3250, 10.1 Mpps Store-and-forward switching; latency <12 µs 8K MAC addresses 255 VLANs (IEEE 802.1Q) IEEE 802.1ad (LACP), Gigabit ports only Auto-negotiation of port speed, duplex, and connection (MDI/MDIX) IEEE 802.3x full-duplex flow control Back pressure flow control for half-duplex Supports Broadcast Storm Suppression (3,000 pps threshold) IEEE 802.1w Rapid Spanning Tree Protocol (RSTP) Backward-compatible with Spanning Tree Protocol (STP) Fast-start mode Spanning tree enable/disable per port Hardware based routing 2,001 IP routes: 1,990 dynamic and 10 static Address Resolution Protocol (ARP) entries with 1 user default route 32 IP interfaces Multi-netting (multiple IP interfaces per VLAN) Routing Information Protocol (RIP), v1 and v2 Split Horizon Split Horizon with poisoned reverse Triggered updates MD5 authentication of the RIP packets Password authenticated RIP packets Host route advertisements Filtering for 64 multicast groups Internet Group Management Protocol (IGMP) snooping on Layer 2 interfaces IGMP v1 and v2 IGMP Querier Dynamic Host Configuration Protocol (DHCP) Helper/Relay UDP Helper ARP, ARP Proxy Four hardware queues per port Weighted Round Robin queuing Priority based on: DiffServ Code Point (DSCP) IEEE 802.1p Class of Service (CoS) VLAN priority TCP/UDP destination port number Default port priority Auto classification of 3Com NBX telephony traffic Port-based bandwidth management: 1 Mbps increments (10/100 ports) 8 Mbps increments (Gigabit ports) 3

230 3COM SUPERSTACK 3 SWITCH 3200 FAMILY DATA SHEET Features continued SECURITY Network Login Access Control Lists Switch Protocol Security Switch Management RESILIENCY MANAGEMENT Remote Management Software Configuration Mirror port / RAP (Roving Analysis Port) RMON (Remote Monitoring) IP address allocation Switch access levels Remote GUI management IEEE 802.1X user authentication RADIUS authentication Secure Mode (locks MAC address) Port-based ACLs Filtered on destination IP address / mask One ACL per port 32 unique ACLs per switch 32 rules per ACL (10/100 ports) MD5 cipher-text and clear-text authentication for RIP v2 packets Local or RADIUS management of switch passwords Trusted IP Management Addresses Telnet SSH v1 (56bit DES) SSH v2 (requires free software upgrade) SSL (HTTPS) 40 Bit 56 Bit DES 128 Bit RC4 (requires free software upgrade) Support for 3Com Advanced Redundant Power Supply; provides backup power to the switch Dual software images Backup and restore of switch settings SNMP v1 Dual software images Backup and restore Trivial File Transfer Protocol (TFTP) configuration: upload/download TFTP agent: upload Command line Serial (9-pin, D-type connector) Telnet Web-based SNMP One-to-one Four groups: statistics, history, alarm, and events DHCP Manual User-selectable management VLAN 2 access levels 16 user accounts 3Com Network Supervisor for basic, turn-key network management for small and medium businesses (copy provided with product) Topology discovery Change management reporting Capacity planning Event logging Fault identification and troubleshooting Utilization monitoring Other 3Com Management Applications: 3Com Network Director for comprehensive, turn-key network management for the enterprise. 3Com Enterprise Management Suite for flexible, extensible management in advanced enterprise IT environments 4

231 3COM SUPERSTACK 3 SWITCH 3200 FAMILY DATA SHEET Specifications All information in this section is relevant to the 3Com SuperStack 3 Switch 3226 and Switch 3250, unless stated otherwise. Port Capacities SuperStack 3 Switch 3226: 24 10/100 ports 2 dual-personality 10/100/1000 or SFP Gigabit ports SuperStack 3 Switch 3250: 48 10/100 ports 2 dual-personality 10/100/1000 or SFP Gigabit ports Dimensions Height: 45 mm (1.7 in or 1U) Width: 440 mm (17.3 in) Depth: Switch 3226: 252 mm (9.9 in) Switch 3250: 333 mm (13.1 in) Weight: Switch 3226: 4.3 kg (9.5 lbs) Switch 3250: 5.3 kg (11.7 lbs) Performance SuperStack 3 Switch 3226: Bandwidth: 8.8 Gbps Throughput: 6.6 Mpps SuperStack 3 Switch 3250: Bandwidth: 13.6 Gbps Throughput: 10.1 Mpps Power Supply Input voltage: VAC autoranging Operating frequency: Hz Maximum current: 2A Maximum power: Switch 3226: 55 W Switch 3250: 84 W Heat dissipation: Switch 3226: 184 BTU Switch 3250: 287 BTU CPU MPC8245 (333Mhz) 16MB Flash memory 32MB Processor memory Packet Buffer Memory Switch 3226: 32MB Switch 3250: 64MB Environmental Requirements Operating temperature: 0 to 40 C (32 to 104 F) Storage temperature: -40 to 70 C (-40 to 158 F) Humidity: 10% to 90% non-condensing MTBF SuperStack 3 Switch 3226: 51 years (447,000 hours) SuperStack 3 Switch 3250: 38 years (333,000 hours) Industry Standards Supported Ethernet Protocols IEEE 802.1p (CoS) IEEE 802.1Q (VLANs) IEEE 802.1w (RSTP) IEEE 802.1X (Security) IEEE 802.3ab (Copper Gigabit) IEEE 802.3ad (Link Aggregation) IEEE 802.3i (10BASE-T) IEEE 802.3u (Fast Ethernet) IEEE 802.3x (Flow Control) IEEE 802.3z (Fiber Gigabit) Administration Protocols RFC 1812 (IPv4) RFC 1518, 1519 (CIDR) RFC 826 (ARP) RFC 783 (TFTP) RFC 768 (UDP) RFC 791 (IP) RFC 793 (TCP) RFC 2474 (DiffServ) RFC 2131 (DHCP) RFC 1058 (RIP v1) RFC1723 (RIP v2) RFC 2138 (Radius Authentication) Management, including MIBs Supported RFC 1157 (SNMP v1/v2c) RFC 1213 (MIB II) RFC 1398 Ethernet MIB RFC 1493 (Bridge MIB) RFC 1573 (Private IF MIB) RFC 1724 (RIP V2 MIB Extension) RFC 1757 RMON MIB RFC 2011 IP-MIB RFC 2012 TCP-MIB RFC 2013 UDP-MIB RFC 2037 Entity MIB RFC 2618 (RADIUS Authentication Client MIB) RFC 2665 Ethernet-MIB RFC 2674P P-BRIDGE-MIB RFC 2674Q Q-BRIDGE-MIB RFC 2737 Entity MIB RFC 2819 RMON MIB RFC 2863 IF-MIB IEEE8021-PAE-MIB (IEEE) (Network Login) Router MIB Emissions / Agency Approvals CISPR 22: 1995; Class A FCC Part 15 subpart B, Class A EN 55022: 1998; Class A ICES -003 Class A AS/NZS 3548 Class A EN : 2000 EN : A1 Immunity EN 55024: 1998 Safety Agency Certifications UL IEC 60950: 2001; all national deviations EN 60950: 2001; all national deviations CSA 22.2 # Management Web interface Command line interface SNMP compatibility Management through 3Com management applications - 3Com Network Supervisor - 3Com Network Director - 3Com Enterprise Management Suite Warranty Limited Lifetime Hardware Warranty. Limited Software Warranty for ninety (90) days. See for details. Other Benefits Other Service Benefits: Advance hardware replacement with same day shipment for North America and Western Europe. Next day shipment for rest of world. Calls must be received by published cut-off times. 90 days of telephone technical support. Limited software updates. See for more detail. Register products at Service Americas: International: Ordering Information PRODUCT DESCRIPTION 3COM SKU 3Com SuperStack 3 Switch port 10/100 Layer 3 switch with 3CR two dual-personality 10/100/1000 or SFP ports 3Com SuperStack 3 Switch port 10/100 Layer 3 switch with 3CR two dual-personality 10/100/1000 or SFP ports SFPs (LC connectors) 3Com 1000BASE-SX SFP 3CSFP91 3Com 1000BASE-LX SFP 3CSFP92 3Com 1000BASE-LH70 (70km) SFP 3CSFP97 Redundant Power 3Com SuperStack 3 Advanced Redundant Power System 3C16071B 3Com SuperStack 3 Advanced Redundant Power System, 325W Power Module Type 3 3C Com Corporation, Corporate Headquarters, 350 Campus Drive, Marlborough, MA To learn more about 3Com solutions, visit 3Com is publicly traded on NASDAQ under the symbol COMS. Copyright Com Corporation. All rights reserved. 3Com, the 3Com logo, NBX, and SuperStack are registered trademarks of 3Com Corporation. All other company and product names may be trademarks of their respective companies. While every effort is made to ensure the information given is accurate, 3Com does not accept liability for any errors or mistakes which may arise. Specifications and other information in this document may be subject to change without notice /05

232 ANEXO 5 DATASHEET 3COM 3C16464B-US

233 DATA SHEET 3Com SuperStack 3 Baseline Hubs and Switches Key Benefits Solutions For All Your Needs Easy to Install and Use The industry s most complete range of 10, 10/100, and 10/100/1000 Mbps unmanaged hubs and switches means easy, transparent scalability to keep pace with your bandwidth needs. All 3Com SuperStack 3 Baseline products are shipped ready to work out of the box. No configuration is necessary. Leading Edge Technology The Baseline family includes the industry s first tri-speed 10/100/1000 Mbps switch and state-of-the-art Gigabit Ethernet over copper connectivity. Affordable 3Com continues to drive down the cost of desktop connectivity, including making Fast Ethernet and Gigabit Ethernet technology more affordable for more users and applications. Affordable hubs and switches to support a wide range of bandwidth requirements. Whether you re a small or medium-sized business that s growing fast, or a large corporation juggling constant growth at the edge of the network, you want LAN solutions that are affordable, adaptable and trouble-free. 3Com delivers this unique blend of value and ease, so companies can quickly set up their networks to support their business, and then stop worrying about their networks so they can focus on their business. The SuperStack 3 family of Baseline hubs and switches comprises a broad range of product types and connectivity options to satisfy the need for highquality products at an affordable price enabling even the most budget- Non-Stop, Worry-Free Operation The Baseline family has the best inservice reliability track record, based on thousands of user installations. Just plug in Baseline products and they run and run. Lifetime Limited Warranty Ensures peace of mind. Includes fan and power supply. conscious organizations to jump up to the next level of networking power in order to fuel their growth and ensure their competitiveness in the age of e-business and the Internet. The baseline product family includes 10 Mbps workgroup hubs, auto-sensing dual speed 10/100 hubs, and autosensing 10/100 switches with or without a Gigabit uplink. Now 3Com has expanded the connectivity options for small and medium-sized LANs with the breakthrough flexibility of the industry s first tri-speed switch, the SuperStack 3 Baseline auto-sensing 10/100/1000 switch, the one switch that supports the widest range of business applications.

234 3COM SUPERSTACK 3 BASELINE HUBS AND SWITCHES DATA SHEET Baseline Hubs offer exceptional value by offering the lowest cost-per-port in the SuperStack 3 family and the most costeffective way to add new users to a network. 2 3Com SuperStack 3 Baseline Hubs 3Com SuperStack 3 Baseline hubs provide high-quality connectivity solutions at entry-level prices for shared Ethernet networks that don t require comprehensive management. These hubs are ideal for low-intensity network environments such as general office applications using small networked files. With the lowest per-port cost in the SuperStack 3 family, the Baseline hubs offer exceptional value, and provide the most cost-effective way to add new users to a network. SuperStack 3 Baseline hubs provide 12- or 24-10BASE-T RJ-45 ports, allowing each hub to connect either 12 or 24 users. Each hub has an MDI/MDIX switch to connect multiple hubs; this allows you to expand the network using normal UTP cabling. The Baseline hubs provide a transceiver interface slot, allowing connection to alternative network media, such as fiber or coax. Optional transceiver interface modules are available. SuperStack 3 Baseline hubs are pre-configured and ready to use straight from the box. 12 or 24 RJ-45 10BASE-T connections MDI/MDIX switchable port allows for simple cascading of hubs without the need for special crossover cable. Slot for optional transceiver interface module provides a connection to legacy networking devices or fiber. Diagnostic LEDs indicate network traffic, port status, and collisions, making it easy to spot-check faults and check individual port status. SuperStack 3 Baseline Dual Speed Hubs The 3Com SuperStack 3 Baseline dual speed hubs give you the simplest way to migrate to high-speed Fast Ethernet networking while protecting your existing network investment. Power users who require Fast Ethernet can coexist with Ethernet users without draining valuable network bandwidth. Each Baseline dual speed hub has 12 or 24 auto-sensing ports. The SuperStack 3 Baseline dual speed hub is preconfigured and ready to use straight from the box. 12 or 24 RJ-45 10BASE-T/ 100BASE-TX connections. Auto sensing on each port automatically senses the speed of the network device at the other end of the cable and optimizes performance. Integrated Ethernet to Fast Ethernet switch provides seamless integration between 10 Mbps and 100 Mbps segments. Conforms as a Class II Fast Ethernet repeater, which means that two SuperStack 3 Baseline dual speed hubs can be cascaded in series (the maximum allowed according to the Fast Ethernet specification). MDI/MDIX switchable port allows for simple cascading of hubs without the need for a special crossover cable. Diagnostic LEDs indicate port status, network traffic, and collisions on 10 Mbps and 100 Mbps segments, making it easy to spot-check faults and check individual port status. SuperStack 3 Baseline 10/100 Switches SuperStack 3 Baseline switches are ideal for any environment where raw power and performance are needed, but management is not required. The majority of today s networked devices (including PCs, servers and printers) operate at either 10 Mbps or 100 Mbps. The SuperStack 3 Baseline 10/100 switch can auto-sense whether a network device supports 100 Mbps and automatically optimize the connection for this throughput. The SuperStack 3 Baseline 10/100 switch plus 1000BASE-T provides this same bandwidth optimization, plus a single Gigabit uplink. A Gigabit uplink allows many users to access a server or network backbone concurrently, and provides the best possible performance and scalability for a LAN. Baseline 10/100 switches provide 12 or 24 10/100BASE-TX switched ports and are pre-configured and ready to use straight from the box.

235 3COM SUPERSTACK 3 BASELINE HUBS AND SWITCHES DATA SHEET The SuperStack 3 Baseline 10/100/ 1000 Switch is ready to use straight from the box. The SuperStack 3 Baseline 10/100 switch provides 12 or 24 RJ-45 10BASE-T/100BASE-TX auto-sensing ports that auto-negotiate connection speed and full-duplex/half-duplex mode. The SuperStack 3 Baseline 10/100 switch plus 1000BASE-T provides 24 RJ-45 10BASE-T/100BASE-TX autosensing ports that auto-negotiate connection speed and fullduplex/half-duplex mode. Port 25 is a 1000BASE-T port capable of autonegotiation with the connected port to operate at 1000BASE-T full duplex. It auto-senses an MDI/MDIX connection and can be used to connect to either another 1000BASE-T switch port or to a 1000BASE-T server or workstation without additional configuration. IEEE 802.3x flow control ensures network traffic is not lost during peaks in traffic rates on highthroughput, full-duplex links. Diagnostic LEDs indicate network traffic and port status of each port, making it easy to spot-check faults and check individual port status. No power failures All SuperStack 3 Baseline products are equipped with a connector to support the SuperStack 3 Advanced Redundant Power System (ARPS), for uninterrupted operation in the event of a power supply failure. Power conditioning and back-up products are recommended by leading UPS vendors such as the American Power Conversion Corporation (APC). For details on relevant power products from APC see SuperStack 3 Baseline 10/100/1000 Switches The breakthrough SuperStack 3 Baseline 10/100/1000 switch is ideal for users who want the high-speed performance of 10/100/1000 switching but do not need sophisticated management capabilities. The SuperStack 3 Baseline 10/100/1000 switch provides high performance switched connections to 10 Mbps, 100 Mbps, and 1000 Mbps hubs, servers, printers and workstations. The SuperStack 3 Baseline 10/100/1000 switch has six shielded RJ-45, 10/100/1000 Mbps auto-negotiating ports on the front panel. Each 10/100/1000 Mbps port automatically determines the speed, duplex mode, and MDIX mode of the connected equipment and provides a suitable switched connection (1000BASE-T connections operate in full duplex mode only). The SuperStack 3 Baseline 10/100/1000 switch is pre-configured and ready to use straight from the box. The SuperStack 3 Baseline 10/100/1000 switch provides six RJ-45 10BASE-T/100BASE-TX/ 1000BASE-T auto-sensing ports that also auto-negotiate connection speed, MDI/MDIX mode and fullduplex/half-duplex mode. IEEE 802.3x flow control ensures that network traffic is not lost during peaks in traffic rates on highthroughput, full-duplex links. Diagnostic LEDs indicate network traffic and port status of each port, making it easy to spot-check faults and check individual port status. 10/100/1000 Auto sensing An auto-sensing port will automatically adjust its speed according to the equipment to which it is connected. When the UTP cable is connected and the link is first established, the hub or switch will instantly and automatically sense the maximum speed of the device at the other end of the cable. It will communicate with the other device at 1000 Mbps (for the 10/100/1000 tri-speed switch) or 100 Mbps (for a 10/100 switch hub or switch) or else it will run at 10 Mbps. The SuperStack 3 Baseline 10/100/1000 Switch also auto detects the cable type so it can easily be connected to any PC, server, hub or switch. Note: Although you are able to use Category 3 grade cabling for 10 Mbps links, you must use Category 5 grade cabling for links running at 100 Mbps or 1000 Mbps. 3

236 3COM SUPERSTACK 3 BASELINE HUBS AND SWITCHES DATA SHEET A Complete Solution for a Medium Enterprise or Branch Office This shows a medium-sized office using a combination of SuperStack 3 Baseline products. A mix of switched and shared 10 Mbps and 10/100 Mbps delivers higher performance connections where they are needed, while keeping the overall system cost to a minimum. In the basement, a single SuperStack 3 Baseline 10/100/1000 switch provides 100 Mbps or 1000 Mbps switched links to the floors and to each of the main servers. Local server 100 Mbps Switched 100 Mbps Switched 100 Mbps Local server on 100 Mbps 3Com SuperStack II Baseline Dual Speed Hubs Switched 100 Mbps Switched 100 Mbps Shared 100 Mbps Shared 100 Mbps PCs and Network devices with a mix of 10 Mbps and 100 Mbps NICs Shared 10 Mbps SuperStack II Baseline Switch and Baseline Hub Printer Shared 10 Mbps Shared 10 Mbps Shared 10 Mbps Floor 3 Shared 10 Mbps as a cost-effective solution for low-intensity, workgroup applications Floor 2 Switched 100 Mbps SuperStack II Baseline 10/100/1000 Switch and ARPS Switched 100 Mbps Switched 100 Mbps Main network servers with switched 100 Mbps connections Basement SuperStack 3 Baseline Within the Managed Network Environment Workgroup 1 3Com SuperStack II Baseline Dual Speed Hub Shared 10/100 Mbps to the desktop Workgroup 2 SuperStack II Baseline 10/100 Switch Switched 10/100 Mbps to the desktop Workgroup 3 Switched 10/100 Mbps to the desktop As part of the SuperStack 3 family, SuperStack 3 Baseline products can be integrated smoothly and effectively into a 3Com enterprise network solution that employs network management but that does not require it all the way to the desktop. In this example, network management is used at the core of the network, and is connected to the workgroup by a single 1000 Mbps link. Local server SuperStack II Baseline 10/100/1000 Backbone link to fully managed corporate network SuperStack II Baseline 10/100 Switch plus 1000BT High-performance, unmanaged connections are then provided to desktops by the SuperStack Baseline products, as shown. Used in this way, reliable, high-speed network connections can be delivered to the desktop in an extremely cost-effective way, while ensuring complete compatibility and fitting in with the corporate network structure. 4

237 3COM SUPERSTACK 3 BASELINE HUBS AND SWITCHES DATA SHEET Specifications SuperStack 3 Baseline Hubs 3C16440A (12 port) 3C16441A (24 port) SuperStack 3 Baseline Dual Speed Hubs 3C16592B (12 port) 3C16593B (24 port) SuperStack 3 Baseline 10/100 Switches 3C16464C (12 port) 3C16465C (24 port) Physical Width: 440 mm (17.3 in) Depth: 224 mm (8.8 in) Height: 43.6 mm (1.7 in) Weight: 2.1 kg (5 lb) Physical Width: 440 mm (17.3 in) Depth: 173 mm (6.8 in) Height: 43.6 mm (1.7 in) Weight: 2.1 kg (5 lb) Physical Width: 440 mm (17.3 in) Depth: 235 mm (9.3 in) Height: 43.6 mm (1.7 in) Weight: 2.6 kg (6 lb) Interfaces 12/24 RJ-45 Ethernet Interfaces 12/24 RJ-45 Ethernet Interfaces 12/24 RJ-45 Ethernet LED Indicators Power, network traffic, collisions LED Indicators Power, network traffic, collisions, LAN segment LED Indicators Power, network traffic/duplex mode, link status/speed Functional ISO , IEEE (Ethernet) Electrical Power inlet: IEC 320 AC line frequency: 50/60 Hz Input voltage: VAC Current rating: 1A (max) Maximum power consumption: 34/44W Maximum power dissipation: 116/150 BTU/hr Redundant power connector: Type 1 60W Safety UL 1950, EN 60950, CSA 22.2 #950, IEC Emissions EN Class A, FCC Part 15 Subpart B Class A, ICES-003 Class A, VCCI Class A, AS/NZS 3548 Class A, CNS Class A Immunity EN Environmental Operating temperature: 0 to 50 C (32 to 122 F) Humidity: 10 to 90% (non-condensing) Standard: EN (IEC 68) Functional ISO , IEEE (Ethernet), IEEE 802.3u (Fast Ethernet), IEEE 802.1d (bridging) MAC addresses: 4,000 Electrical Power inlet: IEC 320 AC line frequency: 50/60 Hz Input voltage: VAC Current rating: 1A (max) Maximum power consumption: 25/42W Maximum power dissipation: 86/142 BTU/hr Redundant power connector: Type 1 60W Safety UL 1950, EN 60950, CSA 22.2 #950, IEC Emissions EN Class A, FCC Part 15 Subpart B Class A, ICES-003 Class A, VCCI Class A, AS/NZS 3548 Class A, CNS Class A Immunity EN Environmental Operating temperature: 0 to 50 C (32 to 122 F) Humidity: 10 to 90% (non-condensing) Standard: EN (IEC 68) Functional ISO , IEEE (Ethernet), IEEE 802.3u (Fast Ethernet), IEEE 802.1d (bridging), IEEE 802.3x (flow control) Mac addresses: 4,000 Electrical Power inlet: IEC 320 AC line frequency: 50/60 Hz Input voltage: VAC Current rating: 1A (max) Maximum power consumption: 49/88W Maximum power dissipation: 165/300 BTU/hr Redundant power connector: Type 2 Safety UL 1950, EN 60950, CSA 22.2 #950, IEC Emissions EN Class A, FCC Part 15 Subpart B Class A, ICES-003 Class A, VCCI Class A, AS/NZS 3548 Class A, CNS Class A Immunity EN Environmental Operating temperature: 0 to 50 C (32 to 122 F) Humidity: 10 to 90% (non-condensing) Standard: EN (IEC 68) 5

238 3COM SUPERSTACK 3 BASELINE HUBS AND SWITCHES DATA SHEET Specifications, continued SuperStack 3 Baseline 10/100 Switch (24 port plus 1000BASE-T) 3C16467 Physical Width: 440 mm (17.3 in) Depth: 235 mm (9.3 in) Height: 43.6 mm (1.7 in) Weight: 3 kg (7 lb) Interfaces 24 RJ-45 Ethernet LED Indicators Power, network traffic/duplex mode, link status/speed Functional ISO , IEEE (Ethernet), IEEE 802.3u (Fast Ethernet), IEEE 802.1d (bridging), IEEE 802.3x (flow control), IEEE 802.3ab (Gigabit Ethernet) MAC addresses: 4,000 Electrical Power inlet: IEC 320 AC line frequency: 50/60 Hz Input voltage: VAC Current rating: 1A (max) Maximum power consumption: 90W Maximum power dissipation: 306 BTU/hr Redundant power connector: Type 2 Safety UL 1950, EN 60950, CSA 22.2 #950, IEC Emissions EN Class A, FCC Part 15 Subpart B Class A, ICES-003 Class A, VCCI Class A, AS/NZS 3548 Class A, CNS Class A Immunity EN Environmental Operating temperature: 0 to 50 C (32 to 122 F) Humidity: 10 to 90% (noncondensing) Standard: EN (IEC 68) SuperStack 3 Baseline 10/100/1000 Switch (6 port) 3C16468 Physical Width: 440 mm (17.3 in) Depth: mm (9.7 in) Height: 43.6 mm (1.7 in) Weight: 3.2 kg (7 lb) Interfaces 6 RJ-45 Ethernet LED Indicators Power, network traffic, 1000 Mbps (full duplex), 100 Mbps (full, half duplex), 10 Mbps (full, half duplex) Functional ISO , IEEE (Ethernet), IEEE 802.3u (Fast Ethernet), IEEE 802.1d (bridging), IEEE 802.3x (flow control), IEEE 802.3ab (Gigabit Ethernet) MAC addresses: 8,000 Electrical Power inlet: IEC 320 AC line frequency: 50/60 Hz Input voltage: VAC Current rating: 3A (max) Maximum power consumption: 75W Maximum power dissipation: 256 BTU/hr Redundant power connector: Type 2 Safety UL 1950, EN 60950, CSA 22.2 #950, IEC Emissions EN Class A, FCC Part 15 Subpart B Class A, ICES-003 Class A, VCCI Class A, AS/NZS 3548 Class A, CNS Class A Immunity EN Environmental Operating temperature: 0 to 50 C (32 to 122 F) Humidity: 10 to 90% (noncondensing) Standard: EN (IEC 68) Warranty and Other Support Services Lifetime limited warranty, for as long as the original Customer owns the product, or five years after product discontinuance, whichever occurs first. Includes fan and power supply. After registering the product online, other free support services such as telephone support, fast hardware replacement, and software updates may also be available, depending on regional availability and retailer participation. Ordering Information SuperStack 3 Baseline Hub 12-port 3C16440A SuperStack 3 Baseline Hub 24-port 3C16441A SuperStack 3 Baseline Dual Speed Hub 12-port 3C16592B SuperStack 3 Baseline Dual Speed Hub 24-port 3C16593B SuperStack 3 Baseline 10/100 Switch 12-port 3C16464C SuperStack 3 Baseline 10/100 Switch 24-port 3C16465C SuperStack 3 Baseline 10/100 Switch 24-port plus 1000BASE-T 3C16467 SuperStack 3 Baseline 10/100/1000 Switch 6-port 3C16468 All Baseline hubs and switches include: Plug and play simplicity No configuration required Compact 1U high box Easy installation and upgrade Rack mounting kit Operates free-standing or 19-inch rack-mounted Limited lifetime warranty Includes all hardware, fans, and power supplies Redundant power connector Peace of mind against power failures 3Com Corporation, Corporate Headquarters, 5400 Bayfront Plaza, P.O. Box 58145, Santa Clara, CA To learn more about 3Com solutions, visit 3Com Corporation is publicly traded on Nasdaq under the symbol COMS. Copyright Com Corporation. All rights reserved. 3Com and SuperStack are registered trademarks of 3Com Corporation. The 3Com logo is a trademark of 3Com Corporation. All other company and product names may be trademarks of their respective companies. All specifications are subject to change without notice /02

239 ANEXO 6 ESQUEMA DE CONEXIÓN LÓGICA ELECTRO ECUATORIANA S.A.C.I.

240 ESQUEMA DE CONEXIÓN LÓGICA ELECTRO ECUATORIANA S.A.C.I Servidor WEB En EcuaNet Piso Piso 2 INTERNET Proxy Servidor FTP Terminal Remoto Servidor Antivirus Nomina Impresión Piso Dominio DNS Servidor Aplicaciones MBA Storage Servidor Correo Fax Mezanine Planta Baja Subsuelo

241 ANEXO 7 SIMULACIÓN OPNET

242 MANUAL DE OPNET PARA SIMULACIÓN DE RED FUTURA DE ELECTRO ECUATORIANA S.A.C.I. El presenta manual muestra como se debe armar el esquema de red para la simulación en OPNET, esta simulación tiene como objetivo verificar valores de calidad de la red. La simulación de la red propuesta se va a realizar en el modelador OPNET versión Las definiciones de los perfiles y aplicaciones serán ingresadas al simulador, dando a conocer todas las actividades o servicios que la red de datos va a proporcionar. Los enlaces de la red de datos son de tipo Fast Ethernet, ya sea para la conexión entre los dispositivos de interconexión como la conexión de las estaciones de trabajo. 1. METODOLOGÍA 1. Selección de los elementos de la red. 2. Ubicación e interconexión de los equipos. 3. Configuración de los servicios de la red de datos. 4. Visualización de simulación. 2. DESARROLLO 1. Iniciar OPNET Modeler 2. File, New Project, OK 4. Project name: eesaci Scenario name: eesaci

243 Use wizard # OK 5. Initial topology: Create empty scenario Choose network scale: Campus _ Use metric units Specify size: 100 mts 5 mts Select technologies: Sm Int Model List Internet _toolbox Wireless_lan_adv 6. Finish 2.1 CONFIGURACIÓN DE LA PALETA DE OBJETOS Necesitamos agregar Enlaces: 100BaseT Nodos: 100BaseT_LAN La paleta de elementos debe visualizarse como se muestra en la siguiente imagen.

244 2.2. ELEMENTOS DE LA RED DE DATOS. 4 Subnets 7 Servidores 2 Switches de capa 3 1 Modem 1 Nube de Internet 1 Módulo de perfiles 1 Módulo de aplicaciones 6 LAN s 6 Puntos de acceso inalámbrico 25 Estaciones de trabajo inalámbricas El área debe contener todos los siguientes elementos que se muestra en la figura

245 2.3. DEFINICIÓN DE NODOS 2.3.1MODULO PERFILES Editar todos los atributos del módulo de perfiles para que contenga todos los requisitos que la empresa necesita. Llene con los siguientes valores:

246 name: Def_Perfil Ingrese los para los perfiles como se muestra en la figura MODULO APLICACIONES Editar todos los atributos del módulo de aplicaciones para que contenga todos los requisitos que la empresa necesita. Llene con los siguientes valores: name: Def_aplicacion Ingrese los para los perfiles como se muestra en la figura.

247 Los valores que debe tener cada aplicación depende de la aplicación que se va a cargar, los valores que OPNET por defecto a escoger son: Custom Database FTP Http Print Remote Login Video Conferencing Voice Los valores que pueden tomar estos atributos son según la carga que posea cada aplicación, estos valores pueden ser:

248 Low load Medium load High load 2.4 CONFIGURACIÓN DE SERVIDORES Llene con los siguientes valores los servidores: name: srv_dominio name: srv_ftp name: srv_antivirus name: srv_aplicaciones name: srv_correo name: srv_fax name: srv_proxy En cada servidor se debe configurar que servicios brinda este: srv_dominio Applications Application: Supported Profiles Rows 3 Row 0 Dominio_perfil Row 1 DNS_perfil Row 2 Radius_perfil Application: Supported Services All

249 srv_ftp Applications Application: Supported Profiles Rows 2 Row 0 FTP_perfil Row 1 Remoto_perfil Application: Supported Services All srv_antivirus Applications Application: Supported Profiles Rows 3 Row 0 Antivirus_perfil Row 1 Nomina_perfil Row 2 Impresion_perfil Application: Supported Services All srv_aplicaciones Applications Application: Supported Profiles Rows 3 Row 0 aplicaciones_perfil Row 1 MBA_perfil

250 Row 2 Storage_perfil Application: Supported Services All srv_correo Applications Application: Supported Profiles Rows 1 Row 0 correo_perfil Application: Supported Services All srv_fax Applications Application: Supported Profiles Rows 1 Row 0 FAX_perfil Application: Supported Services All srv_antivirus Applications Application: Supported Profiles Rows 2

251 Row 0 Row 1 proxy_perfil DNS_perfil Application: Supported Services All 2.5 CONFIGURACIÓN DE SUBNETS Las 4 subnets se realizan con el afán de tener organizado las redes LAN s y a que switch se conecta, dentro de las subnets deben contener todos los usuarios y equipos que se manejan en cada piso. Cada subnets debe contener: Usuarios inalámbricos Puntos de acceso Switch LAN 2.6 CONFIGURACIÓN DE LAN S Los nombres de las LAN s deben ser puestas según el piso al que sirve. name: P3 name: P2 name: P1 name: Mz name: Pb name: Sb Además se debe configurar cuantos usuarios maneja dicha LAN, para la configuración se debe ingresar en las propiedades del objeto.

252 P3 Applicacitions: Application: Source Preferences Rows 0 Application: Supported Profiles Rows 1 Profile Name None Number of clients 14 P2 Applicacitions: Application: Source Preferences Rows 0 Application: Supported Profiles Rows 1 Profile Name None Number of clients 22 P1 Applicacitions: Application: Source Preferences Rows 0 Application: Supported Profiles Rows 1 Profile Name None Number of clients 20

253 Mz Applicacitions: Application: Source Preferences Rows 0 Application: Supported Profiles Rows 1 Profile Name None Number of clients 2 Pb Applicacitions: Application: Source Preferences Rows 0 Application: Supported Profiles Rows 1 Profile Name None Number of clients 8 Sb Applicacitions: Application: Source Preferences Rows 0 Application: Supported Profiles Rows 1 Profile Name None Number of clients 9

254 2.7 CONFIGURACIÓN DE PUNTOS DE ACCESO INALÁMBRICOS. La ubicación de los puntos de acceso se encontraran en cada subset, y la configuración se lo realizara en los seis puntos. name: APsb name: APpb name: APmz name: APp1 name: APp2 name: APp3 APsb Wireless LAN Wireless LAN Parameters Channel Settings 1 BSS Identifier 1 APpb Wireless LAN Wireless LAN Parameters Channel Settings 4 BSS Identifier 2 APmz Wireless LAN Wireless LAN Parameters

255 Channel Settings 7 BSS Identifier 3 APp1 Wireless LAN Wireless LAN Parameters Channel Settings 11 BSS Identifier 4 APp2 Wireless LAN Wireless LAN Parameters Channel Settings 1 BSS Identifier 5 APp3 Wireless LAN Wireless LAN Parameters Channel Settings 4 BSS Identifier CONFIGURACIÓN DE ESTACIONES INALÁMBRICAS. La configuración de las estaciones de trabajo se debe asociar a cada punto de acceso anteriormente configurado, las opciones para enlazarla con el punto de acceso deben ser los mismos valores que se colocó en el dispositivo inalámbrico. Wireless LAN Wireless LAN Parameters

256 Channel Settings ## BSS Identifier ## Los valores con ## varían dependiendo el punto de acceso al que se le desea unir. 3 EJECUTAR SIMULACIÓN Para seleccionar que estadísticas de la red se desea que se visualice, se debe ir a DES ---> Choose Individual Statistics, como se muestra en la siguiente en la siguiente figura.

257 Para seleccionar que valor se desea simular, marcar la opción como se muestra en la figura. Para comenzar la simulación debemos hacer en el icono representativo al atleta corriendo, como en la siguiente figura se ilustra. Para ejecutar hacemos click en RUN

258 Para visualizar los resultados obtenidos de la simulación de la red, debemos dirigirnos a la menú DES ---- > Results ---- > View Statistics y seleccionar lo que se desea visualizar.

259 ANEXO 8 SITE SURVEY

260 RESULTADO DE ANÁLISIS DE SITIO DE RED INALÁMBRICA EN ELECTRO ECUATORIANA S.A.C.I. Las mediciones que se muestran en las siguientes figuras se realizaron para medir la intensidad de la potencia de la señal a distintas distancias y así poder verificar rangos de coberturas de equipos inalámbricos. Este análisis se realizo para irradiación de señal de manera horizontal como vertical. MEDICIONES HORIZONTALES. a) Subsuelo. Distancia: 3 metros Distancia: 6 metros. Figura 1 Medición a 3 metros en subsuelo. Figura 2 Medición a 6 metros en subsuelo.

261 b) Planta Baja. Distancia: 3 metros. Distancia: 6 metros. Figura 3 Medición a 3 metros en Planta Baja. c) Mezanine. Distancia: 9 metros. Figura 4 Medición a 6 metros en Planta Baja. Figura 5 Medición a 9 metros en Mezanine.

262 b) Primer Piso. Distancia: 6 metros. Distancia: 9 metros. Figura 6 Medición a 6 metros en Primer Piso. Figura 7 Medición a 9 metros en Primer Piso. d) Segundo Piso. Distancia: 6 metros. Figura 8 Medición a 6 metros en Segundo Piso.

263 Distancia: 9 metros. e) Tercer Piso. Distancia: 6 metros. Figura 9 Medición a 9 metros en Segundo Piso. Distancia: 9 metros. Figura 10 Medición a 6 metros en Tercer Piso. Figura 11 Medición a 9 metros en Tercer Piso.

264 MEDICIONES VERTICALES a) Subsuelo. Distancia: 3 metros. Distancia: 6 metros. Figura 12 Medición a 3 metros en Subsuelo. Figura 13 Medición a 6 metros en Subsuelo.

265 Distancia: 9 metros. b) Planta Baja. Distancia: 3 metros. Figura 14 Medición a 9 metros en Subsuelo. Figura 15 Medición a 3 metros relación piso superior en Planta Baja. Figura 16 Medición a 3 metros relación piso inferior en Planta Baja.

266 Distancia: 6 metros. Figura 17 Medición a 6 metros relación piso superior en Planta Baja. Figura 18 Medición a 6 metros relación piso inferior en Planta Baja. Distancia: 9 metros. Figura 19 Medición a 6 metros relación piso inferior en Planta Baja.

267 c) Mezanine. Figura 20 Medición a 9 metros relación piso inferior en Planta Baja. Distancia: 3 metros. Figura 21 Medición a 3 metros relación piso superior en Mezanine. Figura 22 Medición a 3 metros relación piso inferior en Mezanine.

268 Distancia: 6 metros. Figura 23 Medición a 6 metros relación piso superior en Mezanine. Figura 24 Medición a 6 metros relación piso inferior en Mezanine. Distancia: 9 metros. Figura 25 Medición a 6 metros relación piso superior en Mezanine.

269 d) Primer Piso. Figura 26 Medición a 9 metros relación piso inferior en Mezanine. Distancia: 3 metros. Figura 27 Medición a 3 metros relación piso superior en Primer Piso. Figura 28 Medición a 3 metros relación piso inferior en Primer Piso.

270 Distancia: 6 metros. Figura 29 Medición a 6 metros relación piso superior en Primer Piso. Figura 30 Medición a 9 metros relación piso inferior en Primer Piso. Distancia: 9 metros. Figura 31 Medición a 9 metros relación piso superior en Primer Piso.

271 e) Segundo Piso. Figura 32 Medición a 6 metros relación piso inferior en Primer Piso. Distancia: 3 metros. Figura 33 Medición a 3 metros relación piso superior en Segundo Piso. Figura 34 Medición a 3 metros relación piso inferior en Segundo Piso.

272 Distancia: 6 metros. Figura 35 Medición a 6 metros relación piso superior en Segundo Piso. Figura 36 Medición a 6 metros relación piso inferior en Segundo Piso. Distancia: 9 metros. Figura 37 Medición a 9 metros relación piso superior en Segundo Piso.

273 f) Tercer Piso Figura 38 Medición a 9 metros relación piso inferior en Segundo Piso. Distancia: 3 metros. Figura 39 Medición a 3 metros relación piso inferior en Tercer Piso. Distancia: 6 metros. Figura 40 Medición a 6 metros relación piso inferior en Tercer Piso.

274 Distancia: 9 metros. Figura 41 Medición a 9 metros relación piso inferior en Tercer Piso.

275 ANEXO 9 EJEMPLO DE IMPLEMENTACIÓN DE SEGURIDAD LINUX

276 CONFIGURACION RADIUS EN LINUX Para la configuración del servidor RADIUS se utilizara el paquete llamado FreeRADIUS, el cual es uno de los servidores más versátiles y más comunes en la gestión de redes. En el presente documento se basa en el protocolo de autenticación EAP-TLS. A esta combinación se lo conoce como el estándar 802.1x el cual maneja 3 elementos como son: Servidor de Autenticación: Es el servidor el cual se encarga de verificar las credenciales de los usuarios. Autenticador : Es el dispositivo que recibe la información del usuario y la traslada al servidor de autenticación comúnmente es el punto de acceso o AP Suplicante: Es el usuario quien envía lo datos para poder ser admitido en la red. Además para el paso de la información de una segura se utilizara OpenSSL, el cual será el encargado de brindar la seguridad al momento de enviar la información. REQUISITOS Equipo con Linux con distribución Centos 4.5 FreeRADIUS OpenSSL INSTALACIÓN DE OPENSSL. La instalación del paquete se lo puede realizar por medio del paquete o por medio del comando yum.

277 Comando yum. yum install opennssl Paquete El paquete se lo puede descargar de ftp.openssl.org 1. config shared - prefix=/usr/local/openssl 2. make 3. make install La instalación del paquete se realizara en /usr/local/openssl el cual contendrá todos los ficheros de OpenSSL. INSTALACIÓN DE FREERADIUS. La instalación del paquete se lo puede realizar acudiendo al sitio ftp.freeradius.org, del cual se descargara la ultima versión del paquete. A continuación, se descomprime el fichero.tar.gz y se ejecuta lo siguiente: 1../configure -with-openssl-includes=/usr/local/openssl/include -with-openssl-libraries=/usr/local/openssl/lib -prefix=/usr/local/radius 2. make 3. make install Después de la instalación, los ficheros de FreeRADIUS se instalan en los siguientes directorios: Ficheros ejecutables en /usr/local/radius/sbin Ficheros de configuración en /usr/local/radius/etc/raddb Ficheros de log en /usr/local/radius/var/log/radius Para comprobar que el servidor se instalo correctamente se verifica con el comando.

278 radiusd X Si el servidor indica Ready to process requests es que está ejecutándose correctamente. GENERACIÓN DE ARCHIVOS DIGITALES. Para la autenticación con EAP-TLS, es necesario al menos 3 certificados digitales distintos. Primero, es necesario de una autoridad de certificación que actúe como raíz de confianza y que emita el resto de los certificados. Segundo, el servidor RADIUS debe tener asociado su propio certificado para demostrar a los clientes que están solicitando el acceso a la red a través de un servidor de autenticación confiable. Tercero, cada cliente debe disponer de su propio certificado digital, el cual presentará al servidor RADIUS para demostrar su derecho de acceso. El proceso de generación se realiza de forma automática utilizando uno de los scripts que acompañan a la distribución de FreeRADIUS. En el directorio scripts del árbol del código fuente se encuentra CA.all, el cual hace uso del fichero de configuración openssl.cnf (localizado en /usr/local/openssl/ssl) para generar los tres certificados necesarios. El script CA.all utiliza dicho fichero 3 veces distintas. La primera vez produce el certificado de la CA, la segunda vez el del usuario y por último el del servidor de autenticación. Es importante introducir una palabra de paso para proteger la clave privada de los certificados generados (que más adelante se usara para configurar el cliente y el servidor). Una vez ejecutado el script, se deben generar los siguientes nueve certificados:

279 root.pem, root.p12, root.der, cert-clt.pem, cert-clt.p12, certclt.der, cert-srv.pem, certsrv.p12 y cert-srv.der. El servidor necesitará tanto root.pem como cert-srv.pem y el cliente deberá disponer de root.der y cert-clt.p12. CONFIGURACIÓN DEL SERVIDOR. Primero se debe especificar qué equipos serán los encargados de realizar las consultas al servidor FreeRADIUS, es decir los distintos puntos de acceso, los cuales se encargarán de reenviar la información recibida desde los clientes (encapsulada mediante EAPOL) hacia el servidor de autenticación. Para ello, se hace uso del fichero /usr/local/radius/etc/raddb/clients.conf, cuyas entradas tienen el siguiente formato: client <IP_puntoacceso> { secret = <clave> shortname = <alias> } <IP_puntoacceso>: Dirección IP del punto de acceso. <clave>: Clave compartida entre el punto de acceso y el servidor FreeRADIUS. Se utiliza para cifrar las comunicaciones entre estos dos elementos. <alias>: Nombre utilizado para identificar al punto de acceso en otros ficheros de configuración.

280 CONFIGURACIÓN DE USUARIOS. El fichero users, localizado en /usr/local/radius/etc/raddb/users, es el archivo que contiene la información de autenticación para cada usuario autorizado a acceder al sistema. Cada usuario tiene una entrada individual con el siguiente formato: 1. El primer campo es el nombre de usuario, hasta 253 caracteres. 2. En la misma línea, el siguiente elemento es una lista de los atributos de autenticación requeridos, como el tipo de protocolo utilizado, contraseña y número de puerto. 3. En la siguiente línea, cada usuario tiene un conjunto definido de características que permiten a FreeRADIUS proporcionar el servicio más ajustado para cada usuario. El fichero users incluye un nombre de usuario por defecto. Si no hay coincidencia explícita del nombre de usuario recibido del cliente, o si la información relativa a sus atributos era incompleta, FreeRADIUS configurará la sesión basándose en la información de la entrada por defecto. Cuando la información recibida del cliente RADIUS o punto de acceso, coincide con una de las entradas FreeRADIUS detiene el procesamiento de users. Sin embargo, es posible alterar este comportamiento poniendo el atributo Fall-Through en la entrada. En el caso no se necesita especificar una contraseña por cada usuario en las entradas del fichero users, es posible especificar que el tipo de autenticación es Auth-Type := System. En ese caso FreeRADIUS analizará la base de datos de passwords del sistema para comprobar la contraseña recibida. Dado que se hace uso de EAP-TLS, basta con incluir en líneas independientes el alias de cada uno de los clientes autorizados a acceder.

281 CONFIGURACIÓN DE LOS MÓDULOS DE AUTENTICACIÓN. En el archivo eap.conf se establece el tipo de metodo eap que se utilizara. Para este caso se utilizara el metodo de eap EAP-TTLS. Se debe cambiar el valor default_eap_type=m5 por default_eap_type= ttls y se debe quitar el carácter de comentario y se configura el modulo TTLS y el TLS. eap { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no } En este fragmento se declara el password, la ubicación de los significados del servidor y otros archivos necesarios para que los módulos funcionen. tls { private_key_password = Claveeesaci12 private_key_file = ${raddbdir}/certs/cert-srv.pem certificate_file = ${raddbdir}/certs/cert-srv.pem CA_file = ${raddbdir}/certs/root.pem dh_file = ${raddbdir}/certs/dh random_file = ${raddbdir}/certs/random fragment_size = 1024 check_crl = no check_cert_cn = %{User-Name} } El modulo tls se requiere para usar con tls se requiere para usar con ttls ya que se utiliza el túnel tls para la transmisión de los paquetes, además el modulo tls especifica los certificados del servidor los cuales son necesarios para que los clientes verifiquen. ttls {

282 default_eap_type = md5 } CONFIGURACION DE PUNTOS DE ACCESO. En la configuración de los equipos se debe dirigirse a la parte de seguridad y llenar los diferentes campos que la red lo necesita asi como se muestra en la figura 1. Modo de seguridad: RADIUS o WPA RADIUS Longitud de la clave de cifrado: 64 o 128 bits (Solo en RADIUS), es decir en 64 bits 5 letras y en 128 bits 13 letras, la clave establecida es Claveeesaci12 Dirección IP del servidor RADIUS Puerto del servidor RADIUS (por defecto es siempre el puerto 1812) Secreto compartido entre el servidor RADIUS y el punto de acceso (debe coincidir con el especificado en el apartado visto anteriormente)

283 Figura 1 Configuración de seguridad del cliente. CONFIGURACIÓN DE USUARIOS WINDOWS XP SP2. Para la instalación de los certificados en los computadores clientes se debe importar del servidor todos los ficheros que se generaron anteriormente se debe copiar al cliente los ficheros root.der y Cert-clt.p12. A continuación se seguira los siguientes pasos: 1. Doble clic sobre el fichero root.der. 2. Clic sobre la opción Instalar certificado. 3. Seleccionar Almacenar certificado en el siguiente almacén y pulsar Siguiente. 4. Seleccionar Entidades emisoras raíz de confianza.

284 5. Se nos preguntará si queremos añadir el certificado al almacén. Confirmamos. 6. Una vez instalada la autoridad de certificación, procedemos con el certificado de cliente. De nuevo empezamos con doble clic sobre el fichero cert-clt.p Se introduce la contraseña que protege el fichero (Claveeesaci12). 8. A continuación se selecciona Seleccionar automáticamente el almacén en función del tipo de certificado. Tras estos pasos, los certificados se encuentran correctamente instalados. Ahora se debe especificar que interfaz de red asociada a la tarjeta inalámbrica debe usar 802.1X para autenticarse. Para ello, en primer lugar se muestra las propiedades de la conexión, y en la pestaña de Redes inalámbricas se agrega una nueva red configurada con WPA, como se muestra en la figura 2. Figura 2 Selección de punto de acceso.

285 Se selecciona la pestaña de Autenticación y habilitamos el control 802.1X, especificando que el método EAP utilizado será Tarjeta inteligente u otro certificado, en la figura 3 se muestra que opción seleccionar. Figura 3 Selección de tipo de EAP. A continuación se debe seleccionar que certificado vamos a utilizar, en la figura 4 se muestra el listado de certificados que se han incorporado en el computador, se debe buscar el certificado de RADIUS.

286 Para ello, clic sobre Propiedades : Figura 4 Selección de certificado. En el cuadro de diálogo se debe tener la precaución de indicar qué autoridad de certificación es confiable para establecer la autenticación.

287 ANEXO 10 EJEMPLO DE IMPLEMENTACIÓN DE SEGURIDAD WINDOWS

288 SERVIDOR DE RADIUS WINDOWS 2003 A la instalación de este servidor en un equipo con Windows 2003 se lo conoce como el servicio de certificados, el cual se va a encargar de manejar la autenticación de los clientes y de los usuarios de la red inalámbrica. El protocolo de autenticación que se va a utilizar es EAP-TLS, el cual hace uso de de certificados, este protocolo de autenticación combinado con los certificados se lo conoce como el estándar 802.1x, el cual maneja 3 elementos como son: Servidor de Autenticación: Es el servidor el cual se encarga de verificar las credenciales de los usuarios. Autenticador : Es el dispositivo que recibe la información del usuario y la traslada al servidor de autenticación comúnmente es el punto de acceso o AP Suplicante: Es el usuario quien envía lo datos para poder ser admitido en la red. REQUISITOS Equipo con Windows 2003 Server Servicio de Active Directory Servicio de DNS INSTALACIÓN DE SERVICIO DE CERTIFICADO 1. En Panel de control, abrir Añadir o Quitar programas, click en Añadir o Quitar Componentes de Windows. 2. En Asistente de componentes, seleccionar Servicio de Certificado, y click en Siguiente. 3. En Tipo de CA, seleccionamos Entidad emisora raíz de la empresa. Como se muestra en la siguiente figura.

289 4. Click en Siguiente. Ingrese el nombre del certificado como por ejemplo eesaci CA en la caja de texto, y click en siguiente. 5. Click En Finalizar en la advertencia de instalación de IIS. VERIFICANDO PERMISOS DE ADMINISTRADOR PARA EL CERTIFICADO.

290 1. Click en Inicio, click en Herramientas Administrativas, y click en Entidad Certificadora de Certificados. 2. Click derecho en eesaci CA, y clieck en Propiedades. 3. En la pestaña Seguridad, click Administradores en la lista de Grupos o Nombres de Usuarios. 4. En la lista de Permisos de Administradores, y verifique que verifique que se encuentre activado permitir las opciones que se muestran en la siguiente figura. 5. Click en Aceptar para el certificado eesaci CA, y cierre la Certificación de certificado. AÑADIR COMPUTADORAS AL DOMINIO. 1. Abrir la opción Usuarios y Computadoras en Active Directory. 2. En el árbol de consola, expanda eesaci.com.

291 3. Click derecho en Usuarios, click en Nuevo, y seleccionamos Computador. 4. En el cuadro de dialogo de Computador, Ingrese el nombre del computador IAS1. Como se muestra en la siguiente figura. 5. Click en Aceptar. 6. Repetir los pasos 3 al 5 para CLIENTE1 PERMITIR EL ACCESO INALÁMBRICO A LAS COMPUTADORAS. 1. En el árbol de Usuarios y Computadoras en Active Directory, click en la carpeta Computadoras, click derecho en CLIENTE1, click en Propiedades, y click en la pestaña Marcado.

292 2. Seleccionamos acceso permitido y click en OK. AÑADIMOS USUARIOS AL DOMINIO 1. In el árbol de Usuarios y Computadoras en Active Directory, click derecho en Usuarios, click en Nuevo, y seleccionamos Usuario. 2. En la caja de dialogo de Nuevo objeto, introducimos el nombre UsuarioInalambrico. Como se muestra en la siguiente figura.

293 3. Click en Siguiente. Ingresamos una contraseña. Y seleccionamos las opciones que se dese. Como se muestra en la siguiente figura PERMITIR EL ACCESO INALÁMBRICO A LAS COMPUTADORAS. 1. En el árbol de Usuarios y Computadoras en Active Directory, click en la carpeta Usuario, click derecho en UsuarioInalambrico, click en Propiedades, y click en la pestaña Marcado.

294 2. Seleccionamos acceso permitido y click en OK. AÑADIMOS GRUPOS AL DOMINIO. 1. En el árbol de Usuarios y Computadoras en Active Directory, click derecho en Usuarios, click en Nuevo, y click en Grupo. 2. En la caja de dialogo, ingresamos UsuarioInalambrico en el Nombre del Grupo. Como se muestra en la figura. AÑADIMOS USUARIOS AL GRUPO. 1. En el árbol de Usuarios y Computadoras en Active Directory, double click en UsuariosInalambrico. 2. Click en la pestaña Miembros, y seleccionamos Añadir. 3. Buscamos el usuario al cual vamos a ingresar al grupo y lo añadimos. Como se muestra en la figura.

295 5. Y verificamos que ya se encuentre agregado al grupo deseado y hacemos click en Aceptar. IAS1 IAS1 es un computador el cual provee la autenticación RADIUS a los puntos de acceso, este servicio se lo puede levantar en el mismo controlador de dominios. 1. Instalar el Servicio de Autenticación para Internet como un servicio de red en los componentes de Windows en el panel de control.

296 2. En la carpeta Herramienta Administrativa, abrir el Servicio de Autenticación para Internet. 3. Click derecho en Servicio de Autenticación de Internet, y click en Registrar Servidor en Active Director. Como se muestra en la figura hacer click en aceptar la unión al Active Directory. CREANDO LOS CERTIFICADOS DIGITALES. 1. Crear una consola MMC en el servidor IAS. 2. Click Inicio, click Ejecutar, ingrese mmc, y aceptar. 3. En el menú Archivo, click en Añadir/ Quitar Componente, y click en añadir. 4. En el Complementos, doble click en Certificados, click en Cuenta de computadora, y Siguiente.

297 5. Click en Computer local, click Finalizar, click Cerrar, y los certificados deben quedar como se muestra en la figura. SOLICITUD DEL CERTIFICADO DEL COMPUTADOR 1. Click derecho en carpeta Personal, click todas All Tasks, click Request New Certificate, and then click Next. 2. Click Computador para ingresar el nombre del certificado, y hacemos click en Siguiente. 3. Ingresa el nombre del Certificado para IAS Certificado IAS Serveridor1, como se muestra en la figura.

298 4. Click Siguiente. En le asistente de solicitud de certificados, click Finalizar. AÑADIENDO UN PUNTO DE ACCESO A SERVIDOR RADIUS 1. En la consola de Servicios de Autenticación de Internet, click derecho en Clientes RADIUS, y click en nuevo Cliente Radius. 2. En el Asistente de Cliente Radius ingresar los datos que son requeridos. En la Dirección del cliente (IP o DNS), ingrese , como se muestra en la figura. 3. Click Siguiente. Ingrese la información necesaria para la seguridad de conexión es decir ingrese la frase compartida, como se muestra en la siguiente imagen.

299 4. Click Finalizar. CREANDO Y CONFIGURANDO POLÍTICAS DE ACCESO REMOTO. 1. En la consola de Servicios de Autenticación de Internet, click derecho Políticas de Acceso Remoto, y nueva política de acceso remoto. 2. En la pantalla de bienvenida de Políticas de acceso remoto, click Siguiente. 3. Ingrese el nombre de la política de acceso. Como se muestra en la siguiente figura.

300 4. Click Siguiente. En el método de acceso, seleccione Inalámbrico. Como se muestra en la figura.

301 6. Click Agregar. En el cuadro de dialogo seleccionar El grupo respectivo, click Localización, seleccionar eesaci.com, y click Siguiente. 7. Ingrese UsuarioInalambrico e ingrese el nombre del objeto, Como se muestra en la figura. 8. Click Siguiente. El grupo de UsuarioInalambrico debe pertenecer al dominio eesaci.com.

302 9. Click Siguiente. En el Método de Autenticación, la autenticación a escoger es Protected EAP (PEAP) configurada para usar PEAP-MS-CHAP v Click Siguiente, y finalizar el asistente. AUTENTICACIÓN EAP-TLS INSTALANDO PLANTILLAS DE CERTIFICADOS 1. Click Inicio, click Ejecutar, ingresar mmc, y ejecutar. 2. En el menú Archivo, click Añadir / Eliminar, y click en Añadir. 3. Doble click Plantilla de Certificado, click Cerrar, click en Finalizar. 4. En la consola de árbol, click en plantilla de certificado. CONFIGURANDO IAS1 PARA EAP-TLS 1. Abrir el Servicio de Autenticación de Internet.

303 2. En el árbol de consola, click Políticas de Acceso Remoto. 3. Doble click Internet para Acceso Inalámbrico. En las Propiedades de Internet para Acceso Inalámbrico. Como se muestra en la siguiente figura. 4. Click Editar Perfil, y click en la pestaña Autenticación. Como se muestra en la figura.

304 5. En la pestaña de Autenticación, click Métodos EAP. Seleccionar el proveedor EAP.. 6. Click Añadir. Seleccionar Añadir en Tarjeta inteligente u otro certificado. Como se muestra en la figura. 8. Click en Tarjeta inteligente y click en Botón Subir. 9. Click Modificar y seleccionar el certificado creado.