UNIVERSIDAD POLITECNICA SALESIANA SEDE CUENCA FACULTAD DE INGENIERIAS ESCUELA DE INGENIERIA DE SISTEMAS

Transcripción

1 ANÁLISIS, DISEÑO DE LA RED Y PLAN DE SEGURIDAD UNIVERSIDAD POLITECNICA SALESIANA SEDE CUENCA FACULTAD DE INGENIERIAS ESCUELA DE INGENIERIA DE SISTEMAS Tesis previa a la obtención del Título de Ingeniero de Sistemas ANÁLISIS, DISEÑO DE LA RED Y ELABORACIÓN DEL PLAN DE SEGURIDAD DE LA COOPERATIVA DE AHORRO Y CRÉDITO. AUTORAS: Daissy Alicia Arias Narváez Nelly Graciela Heredia Saico DIRECTOR: Ing. Vladimir Robles CUENCA - ECUADOR

2 ANÁLISIS, DISEÑO DE LA RED Y PLAN DE SEGURIDAD DECLARACIÓN DE RESPONSABILIDAD Los conceptos desarrollados, análisis realizados y las conclusiones del presente trabajo, son de exclusiva responsabilidad de las autoras. Cuenca, febrero del Daissy Arias Narváez 2

3 ANÁLISIS, DISEÑO DE LA RED Y PLAN DE SEGURIDAD CERTIFICO Que bajo mi dirección la presente tesis fue realizada por las señoritas: Daissy Alicia Arias Narváez Nelly Graciela Heredia Saico Ing. Vladimir Robles Nelly Heredia Saico 3

4 ANÁLISIS, DISEÑO DE LA RED Y PLAN DE SEGURIDAD DEDICATORIA Agradecemos a Dios por permitirnos llegar a culminar nuestros estudios. A nuestros padres y familiares por el apoyo incondicional que siempre nos han brindado y por acompañarnos en los momentos más difíciles, ya que sin ellos no hubiésemos podido terminar esta tesis. A nuestros profesores por los conocimientos que han compartido con nosotras. 4

5 ANÁLISIS, DISEÑO DE LA RED Y PLAN DE SEGURIDAD ÍNDICE DE CONTENIDOS INTRODUCCION GENERAL.3 1 CAPITULO 1: CONCEPTOS GENERALES DE REDES LAN Y MAN Introducción Redes MAN (Redes de Área Metropolitana) Red LAN (LOCAL AREA NETWORK) Diseño LAN Objetivos del diseño de una red Consideraciones en el diseño de una LAN METODOLOGÍA DE DISEÑO DE UNA LAN Obtención de los requisitos y expectativa de los usuarios Análisis de los requisitos Diseño de la estructura LAN en las capas 1,2 y 3 (topología) Dispositivos de una LAN CAPITULO II: CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMÁTICA Introducción Conceptos de seguridad Proceso para aplicar seguridad informática Impacto de la seguridad informática en la organización Seguridad lógica Seguridad en las comunicaciones Seguridad de las aplicaciones Seguridad física Políticas de seguridad Que son las políticas de Seguridad informática Parámetros para Establecer Políticas de Seguridad CAPITULO 3: DIAGNÓSTICO INICIAL DE LA EMPRESA Introducción Estado actual de la empresa Análisis de la red existente Identificación de los activos de la empresa Elaboración del Documento CAPITULO IV: ANALISIS Y LEVANTAMIENTO DE LA INFORMACION DE LA RED Ubicación de la red Análisis del tráfico Revisión del Ancho de Banda Revisión de la Tecnología existente CAPITULOV: DISEÑO DE LA RED Diseño mapa lógico de la red Diseño de la Topología de la red Diseño del mapa de direccionamiento Elaboración tabla de ruteo Diseño mapa físico de la LAN Planes de distribución de conexiones Ubicación de Cuartos de Telecomunicaciones y Equipos Elaboración del Documento

6 ANÁLISIS, DISEÑO DE LA RED Y PLAN DE SEGURIDAD 6 CAPITULO VI: DISEÑO DEL PLAN DE SEGURIDAD Introducción Análisis de los requerimientos de las aplicaciones del negocio Identificación de los activos de la empresa Análisis de los posibles riesgos y amenazas a la red Lógicos Físicos Diseño de las políticas de seguridad: Seguridad Lógica Seguridad en la Comunicaciones Seguridad Física Elaboración del documento de Políticas de Seguridad CONCLUSIONES RECOMENDACIONES BIBLIOGRAFIA ANEXOS Anexos 1: Fotografías de la empresa Anexo 2: Cableado estructurado Diseño del cableado estructurado Detalles constructivos Dispositivos Recomendaciones del cableado estructurado Normas y códigos del cableado estructurado ÍNDICE DE TABLAS Tabla 1: Direccionamiento lógico asignado a una red física Tabla 2: Tabla de direcciones de la matriz y sucursales de Tabla 3: Tabla de direcciones de los Servidores de la empresa Tabla 4: Tabla de direcciones IP de las VLANs Matriz Tabla 5: Tabla de direcciones IP de la VLAN de la agencia Cumbe Tabla 6: Tabla de direcciones IP de la VLAN de la agencia Baños Tabla 7: Tabla de direcciones IP de la VLAN de la agencia Cumbe Tabla 8: Tabla de direcciones IP de la VLAN de la agencia Cumbe Tabla 9: Tabla de ruteo de matriz Tabla 10: Tabla de ruteo de las VPNs Tabla 11: Distribución de conexiones Tabla 12: Tabla de direcciones IP y puntos de red de las agencias de

7 ANÁLISIS, DISEÑO DE LA RED Y PLAN DE SEGURIDAD INDICE DE FIGURAS Figura 1: Diagrama de una red MAN Figura 2: Segmentación Figura 3: MDF típico en una topología estrella Figura 4: Topología en estrella extendida en un campus con varios edificios Figura 5: Diagrama lógico de una red Figura 6: Conmutación asimétrica Figura 7: Conmutación Capa Figura 8: Dominios de colisión de capa Figura 9: Migración a un ancho de banda mayor Figura 10: Implementación de un Router de capa Figura 11: Implementación VLAN Figura 12: Los Routers generan estructura lógica Figura 13: Hub Figura 14: Puente Figura 15: Switch Figura 16: Router Figura 17: Detalle del proceso según el ISO Figura 18: Distribución de conexiones en la red actual (Matriz) Figura 19: Planta Baja Cooperativa de Ahorro y Crédito Figura 20: Primera Planta Figura 21: Segunda Plana Figura 22: Diagrama general de la red Figura 23: Análisis de tráfico de red IP: Figura 24: Análisis de tráfico de la red IP: Figura 25: Tecnología que utiliza Figura 26: Topología en Estrella extendida de Figura 27: Diagrama de VLAN Figura 28: Direccionamiento General de toda la Red Figura 29: Diagrama de Direccionamiento de la cooperativa Figura 30: VPNs Figura 31: Diagrama general de la red Figura 32: Fotografía de la ubicación física del Router y la centralilla Figura 33: Fotografía del acceso al router y la centralilla Figura 34: Fotografía del Departamento de Sistemas (Switch 8 puertos que conecta los servidores) Figura 35: Fotografía de la ubicación física de los Servidores Figura 36: Fotografía del cableado que tienen en el Departamento de sistemas Figura 37: Fotografía del Departamento de Sistemas Figura 38: Diseño físico Planta Baja Figura 39: Diseño físico Primera Planta Figura 40: Diseño Físico Segunda Planta Figura 41: Diseño físico de Cableado Backbone

8 ANÁLISIS, DISEÑO DE LA RED Y PLAN DE SEGURIDAD INTRODUCCION Al ser la información uno de los activos más importantes de las organizaciones es muy importante que sea manejada y empleada con mucho criterio, ya que de ello podría depender el éxito o fracaso de la empresa. La información puede ser de origen público o privado. Considerando la importancia de la información se debe emplear herramientas que faciliten el manejo y acceso al recurso informático, una de las herramientas que permite utilizar la información de manera más eficiente, rápida y confiable son las redes de computadoras, las mismas que se encuentran en un constante avance tecnológico. Una red es un conjunto de computadoras o dispositivos de procesamiento conectados entre sí en forma lógica y física con la finalidad de optimizar sus recursos y emular el proceso de un sistema de cómputo único. Al ser los Bancos y Cooperativas de Ahorro y Crédito instituciones muy importantes en nuestro medio, es necesario que tengan sucursales por la ciudad para comodidad de acceso y atención a sus clientes, y para obtener un ahorro en sus recursos tecnológicos estas utilizan las redes locales para dar servicio de conectividad y compartición de recursos en los edificios de cada sucursal. Y al ser varias sucursales es importante que se encuentren comunicadas entre si, y para lograrlo utilizan los conceptos y tecnologías de redes MAN, que no es mas que la interconexión de dos o mas redes LAN. La Cooperativa de Ahorro y Crédito Ltda., es una institución que cuenta a mas de su Matriz con cuatro Sucursales ubicadas en Sinincay, El Arenal, Baños y Cumbe, y en la actualidad no existe una comunicación directa de las sucursales con su matiz lo que dificulta la atención al cliente quienes solo podrán realizar sus transacciones en la sucursal en la que abrieron sus cuentas. 8

9 ANÁLISIS, DISEÑO DE LA RED Y PLAN DE SEGURIDAD Con el objetivo de superar estos inconvenientes y considerando que la empresa no cuenta con una documentación detallada y actualizada de la red, sea considerado necesario e importante realizar el análisis de la red existente y un diseño de la red en las sucursales faltantes para una conexión con su Matriz, lo que se llama diseño de una red MAN. Considerando que la empresa maneja información muy importante tanto para la institución como para sus clientes es necesario desarrollar un plan de seguridad. 9

10 CONCEPTOS GENERALES DE REDES LAN Y MAN 1 CAPITULO 1: CONCEPTOS GENERALES DE REDES LAN Y MAN 1.1 Introducción Las redes de Computadoras son sistemas de elementos interrelacionados que se conectan mediante un vínculo dedicado o conmutado para proporcionar una comunicación local o remota sea de voz, vídeo o datos, y para facilitar el intercambio de información entre usuarios con intereses comunes. Entre las funciones mas generales de las redes esta el compartir recursos, y uno de sus objetivos es hacer que todos los programas, datos y equipos estén disponibles para cualquier usuario de la red que así lo solicite, sin importar la localización física del recurso y del usuario. En otras palabras, el hecho de que el usuario se encuentre a miles de kilómetros de distancia de los datos, no debe evitar que éste los pueda utilizar como si fueran originados localmente. Al concepto de redes con varias computadoras en el mismo edificio se le denomina LAN 1, en contraste con lo extenso de una red que cubre grandes distancias que se le llama WAN 2, y un tipo de red que cubre mayor distancia que una LAN pero menor que de una WAN es la red MAN 3 que es utilizada para interconectar dos o mas redes LAN. Para el diseño de una red LAN se debe contar con información como los requisitos de la empresa, de los usuarios, conocer la infraestructura actual de la empresa, sus activos y dispositivos que posee para tener una idea de lo que la empresa requiere y con este poder tener un presupuesto del diseño de la red. Una vez que tenemos toda la información necesaria se procede a realizar un análisis o estudio de los beneficios que traerá la nueva red a la empresa y con esto ver si es factible o no su diseño. 1 Local Area Network. Redes de area local (operan en una area geográfica limitada como un edificio o campus.) 2 Wide Area Network: Redes de area amplia (Conectan redes de usuarios sobre un area geográfica grande.) 3 Metropolitan Area Network: Redes de area metropolitana (red que cubre un área metropolitana como una ciudad) 10

11 CONCEPTOS GENERALES DE REDES LAN Y MAN 1.2 Redes MAN (Redes de Área Metropolitana) Una MAN es una red que se extiende por un área metropolitana, como una ciudad o un área suburbana. Las MAN son redes que conectan LAN separadas por la distancia y que están ubicadas dentro de un área geográfica común. Por ejemplo un Banco con varias sucursales puede utilizar una MAN. Normalmente un proveedor de servicio conecta dos o más sitios LAN utilizando líneas de comunicación privadas o servicios ópticos. Las siguientes características diferencian a las redes MAN de las LAN y las WAN: Las MAN interconectan usuarios en un área o región geográfica más grande que la cubierta por una LAN, pero más pequeña que las cubiertas por una WAN. Las WAN conectan redes en una ciudad formando una solo red grande. Las MAN también se utilizan para interconectar varias LAN puenteándolas con líneas Backbone. Figura 1: Diagrama de una red MAN 11

12 CONCEPTOS GENERALES DE REDES LAN Y MAN 1.3 Red LAN (LOCAL AREA NETWORK) Una LAN es una red que cubre una extensión reducida como es el caso de una empresa, una universidad, un colegio, etc. No habrá por lo general dos ordenadores que disten entre si más de un kilómetro. Una configuración típica en una red de área local es tener una computadora llamada servidor de ficheros en la que se almacena todo el software de control de la red así como el software que se comparte con los demás ordenadores de la red. Los ordenadores que no son servidores de ficheros reciben el nombre de estaciones de trabajo. Estos suelen ser menos potentes y tienen software personalizado por cada usuario. La mayoría de las redes LAN están conectadas por medio de cables y tarjetas de red, una en cada equipo. 1.4 Diseño LAN El diseño de una red sigue siendo un tema complicado a pesar de la mejora en el rendimiento de los equipos y en la capacidad del medio, ya que existe una tendencia hacia entornos complejos de red compuestos por tipos distintos de medios de transmisión y de interconexión con redes externas a la propia LAN de la empresa. Y para realizar un correcto diseño de la red se debe tener presente todos estos conceptos, y sobre todo tratar de reducir las complicaciones que se pueden presentar con el crecimiento de la red. Entre los puntos mas importantes a considerar en el diseño de la red es el de asegurar velocidad y estabilidad adecuadas. Los problemas que se presentan si una red no este bien diseñada serán inconvenientes que afectan el crecimiento de la misma Objetivos del diseño de una red Una red debe tener características que la hagan fiable, manejable y escalable y para cumplirlas se debe conseguir que los componentes principales de la red tengan requerimientos de diseño diferentes para poder cumplir con el funcionamiento correcto de la red. 12

13 CONCEPTOS GENERALES DE REDES LAN Y MAN Establecer los objetivos que nos llevan al diseño de la red y documentarlos es el primer paso, los mismos que serán exclusivos a cada organización o institución y para su obtención se realizará la recopilación de información y requerimientos de la empresa y lo que esta espera de la red. Entre los objetivos mas generales a considerar en el diseño de una red tenemos: Funcionalidad: se espera que la red funcione adecuadamente y permita conocer a los usuarios sus requerimientos de trabajo, además deberá proporcionar conectividad entre usuarios y usuario-aplicación a una velocidad y fiabilidad razonable. Escalabilidad: pensando en su futuro crecimiento el diseño inicial deberá estar realizado de manera que este no afecte mucho su estructura inicial. Adaptabilidad: Su diseño debe considerar las etnologías presentes y futuras, y no debería incluir ningún elemento que pudiera limitar la implementación de las tecnologías que pudieren aparecer. Manejabilidad: La red debe ser diseñada de forma que sea fácil de monitorizar y gestionar para asegurar una estabilidad optima en su funcionamiento Consideraciones en el diseño de una LAN Con el surgimiento de nuevas tecnologías de alta velocidad como Gigabit Ethernet y arquitecturas LAN más complejas que usan conmutación y VLAN 4, las organizaciones se han visto obligadas ha actualizar sus redes, ya sea en la planificación, el diseño y la implementación de estas nuevas estructuras, para no verse afectadas por este avance tecnológico. Para maximizar el ancho de banda disponible de una LAN y su rendimiento, se debe considerar los siguientes puntos a la hora de diseñar: 4 Virtual Local Area Network 13

14 CONCEPTOS GENERALES DE REDES LAN Y MAN La ubicación y función de los servidores. La segmentación. Los dominios de difusión o Ancho de banda Función y ubicación de los Servidores Los Servidores son dispositivos que ofrecen servicios necesarios a los usuarios como compartición de ficheros, impresión, comunicación y servicios de aplicación. Además estos ejecutan sistemas operativos especializados como: Netware, Windows NT/2000/XP, UNIX y Linux. Y cada servidor suele estar dedicado a una función específica como correo electrónico, compartición de archivos, etc. Los servidores pueden ser clasificados en dos categorías; servidores de empresa y servidores de grupos de trabajo. Un Servidor de empresa ofrece servicios correo electrónico o de DNS (Sistema de Nominación de Dominio) al ser funciones centralizadas, estos son servicios que podrían ser necesarios para cualquier empleado de la organización. Un servidor de grupo de trabajo soporta a un conjunto específico de usuarios ofreciéndoles solo los servicios que estos pudieran necesitar. La ubicación de los servidores de la empresa deberá ser en el MDF (Armario de Distribución Principal), de esta manera se evitará trafico innecesario ya que tiene que viajar hacia el MDF y no recorrer otras redes. Los servidores de los grupos de trabajo deberían estar situados en los IDF (Armario de distribución intermedia), cercanas a los usuarios que utilizan las aplicaciones de dichos servidores, de esta manera el trafico solo debe recorrer el tramo de red hasta llegar al IDF sin afectar al resto de usuarios. Dentro de los MDF y los IDF, los Switches LAN de la capa 2 deberían tener asignados 100 Mbps o más para estos servidores. 14

15 CONCEPTOS GENERALES DE REDES LAN Y MAN Segmentación La segmentación es le proceso de dividir un único dominio de colisión en dos o más dominios de colisión de ancho de banda. Los dispositivos de capa 2 (capa de enlace de datos), es decir los puentes o switches pueden utilizarse para segmentar la topología de una red y crear dominios de colisión separados, lo que hace que aumente el ancho de banda disponible en cada estación. Figura 2: Segmentación La escalabilidad de un dominio de ancho de banda depende de la cantidad total de tráfico. Es importante recordar que los puentes y switches reenvían tráfico de difusión, mientras que los routers no lo hacen de manera habitual Dominios de Difusión (Ancho de Banda) Un dominio de ancho de banda es todo aquello asociado con un puerto de un puente o switch. En el caso de un switch Ethernet, estos dominios también reciben el nombre de dominios de colisión. Un switch puede crear un dominio de ancho de banda por puerto. Las estaciones incluidas en uno de los dominios compiten por el mismo ancho de banda. Todo el tráfico procedente de cualquier host del dominio de ancho de banda es visible al resto de hosts. En el caso de un dominio de colisión Ethernet, dos estaciones pueden transmitir a la vez, lo que da como resultado una colisión. 15

16 CONCEPTOS GENERALES DE REDES LAN Y MAN 1.5 METODOLOGÍA DE DISEÑO DE UNA LAN Para un correcto diseño de una LAN y que esta sirva a las necesidades de sus usuarios, es necesario que esté diseñada de acuerdo a una serie de pasos sistemáticos planificados: 1 Obtención de los requisitos y expectativas de los usuarios. 2 Análisis de los requisitos. 3 Diseño de la estructura LAN en las capas 1,2 y 3 (topología). 4 Documentación de la implementación lógica y física de la red Obtención de los requisitos y expectativa de los usuarios El primer paso del diseño de una red es la obtención de los datos sobre la estructura de la organización, se puede incluir información sobre la historia y el estado actual de la empresa, el crecimiento previsto, las normas de funcionamiento, los procedimientos administrativos, los procedimientos y sistemas de oficina y sobre todo los puntos de vista de las personas que utilizarán la red, así como las necesidades de todos los usuarios que estén o no involucrados con el funcionamiento de la LAN. Se debe tener presente las siguientes cuestiones: Quiénes utilizarán la red? Cuál es su nivel de experiencia? Cuales son sus aptitudes hacia las computadoras y las aplicaciones? Estas preguntas ayudarán a saber cual es el nivel de conocimiento del personal de la empresa y así determinar el tipo de capacitación que se les deberá dar a los usuarios que manejaran la red. El proceso de obtención de información ayudará a identificar los problemas que tiene la empresa. Se debe identificar los datos y operaciones críticos, ya que estos son considerados como información clave y el acceso a ellos es crítico en el desarrollo diario de la misma. Lo que sigue es determinar quien tendrá autoridad sobre el direccionamiento, la denominación, el diseño de la topología y la configuración. 16

17 CONCEPTOS GENERALES DE REDES LAN Y MAN Dependiendo de la empresa estas podrán tener un Departamento de Sistemas de Información de Administración (MIS) Central o Departamentos MIS 5 pequeños que deben delegar autoridad a otros departamentos. Algunas empresas tienen un departamento de sistemas de información de administración (MIS) central que controla todo. Otras empresas tienen departamentos MIS pequeños que deben delegar autoridad a otros departamentos. Las empresas cuentan con dos tipos generales de recursos administrativos: los recursos de hardware/software y los recursos humanos, los mismos que pueden afectar en la implementación de un nuevo sistema LAN. Para evitar esto se debe documentar todo el hardware y software que posee la empresa y el que necesita, se debe analizar como se encuentran, enlazan, comportan estos recursos y revisar los recursos financieros que la empresa dispone. La documentación de toda esta información ayudará a estimar costos y desarrollar un presupuesto para la LAN y conocer los problemas de actualización de la red existente Análisis de los requisitos. El siguiente paso en el diseño de una red consiste en analizar los requisitos de la red y de sus usuarios obtenidos en el paso anterior, se debe considerar que las necesidades de los usuarios van cambiando continuamente ya que el avance de la tecnología crece en forma exponencial. La evaluación de los requisitos de los usuarios es un componente muy importante en la fase de diseño ya que una LAN que no ofrece a sus usuarios información puntual y precisa es de poca utilidad, por tanto es indispensable asegurarse de conocer todos los requisitos y necesidades de la empresa y sus trabajadores para evitar diseñar redes obsoletas. 5 Management Information System (Sistema de Información Gerencial) 17

18 CONCEPTOS GENERALES DE REDES LAN Y MAN Factores que afectan a la disponibilidad de la Red Teniendo en cuenta que la disponibilidad es uno de los factores que mide la utilidad de la red debemos considerar las cosas que la afectan: Rendimiento Tiempo de Respuesta Acceso a recursos Existen diferentes definiciones de disponibilidad, y estas dependerán de los que los clientes buscan, así por ejemplo si se requiere transportar voz y video por la red, estos servicios necesitan mayor ancho de banda del que posee la red, la solución sería añadir mas recursos, pero esta actividad conlleva más costos. El diseño de la red busca ofrecer la mayor disponibilidad al menor coste Diseño de la estructura LAN en las capas 1,2 y 3 (topología). Diseño de la Topología física de la red Una vez que tenemos los requisitos globales de la red, el siguiente paso es decidir la topología general de la red, la misma que debe satisfacer los requisitos de los usuarios. Considerando las topologías que mas se usan en el mercado nos centraremos en dos topologías Topología en Estrella y Topología en Estrella extendida. Estas topologías utilizan tecnología Ethernet (CSMA/CD) 6. Las partes más importantes del diseño de una topología LAN pueden dividirse en tres categorías únicas del modelo de referencia OSI: la capa de red, la capa de enlace de datos y la capa física Diseño de Capa 1 En este punto se examinará las topologías en estrella y estrella extendida de la capa 1. Se analizará los componentes más importantes que se deben considerar al diseñar una red como son: 6 Carrier Sense Multiple Access with Collision Detection (método de control al medio) 18

19 CONCEPTOS GENERALES DE REDES LAN Y MAN El cableado físico: se debe analizar el tipo de cableado a utilizar (UTP 7, cobre o Fibra óptica) y la estructura global del cableado. Si se esta diseñando una red nueva o recableado una existente se debe utilizar cable de Fibra Óptica en el Backbone y como mínimo cable UTP categoría 5 en los tendidos horizontales. Se debe considerar las normas mas recientes sobre UTP de categoría 5e y 6. Se debe tomar en cuenta el tiempo de vida para el cual se diseña la red y según esto elegir la calidad del cable. Además de esto las empresas deben garantizar que los sistemas están conforme a las normas industriales definidas, como las especificaciones TIA/EIA-568-B 8. La norma TIA/EIA-568-B especifica que cada dispositivo conectado a una red debe estar enlazado a una ubicación central mediante cableado horizontal Para la identificación de los MDF e IDF se debe determinar cuantos recintos de cableado se va ha necesitar; se requiere mas de uno cuando las grandes redes se encuentran fuera del limite de los 100 metros del UTP de categoría 5. Al haber varios recintos se crean varias áreas de captación. Los MDF incluyen uno o mas patch panels HCC (conexión cruzada horizontal) Figura 3: MDF típico en una topología estrella 7 Par trenzado sin apantallar 8 Norma de cableado 19

20 CONCEPTOS GENERALES DE REDES LAN Y MAN Los recintos de cableado principal se conocen como MDF y los secundarios como IDF, la conexión de los IDFs al MDF es mediante cableado vertical denominado cableado Backbone, como se indica en la figura 4. Figura 4: Topología en estrella extendida en un campus con varios edificios Y para interconectar los IDF externos con el MDF utiliza una conexión cruzada vertical (VCC) y como normalmente la longitud de los cables verticales supera los 100m de UTP de categoría 5, se utiliza fibra óptica. La norma Fast Ethernet tiene diferentes normas basadas en el hilo de pares de cobre (100BASE-TX) y en cable de fibra óptica (100BASE-FX) y se utilizan para conectar el MDF al IDF. Ethernet conmutada 10BASE-TX Ethernet de escritorio y los backbone Fast Ethernet son probablemente muy adecuadas para los requisitos de ancho de banda de muchas redes. Pero las redes más nueva podrían optar por Gigabit Ethernet con fibra para el cableado vertical y por Fast Ethernet con categoría 5e en los enlaces horizontales. A continuación se muestra el Diagrama lógico que es el de topología de red sin los detalles de la trayectoria de la instalación del cableado. Este es el mapa básico de la LAN. 20

21 CONCEPTOS GENERALES DE REDES LAN Y MAN Figura 5: Diagrama lógico de una red Los elementos del diagrama lógico incluyen: Las localizaciones exactas de los recintos de cableado MDF e IDF. El tipo y la cantidad de cableado utilizado para interconectar los IDFs con el MDF. La documentación detallada de todos los tendidos de cable (figura 5.37), los números de identificación y en que puerto de la HCC termina el tendido Diseño de la capa 2 Entre los dispositivos de la capa 2 tenemos al Switch LAN, estos dispositivos determinan el tamaño de los dominios de colisión y de difusión. En este punto se verá la implementación de la conmutación LAN en capa 2. Con la Conmutación LAN se puede microsegmentar la red, eliminando las colisiones y reduciendo el tamaño de los dominios de colisión. La microsegmentación significa utilizar switches para mejorar el rendimiento de un grupo de trabajo o de un backbone. Entre las características importantes del Switch LAN tenemos la conmutación asimétrica es decir que puede asignar ancho de banda sobre una base por puerto que 21

22 CONCEPTOS GENERALES DE REDES LAN Y MAN permite así mas ancho de banda para el cableado vertical, los enlaces ascendentes y los servidores. Además la conmutación asimétrica permite conexiones conmutadas entre puertos de distinto ancho de banda, por ejemplo una combinación de puertos a 10 Mbps y a 100 Mbps o una combinación de 100 Mbps y a 1000 Mbps. Servidor Enlace ascendente a 100Mbps hasta el MDF (cableado vertical) 10 Mbps 10 Mbps Cableado Horizontal Conmutación asimétrica Figura 6: Conmutación asimétrica Si se instala conmutación LAN en el MDF y los IDF, y el cableado vertical entre el MDF y los IDF, el cableado vertical transportará todo el tráfico de datos entre el MDF y los IDF y al ser cableado backbone tendrá mayor capacidad que la de los tendidos entre los IDF y las estaciones de trabajo. En los tendidos de cableado horizontal se utiliza UTP de categoría 5 o superior, teniendo en cuenta que ninguna derivación de cable debe superar los 100 metros, que permiten enlaces a 10, 100 o 1000 Mbps. Al permitir los switch LAN asimétricos mezclar en un solo switch puertos a 10 Mbps y 100 Mbps o puertos a 100 Mbps y 1000Mbps, se debe determinar el número de puertos a 10Mbps, 100Mbps y a 1000 Mbps necesarios en el MDF y en cada IDF. La determinación del número de puertos de Switch LAN dependerá de los requisitos de los usuarios, los mismos que serán referentes al número de derivaciones de cable horizontal por sala y al número de derivaciones en cualquier área de captación, junto con el número de tendidos de cable vertical. 22

23 CONCEPTOS GENERALES DE REDES LAN Y MAN Figura 7: Conmutación Capa 2 Tamaño de un Dominio de Colisión Para determinar el tamaño de un dominio de Colisión se debe determinar el número de hosts conectados físicamente a cualquier puerto de un switch. Otra forma de implementar la conmutación LAN es instalar hubs LAN compartidos en los puertos del switch y conectar varios hosts a un solo puerto del switch como se muestra en la figura. Figura 8: Dominios de colisión de capa 2 Los hubs de medio compartido se utilizan normalmente en un entorno de switch LAN para crear más punto de conexión final de los tendidos de cable horizontal, esta 23

24 CONCEPTOS GENERALES DE REDES LAN Y MAN es una solución aceptable siempre que se asegure que los dominios de colisión sean pequeños y que los requisitos de ancho de banda al host se cumplan de acuerdo a los requerimientos obtenidos en la fase de obtención de información del proceso de diseño de la red. Dispositivos de capa 2 Los hubs, switch y los puentes están clasificados como dispositivos de capa 2 en el modelo OSI La segmentación es una técnica que ayuda a garantizar que no se degrade el rendimiento de una red al crecer. Los usuarios se impacientan cuando una aplicación no se ejecuta rápidamente, y una de las formas más eficaces de solucionar este problema de la congestión es dividir la red en segmentos más pequeños, y esto lo pueden hacer los segmentos físicamente, utilizando un puente o un switch para limitar el número de dispositivos en el segmento de red. Switch: concentra la conectividad, mientras consigue que la transmisión de datos sea más eficaz. Hub Ethernet: todos los puertos se conectan a un plano trasero común o conexión física dentro del hub, y todos los dispositivos que están conectados al hub comparten el ancho de banda de la red. Para conmutar tramas de forma eficaz entre las interfaces, el switch mantiene una tabla de direcciones y cuando una trama entra en el switch, éste asocia la dirección MAC de la estación emisora (origen) con la interfaz que la recibió. Las principales funciones de los Switches Ethernet son: Asistir el tráfico entre segmentos Conseguir mas ancho de banda por usuario creando dominios de colisión mas pequeños. 24

25 CONCEPTOS GENERALES DE REDES LAN Y MAN Los switches Ethernet filtran el tráfico direccionando los datagramas hacia el puerto correcto basándose en las direcciones MAC 9 de capa 2. La segunda función de un switch es garantizar que cada usuario tiene más ancho de banda mediante la creación de dominios de colisión más pequeños. Un Switch Fast Ethernet permite la segmentación de una LAN, dotando a cada segmento de un enlace de red dedicado de hasta 1000 Mbps. Con frecuencia en las redes actuales los switch Fast Ethernet o Giga Ethernet actúan como Backbone de la LAN. En la actualidad las empresas se encuentra en constante crecimiento, y a medida que la red crece, la necesidad de ancho de banda también. En el cableado vertical entre el MDF y los IDF, las fibras ópticas no utilizadas se pueden conectar desde la VCC hasta los puertos a 100 Mbps del switch. A continuación la red que se muestra duplica la capacidad del cableado vertical de la red al haber otro enlace. Figura 9: Migración a un ancho de banda mayor 9 MAC: Control de Acceso al Medio 25

26 CONCEPTOS GENERALES DE REDES LAN Y MAN Diseño de la capa 3 Los routers son dispositivos de capa 3 (capa de red) se pueden utilizar para crear segmentos LAN únicos y permitir la comunicación entre segmentos basándose en el direccionamiento de la capa 3, como el direccionamiento IP. La implementación de estos dispositivos permite la segmentación de la LAN en redes físicas y lógicas únicas. Los routers también se utilizan para la conexión con redes de área amplia (WAN) como Internet. Figura 10: Implementación de un Router de capa 3 El router determina el flujo de tráfico entre los segmentos de red físicos únicos basándose en el direccionamiento de la capa 3, como la red y la subred IP. El router reenvía paquetes de datos basándose en las direcciones de destino, por lo que es considerado el punto de entrada y de salida de un dominio de difusión e impide que las difusiones alcancen otros segmentos de la LAN. Conocer el número total de difusiones, como las peticiones de ARP (protocolo de resolución de direcciones) es muy importante en la red y mediante VLAN (LAN Virtuales) se puede limitar el tráfico de difusión al interior de una red y crear dominios de difusión más pequeños. Las VLAN se pueden utilizar también para proporcionar seguridad a la red al crear grupos VLAN según su función. 26

27 CONCEPTOS GENERALES DE REDES LAN Y MAN Figura 11: Implementación VLAN Una de las características de los routers es que proporcionan escalabilidad por que pueden servir como Firewall para las difusiones. Considerando que las direcciones de capa 3 normalmente tienen estructura, los routers pueden ofrecer mayor escalabilidad dividiendo las redes y subredes, añadiendo así estructura a dichas direcciones. Figura 12: Los Routers generan estructura lógica En el grafico se muestra como se puede producir una mayor estructura y escalabilidad en las redes. 27

28 CONCEPTOS GENERALES DE REDES LAN Y MAN Tabla 1: Direccionamiento lógico asignado a una red física Una vez que las redes se han dividido en subredes, se debe desarrollar y documentar el esquema de direccionamiento IP que se utilizará en la red. El direccionamiento y el enrutamiento del protocolo de red proporcionan escalabilidad integrada. Cuando se esta decidiendo en utilizar routers o switch se debe considerar cual es el problema que se espera solucionar con la implementación de uno de ellos. Así si e el problema esta relacionado con el protocolo y no con la contención lo más adecuado son los routers. Características de los Routers.- Estos dispositivos solucionan problemas relacionados con: Difusiones excesivas Los protocolos que no escalan bien Se pueden utilizar para crear subredes IP a fin de añadir estructura a las direcciones Temas de seguridad y El direccionamiento de la capa de red. Sin embargo se debe considerar que son más caros y difíciles de configurar. 28

29 CONCEPTOS GENERALES DE REDES LAN Y MAN 1.6 Dispositivos de una LAN HUBS El propósito de los hubs es regenerar y retemporizar las señales de red. Esto se realiza a nivel de los bits para un gran número de hosts utilizando un proceso denominado concentración. Podrá observar que esta definición es muy similar a la del repetidor, es por ello que el hub también se denomina repetidor multipuerto. La diferencia es la cantidad de cables que se conectan al dispositivo. Figura 13: Hub PUENTE Un puente es un dispositivo de capa 2 (ya pasamos de capa) diseñado para conectar dos segmentos LAN. El propósito de un puente es filtrar el tráfico de una LAN, para que el tráfico local siga siendo local, pero permitiendo la conectividad a otras partes (segmentos) de la LAN para enviar el tráfico dirigido a esas otras partes. Figura 14: Puente SWITCH Un switch, al igual que un puente, es un dispositivo de capa 2. De hecho, el switch se denomina puente multipuerto, igual que antes cuando llamábamos al hub "repetidor multipuerto". La diferencia entre el hub y el switch es que los switches toman decisiones basándose en las direcciones MAC y los hubs no toman ninguna decisión. Como los switches son capaces de tomar decisiones, hacen que la LAN sea mucho más eficiente Figura 15: Switch 29

30 CONCEPTOS GENERALES DE REDES LAN Y MAN ROUTER El router es el primer dispositivo con que se trabaja que pertenece a la capa de red del modelo OSI, o sea la Capa 3. Al trabajar en la Capa 3 el router puede tomar decisiones basadas en grupos de direcciones de red en contraposición con las direcciones MAC de Capa 2 individuales. Los routers también pueden conectar distintas tecnologías de Capa 2, como por ejemplo Ethernet, Token-ring y FDDI (fibra óptica). Sin embargo, dada su aptitud para enrutar paquetes basándose en la información de Capa 3, los routers se han transformado en el núcleo de Internet, ejecutando el protocolo IP. Figura 16: Router 30

31 CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA 2 CAPITULO II: CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMÁTICA. 2.1 Introducción Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de los activos de la empresa, y por más pequeño que sea el problema que las afecte, este puede llegar a comprometer la integridad, disponibilidad y confidencialidad de la información. Se debe considerar las técnicas y herramientas de seguridad existentes ya que representan un componente muy importante para la protección de los sistemas, que sirve a los responsables de la red para llevar una vigilancia continua y sistemática de los sistemas de redes. Con la elaboración de este material nos proponemos facilitar cada una de las tareas de aquellos que se encuentran actualmente involucrados en las decisiones respecto de las redes de información y de sus modos de administración, a su vez también pretendemos alertar sobre la importancia que se le debe dar a la seguridad debido a las amenazas cada vez mayores a las que la información se encuentra expuesta. En el presente capítulo cubriremos temas como la importancia de la seguridad en las organizaciones, seguridad física, seguridad lógica, planes y políticas de seguridad, etc. 2.2 Conceptos de seguridad La seguridad informática ha adquirido una mayor atención en las organizaciones con la finalidad de mantener la confidencialidad, integridad y confiabilidad de la información debido a las cambiantes condiciones y las nuevas plataformas de computación disponibles. Además comprende aspectos relacionados con políticas, estándares, controles, valoración de riesgos, capacitación y otros elementos necesarios para la adecuada administración de los recursos tecnológicos y de la información que se maneja por esos medios. 31

32 CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA En este sentido, las políticas de seguridad informática (PSI) surgen como una herramienta organizacional para concienciar a cada uno de los miembros de la organización sobre la importancia y la sensibilidad de la información y servicios críticos que favorecen el desarrollo de la organización y su buen funcionamiento Proceso para aplicar seguridad informática Es aconsejable que toda empresa cuente con una serie de procesos basadas en normas como la ISO para la implantación y administración de la seguridad, con el fin de minimizar los posibles riesgos y llevar un control apropiado de los recursos tecnológicos y de la información. Los procesos basados en la norma ISO son los siguientes: Figura 17: Detalle del proceso según el ISO Paso 1: Obtener apoyo de Administración Superior Se debe contar con el apoyo de alta dirección para la implementación de normas, políticas y procedimientos de seguridad (ISO 17799) con el fin de proteger la confidencialidad, integridad y disponibilidad de la información escrita, almacenada, y transferida. Paso 2: Definir perímetro de seguridad Es necesario definir el perímetro o dominio de seguridad, el mismo que no siempre cubre toda su área. Sin embargo, éste debe estar bajo el control de la organización. 32

33 CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Paso 3: Crear Políticas de Seguridad de Información Se debe crear políticas de seguridad que denote el compromiso de la gerencia con la seguridad de la información. Este documento contiene la definición de la seguridad bajo el punto de vista de cierta entidad. Paso 4: Crear Sistema de Administración para la Seguridad de Información (ISMS) El ISMS define el perímetro de seguridad y provee una guía que detalla las estrategias de seguridad de información para cada una de las 10 áreas de control definidas por el ISO 17799, las cuales se mencionan a continuación: 1. Políticas de Seguridad. Orientadas al apoyo, compromiso y dirección en el cumplimiento de las metas de seguridad de la administración. 2. Seguridad organizacional. Dirigido a la necesidad de la administración de enmarcar, crear mantener y administrar la infraestructura de seguridad. 3. Control y clasificación de recursos 4. Seguridad del personal 5. Seguridad física y ambiental 6. Administración de la comunicación y operación 7. Controles de acceso 8. Desarrollo y mantenimiento de sistemas 9. Administración de la continuidad del negocio 10. Cumplimiento Paso 5: Realizar Matriz de riesgo La creación de esta matriz ayuda a evaluar los riesgos y vulnerabilidades, además, las identifica y cuantifica. Adicionalmente, se pueden seleccionar controles para evitar, transferir o reducir el riesgo a un nivel aceptable. Los caminos para la evaluación del riesgo son: Identificar los recursos dentro del perímetro de seguridad Los recursos tienen que ser identificados y establecer un responsable. Un valor relativo debe ser acordado de tal forma que se pueda establecer la importancia y permita determinar el riesgo. 33

34 CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Identificar las amenazas a los recursos Las amenazas de cada recurso deben ser identificadas y el riesgo debe ser realista. Solo las amenazas que tienen una probabilidad significativa de un daño exagerado deben ser consideradas. Identificar vulnerabilidades a los recursos Vulnerabilidades son deficiencias en los recursos que pueden ser explotadas por las amenazas para crear un riesgo. Un recurso puede tener múltiples vulnerabilidades. Determinar una probabilidad realista La probabilidad para cada combinación de amenaza y vulnerabilidad debe ser determinada, y las probabilidades estadísticas insignificantes deben ser ignoradas. Calcular el daño El impacto debe ser cuantificado numéricamente para reflejar el perjuicio de una amenaza exitosa. Este valor permite evaluar en una escala la seriedad de un determinado riesgo, independientemente de la probabilidad. Calcular el riesgo Matemáticamente, el riesgo se puede expresar como: Probabilidad x Daño = Riesgo. Los resultados de este cálculo permitirán valorar el riesgo de un determinado recurso para un número dado de amenazas y vulnerabilidades. Esta numeración permite priorizar los recursos finitos para la mitigación del riesgo. Paso 6: Seleccionar e implementar controles La selección de controles dependerá de la disponibilidad de recursos y la habilidad de la administración para aceptar ciertos riesgos en vez de implementar controles. Paso 7: Crear Declaración de Aplicabilidad Una Declaración de Aplicabilidad es una porción del documento ISMS y documenta como los riesgos identificados en la matriz de riesgos de seguridad son mitigados por la sección de control. 34

35 CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Paso 8: Auditar La auditoria revisa la implementación de la infraestructura de seguridad de la información y el cumplimiento de la misma Impacto de la seguridad informática en la organización Hoy en día uno de los mayores retos que tienen las organizaciones, y en especial los Departamentos de Sistemas e Informática, es garantizar la seguridad de la información y de los recursos informáticos. Por tanto, la implementación de sistemas de seguridad conlleva a incrementar la complejidad en las operaciones de la organización tanto a nivel técnico como administrativo. Además cabe recalcar que la mayoría de usuarios particulares y de empresas poseen la percepción de que la seguridad de la información es una tarea difícil de aplicar, que exige gran cantidad de dinero y de tiempo. En realidad, con muy poco esfuerzo se puede alcanzar un nivel de seguridad razonable, capaz de satisfacer las expectativas de seguridad de particulares, de pequeñas y medianas empresas. 2.3 Seguridad lógica La seguridad lógica consiste en la aplicación de defensas y procedimientos para proteger el acceso a los datos y que sólo les permita acceder a las personas autorizadas. Para que un sistema se pueda definir como seguro debemos de dotar de tres características al mismo: Integridad, Confidencialidad y Disponibilidad. Identificación de usuarios Deberá existir una herramienta para la administración y el control de acceso a los datos, para lo cual es necesario la aplicación de medidas de seguridad que permitan identificar si los usuarios tienen o no permisos de acceso a las diferentes aplicaciones. 35

36 CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Autenticación de usuarios Es el proceso de determinar si una persona o una empresa están autorizadas para llevar a cabo una acción dada. Passwords Los passwords o contraseñas son generalmente utilizados para realizar la autenticación del usuario y sirven para proteger los datos y aplicaciones, garantizando que el acceso lógico al equipo este restringido por procedimientos y políticas de acceso. 2.4 Seguridad en las comunicaciones Comunicaciones externas Es necesario que la empresa cuente con la implementación de procedimientos pertinentes para el control de las actividades de usuarios externos del organismo a fin de garantizar la adecuada protección de los bienes de información de la organización Configuración lógica de red El riesgo aumenta con el número de conexiones a redes externas; por lo tanto, la conectividad debe ser la mínima necesaria para cumplir con los objetivos de la empresa. Antivirus Con respecto al software malicioso, tal como los virus computacionales o Caballos de Troya, se deberá establecer un marco de referencia de adecuadas medidas de control preventivas, detectivas y correctivas. Firewall La empresa al estar conectada con Internet u otras redes públicas se debe contar con la apropiada configuración de los sistemas Firewall para controlar cualquier acceso no autorizado a los recursos internos. Además, se deberá controlar en ambos sentidos cualquier flujo de administración de infraestructura y de aplicaciones y proteger en contra de negación o ataques de servicio. 36

37 CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Ataques de red Se considera ataque a la red a cualquier acceso forzado por parte de usuarios no autorizados que accedan con la intensión de provocar daños a la misma. 2.5 Seguridad de las aplicaciones Software Se debe asegurar que la instalación del software del sistema no arriesgue la seguridad de los datos y programas ya almacenados en el mismo. Deberá ponerse gran atención a la instalación y mantenimiento de los parámetros del software del sistema. Determinar las características del sistema operativo de los servidores Seguridad de bases de datos Es la capacidad que tienen los usuarios para acceder y cambiar los datos de acuerdo a las políticas del negocio, o de acuerdo las decisiones de los encargados de la seguridad. 2.6 Seguridad física La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático, para lo cual se considera necesario la aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial. Control de acceso a equipos Se debe llevar un control de acceso a los equipos, a usuarios no autorizados que puedan acceder a estos con intensiones de ocasionar daños, tales como robo, daño físico y acceso a información no autorizada. Dispositivos de soporte Todos estos dispositivos deberán ser evaluados periódicamente por personal encargado del Mantenimiento, también es necesario contar con procedimientos 37

38 CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA detallados a seguir en caso de emergencias, indicando responsables, quiénes deben estar adecuadamente capacitados. Estructura del edificio La estructura del edificio de la empresa debe contar con medidas de seguridad que protejan a los activos de la empresa de daños físicos y lógicos que puedan atentar contra la integridad de los dispositivos que forman parte del Sistema de Información. 2.7 Políticas de seguridad Que son las políticas de Seguridad informática. Las políticas de seguridad informática son las reglas y procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de diferentes daños. Su auge ha sido estimulado por la explosión de tecnologías de manejo de información, son los directivos, junto con lo expertos en tecnologías de la información, quienes deben definir los requisitos de seguridad, identificando y priorizando la importancia de los distintos elementos de la actividad realizada, recibiendo de esta manera una mayor atención los procesos de mayor importancia para la empresa. Por ello, las políticas representan la manera más definitiva que la gerencia puede utilizar para demostrar la importancia de la Seguridad Informática, y que los trabajadores tienen la obligación de prestar atención a la misma Parámetros para Establecer Políticas de Seguridad Es importante que al momento de formular las políticas de seguridad informática, se consideren por lo menos los siguientes aspectos: Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las políticas a la realidad de la empresa. 38