Final

INSTITUTO TECNOLOGICO DE OAXACA

INFORME FINAL DE RESIDENCIA PROFESIONAL

17 DE ENERO DEL 2012

DATOS GENERALES

NOMBRE DEL ALUMNO(A):

FLORES GARCIA ADRIANA PILAR

NUMERO DE CONTROL:

07160374

DOMICILIO:

ENRIQUE PESTALOZZI 207 COL. DEL MAESTRO

CARRERA:

ING. ELECTRONICA

FECHA DE INICIO DE LA RESIDENCIA PROFESIONAL:

29 DE AGOSTO DEL 2011

FECHA DE TERMINACION DE LA RESIDENCIA PROFESIONAL:

28 DE DICIEMBRE DEL 2011

LUGAR DE ADSCRIPCION:

C&H EMPRESARIAL S.A de C.V

NOMBRE DEL PROYECTO:

ESQUEMAS DE ALTA DISPONIBILIDAD EN SISTEMAS DE COMUNICACIN APLICADO EN CENTROS DE DATOS

Revis y Aprob

ING. MARTIN VIDAL REYES

INTRODUCCION JUSTIFICACION OBJETIVOS GENERAL ESPECIFICOS CARACTERIZACION DEL AREA AREA DE SISTEMAS PROBLEMTICA ALCANCES Y LIMITACIONES DE LOS ALCANCES DE LAS LIMITACIONES CAPITULO I FUNDAMENTO TEORICO 1.1 FUNDAMENTO TEORICO 1.2 LAS COMUNICACIONES 1.3 SISTEMAS DE COMUNICACIN 1.4 REDES DE DATOS 1.4.1 OBJETIVOS 1.4.2 COMPONENTES 24 1.4.3 TOPOLOGIAS 1.4.4 PROTOCOLOS 1.4.5 MODELOS DE NETWORKING 1.4.6 TIPOS 1.5 SECURIDAD PERIMETRAL 1.5.1 FIREWALLS 1.5.2 ZONAS DESMILITARIZADAS 1.5.3 FORMAS DE PROTEGER UNA RED 1.6 CENTROS DE DATOS 1.6.1 UBICACIN GEOGRAFICA 1.6.2 SEGURIDAD 1.6.3 DISEO DE UN CENTRO DE DATOS 1.7 ENLACES DEDICADOS 1.8 ALTA DISPONIBILIDAD EN LOS SISTEMAS DE COMUNICACIN 1.8.1 DISPONIBILIDAD DE DATOS 1.8.2 RAZONES PARA LA IMPLEMENTACION DE ALTA DISPONIBILIDAD EN CPDS CAPITULO II PROCEDIMIENTO Y DESCRIPCION DE LAS ACTIVIDADES REALIZADAS 2.1 DEFINICION Y DIMENSIONAMIENTO DEL PROYECTO 2.1.1 DEFINICIN Y REQUERIMIENTOS DEL PROYECTO 2.1.2 DIMENSIONAMIENTO DE EQUIPO DE COMUNICACIONES 2.1.3 REVISIN DE HOJAS TCNICAS Y MANUALES DE USUARIO DE QUIPOS SELECCIONADOS 2.2 DISEO DE ESQUEMA DE COMUNICACIONES 2.2.1 DIMENSIONAMIENTO DE ENLACES 2.2.2 SEGMENTACIN DE RED Y DISEO LGICO 2.2.3 DEFINICIN DE POLTICAS INICIALES 2.2.4 DISEO INICIAL DE TOPOLOGA 2.3 PRE-CONFIGURACIN DE ESQUEMA DE COMUNICACIONES 2.3.1 CONFIGURACIN DE CAPA DE ACCESO

7 9 10 10 10 11 14 15 18 18 19 20 20 20 22 23 23

27 28 29 33 38 38 42 44 44 45 47 48 49 50 51 55 56 57 57 59 62 68 69 70 72 73 75 76

2.3.2 2.3.3 2.4

CONFIGURACIN DE ESQUEMA PARA SEGURIDAD PERIMETRAL CONFIGURACIN DE ENLACES Y EQUIPOS DE INTERCOMUNICACIN DISEO Y CONFIGURACIN DE ALTA DISPONIBILIDAD EN EL SISTEMA DE COMUNICACIONES 2.4.1 DISEO PARA ESQUEMAS DE ALTA DISPONIBILIDAD 2.4.2 CONFIGURACIN DE CLUSTER DE FIREWALLS 2.5 DOCUMENTACIN Y ESQUEMAS DEL PROYECTO 2.5.1 DOCUMENTACIN DE ENTREGABLES CAPITULO III RESULTADOS CAPITULO IV CONCLUSIONES Y RECOMENSACIONES REFERENCIAS BIBLIOGRAFAS GLOSARIO ANEXOS

77 78 80 81 82 82 83 86 99 100 102

INDICE DE FIGURAS Y TABLASFigura 1. Figura 2. Figura 3. Figura 4. Figura 5. Figura 6. Figura 7. Figura 8. Figura 9. Figura 10. Figura 11. Figura 12. Figura 13. Figura 14. Figura 15. Visin y Misin de C&H Empresarial S.A de C.V. Valores empresariales de C&H Empresarial S.A de C.V. Organigrama de C&H Empresarial S.A de C.V. Elementos de la comunicacin humana. Proceso de comunicacin humana. Elementos de un Sistema de Comunicacin. Descripcin de las Capas del Modelo OSI. Descripcin de las capas del modelo TCP/IP. Protocolos comunes en las capas del modelo TCP/IP. Similitudes y Diferencias entre los modelos OSI y TCP/IP. Relacin/Comparacin entre el modelo OSI y TCP/IP. Caractersticas Generales de las Redes LAN. Caractersticas Generales de las Redes MAN. Caractersticas Generales de las Redes WAN. Caractersticas generales de las redes SAN. 11 11 12 21 21 22 30 31 31 32 33 33 34 35 36

Figura 16. Figura 17. Figura 18. Figura 19. Figura 20. Figura 21. Figura 22. Figura 23. Figura 24. Figura 25. Figura 26. Figura 27. Figura 28. Figura 29. Figura 30. Figura 31. Figura 32. Figura 33. Figura 34. Figura 35. Figura 36. Figura 37. Figura 38. Figura 39. Figura 40. Figura 41. Figura 42. Figura 43. Figura 44. Figura 45. Figura 46. Figura 47. Figura 48. Figura 49. Figura 50. Figura 51. Figura 52. Figura 53. Figura 54. Figura 55. Figura 56.

Tipos de VPNS. Topologa Tpica de un Centro de Datos. Desarrollo de un Centro de Datos. Installation and Upgrade Guide R75.20 UTM-1 Edge R75.20 Administration Guide SecurePlataform R75.20 Administration Guide Security Management Server R75.20 Administration Guide SmartReporter R75.20 Administration Guide SmartEvent R75.20 Administration Guide SmartView Monitor R75.20 Administration Guide SmartWorkflow R75.20 Administration Guide SmartProvisioning R75.20 Administration Guide Firewall R75.20 Administration Guide Check Point IPS R75.20 Administration Guide VPN R75.20 Administration Guide Quality of Service R75.20 Administration Guide Data Loss Prevention R75.20 Administration Guide Clster XL R75.20 Administration Guide Imgenes de Datasheets de los Equipos seleccionados. Conexin a Internet por Enlace Dedicado Conexin Dedicada de C&H Empresarial con el Data Center con E1 y 10 Mbps Primer Diseo de Topologa Redes en la Infraestructura del Proyecto Topologa estndar del proyecto Topologa critica del proyecto Topologa inicial del Sistema en Alta Disponibilidad y Segmentacin De la Red. Esquema de Clster de Firewalls con balanceo de cargas Pantalla de propiedades de los miembros y generales del cluster. Topologa del proyecto Esquemas de Alta Disponibilidad en Sistemas de Comunicacin Aplicado en Centros de Datos Porta Oficial de Proyectos y Control de versiones ofiales de Kio Networks. Formato de Solicitud de Cambio de Poltica de KIO Networks Topologa inicial del Sistema en Alta Disponibilidad y Segmentacin De la Red. Direccionamiento del Host del Cliente Pruebas de conectividad por ping entre el cliente y el Default Gateway Pruebas de conectividad por ping del Cliente a Internet Logs del FW de las pruebas de comunicacin por ping realizadas desde El host de pruebas Pruebas de conectividad por ping atreves de la VPN Traza desde el Host Cliente hasta el Servidor de Aplicativos Logs del FW de la conectividad del Cliente atreves de la VPN al Servidor De Aplicativos Polticas iniciales configuradas del lado del FW DATACENTER Configuracin de la red para realizar las Pruebas desde el Servidor de Aplicativos

37 46 48 62 63 63 63 64 64 65 65 65 66 66 67 67 67 68 68 69 70 71 71 73 74 75 82 82 84 85 86 88 90 90 91 91 92 92 95 93 94

Figura 57. Figura 59. Figura 60. 96 Figura 61. Figura 63. Figura 64. Figura 65.

Pruebas de conectividad por ping del Servidor de Aplicativos hacia la Default Gateway Poltica de VPN en el FW como unidireccional Conectividad por ping y Traza del Servidor de Aplicativos al Servidor de Datos Configuracin de la red para realizar las Pruebas desde el Servidor de Base De Datos Pruebas de conectividad por ping del Servidor de Base de Datos hacia Internet Conectividad por ping del Servidor de Base de Datos hacia el Servidor Aplicativos Logs del FW de la conectividad entre DMZS

95 95

97 97 98 98

Tabla 1. Tabla 2. Tabla 3. Tabla 4. Tabla 5. Tabla 6. Tabla 7. Tabla 8. Tabla 9. Tabla 10. Tabla 11. Tabla 12. Tabla 13. Tabla 14. Tabla 15. Tabla 16. Tabla 17. Tabla 18.

Tabla 19. Tabla 20. Tabla 21. Tabla 22.

Oferta de valor de C&H EMPRESARIAL S.A de C.V. Ejemplos de Dispositivos de Usuario final-Componentes Hardware. Dispositivos de Red-Componentes Hardware. Topologas Fsicas de Red. Ttransmisiones en las topologas Broadcast y Tokens. Tareas de los protocolos de Red y de Bajo Nivel. Descripcin de Firewalls por Software. Descripcin de Firewalls por Mecanismo de Seguridad y Capa de trabajo. Ventajas y limitaciones de los firewalls. Polticas bsicas de Firewalls. Propiedades de Seguridad en un Centro de Datos. Ventajas de los enlaces Dedicados. Tipos de Alta Disponibilidad en los sistemas de comunicacin. Tipos de Downtimes en los sistemas de Alta Disponibilidad. Puntos de Falla, causa de los downtimes y posible solucin. Porcentajes de Disponibilidad, enunciado como nmero de "nueves". Factores de mejora para C&H Empresarial S.A de C.V Requerimientos del proyecto para la implementacin del Esquema de Alta 59 Disponibilidad Descripcin de los enlaces Dedicados E1 e Internet Dedicado (10 Mbps) Segmentacin de la red del Proyecto.

13 25 26 27 28 29 40 41 41 42 47 50 51 52 53 54 58

Polticas iniciales del FW. Segmentacin de la red del Proyecto.

70 72 72 83

INSTITUTO TECNOLOGICO DE OAXACA INFORME FINAL DE RESIDENCIA PROFESIONAL

INTRODUCCIONEntre todas las necesidades de los seres humanos, la de comunicarnos es casi tan importante como el respirar, es decir, somos seres sociables por naturaleza. Esta

interaccin con otros individuos es el elemento ms importante para el desarrollo de las relaciones que establecemos en nuestra vida. Por este medio compartimos ideas, sentimientos, o informacin que crea un vnculo con la otra persona. Las distintas formas en que nos comunicamos estn sujetas a un progreso constante, beneficio de los avances tecnolgicos que nos permiten expandir y potenciar esta comunicacin. La rpida evolucin de Internet y la necesidad de estar conectados en todo momento, ha incrementado la demanda de calidad en los servicios prestados a la sociedad. Lo cual ha orillado a las empresas a implementar sistemas capaces de proporcionar una operatividad continua, con la finalidad de entrar en los mercados competitivos. Estos esquemas de comunicacin son posibles en los Centro de Datos, entidades capaces de archivar y proveer informacin cada vez que el usuario la requiera, los cuales aparte de proveer una alta disponibilidad, lo hacen con alto nivel de fiabilidad y seguridad. El crecimiento exponencial de usuarios y servicios online ha llevado a las organizaciones a subcontratar la gestin, mantenimiento y administracin de sus sistemas de cmputo. Esto les permite enfocarse en el desarrollo de su empresa y olvidarse de complejidades tecnolgicas, as como prestar un servicio eficiente a sus clientes sin la necesidad de realizar una inversin elevada en equipamiento dedicado a este fin.


7


En el mundo corporativo actual, en que el volumen de informacin es creciente y diversificado, se torna cada vez ms necesario abastecer velocidad, operatividad, control y seguridad. En ese contexto, las soluciones que ofrecen los Sistemas de Alta Disponibilidad aplicados en los Centros de Datos surgen como alternativa ideal para aquellas empresas que desean agilizar el proceso de gestin de informacin, as como la garanta de que estos se encuentren, ntegros, fiables y accesibles cuando sean solicitados. Cuando hablamos de la seguridad de la informacin, hay que tener en presente que los requerimientos de su proteccin van en aumento con respecto a esta. En un sistema como internet, resulta bastante sencillo para un usuario con conocimientos suficientes acceder de forma no autorizada a datos de carcter confidencial. Por esta razn es conveniente que toda organizacin se mantenga a la vanguardia en las tecnologas de la informacin.


8


JUSTIFICACIONEn la actualidad la convergencia en las comunicaciones, ha venido a revolucionar las Tecnologas de la Informacin, llevando a las empresas a un mbito donde las redes que sustentan su sistema brindan diversos servicios a travs de una misma infraestructura. Las amenazas de seguridad que enfrentan las redes de datos y la necesidad de la acceso contino a la informacin, son suficientes para analizar las posibles soluciones de las que disponemos para afrontar dichas amenazas, y lograr una Alta Disponibilidad del Sistema. Esto se puede lograr siempre y cuando las organizaciones definan e implementen de una manera clara sus opciones dentro de su red empresarial. Las soluciones que ofrecen los Esquemas de Alta Disponibilidad contribuyen a una nueva calidad de aplicaciones y servicios diseada para mejorar las comunicaciones dentro de las organizaciones y los Centros de Datos y con ello mantener una interaccin constante entre la informacin almacenada y los usuarios, as como simplificar sus procesos. La Implementacin estos sistemas ofrece los siguientes beneficios a nivel empresarial: Reduccin de costos de operacin. Incremento de productividad. Seguridad de la informacin y la red corporativa. Continuidad de Servicio frente a fallas de hardware o software. Replicacin de Datos segn las necesidades requeridas. Optimiza la administracin de informacin en la nube.


9


OBJETIVOS GENERALES Y ESPECIFICOSOBJETIVO GENERALMejorar el proceso de actualizacin de sistema operativo en Firewalls con el fin de acelerar el proceso y definir el mayor nmero de riesgos que este pueda generar.

OBJETIVOS ESPECIFICOS Apropiacin de conocimientos en Firewalls, DMZS (Zonas Desmilitarizadas), Clster y VPNS (Redes Privadas Virtuales). Diseo e implementacin de Esquemas de Alta Disponibilidad en los Centros de Datos. o Infraestructura C&H Empresarial S.A de C.V Sucursal Plaza Quertaro, en el Centro de Datos de KIO Networks. Incrementar la seguridad, integridad y disponibilidad de la informacin y la red corporativa. Desarrollo del plan de mejora sobre el montaje de un Esquema de Alta Disponibilidad Aplicado en un Centro de Datos, que sirva de gua a la empresa para una implementacin futura. Elaboracin de un manual de configuracin bsica de firewall.


10


CARACTERIZACION DEL AREAC&H EMPRESARIAL S.A de C.V es una empresa Corporativa de Consultora y Gestin Empresarial con presencia a nivel nacional que cuenta con ms de 20 aos de experiencia generando Productividad y Rentabilidad en las Organizaciones. Establecida en 7 estados: Len, Gto.; Quertaro, Qro.; Veracruz, Ver.; Mxico DF; Oaxaca, Oax.; Puebla, Pue.; Mrida, Yuc.; y Cancn, Q Roo.

VISIONSer considerados por nuestros clientes como la nica opcin para compartir riesgos y logros; as como para el constante incremento de su rentabilidad.

MISIONOfrecer a nuestros clientes Alternativas Inteligentes que aporten soluciones integrales a travs de la generacin de estrategias y talento humano. Figura 1. Visin y Misin de C&H Empresarial S.A de C.V

VALORESEl esfuerzo diario, para ofrecer un mejor servicio a sus clientes, ha formado en la organizacin, unos fuertes valores empresariales, ver figura. INTEGRIDAD CALIDAD RESPONSABILIDAD RESPETO EFICIENCIA INNOVACINTotalidad, sin divisin. Ser incorruptible y actuar siempre con un cdigo de tica muy estricto. Excelencia que nos diferencia. Criterio, resolucin responsablemente. y capacidad en la tomar decisiones

Trato digno y considerado hacia todas las personas bajo cualquier situacin. Capacidad para alcanzar una meta utilizando los mejores medios posibles. Aplicar metodos distintos y novedosos para solucionar problemas y aprovechar oportunidades. Figura 2. Valores empresariales de C&H Empresarial S.A de C.V


11


ORGANIGRAMAC&H Empresarial S.A de C.V presenta un organigrama estructurado de la siguiente forma.Direccin General C&H Empresarial Direccin General

Gerente General C&H Empresarial Red Nacional

Gerente General

Gerente de Plaza C&H Empresarial y Depto. Jurdico

Depto. Jurdico

Gerente de Plaza

Gerentes de Operaciones

Banc a

Nomina

Seguridad Social

Recursos Humanos

Deptos.

Institucional Empresa s Corporativas

Comercial

Servicios

Administrativo y Laboral

Captacin de Personal

Desarrollo de RRHH

Administracin de Personal

Reclutamiento y Seleccin

Anlisis de Puesto

Promocin Ventas

Sistemas Mantenimiento Mensajer a

Operativo

Integracin

Planificacin de RRHH

Registro y Control

Capacitaci n

Figura 3. Organigrama de C&H Empresarial S.A de C.V


12


POLITICA DE CALIDADC&H EMPRESARIAL S.A de C.V debe cumplir las expectativas de sus clientes, tanto internos como externos, ofreciendo al mercado Mexicano soluciones integrales e innovadoras de Consultara y Gestin Empresarial, apegndonos siempre en el desempeo de su trabajo a sus valores corporativos, generando Productividad y Rentabilidad en las Organizaciones que los contratan, todo dentro de un marco de mejora continua.

PORTAFOLIO DE SOLUCIONESC&H EMPRESARIAL S.A de C.V estructura su oferta de valor en 6 rubros, ver tabla. Para proporcionarle al cliente una solucin de acuerdo a sus necesidades.

STAFFING Por medio del staffing, la empresa pretende compartir los riesgos laborales y ofrecerle ser su socio comercial , a fin de incrementar en forma garantizada y a corto plazo, la productividad y rentabilidad que el cliente desea. DIAGNOSTICO FINANCIERO Y EMPRESARIAL La elaboracin de diagnsticos nos garantiza un panorama real y exacto de la situacin que guarda una empresa para poder as, tomar decisiones hacia la rentabilidad total de la Institucin de una manera segura y contundente. Diagnstico Empresarial Integral, Anlisis y Evaluacin de proyectos de inversin. FACTURACIN ELECTRNICA Productividad empresarial por medio de la Facturacin Electrnica ya que nuestro sistema: Cumple al 100% los requisitos fiscales, Mejora significativamente la cobranza, Contrae los riesgos fiscales, Ahorra costos operativos, Est disponible las 24 horas del da durante los 12 meses del ao. Tabla 1.

RECLUTAMIENTO Y SELECCIN DE PERSONAL Realizamos actividades encaminadas a la productividad empresarial por medio de la bsqueda de candidatos idneos que renan las condiciones o requisitos para ser contratados. Actuando como una extensin de su empresa o de su departamento de Recursos Humanos. ASESORA ADMINISTRATIVA Y FISCAL La complejidad y el dinamismo de las leyes fiscales demandan al empresario un estricto seguimiento que permita por un lado, cumplir con todas las disposiciones legales; y por otro lado, tomar decisiones para alcanzar los beneficios fiscales ptimos que la normatividad fiscal permita a fin de alcanzar excelentes niveles de PRODUCTIVIDAD Y RENTABILIDAD. CRDITOS PERSONALES Posibilidad de obtener un prstamo entre $ 3,000 y $ 15,000. Descuento va nmina, No se verifica historial crediticio, Cancelacin de saldo en caso de fallecimiento del empleado.

Oferta de valor de C&H EMPRESARIAL S.A de C.V


13


AREA DE SISTEMASDebido a las necesidades del cliente y su crecimiento empresarial, este requiere de esquemas de comunicacin donde se garantice la disponibilidad de su servicio, por lo cual es requerido el hosting de sus equipos en un Centro de Datos. En el rea de Sistemas de C&H Empresarial S.A de C.V, Sucursal Plaza Quertaro es en donde se llevo a cabo el proyecto de residencia ESQUEMAS DE ALTA DISPONIBILIDAD EN SISTEMAS DE COMUNICACIN APLICADO EN CENTROS DE DATOS. Resulta necesario aclarar que el proyecto se realizo en dos ubicaciones, el segundo centro donde se trabajo fue en el Centro de Operaciones SOC de KIO Networks. rea de Sistemas de C&H Empresarial es donde se implementan todos los procesos necesarios de instalacin, configuracin y mantenimiento para conservar la Intranet Empresarial en funcionamiento y segura. Esta rea est conformada por Ingenieros capacitados en tecnologas de la informacin y sistemas. Centro de Operaciones SOC (Security Operation Center) de KIO Networks es en donde se dedican a implementar y configurar equipos para las soluciones de los clientes, esta rea de Operaciones se encarga de analizar, probar e implementar las configuraciones de los equipos y redes, as como realizar cambios, generar mejoras y revisar la estabilidad de los sistemas. Este Centro est conformado por ingenieros altamente capacitados y certificados en diferentes reas de lo que son las tecnologas de la informacin.


14


PROBLEMTICAHoy en da, las redes de datos son un componente bsico para el xito empresarial, el desempeo que estas tengan resulta fundamental para entrar a los mercados competitivos. La informacin y la disponibilidad de esta, juegan un papel esencial en la vida y crecimiento de una organizacin, por esto es vital que las redes empresariales estn a cargo de personal capacitado. Para lograr lo anterior, existen configuraciones y servicios que se pueden implementar en la estructura y el ciclo de vida de una red, dar soporte a los equipos y los programas de mantenimiento tan solo son una pequea parte de las necesidades primarias para lograr una Alta Disponibilidad de informacin, no se olvidar el cuidado que se debe de tener al almacenar datos y que estos se encuentren operables cada vez que el usuario as lo requiera, por eso es importante tener una buena configuracin de seguridad perimetral, as como implementar Esquemas de Alta Disponibilidad en redes empresariales. Para minimizar los riesgos de seguridad en las redes de datos, as como mantener una buena disponibilidad de informacin, es necesario contar con un servicio especializado y experto, que transforme la defensa y la operatividad del sistema en un proceso continuo y dinmico. La inseguridad en las redes no solo es un problema de tecnologa tambin los son la capacidad y tica de las personas y as como la eficiencia de los procesos. En busca del cumplimiento de los niveles de eficiencia, y productividad necesarios en el mercado, C&H Empresarial busca la implementacin de un Esquema de Alta Disponibilidad en los Sistemas de Comunicacin aplicado a los Centros de Datos. Con


15


este proyecto la empresa busca mejorar los servicios que brinda a sus clientes. Esta poderosa estructura garantiza una disponibilidad de datos eficiente y confiable, lo cual puede agilizar el crecimiento de la organizacin, as como la creacin de nuevos

productos y servicios al cliente. Actualmente en la empresa se encuentran ingenieros con la capacidad y experiencia de aos de trabajo, pero no disponen de la tecnologa necesaria para cubrir las necesidades de operatividad de sus productos, por esta razn acudieron al Centro de Datos de KIO Networks, contratando los beneficios que ofrece la infraestructura de su Seguridad Perimetral, aprovechando con ello lo que estos puede proporcionar para el incremento de su cartera de clientes, as como maximizar las operacin en sus negocios. Todas las redes son vulnerables a distintos tipos de problemas o ataques que afectan su comportamiento y desempeo. Por tal motivo es necesario contar con el personal capacitado para darle solucin a las situaciones negativas que se puedan presentar en la comunicacin. Para asegurar el buen desempeo de la red y la disponibilidad continua de la informacin almacenada, se trabajara en dos ubicaciones, que son: el rea de Sistemas de C&H Empresarial Sucursal Quertaro y el rea de Operaciones SOC (Security Operation Center) de KIO Networks. Este proyecto est orientado a la adquisicin de conocimiento, respecto a la Seguridad Perimetral y la implementacin de Esquemas de Alta Disponibilidad, con el fin de conseguir desarrollar estos sistemas para poder ser aplicados a cualquier organizacin que requiera operatividad contina. La adquisicin del conocimiento para estos sistemas centrados en: Firewalls, DMZS, Cluster, y Redes Privadas Virtuales (VPNS).


16


A partir de esto se desarrollara un plan de mejora sobre el montaje de un Esquema de Alta Disponibilidad Aplicado a un Centro de Datos, el cual podr ser utilizado por la empresa en una implementacin futura, y la elaboracin de un manual de configuracin bsica de firewall con VPN en tecnologa CheckPoint. En conclusin, el problema consiste en abordar los temas fundamentales en el rea de Alta Disponibilidad, a fin de comprender el diseo e implementacin de estos sistemas.


17


ALCANCES Y LIMITACIONESDE LOS ALCANCESLos Sistemas de Alta Disponibilidad combinan lo que son: la Configuracin de Seguridad Perimetral, la Confiabilidad de Datos y la Operatividad del Sistema. Como principal alcance es la obtencin de un plan de mejora que le sirva de apoyo a la empresa en una implementacin futura de esta configuracin, facilitando su comprensin, as como eficiente en su comunicacin y desempeo, a la par de la elaboracin de un manual de configuracin bsica de firewall. Como alcances secundarios se conocern: la estructura y diseo de un Centro de Datos, la configuracin de una infraestructura de Seguridad Perimetral y DMZS, de un Esquema de Firewall en Alta Disponibilidad, utilizando herramientas de virtualizacin del VMware Server y el SmartDashboar de Check Point, asi como las ventajas de dichos arreglos. Con los servicios proporcionados en este proyecto se tiene la capacidad de Disear: Esquemas de Comunicaciones y Sistemas de alta disponibilidad, realizar configuraciones de: Redes Privadas Virtuales (VPNS), Cluster de Firewalls, Polticas de Seguridad, Anlisis de vulnerabilidades en Seguridad Perimetral. As como el Diseo de Redes Seguras, Protocolos de ruteo entre otros esquemas y servicios de red comunes para el diseo e implementacin optimo de soluciones empresariales de red.


18


DE LAS LIMITACIONESExisten varias formas de lograr una alta disponibilidad del cliente, depender de la fiabilidad que este requiera, as como de los recursos econmicos y tcnicos que la empresa destine al proyecto. Existen diferentes esquemas de la alta disponibilidad por cluster, se tendrn que analizar varios esquemas y configuraciones de estos, y el tiempo para la implementacin del proyecto, resulta bastante escaso. Para la estructuracin del plan de mejora para el cliente y del manual bsico de configuracin de firewall se requiere tener conocimientos en los siguientes temas: Firewalls. Clustering de Firewalls. Direccionamiento IP. Modelo OSI y TCP/IP y comunicacin en Capas. Topologas de Redes. Redes Privadas Virtuales. Protocolos de Ruteo.


19


CAPITULO I FUNDAMENTO TEORICO1.1. FUNDAMENTO TEORICOPara obtener una comprensin y entendimiento claro, de lo que son y cmo funciona de Alta Disponibilidad en los Sistemas de Comunicacin es necesario establecer un fundamento terico en donde se desarrollen los conceptos tcnicos y dems ideas bsicas estrechamente relacionadas con las telecomunicaciones, as como sus

configuraciones y servicios, como tambin el tipo de tecnologa que utilizan. El desarrollo de este capitulo esta enfocado al rea de redes de datos, y se buscara establecer una idea clara, que facilite la comprensin del proyecto realizado durante la residencia profesional Diseo e implementacin de Esquemas de Alta disponibilidad en Sistemas de Comunicacin aplicado a Centros de Datos.

1.2.

LA COMUNICACINLa comunicacin es el proceso mediante el cual se transmite cualquier tipo de

informacin, sentimientos, pensamientos, y cualquier otra cosa que pueda ser transmitida, mediante el habla, la escritura o cualquier tipo de seal utilizada; en la vida cotidiana dicha comunicacin tiene diferentes representaciones y existe en muchos ambientes. Esta integracin humana es un campo de estudio dentro de las ciencias sociales que trata de comprender y explicar cmo se realizan los intercambios de informacin y cmo estos afectan a la sociedad. Antes de comenzar una comunicacin entre dos o ms individuos o entidades, se establecen reglas o acuerdos que rigen dicho proceso, los cuales son fundados de forma automtica e intuitiva por los participantes en ella, estos elementos deben ser respetados para que el mensaje que se enva pueda ser comprendido correctamente, ver fig. 4


20


EMISOR RECEPTOR CANAL

Es quien emite el mensaje, puede ser o no una persona.

Es hacia quien va dirigida la informacion.

Es el medio fisico por el que se transmite el mensaje. Es la forma que toma la informacin que se intercambia, son las reglas establecidas de arbitraria y anticipadamente por el emosior y que deben ser conocidas por el receptor. Es lo que se quiere transmitir, del emisor al receptor.

CDIGO

MENSAJE CONTEXTO

Es la situacin en el que se desarrolla la comunicacion.

Figura 4. Elementos de la comunicacin humana.

Las reglas de este proceso pueden variar segn el contexto. Si un mensaje es importante, se necesita una confirmacin este ha sido recibido y comprendido correctamente. Los mensajes menos importantes pueden no requerir acuse de recibo por parte del receptor, ver Fig. 5Idea a ComunicarCANAL

Idea ObtenidaMENSAJE

RESPUESTA

Emisor

Receptor

Codifica el mensaje

CONTEXTOEmisor Recepto r

Decodifica el mensaje

Figura 5.

Proceso de comunicacin humana.

Las tcnicas utilizadas en las comunicaciones de red comparten estos fundamentos con las conversaciones humanas.ESQUEMAS DE ALTA DISPONIBILIDAD EN SISTEMAS DE COMUNICACIN APLICADO EN CENTROS DE DATOS

21


1.3.

SISTEMAS DE COMUNICACINEl objetivo principal de todo sistema es adaptarse a la comunicacin, para un

intercambio de informacin entre dos entidades, y al igual que en la comunicacin humana, estos estos esquemas, necesitan unas serie de elementos para realizar dicho proceso, ver Fig. 6Este dispositivo genera los datos a transmitir: por ejemplo telfonos o computadores personales. Transforma y codifica electromagnticas la informacin, generando seales

FUENTE/EMISOR TRANSMISOR SISTEMA DE TRANSMISION RECEPTOR DESTINO UTILIZACION DEL SIST. DE TRANSMISION INTERFAZ GENERACION DE SENAL SINCRONIZACION GESTION DE INTERCAMBIO DETECCION Y CORRECCION DE ERRORES CONTROL DE FLUJO DIRECCIONAMIENTO Y ENCAMINAMIENTO RECUPERACION

Puede ser desde una sencilla lnea de transmisin hasta una compleja red que conecte a la fuente con el destino. Acepta la seal proveniente del sistema de transmisin y la transforma de manera que pueda ser manejada por el destino Toma los datos del receptor Se refiere a la necesidad de hacer un uso eficaz de los recursos utilizados en la transmisin Para que un dispositivo pueda transmitir tendr que hacerlo a travs de la interfaz con el medio de transmisin. Deben permitir ser propagadas a travs del medio de transmisin y ser interpretada en el receptor como datos. El receptor debe ser capaz de determinar cundo comienza y cundo acaba la seal recibida. Cooperacion de Emisor y Receptor. Se implementan en circunstancias donde no se toleren errores. Evita que la fuente no sature el destino. Se utiliza cuando el recurso es compartido por mas de dos dispositivos Se utiliza cuando en una transaccin de una base de datos o latransferencia de un fichero, se ve interrumpida por algn fallo.

Figura 6. Elementos de un Sistema de Comunicacin


22


1.4.

REDES DE DATOSLos tres siglos pasados fueron dominados por una sola tecnologa. El siglo XVIII

fue la etapa de los grandes sistemas mecnicos que acompaaron a la Revolucin Industrial. En el siglo XIX se desarrollo el apogeo de la mquina de vapor. Durante el siglo XX, la tecnologa clave fue la recoleccin, procesamiento y distribucin de informacin, este comenz con la instalacin de redes telefnicas en todo el mundo, a la invencin de la radio y la televisin, as como tambin el nacimiento de la industria de la computacin. Las computadoras han mostrado un crecimiento tecnolgico espectacular en muy poco tiempo. El viejo modelo de tener una sola computadora para satisfacer todas las necesidades de una organizacin ha sido remplazando con rapidez por otro que considera un nmero grande de ordenadores interconectados entre s. Se dice que las computadoras estn en red, si estas son capaces de intercambiar informacin entre ellas.

1.4.1. OBJETIVOSUna red de computadoras, red de datos, o Networking es un conjunto de dispositivos conectados entre s, que envan y reciben impulsos elctricos, ondas electromagnticas o cualquier otro medio fsico para el transporte de datos, a los otros equipos dentro de la infraestructura implementada. Los principales objetivos de una red de datos son: Compartir recursos. Equipos, informacin y programas que se encuentren dispersos. Proporcionar una alta fiabilidad de datos. Fuentes alternativas de suministro. Obtener una buena relacin costo beneficio.


23


Transmitir informacin entre usuarios distantes, de una forma rpida, econmica y segura. A nivel empresarial la implementacin de una networking se hace pensando en el futuro de la organizacin, se tiene la confianza en que esta podr maximizar su eficiencia y productividad en un corto plazo de tiempo, tanto en los recursos materiales, como en lo humanos, con la finalidad de proveer mejores servicios para su beneficio propio y el de sus clientes.

1.4.2.

COMPONENTES.Una red de datos consta tanto de elementos de hardware como de software,

llamados componentes red. Las unidades de hardware a su vez se dividen en dos grandes grupos de dispositivos: los de usuario final y los de red; mientras que la unidad de software se encuentra el sistema operativo de networking (Network Operating System. NOS).

HARDWARECuando se habla de componentes de hardware nos referimos a todo aquel equipo palpable que se conecta de forma directa a un segmento de la red, estos componentes se dividen en dos grupos. El primero est compuesto por los dispositivos de usuario final o host (actan directamente con el usuario) y en el segundo se encuentran los dispositivos de red (se encargan de comunicar a los equipos).

DISPOSITIVOS DE USUARIO FINALEstos componentes de hardware o hosts son los que permiten a los usuarios compartir, crear y obtener informacin, dentro de una infraestructura de red, ver tabla 2. Estos equipos estn fsicamente conectados con los medios de red mediante una tarjetaESQUEMAS DE ALTA DISPONIBILIDAD EN SISTEMAS DE COMUNICACIN APLICADO EN CENTROS DE DATOS

24


de interfaz de red llamada NIC, la cual es individual y tiene un cdigo nico, denominado direccin de control de acceso al medio, conocido como MAC. En otras palabras la NIC controla el acceso de los dispositivos de usuario final al medio.

DISPOSITIVOS DE USUARIO FINAL PC Cada computadora conectada a la red tiene la capacidad de funcionar de manera independiente. Asimismo, las PDS se convierten en estaciones de trabajo en red, con acceso a la informacin y recursos contenidos en el servidor de archivos de la misma. Es una computadora porttil de peso y tamao ligero. Est compuesta por una pantalla lquida, alimentada con bateras o corriente alterna, presenta teclado integrado, panel tctil para manejar el puntero en lugar del ratn, entre otras caractersticas. Una impresora es un dispositivo de hardware que imprime texto o grficos en papel. Hay varias tipos de impresoras, incluyendo las LCD, LED, trmica, de inyeccin de tinta, y de matriz de puntos, pero las ms recomendadas son las impresoras laser. Son aquellos hosts capaces de compartir sus recursos con otras. Los tipos de servidores obtienen el nombre dependiendo del recurso que comparten: servidor de discos, de archivos, de archivos distribuido, de archivos dedicados y no dedicados, de terminales, web, etc.

LAPTOP

IMPRESORA

SERVIDOR

Tabla 2. Ejemplos de Dispositivos de Usuario final-Componentes Hardware.

DISPOSITIVOS DE RED O NETWORKINGSon aquellos dispositivos que transportan los datos que deben transferirse entre los componentes de usuario final, ver tabla 3. Dichos equipos son los que proporcionan el tendido de las conexiones de cable, la concentracin de estas, la conversin de los formatos de datos y la administracin de transferencia de estos.


25


DISPOSITIVOS DE RED REPETIDOR Es un dispositivo que se utiliza para regenerar una seal que ha sido distorsionada a causa de prdidas en la transmisin producidas por la atenuacin, este no toma decisiones inteligentes acerca del envo de paquetes como lo hace un router o puente. Estos equipos concentran las conexiones. Permiten que la red trate un grupo de hosts como si fueran una sola unidad. Esto sucede de manera pasiva, sin interferir en la transmisin de datos. Los hubs activos no slo concentran hosts, sino que adems regeneran seales. Convierten los formatos de transmisin de la red y realiza la administracin bsica de la transmisin de datos, proporcionan las conexiones entre LANS y verifican los datos para determinar si les corresponde o no cruzar el puente. Agregan inteligencia a la administracin de transferencia de datos, capaces de determinar si los datos deben permanecer o no en una LAN, pueden transferir los datos nicamente a la conexin que los necesita. Un switch no convierte formatos de transmisin de datos. Pueden regenerar seales, concentrar mltiples conexiones, convertir formatos de transmisin de datos, y manejar transferencias de datos. Tambin pueden conectarse a una WAN, lo que les permite conectar LAN que se encuentran separadas por grandes distancias. Se refiere a la capacidad de autoservicio; recursos compartidos por varios usuarios y aplicaciones; recursos flexibles que se pueden redistribuir rpidamente segn sea necesario; y servicios medidos.Tabla 3. Dispositivos de Red-Componentes Hardware.

HUB

PUENTE

SWITCH

ROUTER

NUBE DE RED

SOFTWAREPara instalar una red de datos, adems de los equipos de hardware, tambin se necesita un componente de red, es decir, instalar un Sistema Operativo de red (Network Operating System. NOS), el cual administrara y coordinara todas las operaciones de dicha red, si un NOS, nuestra equipos no podrn comunicarse por la red. Estos Software tienen una gran variedad de formas y tamaos, debido a que cada organizacin en donde son implementados tiene diferentes necesidades. Incluyen programas relacionados con la interconexin de equipos. Entre otras cosas, los programas de red hacen posible la comunicacin entre las computadoras, permiten compartir recursos tanto de software como de hardware y ayudan a controlar la seguridad de estos.


26


1.4.3. TOPOLOGIA DE REDLa topologa de red se define como la cadena de comunicacin usada por los nodos que conforman una red para comunicarse. Es decir que esta especfica la estructura de una red, y la forma en que esta se comunicara. Se divide en dos tipos: la topologa fsica y la lgica que es la que define la forma en que los hosts acceden a los medios para enviar datos.

TOPOLOGIAS FISICASLas topologas de red fsicas, son la disposicin real en la que se encuentran estructurados y conectados los componentes y medios de red, es decir, es el mapa del cableado de la intranet y los dispositivos de Networking, ver tabla 4.TOPOLOGIAS FISICASTOPOLOGIA DE BUS

TOPOLOGIA DE ANILLO

Usa un solo cable backbone que debe terminarse en ambos extremos. Todos los hosts se conectan directamente a este backbone. Conecta un host con el siguiente y al ltimo host con el primero. Esto crea un anillo fsico de cable. Conecta todos los cables con un punto central de concentracin.

TOPOLOGIA DE ESTRELLA

TOPOLOGIA DE ESTRELLA EXTENDIDA

TOPOLOGIA JERARQUICA

Conecta estrellas individuales entre s mediante la conexin de hubs o switches. Esta topologa puede extender el alcance y la cobertura de la red. Esta es similar a una estrella extendida. Pero en lugar de conectar los hubs o switches entre s, el sistema se conecta con un computador que controla el trfico de la topologa. Se implementa para proporcionar la mayor proteccin posible para evitar una interrupcin del servicio.

TOPOLOGIA EN MALLA

Tabla 4. Topologas Fsicas de Red


27


TOPOLOGIAS LOGICASLa topologa lgica de una red es la forma en que los hosts se comunican a travs del medio. Los dos tipos ms comunes de estas son la de Broadcast y la de transmisin de Tokens, ver tabla 5.TOPOLOGIA DE BROADCAST Cuando se configura una topologa Broadcast significa que cada host enviara sus datos hacia todos los dems hosts del medio de red. No existe una orden que las estaciones deban seguir para utilizar la red. Es por orden de llegada. Ethernet funciona de esta manera. TOPOLOGIA DE TOKENS En la topologa Tokens la transmisin de tokens controla el acceso a la red mediante la transmisin de un token electrnico a cada host de forma secuencial. Cuando un host recibe el token, ese host puede enviar datos a travs de la red. Si el host no tiene ningn dato para enviar, transmite el token al siguiente host y el proceso se vuelve a repetir.

Tabla 5. Transmisiones en las topologas Broadcast y Tokens.

1.4.4. PROTOCOLOS DE REDLos conjuntos de protocolos son colecciones de reglas o normas que posibilitan la comunicacin de red desde un host, hacia otro host, a travs de la red. Este es una descripcin formal de un conjunto de reglas que rigen un aspecto particular de cmo los dispositivos se comunican entre s (determinan el formato, la sincronizacin, la secuenciacin y el control de errores en la comunicacin de datos). Estas normas controlan todos los aspectos de la comunicacin de datos, que incluye lo siguiente: Construccin de la red fsica, conexin de las computadoras a la red, formateo los datos para su transmisin, forma de envi de datos, manejo de errores. Existen dos tipos de protocolos de las comunicaciones en redes, que son los protocolos de bajo nivel y los protocolos de red, ver tabla 6.


28


PROTOCOLOS DE BAJO NIVEL Controlan la forma en que las seales se transmiten por el cable o medio fsico. En la primera parte del curso se estudiaron los habitualmente utilizados en redes locales (Ethernet y Token Ring).Tabla 6.

PROTOCOLOS DE RED Los protocolos de red organizan la informacin (controles y datos) para su transmisin por el medio fsico a travs de los protocolos de bajo nivel.

Tareas de los protocolos de Red y de Bajo Nivel.

Estas normas de red son creadas y administradas por una serie de diferentes organizaciones y comits. Algunos de ellos son: el Instituto de Ingeniera Elctrica y Electrnica (IEEE), el Instituto Nacional Americano de Normalizacin (ANSI), la Asociacin de la Industria de las Telecomunicaciones (TIA), entre otros.

1.4.5. MODELOS DE NETWORKINGLa definicin de modelos de networking o redes, se basa en el concepto de comunicacin por capas o niveles que se utilizan para la descripcin y comprensin de la interaccion entre computadoras, dicha transferencia se puede representar con dos modelos diferentes que son: el modelo de Referencia OSI (Interconexin de Sistema Abierto) y el Modelo TCP/IP (Protocolos de Control de transporte y de Internet), ambos modelos se dividen en capas, pero la cantidad y funcionalidad de cada una de estas difiere de uno con respecto del otro.

MODELO OSIEl modelo de Interconexin de Sistemas Abiertos (OSI) es el modelo de red descriptivo creado por la Organizacin Internacional para la Estandarizacin en el ao 1984. Es un marco de referencia para la definicin de arquitecturas de interconexin de sistemas de comunicaciones, en otras palabras, es una normativa estandarizada, debido a


29


la existencia de muchas tecnologas, fabricantes y compaas dentro del mundo de las comunicaciones, y al estar en un continuo desarrollo, se tuvo que crear un mtodo para que todos pudieran entenderse, incluso cuando las tecnologas no coincidieran.

LAS CAPAS DEL MODELO OSIEste modelo explica de qu manera los paquetes de datos viajan a travs de varias capas o niveles, a otro dispositivo de red, cuenta con siete capas numeradas, cada una de las cuales realiza una funcin de red especfica.

FISICA

TRANSMISION BINARIA. Cables, conectores, voltajes, velocidades de transmision.

ENLACE DE DATOS

ACCESO A LOS MEDIOS. provee tranferencia confiable a travs de los medios; conectividad y seleccion de ruta entre sistemas; Direccionamiento lgico. DIRECCION DE RED Y DETERMINACION DE MEJOR RUTA. provee transferencia confiable a traves de los medios; conectividad y seleccion de ruta entre los sistemas. CONEXIONES DE EXTREMO A EXTREMO. confiabilidad del transporte; establecer, mantener, terminar circuitos virtuales; deteccin de fallas y control de flujo de informacion de recuperacion. COMUNICACION ENTRE HOSTS. Establece, administra y termina sesiones entre aplicaciones. REPRESENTACION DE DATOS. Garantirzar que los datos sean legibles para el sist. receptor; formato de datos; estructuras de datos; negocia la sintaxis de su transferencia para la capa de aplicacin. PROCESOS DE RED A APLICACIONES. Suministra servicios de red a los procesos de aplicaciones.

RED

TRANSPORTE

SESION

PRESENTACION

APLICACION

Figura 7. Descripcin de las Capas del Modelo OSI

MODELO TCP/IPEl modelo de protocolos de Control de Transmisin (TCP) y de Internet (IP) es el estndar histrico y tcnico de la Internet (TCP/IP). El Departamento de Defensa de EE.UU. (DoD) cre el modelo de referencia TCP/IP porque necesitaba disear una red que pudiera sobrevivir ante cualquier circunstancia. En un mundo conectado por diferentes


30


tipos de medios de comunicacin, se buscaba que la transmisin de paquetes se realizara cada vez que se iniciaba y bajo cualquier circunstancia.

LAS CAPAS DEL STACK DE PROTOCOLOS TCP/IPEste modelo se desarroll como un estndar abierto. Esto significaba que cualquier persona poda usar el TCP/IP. Tiene las cuatro capas que se describen en el diagrama 3. Algunas de las capas del modelo TCP/IP tienen el mismo nombre que las capas del modelo OSI, pero estas no se corresponden de manera exacta.APLICACION TRANSPORTE INTERNET ACCESO A LA REDmaneja aspectos de representacin, codificacin y control de dialogo. se encarga de los aspectos de calidad del servicio con respecto a la confiabilidad, el control de flujo y la correcion de errores tiene como propsito dividir los segmentos TCP en paquetes y enviarlos desde cualquier red. Los paquetes llegan a la red de destino independientemente de la ruta que utilizaron para llegar all. conocida como capa de host de red es la que guarda relacin con todos los componentes, tanto fsicos como lgicos, necesarios para lograr un enlace fsico. Detalles de tecnologa de networking, y todos los detalles de las capas 1 y 2 del OSI.

Figura 8. Descripcin de las capas del modelo TCP/IP.

La relacin entre los protocolos IP y TCP es muy importante, el protocolo IP indica el camino a los paquetes, durante su transmisin, en tanto que el TCP les brinda un transporte seguro, hasta su destino. La figura 2 muestra algunos de los protocolos ms comunes en este modelo, as como su nivel de capa.FTP HTTP SMTP DNS DNS TFTP

PROTOCOLO PRINCIPAL DE LA CAPA INTERNET PROTOCOLOS DE CAPA DE TRANSPORTE PROTOCOLOS DE CAPA DE APLICACION

TCP

UDP

IP

INTERNET

LAN

LANS y WANS

Figura 9. Protocolos comunes en las capas del modelo TCP/IP.


31


Algunos de los protocolos de capa de aplicacin son los siguientes: Protocolo de Transferencia de Archivos (FTP), Protocolo de Transferencia de Hipertexto (HTTP), Protocolo simple de transferencia de correo (SMTP), Sistema de denominacin de dominios (DNS), Protocolo Trivial de Transferencia de Archivos (TFTP). Los protocolos ms comunes en la capa de transporte incluyen: Protocolo para el Control del Transporte (TCP), Protocolo de Datagrama de Usuario (UDP). El Protocolo principal de la capa Internet es: Protocolo Internet (IP).

COMPARACION DE LOS MODELOS OSI Y TCP/IPLa Internet se ha desarrollado de acuerdo con los estndares de los protocolos TCP/IP, es decir que este modelo gana credibilidad gracias a sus protocolos. Las redes no se construyen a base del protocolo OSI. Pero es este l sirve de referencia para la estandarizacin de las comunicaciones. Estos modelos de Redes tienen sus ventajas y desventajas, manteniendo tambin similitudes y marcadas diferencias.OSI Vs TCP/IP VENTAJASReduce la complejidad.Estan dariza las interfaces.Facilita el diseo modular.Asegura la interoperabilidad de la tecnologia.DESVENTAJAS

SIMILITUDES Division en capas. Cuentan con capas de aplicacin.

DIFERENCIAS

OSI

Diseado

TCP/IP

para enrutar.Gran fiabilidad.Adecuad o para redes grandes y medianas.Uso a nivel mundial. compatibilidad con herramientas estndar para analizar el funcionamiento de la red.

Dificil de configurar y mantener. Lento en redes con un volumen de trafico medio bajo.

Capas de transporte y de red similares. Tecnologa de conmutacin por paquetes.

TCP/IP combina las capas 5, 6 y 7 en una capa 4. TCP/IP combina la capas 1 y 2 del modelo OSI en una sola capa 1. La capa 3 de TCP/IP con UDP no garantiza la entrega confiable de paquetes la capa 4 OSI s.

Figura 10. Similitudes y Diferencias entre los modelos OSI y TCP/IP.


32


Ambos modelos se dividen en capas, pero la cantidad y funcionalidad de cada una de estas difiere de uno con respecto del otro, ver Fig. 11APLICACION PRESENTACION SESION TRANSPORTE RED ENLACE DE DATOS FISICA TRANSPORTE INTERNET ACCESO A LA RED APLICACION

Figura 11. Relacin/Comparacin entre el modelo OSI y TCP/IP.

1.5.6. TIPOSExisten varios tipos de redes, las cuales se clasifican de acuerdo a su tamao y distribucin lgica, estas se encuentran por su tipo de transmisin dentro de dos grupos: por difusin y por punto a punto. A continuacin se explicara brevemente las caractersticas de cada una de estas.

REDES DE AREA LOCAL (LAN)Las redes de rea local son un conjunto de equipos que pertenecen a la misma organizacin y estn conectados dentro de un rea geogrfica, permiten a las empresas aplicar tecnologa informtica para compartir localmente archivos e impresoras de manera eficiente, y posibilitar las comunicaciones internas, ver Fig. Operar dentro de un area geogrfica limitada. Permitir el multiacceso a medios con alto ancho de banda. CARACTERISTICAS DE DISEO Controlar la red de forma privada con administracin local. Proporcionar conectividad continua a los servicios locales. Conectar dispositivos fsicamente adyacentes. TECNOLOGIAS EN LAN Ethernet Token Ring FDDI

REDES DE AREA LOCAL (LAN)

Figura 12. Caractersticas Generales de las Redes LAN


33


REDES DE AREA METROPOLITANA (MAN)La MAN es una red que abarca un rea metropolitana, como, por ejemplo, una ciudad o una zona suburbana. Una MAN generalmente consta de una o ms LAN dentro de un rea geogrfica comn. Por ejemplo, un banco con varias sucursales puede utilizar una MAN. Normalmente, se utiliza un proveedor de servicios para conectar dos o ms sitios LAN utilizando lneas privadas de comunicacin o servicios pticos. Tambin se puede crear una MAN usando tecnologas de puente inalmbrico enviando haces de luz a travs de reas pblicas, ver Fig. 13 Operar dentro de un area

geogrfica determinada "ciudad o municipio". utiliza dos buses unidireccionales, totalmente independientes uno del otro.CARACTERISTICAS DE DISEO

Permitir el multiacceso a medios con alto ancho de banda. Controlar la red de forma privada con administracin sobre cada una de las LANS locales, que a su vez son controladas internamente. Proporcionar conectividad continua a los servicios municipales o regionales. Ethernet Token Ring Interfaz de Datos Distribuida por Fibra (FDDI) Dual-Queue Dual-Bus (DQDB)

REDES DE AREA METROPOLITANA (MAN)

TECNOLOGIAS EN MAN

Figura 13. Caractersticas Generales de las Redes MAN.

REDES DE AREA AMPLIA (WAN)Las redes de rea amplia interconectan las LAN, que a su vez proporcionan acceso a los computadores o a los servidores de archivos ubicados en otros lugares, ver Fig. 14, como las WAN conectan redes de usuarios dentro de un rea geogrfica extensa, permiten que las empresas se comuniquen entre s a travs de grandes distancias. El


34


software de colaboracin brinda acceso a informacin en tiempo real y recursos que permiten realizar reuniones entre usuarios separados por largas distancias.

REDES DE AREA AMPLIA (WAN)

CARACTERISTICAS DE DISEO

TECNOLOGIAS EN WAN

Operar dentro de un area geografica extendidas. Posibilitar capacidades de comunicacin en tiempo real entre usuarios. suministrar conectividad parcial y continua. Brindar recursos remotos de tiempo completo, conectados a los servicios locales. Proporcionar conectividad continua a los servicios locales. Brindar recursos remotos de tiempo completo, conectados a los servicios locales.

Mdems. Red digital de servicios integrados (RDSI). Lnea de suscripcin digital (DSL). Frame Relay. Series de portadoras para EE.UU. (T) y Europa (E): T1, E1, T3, E3. Red ptica sncrona (SONET).

Figura 14. Caractersticas Generales de las Redes WAN.

REDES DE AREA DE ALMACENAMIENTO (SAN)Una red de almacenamiento (SAN) es una red dedicada, de alto rendimiento, que se utiliza para trasladar datos entre servidores y recursos de almacenamiento. Al tratarse de una red separada y dedicada, evita todo conflicto de trfico entre clientes y servidores, permite conectividad de alta velocidad, de servidor a almacenamiento, almacenamiento a almacenamiento, o servidor a servidor. Este mtodo usa una infraestructura de red por separado, evitando as cualquier problema asociado con la conectividad de las redes existentes, ver Fig. 15


35


RENDIMIENTO

permiten el acceso concurrente de matrices de disco o cinta por dos o ms servidores a alta velocidad, proporcionando un mejor rendimiento del sistema. tienen una tolerancia incorporada a los desastres, ya que se puede hacer una copia exacta de los datos mediante una SAN hasta una distancia de10 kilmetros (km) o 6,2 millas. Al igual que una LAN/WAN, puede usar una amplia gama de tecnologas. Esto permite la fcil reubicacin de datos de copia de seguridad, operaciones, migracin de archivos, y duplicacin de datos entre sistemas.

REDES DE ALMACENAMIENTO (SAN)

DISPONIBILIDAD

ESCALABILIDAD

Figura 15.

Caractersticas generales de las redes SAN

Entre las principales ventajas de las redes SAN se encuentran las siguientes: Superior ancho de banda. Administracin centralizada de todo el almacenamiento. Estandarizacin en recursos de almacenamiento. Mayor tolerancia de fallas en el sistema, Fcil integracin de soluciones de backup.

RED PRIVADA VIRTUAL (VPN)Una red privada virtual o VPN es una red que se construye dentro de una infraestructura de red pblica, como la Internet. Con una VPN, un empleado a distancia puede acceder a la red de la sede de la empresa a travs de Internet, formando un tnel seguro entre el PC del empleado y un router VPN en la sede, existen 3 tipos de VPNS de acceso, internas y externas, ver fig. 16

VENTAJAS DE LAS VPNLa VPN es un servicio que ofrece conectividad segura y confiable en una infraestructura de red pblica compartida, como la Internet. Las VPN conservan las


36


mismas polticas de seguridad y administracin que una red privada. Son la forma ms econmica de establecer una conexin punto-a-punto entre usuarios remotos y la red de un cliente de la empresa.VPN'S

DE ACCESO

INTERNAS

EXTERNAS

Brindan acceso remoto a un trabajador mvil y una oficina pequea/oficina hogarea (SOHO), a la sede de la red interna o externa, mediante una infraestructura compartida. Las VPN de acceso usan tecnologas analgicas, de acceso telefnico, RDSI, lnea de suscripcin digital (DSL), IP mvil y de cable para brindar conexiones seguras a usuarios mviles, empleados a distancia y sucursales..

Conectan a las oficinas regionales y remotas a la sede de la red interna mediante una infraestructura compartida, utilizando conexiones dedicadas. Las redes internas VPN difieren de las redes externas VPN, ya que slo permiten el acceso a empleados de la empresa.

Conectan a socios comerciales a la sede de la red mediante una infraestructura compartida, utilizando conexiones dedicadas. Estas redes difieren de internas VPN, ya que permiten el acceso a usuarios que no pertenecen a la empresa.

Figura 16. Tipos de VPNS

REDES INTERNAS Y EXTERNASUna de las configuraciones comunes de una red LAN es una red interna, a veces denominada "intranet". Los servidores de Web de red interna son distintos de los servidores de Web pblicos, ya que es necesario que un usuario pblico cuente con los correspondientes permisos y contraseas para acceder a la red interna de una organizacin. Las redes internas estn diseadas para permitir el acceso por usuarios con privilegios de acceso a la LAN interna de la organizacin. Dentro de una red interna, los servidores de Web se instalan en la red. La tecnologa de navegador se utiliza como interfaz comn para acceder a la informacin, por ejemplo datos financieros o datos basados en texto y grficos que se guardan en esos servidores.


37


Las redes externas hacen referencia a aplicaciones y servicios basados en la red interna, y utilizan un acceso extendido y seguro a usuarios o empresas externas Este acceso generalmente se logra mediante contraseas, identificaciones de usuarios, y seguridad a nivel de las aplicaciones. Por lo tanto, una red externa es la extensin de dos o ms estrategias de red interna, con una interaccin segura entre empresas participantes y sus respectivas redes internas.

1.5.

SEGURIDAD PERIMETRALLa seguridad perimetral en las redes se refiere al nivel de confianza que garantiza

que el funcionamiento de todas las mquinas de una networking sea ptimo y que todos los usuarios de estos dispositivos posean los derechos que les han sido concedidos, as como la proteccin de la informacin y hosts resguardados dentro de su configuracin. Por lo anterior la definicin de seguridad perimetral es el agregado de hardware, software y polticas para proteger una red en la que se tiene confianza (intranet) de otras redes en las que no se tiene confianza (Internet). Esto puede incluir: Evitar que personas no autorizadas intervengan en el sistema con fines malignos. Evitar que los usuarios realicen operaciones involuntarias que puedan daar el sistema. Asegurar los datos mediante la previsin de fallas. Garantizar que no se interrumpan los servicios.

1.5.1. FIREWALLSUn Firewalls (FW) o cortafuegos, es un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos


38


sobre la base de un conjunto de normas y otros criterios, que reciben el nombre de polticas. Estos pueden ser implementados tanto en hardware como en software, o una combinacin de los dos, se utilizan con frecuencia para evitar que los usuarios de Internet que no cuentan con la autorizacin necesaria tengan acceso a redes privadas que se encuentran conectadas a Internet, especialmente las intranets. Todos los mensajes que entren o salgan de la intranet pasan a travs del Firewall, el cual examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad que le han sido especificados por su administrador. Tambin es frecuente conectar un FW a una tercera red, sobre todo en los Centros de Datos, dicha red recibe el nombre de Zona Desmilitarizada (DMZ), en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior.

TIPOSExisten diferentes formas de clasificar estos dispositivos, en este proyecto se dividieron de dos formas distintas, para facilitar su clasificacin, la primera fue por firewall por software (gratuito y comercial) y hardware. La segunda forma fue por el mecanismo de seguridad que manejan, y las capas del modelo OSI en las que trabajan. Se explicara cada una de estas divisiones.

FIREWALL POR SOFTWAREEste tipo de cortafuegos pueden ser tanto gratuitos como comerciales. Los firewall por Software funcionan de la misma forma ya sean gratuitos o comerciales, la nica diferencia es que estos ltimos incluyen proteccin extra y mucho ms control sobre su configuracin, ver tabla 7.


39


FIREWALL POR SOFWARE GRATUITO Se incluyen con el sistema operativo y normalmente son para uso personal. Pueden ser fcilmente integrados con otros productos de seguridad. No necesita de hardware para poder ser instalarlo en una computadora. Su instalacin es simple, y el Sistema Operativo alerta nos alerta cuando no tenemos ningn FW en funcionamiento. Un firewall de este tipo es el bsico con el que debe una computadora.Tabla 7.

COMERCIAL Funciona de la misma forma que uno gratuito, pero normalmente incluye protecciones extra y mucho ms control sobre su configuracin y funcionamiento. Las empresas que producen software de seguridad venden la aplicacin firewall exclusivamente o como parte de un paquete de seguridad que incluye otros productos que complementan esta proteccin, como es el caso de los antivirus.

Descripcin de Firewalls por Software.

FIREWALL POR HARDWAREEste tipo de firewalls toman decisiones segn la direccin de procedencia, direccin de destino y puerto de cada uno de los paquetes IP. Un FW por Hardware viene normalmente instalado en los routers para acceder a Internet, lo que significa que todas las computadoras que estn detrs de uno estarn protegidas por un firewall. La configuracin de un dispositivo de este tipo se realizada a travs del navegador que se utiliza para acceder a Internet. Los actuales corta fuegos de nivel de red permiten mayor complejidad a la hora de decidir; mantienen informacin interna acerca del estado de las conexiones que pasan por l.

POR MECANISMO DE SEGURIDAD Y CAPA DE TRABAJO.Un FW tambin se puede clasificar por la forma en que aplica su seguridad, al establecerse conexiones o al nivel de capa de comunicacin en la que trabajen, este nivel de capa puede referirse al modelo OSI o al TCP/IP, ver tabla 8.


40


FIREWALLS POR MECANISMO DE SEGURIDAD Y CAPA DE TRABAJO NIVEL DE APLICACIN DE PASARELA Aplica mecanismos de seguridad para aplicaciones especficas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradacin del rendimiento. CIRCUITO A NIVEL DE PASARELAAplica mecanismos de seguridad cuando una conexin TCP o UDP es establecida. Una vez establecida, los paquetes pueden fluir entre los anfitriones sin ms control. Permite el establecimiento de una sesin que se origine desde una zona de mayor seguridad hacia una de menor seguridad.

DE CAPA DE RED/ FILTRADO DE PAQUETES Nivel de capa 3-OSI, 2-de TCP/IP como filtro de paquetes IP, segn los distintos campos de los paquetes IP: IP origen, IP destino. A menudo en este tipo de cortafuegos se permiten filtrados segn campos de nivel de transporte, como el puerto origen y destino, o a nivel de enlace de datos capa 2-OSI como la direccin MAC.

DE CAPA DE APLICACIN Nivel de capa 7-OSI, de manera que los filtrados se pueden adaptar a caractersticas propias de los protocolos de este nivel. Un cortafuego a nivel 7 de trfico HTTP suele denominarse proxy, y permite que los computadores de una organizacin entren a Internet de una forma controlada.

Tabla 8.

Descripcin de Firewalls por Mecanismo de Seguridad y Capa de trabajo.

VENTAJAS Y LIMITACIONESAunque el usuario medio pueda creer que eso de los ataques no es algo que le pueda suceder en su casa a su computadora, el cortafuego se convierte un elemento imprescindible si se utiliza mucho el ordenador y se est conectado permanentemente mediante ADSL o cable. El firewall evitar la entrada de los programas que rastrean direcciones IP, a la vez que frustrar los intentos de los programas espa de robar datos del PC y de los troyanos de abrir brechas de seguridad.VENTAJAS Y LIMITACIONES DE LOS FIREWALLS VENTAJAS LIMITACIONES Protege de intrusiones: Solamente entran a la red No puede proteger la intranet o el equipo, las personas autorizadas basadas en la poltica de contra aquellos ataques cuyo trfico no pase a la red en base a las configuraciones. travs de l. Optimizacin de acceso: Identifica los elementos Amenazas de ataques internos o usuarios de la red internos y optimiza que la comunicacin negligentes (sabotaje o errores humanos). entre ellos sea ms directa si as se desea. Esto Ataques de ingeniera social. Posibles ataques ayuda a reconfigurar rpida y fcilmente los la red interna por virus informticos a travs parmetros de seguridad. de archivos y software. Proteccin de informacin privada: Permite el Fallos de seguridad de los servicios y acceso solamente a quien tenga privilegios a la protocolos cuyo trfico est permitido. informacin de cierta rea o sector de la red. Proteccin contra virus: Evita que la red se vea infestada por nuevos virus que sean liberados. Tabla 9. Ventajas y limitaciones de los firewalls


41


POLITICASLa configuracin correcta de los FW se basa en amplios conocimientos de protocolos de red y de la seguridad con la que cuente la computadora y los equipos conectados a l. Errores pequeos pueden dejar a un cortafuego sin valor como herramienta de seguridad. Las polticas son reglas que se le configuran a un FW para que este reconozca los permisos que tiene que conceder si algn usuario o trfico intenta acceder a la intranet o al equipo a travs de l. Hay dos polticas bsicas en la configuracin de un cortafuego que cambian la filosofa fundamental de la seguridad en la organizacin:POLITICAS BASICAS POLITICA RESTRICTIVA POLITICA PERMISIVA

Se deniega todo el trfico excepto el que est explcitamente permitido. El Firewall obstruye todo el trfico y hay que habilitar expresamente el trfico de los servicios que se necesiten. Esta aproximacin es la que suelen utilizar las empresas y organismos gubernamentales.

Se permite todo el trfico excepto el que est explcitamente denegado. Cada servicio potencialmente peligroso necesitar ser aislado bsicamente uno por uno, mientras que el resto del trfico no ser filtrado. Poltica suele ser utilizada en universidades, centros de investigacin, etc.

Tabla 10. Polticas bsicas de Firewalls

La poltica restrictiva es la ms segura, ya que es ms difcil permitir por error trfico potencialmente peligroso, mientras que en la poltica permisiva es posible que no se haya contemplado algn caso de trfico peligroso y sea permitido por omisin.

1.5.2. ZONAS DESMILITARIZADAS (DMZ)En la seguridad informtica, una zona desmilitarizada (DMZ, Demilitarized Zone) o tambin conocida como red perimetral, a una red LAN que est ubicada entre la red interna de una organizacin y una red externa, generalmente Internet. El objetivo de una


42


DMZ es que las conexiones desde la red interna y la externa a la red perimetral estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa, los equipos (hosts) en la zona desmilitarizada no pueden conectarse con la red interna. Esto permite que los equipos hosts de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos situados en la DMZ. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la red perimetral se coinvertira en un callejn sin salida. Este tipo de zonas se usan habitualmente para ubicar servidores en los que es necesario que puedan ser accedidos desde fuera, como servidores de correo electrnico, Web y DNS. Las conexiones que se realizan desde la red externa hacia la zona desmilitarizada se controlan generalmente utilizando un Port Address Translation (PAT). Una DMZ se crea a menudo a travs de las opciones de configuracin de los firewalls, donde cada red se conecta a un puerto distinto de ste. Esta configuracin se llama FW en trpode (three-legged firewall). Un planteamiento ms seguro es usar dos cortafuegos, donde la red perimetral se sita en medio y se conecta a ambos cortafuegos, uno conectado a la red interna y el otro a la red externa. Esta configuracin ayuda a prevenir disposiciones errneas accidentales que puedan permitir el acceso desde la red externa a la interna. Este tipo de configuracin tambin es llamada FW de subred monitoreada (screened-subnet firewall).

DMZ HOST O DMZ EN ENTORNO DOMESTICOEn el caso de un enrutador de uso domstico, el DMZ host se refiere a la direccin IP que tiene una computadora para la que un router deja todos los puertos


43


abiertos, excepto aquellos que estn explcitamente definidos en la seccin NAT del enrutador. Es configurable en varios routers y se puede habilitar y deshabilitar. Por esta razn se persigue conseguir superar estas barreras de conexin con algunos programas, aunque es un riesgo bastante grande de seguridad que conviene prevenir, instalando un firewall por software en el ordenador que tiene dicha IP en modo DMZ.

1.5.3. FORMAS DE PROTEGER UNA REDComo usuario de una red tenemos que tener protegidos nuestros equipos personales y a la red misma, esto se puede lograr de las siguientes formas: Conocer la estructura de la red. Conocer nuestro sistema operativo. Limitar el acceso a la red y al equipo (uso de firewall). Limitar el nmero de puntos de entrada (puertos). Hacer uso de DMZ. Uso de polticas de seguridad interna (contraseas, activacin de archivos ejecutables).

1.6.

CENTROS DE DATOSEl trmino Data Center es, el da de hoy, un trmino habitual para muchas

personas, sobre todo relacionadas con el mundo del hosting. Un Data Center es, tal y como su nombre indica, un centro de datos o Centro de Proceso de Datos (CPD). Se denomina centro de procesamiento de datos a aquella rea en donde se concentran los


44


recursos necesarios para el procesamiento de la informacin de una organizacin. Ver figura 3 Esta definicin engloba las dependencias y los sistemas asociados gracias a los cuales: Los datos son almacenados, tratados y distribuidos al personal o procesos autorizados para consultarlos y/o modificarlos. Los servidores en los que se albergan estos datos se mantienen en un entorno de funcionamiento ptimo. La rpida evolucin de Internet y la necesidad de estar conectados en todo momento han obligado a las empresas a requerir un alto nivel de fiabilidad y seguridad, de tal forma que se proteja la informacin corporativa y est disponible sin interrupciones o degradacin del acceso, con el objetivo de no poner en peligro sus negocios, sean del tamao que sean. El cumplimiento de estos requisitos, cada da ms demandados, es posible dentro de un Centro de Datos. Los datos almacenados, son dinmicos, estn en constante movimiento, se interrelacionan unos con otros y dan como resultado nuevos datos. Su crecimiento es constante y ello implica no solo que deben estar protegidos mediante las medidas de seguridad adecuadas, sino tambin dotados de estupendos equipos que les permitan moverse gilmente por las redes de informacin.

1.6.1. UBICACIN GEOGRAFICA DE UN CENTRO DE DATOSUn Centro de Datos es un edificio o sala de gran tamao usada para mantener en l una gran cantidad de equipamiento electrnico. Suelen ser creados y mantenidos por grandes organizaciones con objeto de tener acceso a la informacin necesaria para sus operaciones. Prcticamente hoy en da todas las compaas que son medianas o grandes


45


tienen o necesitan algn tipo de Data Center, mientras que las ms grandes llegan a tener varios. Entre los factores ms importantes que motivan la creacin o a la subcontratacin de un CPD destacan el garantizar la continuidad del servicio a clientes, empleados, ciudadanos, proveedores y empresas colaboradoras, pues en estos mbitos es muy importante la proteccin fsica de los equipos informticos o de comunicaciones implicados, as como servidores de bases de datos que puedan contener informacin crtica, ver Fig. 17Proveedores de AccesoOFICINAS, CENTRO DE OPERACIONES, CUARTOS DE SOPORTE

CUARTO DE ENTRADA (Equipo de Transporte y Demarcacin)

Proveedores de Acceso

Cableado Principal AREA DE DISTRIBUCION PRINCIPAL (Ruteadores, Conmutadores principales LAN/SAN) Cableado Principal Cableado Principal

Cableado HorizontalCUARTO DE TELCOM. (Conmutadores LAN del CO y Oficina)

Cableado Principal

CUARTO DE CMPUTO

AREA DE DIST. HORIZONTAL(Conmutadores prpales




Cableado Horizontal AREA DE DIST. DE ZONA Cableado Horizontal AREA DE DIST. DE EQUIPO(Gabinetes/Racks)

Cableado Horizontal AREA DE DIST. DE EQUIPO(Gabinetes/Racks)

Cableado Horizontal AREA DE DIST. DE EQUIPO(Gabinetes/Racks)

AREA DE DIST. DE EQUIPO(Gabinetes/Racks)

Figura 17. Topologa Tpica de un Centro de Datos.

Dentro del territorio Mexicano, contamos con algunos Centros de Datos pertenecientes a empresas conocidas como Alestra o IBM; y otras pequeas empresas dedicas al hosting. Pero ninguno de estos CDP se puede comparar en tamao y nmero de clientes con Triara en la ciudad de Apodaca, Nuevo Len, o con KIO Networks en la


46


ciudad de Quertaro, Qro. Quienes cuentan con ms de un Data Centers en el interior de la Repblica.

1.6.2. SEGURIDAD EN LOS CENTROS DE DATOSLa seguridad en los Data Center se refiere al conjunto de mtodos, documentos, programas y dispositivos fsicos destinados a lograr que los recursos de host disponibles en un ambiente dado, sean accedidos y manipulados, nica y exclusivamente por quienes tienen la autorizacin para hacerlo, la seguridad que se maneja en un CDP esta altamente estructurada y cuenta con propiedades especificas, ver tabla 11. Pues algn fallo en esta, pone en peligro la integridad de los datos almacenados, lo cual a nivel empresarial, significa una perdida de dinero y posiblemente clientes. PROPIEDADES DE LA SEGURIDADPRIVACIDAD La informacin debe ser vista y manipulada nicamente por quienes tienen el derecho o la autoridad de hacerlo. INTEGRIDAD La informacin debe ser consistente, fiable y no debe estar propensa a alteraciones no deseadas, prevencin de riesgos. DISPONIBILIDAD La informacin debe estar en el momento que el usuario (Administrador, Cliente, o personal permitido) requiera de ella.

Tabla 11. Propiedades de Seguridad en un Centro de Datos.

TAREAS ADMINISTRATIVAS DE SEGURIDADPara simplificar la seguridad y la deteccin de posibles fallas y errores, sin importar si son a nivel tcnico, humano o de software, es preferible dividir las tareas de administracin de seguridad en tres grandes rubros. Estos son: Autenticacin: establecer las entidades que puedan tener acceso al edificio. Autorizacin: los usuarios que cuenten con los permisos necesarios para tener acceso a los recursos de hardware, software o algn tipo de Informacin, tengan efectivamente acceso a estos.


47


Auditoria: Se refiere a la continua vigilancia de los servicios que se brindan en el CPD. Se debe mantener estadsticas de acceso, estadsticas de uso y polticas de acceso (fsico y virtual) a los recursos.

1.6.3. DISEO DE UN CENTRO DE DATOSPara llevar a cabo el diseo de un centro de procesamiento de datos, y de forma consiguiente su construccin se tienen que tomar varios factores y caractersticas necesarias para que dicha infraestructura pueda desempearse adecuadamente. Pasos a seguir para el diseo de un Centro de Datos. Ver diagrama 9.


48


1. 2. 3.

Elegir ubicacin geogrfica. 4. Cubrir las caractersticas necesarias y los requisitos de la dependencia. 5. Cubrir con las necesidades de la infraestructura interior.

Cubrir las necesidades de seguridad fsica de la instalacin. Instalacin de las redes de rea necesarias.

FACTORES:*Costo econmico (terreno, local, impuestos, seguros, etc.) *Infraestructura cercana (electricidad, carreteras, etc.) *Riesgos naturales o sociales.

INSTALACION*creacion de DMZ.

DE

REDES:

REQUISITOS DE LAS DEPENDENCIAS:*Doble acometida elctrica. *Muelle de carga y descarga. *Montacargas y puertas anchas. *Altura suficiente de las plantas. *Medidas de seguridad en caso de incendio o inundacion. *Aire acondicionado. *Almacenes. *orientacion al sol..

*segmentacion de LAN'S y VPN'S. *despliegue y configuracion de la electronica de red. *creacion de entornos de explotacion, pre-explotacion, desarrollo de aplicaciones y gestion en red. *creacion de la SAN. *instalacion y configuracion de los servidores y perifericos.

INFRAESTRUCTURA INTERIOR:*suelos y techos falsos. * cableado de red y telefono. * doble cableado electrico. * generadores y cuadros de distribucion electrica. * acondicionamiento de salas. * instalacion de alarmas. * controles de temperatura y humedad. * facilidad de acceso. Figura 18.

SEGURIDAD FISICA DE LAS INSTALACIONES:* Cerraduras electromagneticas. *torniquetes. *camaras de seguridad. *detectores de movimiento. *tarjetas de identificacin. Desarrollo de un Centro de Datos

1.7.

ENLACES DEDICADOSEl servicio "conexin o enlace dedicado" es una conexin que permite estar

conectado permanentemente a internet, las 24 horas del da, los 365 das del ao, sin requerir el uso de una lnea telefnica. Ofrecen una conexin simtrica a Internet, asegurando el mismo trfico de subida que de bajada, con IP fijas y con anchos de banda


49


garantizados. Estos enlaces digitales punto a punto son ideales para compaas con la necesidad de transferir importante cantidad de informacin entre sus oficinas y/o clientes. Este tipo de conexin a internet es considerada robusta, segura, confiable y completa. Estos enlaces presentan una serie de ventajas que los convierten en soluciones seguras y estables con alta calidad para la conectividad de las empresas al Internet, ver tabla 12. Los equipos que intervienen en un enlace dedicado son y fueron diseados para esto (ser dedicados las 24 horas). Son de uso industrial (uso rudo) y altamente seguros.

VENTAJAS DE LOS ENLACES DEDICADOSTRANQUILIDAD MEJOR RENDIMIENTO Y FIABILIDAD DE LA REDMEJORA DE LAS COMUNICACIONES Y REDUCCIN DE LOS COSTOS:

CONTROL DE COSTOS La tarifa mensual de Internet es fija, no existen gastos adicionales por el tiempo de conexin o la cantidad de uso.

El ancho de banda est garantizado y dedicado nicamente al cliente. Es el servicio ms estable de los conocidos hasta el momento.

Utiliza la tecnologa de Los usuarios del servicio conmutacin ms moderna pueden acceder y para minimizar la cifra de compartir informacin, errores de encaminamiento, utilizar aplicaciones en reduciendo la congestin del red y trabajar fuera de la trfico de la red y oficina o del domicilio. garantizando que el usuario obtiene un servicio en el que puede confiar. Tabla 12. Ventajas de los enlaces Dedicados.

1.8

ALTA DISPONIBILIDAD EN LOS SISTEMAS DE COMUNICACINUn sistema de Alta Disponibilidad es un protocolo de diseo del medio y su

implementacin asociada, que asegura un grado casi absoluto de continuidad operacional durante un perodo determinado de medicin. Los esquemas de estos protocolos de diseo son sistemas que permiten a las aplicaciones seguir trabajando a pesar de que el hardware o software falle. Al dividir estos sistemas en dos bloques principales obtenemos: la Alta Disponibilidad de Infraestructura y la Alta Disponibilidad de Aplicacin. Ver tabla


50


ALTA DISPONIBILIDAD DE INFRAESTRUCTURA Si se llegara a producir un fallo de hardware en alguna de las mquinas del cluster, el software de alta disponibilidad es capaz de arrancar automticamente los servicios en cualquiera de las otras mquinas del cluster, lo cual recibe comnmente el nombre de failover. Y cuando la mquina que ha fallado se recupera, los servicios son nuevamente migrados a ella original (el host original), esto recibe el nombre de failback. Esta capacidad de recuperacin automtica de los hosts nos garantiza la operatividad continua de los servicios ofrecidos por el cluster, minimizando as la percepcin del fallo por parte de los usuarios. DE APLICACION Si se llegara a producir un fallo del hardware o de las aplicaciones de alguna de los hosts del cluster, el software de alta disponibilidad es capaz de arrancar automticamente los servicios que han fallado en cualquiera de las otras mquinas del cluster. Y cuando la mquina que ha fallado se recupera, los servicios son nuevamente migrados a la mquina original. Esta capacidad de recuperacin automtica de servicios nos garantiza la integridad de la informacin, ya que no hay prdida de datos, y adems evita molestias a los usuarios, que no tienen por qu notar que se ha producido un problema.

Tabla 13. Tipos de Alta Disponibilidad en los sistemas de comunicacin.

La diferencia entre la alta disponibilidad de aplicacin y la de infraestructura es que, la primera solo y nicamente arranca los servicios que han fallado, mientras que en la alta disponibilidad de infraestructura, el software tiene la capacidad de inicializar todos los servicios en cualquier otro host del cluster.

1.8.1 DISPONIBILIDAD DE DATOSLa disponibilidad de datos se conceptualiza como el grado o porcentaje de tiempo en el cual las bases de datos y otros sistemas de almacenamiento de la informacin (en conjunto una red SAN), trabajan de manera correcta, y pueden ser accedidos por los usuarios correspondientes. Dicha disponibilidad tambin se refiere a que la SAN mantenga su capacidad de registran y reportan fielmente las transacciones o cambios del sistema. Algunos especialistas en gestin de la informacin frecuentemente enfocan de forma separada la


51


disponibilidad de datos, para que de esta forma puedan determinar claramente si el porcentaje de prdida de datos esta dentro del rango aceptable para el usuario. Algunos clientes pueden tolerar interrupciones en el servicio de aplicacin pero no perdida de datos.

TIEMPO DE INACTIVIDADEl tiempo de inactividad o downtime, pueden ser de dos tipos: planificados y no planificados, ver tabla 14.DOWNTIMES PLANIFICADOS Surge generalmente durante el mantenimiento del sistema, y usualmente no puede ser evitado con la configuracin instalada. Algunos eventos que generan tiempos de inactividad planificados podran ser la instalacin de parches al software del sistema que requieran un reinicio o cambios en la configuracin del equipo. En general es el resultado de un evento lgico o de gestin iniciado.Tabla 14.

NO PLANIFICADOS Surgen de algn evento fsico tales como fallos en el hardware o anomalas ambientales. Algunos ejemplos de eventos con tiempos de inactividad no planificados son los fallos de potencia, fallos en los componentes de CPU o RAM, una cada por recalentamiento, una ruptura lgica o fsica en las conexiones de red, rupturas de seguridad catastrficas o fallos en el sistema operativo, aplicaciones y middleware.

Tipos de Downtimes en los

Final

Documents

Transcript of Final