Professional Documents
Culture Documents
De la
(ICI~UNI)
TESIS
PARA OPTAR EL TITULO PROFESIONAL TCNICO EN:
TTULO DE TESIS
INSTALACION, MANTENIMIENTO Y RESTRUCTURACIN DE UNA SUBRED INFORMATICA APLICADO AL HOSPITAL DE EMERGENCIAS PEDIATRICAS
DEDICATORIA
Resumo mi dedicatoria en este proverbio:
El hombre, ese ser tan dbil, ha recibido de la naturaleza dos cosas que deberan hacer de l el ms fuerte de los animales: la razn y la sociabilidad. El hombre es un ser sociable y criado para contribuir al bien de la sociedad.
Lucio Sneca.
AGRADECIMIENTO
Agradezco a los funcionarios del H.E.P , a mis profesores del Instituto de Electrnica Digital y Telemtica de la UNI., por permitirme la realizacin de este modesto trabajo y a mi familia por el gran poyo brindado Gracias
NDICE
CONTENIDO
Primeras hojas Tema de tesis Dedicatoria Agradecimiento 2 3 4 12 12 13 13 14 15 16 17 19 20
PGINA
Antecedentes del problema Primera parte Segunda parte Tercera parte El Hospital de Emergencias Peditricas Misin y visin del Hospital de emergencias Peditrico Esquema organizacional del Hospital de Emergencias Peditrico Anlisis FODA Hospital de Emergencias Peditricas. Conceptos subyacentes a la preparacin del sistema de seguridad
Objetivo
PRIMERA PARTE (Marco Terico) CAPTULO I (Descripcin simple de nuestro trabajo: FIREWALL)
1.1 - Que es una red informtica? 1.2 -.Administracin de una red 1.3 - Firewall 1.3.1 -.Que es un Firewall? 1.3.2 -.Por qu utilizar un Firewall? 1.3.3.-.Tipos de Firewall 1.3.3.1 -.Firewall a nivel de capas 1.3.3.1.1 Firewall de filtrado de paquetes 1.3.3.1.2 Firewall de aplicacin 1.3.3.2 -.Firewall fsicos 1.3.3.2.1 Firewall tpicos 1.3.3.2.2 Firewall con zona DMZ 1.3.3.2.3 Firewall con filtrado parcial 1.4 - Descripcin del comando IPTABLES 22 22 23 23 23 23 24 24 24 25 25 26 27 28 21
37
37 37 39 39 39 40 40 40 41 41 41 41 42 42 42 43 44 46 47 48
49
49 49 49 50 50 51 51 52 52 52
3.2.3 Ruido 3.2.4 - Capacidad del canal (C) 3.2.5 Diafona o Atenuacin transversal 3.2.6 Tele diafona y Para diafona 3.3 - Medios de transmisin 3.3.1 - Medios magnticos 3.3.2 - Medios de transmisin guiados 3.3.2.1 - Par trenzado 3.3.2.2 - Cable coaxial 3.3.2.3 - Fibra ptica 3.3.3 - Transmisin inalmbrica 3.3.3.1 - Microondas terrestres 3.3.3.2 - Microondas por satlite 3.3.3.3 - Infrarrojos 3.4 - Definicin de las modalidades de transmisin 3.4.1 - Servicios de datos conmutados de multimegabits (SMDS) 3.4.2 - Hub vs. Switch 3.4.2.1 - Hub 3.4.2.2 - Switch 3.5 - Tipos de redes 3.5.1 - Clasificacin segn su tamao y extensin 3.5.1.1 - Redes LAN 3.5.1.2 - Redes MAN 3.5.1.3 - Redes WAN 3.5.2 - Clasificacin segn la tecnologa de transmisin 3.5.2.1 - Redes broadcast 3.5.2.2 - Redes Point to-Point 3.5.3 - Clasificacin segn la transferencia de datos soportada 3.5.3.1 - Redes de transmisin simple 3.5.3.2 - Redes de transmisin Half-Duplex 3.5.3.3 - Redes de transmisin Full-Duplex 3.6 - Topologa de la red 3.7 - Token Ring 3.8 - Ethernet 3.8.1 - Fast Ethernet 3.9 - Conclusiones primera parte
52 53 54 54 55 55 55 55 56 57 58 59 59 60 60 60 61 61 62 62 62 62 63 63 63 63 63 64 64 64 64 64 65 65 65 66
76
76 76 76 77 77 78 78 78 78 78 79 80 82 83 83 83 84
5.6.7.1 - Departamento o rea de anlisis de sistema 5.6.7.2 - Departamento o rea de programacin 5.6.7.3 - Departamento o rea de soporte tcnico 5.7 - Recursos tcnicos humanos 5.7.1 - Analista programador 5.7.2 - Programador de sistemas 5.7.3 - Soporte tcnico 5.7.4 - Supervisor de procesos 5.7.5 - Digitador o capturista de datos 5.8 - Grafico Diagrama actual de la Red informtica H.E.P.
84 84 84 85 85 85 86 86 86 87
88
88 88 88 89 89 89 89 90 90 91 92 92 92 93 94 95 97 99
6.3.1 Servidores 6.3.2 - Recomendaciones para las reas informticas 6.3.3 - Planeamiento de un estndar 6.3.4 - Consideraciones econmicas 6.4 - Zona de operatividad de nuestro Firewall 6.5 - Conclusiones segunda parte
TERCERA PARTE (Diseo y resultado de la investigacin) CAPTULO VII (Nuevas caractersticas incorporadas en el kernel 2.6.18)
7.1 - Diferencias kernel 2.4.X y 2.6.18 111 111
115
118
121
10
156
183
195 196 197 197 201 202 207 214 215 216 217 218 219 220
11
ANTECEDENTES DEL PROBLEMA (Este trabajo est comprendido en tres partes y una protocolar)
Parte protocolar.-
nuestro trabajo que nos detallar el objetivo de nuestro trabajo y la Institucin analizada, Se describe una sucinta historia de la institucin, anlisis de la misin y visin de la empresa, se muestra el esquema organizacional del Hospital, y un sencillo anlisis FODA que resume en pocas palabras la situacin actual, cabe mencionar que el presente trabajo tom una fotografa en el tiempo de la institucin para poder tomar los datos, cualquier cambio que podra hacer el HEP tanto en sus instalaciones como en sus equipos de computo a partir de la fecha que se recogieron los datos no ser tomada en cuenta en este trabajo y no sentir influencia a partir de enero del ao 2006
Primera parte.- Primero examinaremos algunos conceptos que nos ilustrarn mas sobre nuestro trabajo, primero describiremos las funciones de un administrador de redes informticas, luego describiremos el concepto de nuestro trabajo a realizar Los Firewall esto comprende unas descripciones de las diferentes configuraciones tpicas y examinado tambin en diferentes capas de ejecucin en donde el firewall trabaja, tambin describiremos el concepto de las siete capas de OSI de la ISO a fin de entender todo el proceso de comunicacin en unos simples y entendibles conceptos de teora, ello comprender conceptos de Firewall, conceptos de las siete (7) capas de OSI, ellos explicado en los diferentes estndares de comunicacin como son ISO, NETWARE, TCP/IP, conceptos de ancho de banda, conceptos sobre perturbaciones en la transmisin, tambin ilustraremos sobre los medios de transmisin de la informacin como router switch, hubs, modem, conceptos sobre equipos repetidores de datos, tipos clasificacin de las redes y topologas de Redes,
12
Segunda parte.- comenzaremos con una descripcin de la institucin, los antecedentes y su estructura organizacional, se detalla el nmero de ordenadores que rigen en el hospital, as mismo la distribucin de los computadores en las reas respectivas, as como las reas crticas de servicio asistencial, el tipo de Red utilizado, el tipo de cable y de dispositivos de conexin. Se toman las primeras decisiones del diseo, con respecto a las conclusiones que sacaremos despus de analizar el diseo actual y compararlo con alguna posible mejora o reestructuracin del mismo. Tambin evaluaremos la Subred y los sistemas que corren en ella, analizaremos el rea descrita a corto y largo plazo ya que podra acontecer algn cambio que requiera reestructuracin de la Intranet, evaluaremos la seguridad, su conexin a Internet, la plataforma de ejecucin de los programas asistenciales, las plataformas de las Bases de Datos, se describir los sistemas de comunicacin remota con diferentes entidades estatales como, el SIAF-Ministerio de ECONOMA.
Tercera parte.- en esta parte se describir el sistema operativo para nuestro fin, se explicar las caractersticas de nuestro kernel, las mejoras y las restricciones que posee, desarrollaremos la poltica y consideraciones del diseo de nuestro firewall, continuaremos con la instalacin del sistema operativo, evaluaremos las consideraciones post-instalacin que trata de acomodar nuestra instalacin a un estable y seguro sistema operativo, y en seguida implementamos el script, tambin ejecutamos una configuracin post-instalacin para dar la finalizacin a este script, mediante el programa PACKET TRACER v4.1 de Cisco System simularemos la nueva configuracin de nuestra subred, tambin mostramos las ventanas de instalacin de nuestro firewall en el sistema operativo. Al final desarrollaremos un plan de mantenimiento preventivo y correctivo a los equipos de cmputo del H.E.P. implementado netamente al hardware y al mantenimiento de los sistemas operativos instalados.
13
El Hospital de Emergencias Peditricas fue creado el 12 de Julio de 1985 por RM N: 183-85-SA/DVM con la denominacin de Centro de Emergencias, encontrndose ubicado en la octava cuadra de la Avenida Grau del distrito de la Victoria, en el local de la antigua Asistencia Pblica de Lima. En el ao 1987 fue anexado al Hospital de Emergencias Casimiro Ulloa y tres aos despus al Instituto de salud del Nio. El 03 de agosto de 1991 se anula esta integracin a solicitud de sus trabajadores considerndosele Hospital de Apoyo especializado en Salud Infantil. A partir de dicho periodo se inicio la repotenciacin de las diferentes reas y servicios de nuestra institucin favoreciendo una mejor atencin a los usuarios, es as que se acondicion e implement la Sala de Operaciones y la Unidad de Terapia Intensiva peditrica con la respectiva dotacin de unidades mviles (ambulancias). En marzo de 1995 por RM N: 206-95 SA/DM el Hospital recibe la
denominacin de HOSPITAL DE EMERGENCIAS PEDIATRICAS, brindando atencin especializada a la poblacin infantil en las especialidades de Medicina, Ciruga, Traumatologa, Neurociruga, Anestesiologa y Terapia Intensiva, contando a la fecha con cinco (5) consultorios para la atencin de urgencias y con 45 camas para la atencin en Hospitalizacin, (10 corresponden a la unidad de Terapia Intensiva y Unidad de Cuidados Intermedios)
14
LA MISIN Y VISION DEL HOSPITAL DE EMERGENCIAS PEDIATRICAS Los ejecutivos de la institucin dieron y precisaron la definicin de la misin de su institucin, tomando como base las definiciones anotadas en cuestionario, como resultado de dicha tarea, se estableci una serie de enunciados en los cuales las palabras claves giraban en torno a los siguientes conceptos y criterios:
1.- Nio, familia y comunidad. Razn de ser de nuestro servicio. 2.- Servicios. Brindar con excelencia el servicio a nuestro pblico objetivo. 3.- Desarrollo Integral Condicin indispensable para el individuo en una sociedad. 4.- Tecnologa Que posibilite cumplir y satisfacer las necesidades de nuestro pblico objetivo actual y potencial 5.- Valores Actitud orientada al xito, amor, tolerancia, solidaridad y humildad 6.- Autoconcepto de ventajas competitivas. H.E.P. rene a los mejores profesionales, tiene objetivos claros, la estructura organizacional estimula la creatividad y comunicacin Disciplina y decisin. 7.- Aspiraciones Todas sus acciones y servicios deben ser reconocidas como una expresin de calidad, ser la mejor Institucin, Llegar a todos los elementos Integrantes de la comunidad. 8.- Calida de vida. Como una constante a ser alcanzada en cada producto final. 9.- Riesgo social. Situacin en la que se encuentran muchos nios, familias y gran parte de la comunidad. 10.- Imagen pblica deseada. H.E.P. es un servicio social digno de ser copiado por otras instituciones.
15
ESQUEMA ORGANIZACINAL DEL HOSPITAL DE EMERGENCIAS PEDIATRICAS La institucin cuenta con un modelo organizacional propio de las organizaciones del Estado, este no cuenta con un modelo moderno donde la gerencia informtica es la mxima autoridad, modelo representado en el siguiente esquema DIAGRAMA ACTUAL
Direccin Secretaria
Personal
Logstica
Presupuesto
Cuerpo Medico
Farmacia Sub-Almacn
UTIP
UTAB
16
FORTALEZA Especializacin en Emergencias y Urgencias Peditricas (Traumatologa, Ciruga, Pediatra, Neurociruga, Laboratorio, Rayos X, Farmacia, Unidad de Terapia Intensiva Peditrica). Accesibilidad al HEP. Atencin las 24 horas las 365 das del ao Equipamiento de instrumentos. Recursos Humanos especializados. Permanencia de mdicos en el HEP. todas las reas estn conectadas mediante un sistema cliente de red con Red Novell Netware.
OPORTUNIDAD Organizar el sistema de ambulancias. Sistema nacional de urgencias. Convenios o firma de alianzas estratgicas con instituciones sin especialidad peditricas. Demanda de aplicaciones en especialidades asistenciales Transicin epidemiolgica. Aparicin de nuevos sistemas de seguros. Proyectos de inversin en salud. Nuevas polticas del sector salud.
DEBILIDAD Infraestructura (tanto externa como interna, almacenes). Alta rotacin del personal asistencial. Carencia de documentos de gestin actualizadas. Carencia de guas teraputicas. Resistencia al cambio de procedimientos. 17
Carencia de estructuras de costos. Registros inadecuados y Sub Registros de diagnostico. Red informtica no adecuada al crecimiento y desarrollo laboral. No cuenta con una pagina Web, pero cuentan con los recursos necesarios para poder publicar una Web.
No cuenta con un plan publicitario, para as hacer conocer el servicio que se ofrece.
AMENAZAS Zona de riesgo delictivo y altamente contaminado Desconocimiento del significado de lo que es Urgencias y emergencias, por la comunidad. Cambio de la Poltica Medidas de austeridad y presupuesto reducido.
ANLISIS FODA, Conceptos extraidos de documentacin del H.E.P.
18
CONCEPTOS BSICOS SUBYACENTES A LA PREPARACIN DEL SISTEMA DE SEGURIDAD Con el fin de poder ofrecer un entorno de trabajo entendible, describiremos aqu algunos conceptos que se tendr en cuenta en todo el desarrollo del trabajo. Llamaremos: LAN (local Area Network) a una Red privada dentro de un solo edificio o campus hasta de unos cuantos kilmetros de extensin. WAN (Wide Area Network) a la Red total del planeta, el Internet. SUBRED a la coleccin de enrutadores Switchs y lneas de comunicacin que mueve paquetes de un Host a otro Host. NODOS a los puntos de convergencia de las Subredes. INTERREDES a Redes de diferentes tipos de hardware y software, que siendo necesario para su comunicacin un ensamblador y
desensamblador de paquetes a que llamaremos PAD (Packets Assemble Disassemble). Modelo OSI (Open System Interconnection) al modelo de referencia de la ISO, modelo de siete capas que se detallar mas adelante. Modelo de referencia TCP/IP al modelo de 4 capas de la WAN. Topologa ETHERNET a la topologa de transmisin de datos que rige el estndar de la IEEE 802.3 HOST a los computadores que estn en la ventana del Internet, un Host posee una direccin IP pblica. H.E.P. a las siglas de Hospital de Emergencias Peditricas. PROXY, viene a ser un servicio de control de trafico de redes NAT a (Netware Address Translater) una configuracin que crea conexiones entre puentes de redes CPD a centro de procesamiento de datos
19
OBJETIVO El objetivo enfocado en este trabajo de investigacin tiene la visin de propiciar el uso de estos Sistemas Operativos de Licencia GNU (software libre) apelando no solo a su casi ningn costo econmico sino tambin a su robusta plataforma, arquitectura y diseo en que fueron edificados. Internet es una de las entidades con una total denominacin en el mundo de la computacin de estos tiempos donde millones de computadores (Host) estn enlazadas a disposicin de conexin entre ellos, conllevando riesgo de robo o maltrato de cualquier otra ndole de nuestra informacin, es por eso que este trabajo se centra en la edificacin de un Sistema de Seguridad en la Intranet de la institucin, una cada de los sistemas comprometera seriamente le servicio Asistencial, datos y cargara deficiencias en la Intranet, As mismo se tomar en cuenta y se pondr en conocimiento en este trabajo las limitaciones encontradas en la edificacin del sistema de seguridad en el transcurso del diseo. El motivo de este documento no es edificar un sistema 100% seguro sino otorgar una buena seguridad a la institucin as como utilizar sus recursos de Internet de una forma eficiente, maximizando el rendimiento de los sistemas y aplicaciones. Se examina este trabajo bajo un concepto de MODELO DE REFERENCIA HBRIDO que resulta del anlisis de examinar los estndares ms comunes existentes y en donde hace trabajo explicito nuestro sistema de seguridad. Este sistema constar de cuatro capas:
Nuestro diseo del Sistema de Seguridad estar examinado en estas cuatro ltimas capas descritas y principalmente las capas de RED y TRANSPORTE
20
PRIMERA PARTE
MARCO TERICO
21
CAPTULO I
1.1 - Que es una red informatica? Una Red Informtica es un conjunto de computadores interconectadas con arreglo lgico, sin importar la distancia, por medios de cables apropiados de cobre, fibras de vidrio, ondas de radio, que modulaciones comparten digitales,
comunicaciones
satelitales,
etc.,
informacin
electrnicamente (en ello comprende impresoras, recursos compartidos, bases de datos, documentacin etc.)
1.2 - Administracin de una red? El administrador de Red es la persona responsable de supervisar y controlar el hardware, software y la interconexin entre los Sistemas Operativos y sus aplicaciones de una Red informtica, nuestro fin no es desplayarnos en los conceptos de la administracin simplemente resumir sus generalidades, aqu mencionamos: EL Administrador se encarga de la comunicacin entre los
Sistemas Operativos y aplicaciones, la administracin y conservacin de la informacin. El Administrador trabaja en la deteccin y correccin de problemas
que hacen ineficiente o imposible la comunicacin y en la eliminacin de las condiciones que pudieran llegar a provocar el problema nuevamente, ya que tanto las fallas de hardware como de software pueden generar problemas, el administrador de Red debe supervisar ambos. El Administracin de una Red informtica debe ver los errores de
comunicacin que puede suscitarse entre diferentes topologas de Redes informticas (Redes heterogneas), es decir, la Red consta de componentes de hardware y software fabricado por varias compaas. Auditar la Seguridad de la Red mediante aplicaciones, utilidades y
22
tica alta y profesionalismo al confiarle cualquier tipo de informacin. Controlar cambios y actualizaciones en la red de modo que
ocasionen las menos interrupciones posibles, en el servicio a los usuarios. El Administrador de encarga de disear los planes de trabajo del
mantenimiento de los sistemas, bases de datos, mantenimiento de equipos informticos, manejo del personal a su cargo
1.3 Firewall
1.3.1 - que es un firewall? se puede definir como firewall a una serie de sistemas e instrucciones que opera entre dos redes y su funcin es analizar el flujo de informacin entre ambas y ejecutar acciones segn las conveniencias y acuerdos
1.3.2 Por que utilizar un firewall? la ventaja del internet ha hecho que la comunicacin y la informacin sea ms verstil de manejar y a la vez peligrosa, el firewall permite darle parte de seguridad a los datos de alguna institucin que desee ser reservada y evitarse de intrusos que la pongan en riesgo, un firewall no lo es todo, solo soluciona parte de la seguridad de una red.
1.3.3 - Tipos de firewall Dependiendo de las necesidades de la Red puede ponerse uno o ms Firewall para establecer distintos permetros de seguridad, tambin resulta frecuente algn servidor al Internet como un servidor Web, o de Correos, es el caso que se debe aceptar cualquier conexin a ellos. Existen dos tipos de Firewall a nivel de capas y tres clases de diseos fsicos de Firewall a nivel de las capas mas bajas.
23
1.3.3.1.1 - Firewall de filtrado de paquetes, que actan en el nivel o capa de Red y en la capa de transporte. Es decir, en el caso concreto de la pila TCP/IP, permite filtrar por direccin IP, y tambin por puertos TCP o UDP, el uso de estos cortafuegos es totalmente transparente a las aplicaciones (por ejemplo, para un navegador Web), como ejemplo de ellos podemos citar routers con caractersticas de filtrado de paquetes, o el modelo de filtrado IPTables de los ncleos del sistema operativo Linux superiores a la v2.2 (aunque ya ha tomado total protagonismo en la serie de los ncleos v2.6).
1.3.3.1.2 - Firewall de aplicacin, tambin conocidos como proxys, actan a un nivel ms alto de la pila (a nivel de sesin, como los proxys socks, o a nivel de aplicacin, como los proxys de filtrado de contenido). A diferencia de los Firewall de filtrado de paquetes, suelen ser siempre soluciones de software. La configuracin de estos
cortafuegos no es transparente a las aplicaciones (los clientes necesitan de una configuracin especial para poder hacer uso de estos cortafuegos). Adems de actuar como guardianes, controlando el trfico de Red y dando la cara o estando al frente ante cualquier peticion por parte de cualquier cliente tanto externo como interno, seria en este caso el resolvedor de peticiones y una interface frente al servidor de la aplicacin y el cliente, este tipo de cortafuegos tienen muchas ms aplicaciones: permiten mejorar el tiempo de respuesta de algunas pginas (pues actan como cach y guardan copias de los datos), as como permiten el filtrado de contenidos y el registro de los lugares visitados por los distintos clientes Web a los que se da servicio. Como ejemplo 24
de esta familia o variante de cortafuegos, podemos citar Wingate, Squid, CyberGuard, WathGuard, Sunscreen EFS Firewall de SUN Microsystem, etc.
1.3.3.2.1 - Firewall tpico.- consta de un servidor Firewall con dos tarjetas de Red que separa a dos Redes Lan, una Interfase Ethernet conectada al router con un nico cable y la otra interfase Ethernet al Switch principal.
25
1.3.3.2.2 - Firewall con zona DMZ.- este esquema de configuracin permite crear otra zona en la cual es una zona expuesta al Internet y esta separada de la Red, cualquier ataque que sea dirigido a los servidores mantendr la Red de datos protegida, el esquema para este diseo seria el siguiente.
Otra variante de Firewal con zona DMZ, este tipo de diseo permite independizar el trafico externo e interno, asi mismo alijera la carga de toda la transmisin, reglas independientes pueden ejecutarse tanto en cada servidor Firewall, reglas pertinentes para cada tipo de Redes, el esquema para este diseo seria:
26
1.3.3.2.3 - Firewall de filtrado parcial.- este tipo de diseo permite solo filtrar o proteger parte de la Red dejando zonas libres para acceso total, esto se aplicara a los ISP en el que se coloca el Firewall para proteger determinados servidores o usuarios y dejar a los usuarios o servidores libres al Internet, el esquema para este diseo seria:
27
Interviene en un conjunto de reglas de filtrado de paquetes que regulan y controlan el trfico entre dos redes (o el trfico individual de un equipo). Este conjunto de reglas se pueden establecer en un hardware especfico o bien establecerlo en un computador con Linux caso en nuestro Firewall. Iptables es la utilidad que vamos a utilizar para crear e insertar en el ncleo las distintas reglas de filtrado que vamos a establecer sobre los paquetes.
IPTABLES - TABLAS Existen tres tablas independientes (aunque puede que no todas estn presentes, dependiendo de la configuracin del kernel):
FILTER: Es la tabla que se usa por defecto. Se utiliza para especificar filtros de paquetes. Contiene 3 chains predefinidas:
INPUT: Se consulta para los paquetes cuyo destino es la propia maquina. FORWARD: La atraviesan los paquetes enrutados a travs de esta maquina (tanto el origen como el destino son externos). OUTPUT: Para paquetes generados localmente. Todos los paquetes que entran o salen de la maquina atraviesan exactamente una chain predefinida, excepto aquellos cuyo origen y destino sea la propia maquina, que atraviesan 2: INPUT y OUTPUT.
NAT: Se utiliza para el seguimiento de conexiones; esta tabla se consulta cada vez que se ve un paquete que inicia una nueva conexin, con el objetivo de alterar algn parmetro de esa conexin. Tiene tres cadenas predefinidas:
PREROUTING: Se consulta con los paquetes que entran en la maquina, tan pronto como llegan, antes de decidir que hacer con ellos. 28
OUTPUT: Se utiliza para alterar paquetes generados localmente, antes de enrutarlos. POSTROUTING: Para alterar todos los paquetes que estn a punto de salir de la maquina. MANGLE: Tabla especial, destinada a alterar determinados parmetros de los paquetes, como el campo TOS, el TTL, etc.
Anteriormente haba solo dos chains: PREROUTING y OUTPUT, pero a partir del kernel 2.4.18 hay 5:
Su significado es el mismo que el de las chains con el mismo nombre de las tablas Filter y Nat.
IPTABLES - TARGETS: Acciones predefinidas Cuando un paquete no se ajusta a una regla, se contina examinando la siguiente hasta que se ajusta con alguna. Si se ajusta, se examina el target, que puede ser una accin predefinida, como:
ACCEPT: El paquete puede seguir su camino normal. DROP: El paquete se descarta, no se le deja pasar. REJECT: Rechaza la conexin:unreachale RETURN: Se dejan de examinar reglas en esta chain y se contina por la chain que llamo a esta. (Otras QUEQUE, LOG) Si se llega al fin de una chain predefinida, se ejecuta un target por defecto, llamado chain policy.
29
iptables [-t tabla] [-opciones] [-parmetro] [chain] [criterio] -j [target] tabla: -Nat -Mangle
opciones disponibles: -v: Informacin detallada. Muestra toda la informacin disponible de las chains y de cada regla. -n: Salida numrica. No intenta convertir direcciones IP a nombres de maquinas. -x: Mostrar el valor exacto de cada numero, en lugar de mostrar mltiplos de 1000 (K), 1000K (M) 1000M (G).
Borrado de contadores iptables [-t tabla] [-v] -Z [chain] Borra los contadores de una determinada chain, o de todas ellas. iptables [-t tabla] [-v] -F [chain] Borra todas las reglas de una determinada chain, o de todas ellas. Creado y borrado de chains iptables [-t tabla] [-v] -N chain Crea una nueva chain iptables [-t tabla] [-v] -X [chain] 30
Borra una chain determinada, o todas las definidas por el usuario. iptables [-t tabla] [-v] -E <old-chain> < new-chain> Renombra una chain. iptables [-t tabla] [-v] -P <chain target> Establece el target de una chain predefinida, esto es, lo que deben hacer los paquetes que lleguen al final de ella.
-A aade una regla al final de la lista. -I inserta una regla al principio de la lista, o en el punto especificado. -R reemplaza una regla (especificada por su numero en la lista) por otra. -D borra una regla determinada, especificada por su numero de orden o por su especificacin -L: Muestra un listado de todas las reglas de una chain, o de todas ellas.
Especificacin de reglas Con las opciones -A, -I, -R y -D de iptables hay que especificar una regla; se puede hacer con las siguientes opciones: -p [!] protocolo: El protocolo del paquete a comprobar. Puede ser tcp, udp, icmp, all, o un valor numrico.
-[s d] [!] direccin[/mascara]: Direccin IP origen (s)o destino (d) del paquete. Si se utiliza una mascara, la direccin coincide si es una de las que esten en esa red. -[io] [!] iface: Nombre del interfaz de entrada (i) o de salida (o) [!] -f: El paquete es un fragmento distinto del primero. -m extension: Activa una extensin para poder especificar mas parmetros del paquete. -j target: Se utiliza para especificar el target de dicha regla, esto es, lo que se debe hacer cuando un paquete coincida con lo indicado en ella. 31
ACCEPT aceptar el paquete. REJECT o DROP lo desecharn, la diferencia entre ellos reside en que DROP descartar el paquete silenciosamente y REJECT emitir un paquete ICMP Port Unreachable, indicando que est cerrado. REDIRECT redirigir el paquete a donde se indique en el criterio del comando y por ltimo LOG lo logear para su posterior anlisis.
Extensiones de las reglas Tal como se han descrito, los paquetes describen los parmetros ms bsicos de la cabecera IP de cada paquete. Pero puede ser necesario tener un control mas estricto; por ejemplo, especificar los nmeros de puerto en protocolos TCP o UDP.
udp: Aade las opciones: --sport [!] port [:port]: Especifican puerto (o rango de puertos) origen. --dport [!] port [:port]: Especifican puerto (o rango de puertos) origen.
tcp: Aade las opciones: --sport [!] port : Especifican puerto --dport [!] port : Especifican puerto --tcp-option [!] numero: Especifica una determinada opcin TCP.
icmp: Aade la opcin --icmp-type tipo, que especifica que tipo ICMP debe tener el paquete. echo-reply destination unreachable, echo-request, timeexceeded
tos: Aade la opcin --tos valor, que especifica que valor debe tener el campo TOS de la cabecera IP. 32
ttl: Aade las opciones: --ttl-eq valor: El campo TTL ha de ser exactamente el especificado. --ttl-gt valor: El campo TTL ha de ser mayor que el specificado. --ttl-lt valor: El campo TTL ha de ser menor que el especificado.
state: Aade la opcin --state valor, que indica el estado en el que debe estar la conexin correspondiente a dicho paquete. Los tipos de estado son: -INVALID: El paquete no se ha identificado por alguna razn, direccin desconocida -NEW: El paquete corresponde a una conexin nueva.(en una direccin) -ESTABLISHED: El paquete esta asociado a una conexin establecida.(ambas direcciones) -RELATED: El paquete corresponde una conexin nueva, pero relacionada con una que ya esta establecida (como un canal de datos de FTP, o un error de ICMP).
Extensiones de target Aparte de las target predefinidas, hay otras que se pueden usar como extensin. Por ejemplo, las siguientes extensiones solo son validas en la tabla NAT: MASQUERADE: Solo es valida en la chain POSTROUTING.-Indica que la direccin origen del paquete (y de todos los futuros de esta misma conexin) ha de ser cambiada por la direccin IP local de esta maquina. Muy usado en conexiones con IP dinmica, es lo que normalmente se entiende como simplemente NAT.
SNAT: Solo es valida en la chain POSTROUTING.- Indica que la direccin y puerto origen de este paquete (y de todos los futuros de esta misma conexin) sea modificado segn reespecifica con la opcin --tosource. 33
DNAT: Solo es valida en las chains PREROUTING y OUTPUT.Cambian la direccin IP destino de un paquete (y de todos los futuros de esta misma conexin) por el especificado con la opcin -to destination.
Interpretaciones:
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT Acepta todo paquete que forme parte de una conexin realizada
Iptables -A INPUT -m state -m tcp -p tcp --dport 32:761 --state RELATED -j ACCEPT Para conexiones pasivas
Iptables -A INPUT -p tcp -i eth0 --dport 80 -j DROP Cerrar conexiones entrantes desde eth0 y hacia el puerto (local) 80 (HTTP)
-s <172.20.0.1/24>
j SNAT -to
34
Tabla nat Esta tabla debe ser usada slo para hacer NAT (Network Address Translation) a los diferentes paquetes. En otras palabras, debe ser empleada solamente para traducir el campo origen del paquete o el campo destino. Ten en cuenta que tal como hemos dicho antes, slo el primer paquete de un flujo alcanzar esta cadena. Despus, al resto de paquetes del mismo flujo de datos se les aplicar la misma accin que al primero. Los objetivos que hacen este tipo de cosas son:
El objetivo DNAT (Destination Network Address Translation) se emplea principalmente en los casos donde se tiene una IP pblica y se quiere redirigir los accesos al firewall hacia algn otro host (en una "zona desmilitarizada", DMZ, por ejemplo). Dicho de otro modo, cambiamos la direccin de destino del paquete y lo re-enrutamos a otro host. SNAT (Source Network Address Translation) es principalmente usada para cambiar la direccin de origen de los paquetes. La mayora de las veces querrs esconder tus redes locales, DMZ, etc. Un ejemplo muy bueno podra ser cuando queremos sustituir las direcciones IP de la red local que est tras el cortafuego, por la direccin IP del propio cortafuego, que posee una IP pblica hacia fuera. Con este objetivo el firewall automticamente har SNAT y de-SNAT sobre los paquetes, lo cual hace posible que las conexiones provenientes de la LAN salgan a Internet. Por ejemplo, si tu red usa 192.168.0.0/mscara_de_red, los paquetes nunca regresarn de Internet, porque IANA ha designado dicho rango de direcciones (entre otras) como privadas y slo para ser usadas en redes locales aisladas. El objetivo MASQUERADE se usa exactamente para lo mismo que SNAT, pero MASQUERADE requiere un poquito ms de trabajo del 35
procesador. La razn es que cada vez que llega un paquete al objetivo MASQUERADE, automticamente chequea qu direccin IP debe asignarle, en lugar de hacer como SNAT, que simplemente utiliza la direccin IP configurada. MASQUERADE hace posible trabajar con las direcciones IP Dinmicas por DHCP que tu ISP pueda proporcionarte a travs de conexiones a Internet va PPP, PPPoE o SLIP.
36
CAPTULO II
EN ESTE CAPTULO SE EXPLICAR EL MODELO DE LAS SIETE CAPAS UNA POR UNA A FIN DE ENTENDER TODO EL PROCESO DE COMUNICACIN, DESDE LA SEAL ELCTRICA HASTA LA EJECUCIN DE LAS APLICACIONES
2.1 - LA CAPA FSICA La capa fsica tiene que ver con la transmisin de bits por bits por el canal de comunicacin, tiene que ver con la autenticidad de los paquetes transmitidos, si en un extremo se transmite un bit en el otro extremo debe recibirse un bit tambin, sea su valor cero (0) un uno (I) o con cualquier tipo de codificacin, y las caractersticas que encierran un bit como valor de duracin en segundos, nivel de voltaje, cantidad de corriente transmitida (potencia), as tambin material o medio de transporte, estndares para correccin de errores y eliminacin de ruido elctrico y reglas de manipuleo. Nuestro Firewall no es aplicable a esta capa, esta capa solo se encarga de procesar una corriente de niveles de voltaje, sus modulaciones y codificaciones, no es posible diferenciar datos aqu, cualquier Firewall libre o propietario no esta apto ni es de importancia implicarse aqu.
2.1.1 - CONCEPTO MATEMTICO Tal vez nuestra percepcin de las cosas no nos ayude a entender bien los principios fsicos que nos rige, es por ello que se tiene que recurrir a algoritmos para poder manipularlos sin que sufran alteraciones en su concepto fsico natural, por ello un dispositivo electrnico o elctrico no ve a la corriente elctrica como nosotros la vemos, un pulso elctrico de valor constante en un intervalo de periodo que seria as para nuestro concepto: Un dispositivo elctrico lo ve como una sucesin de senos y cosenos de periodos constantes, segn el matemtico francs Jean-Baptiste Fourier
37
n 1
n 1
G(t ) (1/ 2).c an.sen(2. .n. f .t ) bn. cos(2. .n. f .t ) (cf 01)
donde f= 1/t es la frecuencia fundamental y an y bn son amplitudes de seno y coseno del n-simo (trmino) armnico tal descomposicin se llama serie de Fourier, la funcin se puede reconstruir a partir de una serie de Fourier, eso es si se conoce el periodo T y se dan las amplitudes se puede encontrar la funcin original del tiempo efectuando las sumas de la ecuacin (cf-01) Una seal de datos que tenga una duracin finita se puede manejar con solo imaginar que el patrn completo se repite una y otra vez eternamente (en intervalos de T a 2T que es el mismo de 0 a T) Las amplitudes an se pueden calcular para cualquier g(t), multiplicando ambos lados de la ecuacin (cf-01) por sen(2nft) e integrando de 0 a T. Puesto que:
T 0
0 _ para _ k !n T / 2 _ para _ k n
nicamente sobrevive un trmino de la sumatoria: an. La sumatoria de bn se desvanece por completo. De manera similar al multiplicar la ecuacin (cf-01) por cos(2kft) e integrar entre 0 y T podemos deducir bn. Con solo integrar ambos miembros de la ecuacin como esta, se puede encontrar c, los resultados de estas operaciones son las siguientes:
a
n
38
2.2 - CAPA DE ENLACE DE DATOS La tarea principal de esta capa es la de tomar toda una banda base en bruto y trasformarla en un alinea que parezca libre de errores de trasmisin no detectados a la capa de Red. Esta tarea la cumple al hacer que el emisor divida los datos de entrada en marcos de datos y que transmita los marcos en una forma secuencial y procese los marcos de acuse de recibo que devuelve el receptor, esto se realiza porque en la capa fsica solo se transmite una corriente de bits sin preocuparse por el significado o su estructura, corresponde a la capa de enlace de datos crear y reconocer los limites de los marcos, esto se puede lograr aadiendo bits especiales al final y al principio del marco. Algn tipo de ruido puede daar el marco recibido o transmitido, en estas condiciones la capa de enlace puede retransmitir el marco, estos tipos de inconvenientes no solo acarrea retraso en la transmisin sino posibles duplicados de marcos enviados, la capa de enlace de datos posee el software necesario para tratar de resolver estos inconvenientes El software de la capa de enlace de datos tambin posee rutinas para tratar de equilibrar la velocidad de transmisin, esto introduce un buffer que es regulado as como el manejo de errores. La capa de enlace de datos esta diseada para ofrecer varios servicios y estos varan en sistema en sistema, estos servicios son tres:
2.2.1 - Servicio sin acuse sin conexin.- consiste en que la maquina de origen envi marcos independientes a la maquina de destino sin pedir que esta los reconozca o acuse su recibo, no se establece una conexin primero ni se libera despus de la comunicacin, tampoco intenta recuperacin de un marco perdido por ruido.
2.2.2 - Servicio con acuse sin conexin.- consiste en que la maquina de origen acepta una comunicacin aunque no se usa conexin pero cada marco enviado es reconocido individualmente, de esta manera el
39
2.2.3 - Servicio orientado a la conexin.- es el servicio mas elaborado a la capa de Red, con este servicio los computadores establecen una conexin antes de transferir datos, cada marco esta enumerado y la capa de enlace garantiza que cada marco llegara a su destino correctamente y sean recibido en el orden adecuado. Las Redes de difusin tienen una consideracin adicional en la capa de enlace de datos de cmo controlar el acceso al canal compartido una subcapa especial de la capa de enlace de datos se encarga de este problema (la subcapa de acceso al medio)
2.2.4 - SUBCAPA DE ACCESO AL MEDIO (MAC) Existen dos categoras en la forma de comunicacin en Redes digitales, una es conexiones punto a punto y las que usan canales de difusin. En cualquier Red de difusin el asunto es la manera de determinar quien puede usar el canal cuando hay competencia por l, en la determinacin de quien tiene el turno se procede a utilizar protocolos para resolver el problema. La subcapa MAC tiene especial importancia en las LAN casi todas usan un canal multiacceso como base a su comunicacin, las WAN en cambio usan enlace punto a punto excepto en las Redes satelitales Estos son los protocolos que tratan de resolver el problema del acceso al medio:
2.2.4.1 - ALOHA.- un mtodo creado por Norman Abramson y sus colegas en la universidad de Hawai, usaron la radio transmisin basada en tierra, idea aplicable a cualquier sistema en el que usuarios no coordinados compiten por el uso de un solo canal compartido. Existen dos versiones de ALOHA, la analizaremos a continuacin: 40
2.2.4.1.1 - ALOHA PURO.- La idea bsica de un sistema ALOHA es sencilla, permite que los usuarios transmitan cuando tengan datos por enviar. Por supuesto habr colisiones y las macros se destruirn sin embargo debido a la propiedad de retroalimentacin de la difusin, un trasmisor siempre puede saber si el marco fue destruido o no escuchando el canal de la misma manera que los dems usuarios, en el ALOHA puro los marcos se transmiten en momentos completamente arbitrarios.
2.2.4.1.2 - ALOHA RANURADO.- Diseado por Robert (1972) su propuesta fue de dividir el tiempo en intervalos discretos correspondiente cada uno a un marco, este enfoque requiere que los usuarios acuerden lmites de ranura. Una manera de lograr la sincronizacin seria tener una estacin especial que emitiera una seal al comienzo de cada intervalo, como un reloj.
2.2.4.2
PROTOCOLO
DE
ACCESO
MULTIPLE
CON
DETECCION DE PORTADORA En esta seccin analizaremos algunos protocolos para mejorar el desempeo. Los protocolos en los que las estaciones detectan una portadora (es decir una transmisin) y actan de acuerdo con ello se llaman protocolos de deteccin de portadora, se detallar los ms importantes:
2.2.4.2.1 - CSMA Persistente.- Cuando una estacin tiene datos por transmitir, primero escucha el canal para ver si otra esta transmitiendo en ese momento, si el canal esta ocupado la estacin esperara hasta que se desocupe, cuando este se desocupe se transmite un marco, si ocurriese una colisin el 41
canal espera un tiempo aleatorio para repetir la transmisin, el protocolo se llama persistente porque la estacin con una probabilidad de uno cuando encuentra el canal en reposo.
2.2.4.2.2 - CSMA No Persistente.- En este protocolo se hace un intento consciente por ser menos egosta que su compaero CSMA Persistente, antes de enviar una estacin detecta el canal, si nadie mas esta trasmitiendo la estacin comienza a hacerlo. Sin embargo, si el canal ya esta en uso la estacin no observa continuamente el canal a fin de tomarlo de inmediato al detectar el final de la transmisin previa, en cambio espera un periodo de tiempo aleatorio y repite el algoritmo.
2.2.4.2.3 - CSMA Persistente-p.- Cuando una estacin esta lista para enviar, escucha el canal, si el canal esta en reposo la estacin transmite con una probabilidad p, con una probabilidad q=1-p se espera hasta la siguiente ranura, si esta ranura tambin esta en reposo la estacin transmite o espera nuevamente con probabilidades p y q,. este proceso se repite hasta que el marco ha sido transmitido o hasta que otra estacin comience a transmitir
2.2.4.2.4 - CSMA/CD (Carrier-Sense Multiple Access with Collision Detection.).-En este protocolo con diferencia a sus primos anteriores cuando dos computadores encuentran una colisin abortan sus transmisiones, la terminacin pronta de marcos daados ahorra tiempo y ancho de banda este protocolo es utilizado ampliamente en las LAN de la subcapa MAC.
ALOHA, Conceptos extraidos de REDES DE COMPUTADORAS 3ra ed. AUTOR: Andrew S. Tanenbaum.
42
Existen muchos protocolos ms como son los protocolos libres de colisiones, protocolos de contencin limitada, protocolo de recorrido de rbol adaptable, protocolos de acceso mltiple de longitud de onda, protocolos de LAN inalmbricas, protocolos de acceso mltiple con prevencin de colisin (MACA), protocolo de acceso mltiple por divisin de colisiones etc. Que no son prioridad de estudio y anlisis en este trabajo. Esta capa esta fuertemente vinculada con la capa de Red, cada marco de la capa de enlace es controlado y modificado segn rutinas de comunicacin el cual los protocolos que ambos soportan como TCP, UDP, PPP, ICMP, SNMP, etc. Nuestro Firewall se centrar en la examinacin de los marcos entrantes y los paquetes salientes
2.3 - LA CAPA DE RED La capa de Red se ocupa de controlar el funcionamiento de la Subred. Una consideracin de diseo es determinar como se encaminan los paquetes de la fuente a su destino. Las rutas se puedes basar en tablas estticas que se alambran en la Red y rara vez cambian. Tambin se pueden determinar al inicio de cada conversacin o ser altamente dinmicas determinndose de nuevo con cada paquete para reflejar la carga actual de la Red. La capa de Red para lograr su cometido, la capa de Red debe conocer la topologa de la Subred de comunicacin es decir el grupo de enrutadores y escoger las trayectorias adecuadas a travs de ella tambin debe tener cuidado de escoger las rutas de modo de evitar la carga extra de algunas de las lneas de comunicacin y de los enrutadores mientras deja a otros sin trabajo. Si en la Subred se encuentran presentes demasiados paquetes a la vez, se estorbarn mutuamente, formando cuellos de botella. El control de tal congestin pertenece tambin a la capa de Red. En vista de que los operadores de la Subred podran esperar remuneracin por su labor, con frecuencia hay una funcin de contabilidad integrada a la capa de Red. Cuando menos, el software debe contar cuantos paquetes, caracteres o bits que enva cada cliente para producir informacin de
43
facturacin. Cuando un paquete cruza una frontera nacional con tarifas diferentes de cada lado, la contabilidad se puede complicar. Cuando un paquete viaja de una Red a otra para alcanzar su destino, pueden surgir muchos inconvenientes. El tipo de direcciones que usa la segunda Red puede ser diferente con respecto a la primera, puede ser que la segunda no acepte en absoluto el paquete por ser demasiado grande, los protocolos pueden diferir entre otras cosas, la capa de Red debe resolver todos estos problemas para lograr que se interconecten Redes
heterogneas. En nuestro modelo TCP/IP esta capa esta definida como la capa de INTERRED, la capa de INTERRED define un formato de paquete y protocolo oficial llamado IP (protocolo de Internet) el trabajo de esta capa es entregar paquetes IP a donde se supone que deben ir. Aqu la consideracin ms importante es claramente el ruteo de los paquetes y tambin evitar la congestin. Por lo anterior es razonable decir que la capa de Interred es muy parecida a la capa de Red OSI.
2.4 - LA CAPA DE TRANSPORTE La funcin bsica de la capa de transporte es aceptar datos de la capa de sesin, dividirlos en unidades mas pequeas si es necesario, pasarlos a la capa de Red y asegurar que todos los pedazos lleguen correctamente al otro extremo, adems todo esto de debe hacer de manera eficiente y en forma que asle a la capas superiores de los cambios inevitables en la tecnologa del hardware En condiciones normales, la capa de transporte crea una conexin de Red distinta para cada conexin de transporte que requiera la capa de sesin. Sin embargo, si la conexin de transporte requiere un volumen de transmisin alto, la capa de transporte podra crear mltiples conexiones de Red, dividiendo los datos entre las conexiones para aumentar el volumen. Por otro lado si es costoso crear o mantener una conexin de Red, la capa de transporte puede multiplexar varias conexiones de transporte en la misma conexin de Red para Reducir el costo. En todos los casos, a capa de 44
transporte debe lograr que la multiplexacin sea transparente para la capa de sesin. La capa de transporte determina tambin que tipos de servicios proporciona a la capa de sesin y finalmente a los usuarios de la Red. El tipo mas popular de conexin de transporte es un canal de punto a punto libre de errores que entregan mensajes o Bytes en el orden en que se enviaron. Sin embargo, otras posibles clases de servicios de transporte son el transporte de mensajes aislados sin garanta respecto al orden de entrega y la difusin de mensajes a mltiples destinos. El tipo de servicio se determina al establecer la sesin. La capa de transporte es una verdadera capa de extremo, del origen al destino. En otras palabras, un programa en el computador fuente sostiene una conversacin con un programa similar en el computador de destino, haciendo uso de los encabezados de mensajes y de los mensajes de control. En las capas bajas los protocolos se usan entre cada computador y sus vecinas inmediatas, y no entre los computadores de origen y destino, que pueden estar separadas por muchos enrutadores. Adems de multiplexar varias corrientes de mensajes por un canal, la capa de transporte debe cuidar de establecer y liberar conexiones a travs de la Red. Esto requiere alguna clase de mecanismo de asignacin de nombres, de modo que un proceso en una computador pueda describir con quien quiere conversar, Tambin debe haber un mecanismo para regular el flujo de informacin, a fin de que un nodo rpido no pueda saturar a uno lento. Tal mecanismo se llama controla de flujo, el control de flujo entre dos nodos es distinto del control de flujo entre enrutadores. Esta capa tambin pertenece al modelo de referencia TCP/IP como representante el protocolo de transporte TCP (Transmisin Control Protocol) confiable y orientado a la conexin que permite que una corriente de bytes originada en un computador de entregue sin errores en cualquier otro computador. Este protocolo fragmenta la corriente entrante de bytes en mensajes discretos y pasa cada uno a la capa de Interred el receptos ensambla los paquetes as mismo regula la transmisin para no saturar cualquier receptor lento. 45
El segundo protocolo de esta capa es el UDP (user datagrama protocol), protocolo orientado sin conexin no confiable para aplicaciones que no necesitan la asignacin de secuencia ni el control de flujo. Este protocolo se usa tambin para consultas de peticin y respuesta de una sola ocasin y en transmisiones donde la entrega pronta es mas importante que la entrega precisa como las transmisiones de vos y video. Aqu tambin se centrara nuestro Firewall
2.5 - LA CAPA DE SESIN La capa de sesin permite a los usuarios de computadores diferentes establecer sesiones entre ellos. Una sesin permite el transporte ordinario de datos, como lo hace la capa de transporte, pero tambin proporciona servicios mejorados que son tiles en algunas aplicaciones. Se podra usar una sesin para que el usuario se conecte a un sistema remoto de tiempo compartido o para transferir un archivo entre dos computadores. Uno de los servicios de la capa de sesin es de manejar el control del dialogo, las sesiones pueden permitir que el trafico valla en ambas direcciones al mismo tiempo, o solo en una direccin a la vez. Si el trfico puede ir nicamente en un sentido a la vez la capa de sesin pude ayuda a llevar el control de los turnos. Un servicio de sesin relacionado es el manejo de fichas, para algunos protocolos es esencial que ambos lados no intenten la misma operacin al mismo tiempo. A fin de controlar estas actividades, la capa de sesin proporciona fichas que se pueden intercambiar. Solamente estas actividades la capa de sesin proporciona fichas que se pueden intercambiar. Solamente el lado que posea la ficha podr efectuar la operacin crtica. Otro servicio de sesin es la sincronizacin que considere los problemas que pueden ocurrir cuando se trata de efectuar una transferencia de archivos de 2 horas de duracin entre dos computadores que tiene un, tiempo medio entre ruptura de una hora, cada transferencia, despus de abortar, tendra que empezar de nuevo desde el principio y probablemente fallara tambin la siguiente vez. Para eliminar este problema, la capa de sesin ofrece una 46
forma de insertar puntos de verificacin en las corrientes de datos, de modo que despus de cada interrupcin solo se deban repetir los datos que se transfirieron despus del ltimo punto de verificacin.
2.6 - LA CAPA DE PRESENTACIN La capa de presentacin realiza funciones que se piden con suficientes frecuencia para justificar la bsqueda de una solucin general, en lugar de dejar que cada usuario resuelva los problemas en particular y a diferencia de todas las capas inferiores que se interesan solo en mover bits de manera confiable de ac para all, la capa de presentacin se ocupa de la sintaxis y la semntica se la informacin que se transmite. Un ejemplo tpico de servicio de presentacin es la codificacin de datos en una forma estndar acordada. La mayor parte de posprogramas de usuario no intercambian cadenas de bits al azar intercambian cosas como nombres de personas, fechas, cantidades de dinero y cuentas. Estos elementos se representan como cadenas de caracteres, enteros, cantidades de puntos flotantes y estructuras de datos compuestas de varios elementos mas simples. Los diferentes computadores tienen cdigos diferentes para representar cadenas de caracteres como ASCII y Unicode, enteros como por ejemplo en complemento a uno y en complemento a dos y dems. Con el fin de hacer posible la comunicacin entre computadores con representaciones
diferentes, las estructuras de datos por intercambiar se pueden definir de forma abstracta junto con un cdigo estndar que se use en el cable. La capa de presentacin maneja estas estructuras de datos abstractas y las convierte de la representacin que se usa dentro de la computadora a la representacin estndar de la Red y viceversa.
47
2.7 - LA CAPA DE APLICACIN La capa de aplicacin contiene varios protocolos que se necesitan con frecuencia por ejemplo existen cientos de tipos de terminales incompatibles en el mundo considere la situacin de un editor de pantalla completa que debe trabajar en una Red con muchos tipos diferentes de terminal cada uno con formatos diferentes de pantalla, secuencia de escape para insertar y eliminar texto, mover el cursor, etc. Una forma de resolver este problema es definir una terminal virtual de Red abstracta que los editores y otros programas puedan manejar. Para cada tipo de terminar se debe escribir un programa para establecer la correspondencia entre las funciones de la terminal virtual de Red y las de la terminal real, por ejemplo cuando el editor mueva el cursor de la terminal virtual a la esquina superior izquierda de la pantalla, este software debe emitir la secuencia apropiada de ordenes a la terminal real para poner su cursor en ese lugar. Todo el software de terminal virtual esta en la capa de aplicacin. Otra funcin de la capa de aplicacin es la transferencia de archivos. Los diferentes sistemas de archivos tienen convenciones diferentes para nombrar los archivos, formas diferentes de representar lneas de texto. La transferencia de un archivo entre dos sistemas diferentes requiere la resolucin de estas y otras incompatibilidades. Este trabajo tambin pertenece a la capa de aplicacin, lo mismo que el correo electrnico, la carga remota de trabajos, la bsqueda en direccin y otros recursos de uso general y especial.
48
CAPTULO III
EN ESTE CAPTULO SE DETALLAR ALGUNOS CONCEPTOS SOBRE TECNOLOGIAS DE TRANSMISION A FIN DE ILUSTRAR MEJOR Y ENTENDER MAS NUENTRO TRABAJO
3.1.1 - Los medios de transmisin Guiados si las seales de datos van encaminadas a lo largo de un camino fsico. No guiados si el medio es sin encauzar (aire, agua, etc.). Simplex si la seal es unidireccional, Half-duplex si ambas estaciones pueden trasmitir pero no a la vez; Full-duplex si ambas estaciones pueden transmitir a la vez.
3.1.2 - Frecuencia, espectro y ancho de banda Conceptos en el dominio temporal. Una seal, en el mbito temporal, puede ser continua o discreta. Puede ser peridica o no peridica. Una seal es peridica si se repite en intervalos de tiempo fijos llamados periodo. La onda seno es la ms conocida y utilizada de las seales peridicas. En el mbito del tiempo, la onda seno se caracteriza por la amplitud, la frecuencia y la fase.
S (t ) A.sen(2ft fase ( ))
La longitud de onda se define como el producto de la velocidad de propagacin de la onda por su fase.
49
3.1.3 - Conceptos del dominio de la frecuencia. En la prctica, una seal electromagntica est compuesta por muchas frecuencias. Si todas las frecuencias son mltiplos de una dada, esa frecuencia se llama frecuencia fundamental. El periodo (o inversa de la frecuencia) de la seal suma de componentes es el periodo de la frecuencia fundamental. Se puede demostrar que cualquier seal est constituida por diversas frecuencias de una seal seno (Fourier). El espectro de una seal es el conjunto de frecuencias que constituyen la seal. El ancho de banda es la anchura del espectro. Muchas seales tienen un ancho de banda infinito, pero la mayora de la energa est concentrada en un ancho de banda pequeo. Si una seal tiene una componente de frecuencia 0, es una componente continua (corriente continua).
3.1.4 - Relacin entre la velocidad de transmisin y el ancho de banda. El medio de transmisin de las seales limita mucho las componentes de frecuencia a las que puede ir la seal (incluye tecnologa del hardware), por lo que el medio slo permite la transmisin de cierto ancho de banda, En el caso de ondas cuadradas (binarias), estas se pueden simular con ondas senoidales en las que la seal slo contenga mltiplos impares de la frecuencia fundamental. Cuanto ms ancho de banda, ms se asemeja la funcin seno (multifrecuencia) a la onda cuadrada. Pero generalmente es suficiente con las tres primeras componentes. Se puede demostrar que al duplicar el ancho de banda, se duplica la velocidad de transmisin a la que puede ir la seal. Al considerar que el ancho de banda de una seal est concentrado sobre una frecuencia central, al aumentar esta, aumenta la velocidad potencial de transmitir la seal. Pero al aumentar el ancho de banda, aumenta el coste de transmisin de la seal aunque disminuye la distorsin y la posibilidad de ocurrencia de errores
50
3.1.5 - Transmisin de datos analgicos y digitales Los datos analgicos toman valores continuos y los digitales, valores discretos. Una seal analgica es una seal continua que se propaga por ciertos medios. (cables electricos, aire, agua, etc.) Una seal digital es una serie de pulsos que se transmiten a travs de un cable ya que son pulsos elctricos. Los datos analgicos se pueden representar por una seal
electromagntica con el mismo espectro que los datos. Los datos digitales se suelen representar por una serie de pulsos de tensin que representan los valores binarios de la seal. La transmisin analgica es una forma de transmitir seales analgicas (que pueden contener datos analgicos o datos digitales). El problema de la transmisin analgica es que la seal se debilita con la distancia, por lo que hay que utilizar amplificadores de seal cada cierta distancia. La transmisin digital tiene el problema de que la seal se atena y distorsiona con la distancia, por lo que cada cierta distancia hay que introducir repetidores de seal.
3.1.6 - Causas de la utilizacin de la transmisin digital La tecnologa digital se ha abaratado mucho. Al usar repetidores en vez de amplificadores, el ruido y otras distorsiones no es acumulativo. La utilizacin de banda ancha es ms aprovechada por la tecnologa digital. Los datos transportados se pueden encriptar y por tanto hay ms seguridad en la informacin. Al tratar digitalmente todas las seales, se pueden integrar servicios de datos analgicos (voz, vdeo, etc.) con digitales como texto y otros.
51
3.2.1 - Atenuacin La energa de una seal decae con la distancia, por lo que hay que asegurarse que llegue con la suficiente energa como para ser captada por la circuitera del receptor y adems, el ruido debe ser sensiblemente menor que la seal original (para mantener la energa de la seal se utilizan amplificadores o repetidores). Debido a que la atenuacin vara en funcin de la frecuencia, las seales analgicas llegan distorsionadas, por lo que hay que utilizar sistemas que le devuelvan a la seal sus caractersticas iniciales (usando bobinas que cambian las caractersticas elctricas o amplificando ms las frecuencias ms altas).
3.2.2 - Distorsin de retardo Debido a que en medios guiados, la velocidad de propagacin de una seal vara con la frecuencia, hay frecuencias que llegan antes que otras dentro de la misma seal y por tanto las diferentes componentes en frecuencia de la seal llegan en instantes diferentes al receptor. Para atenuar este problema se usan tcnicas de ecualizacin.
3.2.3 - Ruido El ruido es toda aquella seal que se inserta entre el emisor y el receptor de una seal dada. Hay diferentes tipos de ruido: ruido trmico debido a la agitacin trmica de electrones dentro del conductor, ruido de intermodulacin cuando distintas frecuencias comparten el mismo medio de transmisin, diafona se produce cuando hay un acoplamiento entre las lneas que transportan las seales y el ruido impulsivo se trata de pulsos discontinuos de poca duracin y de gran amplitud que afectan a la seal.
52
3.2.4 - Capacidad del canal (C) Se llama capacidad del canal a la velocidad a la que se pueden transmitir los datos en un canal de comunicacin de datos. La velocidad de los datos es la velocidad expresada en bits por segundo a la que se pueden transmitir los datos. El ancho de banda es aquel ancho de banda de la seal transmitida y que est limitado por el transmisor y por la naturaleza del medio de transmisin (en hertzios). La tasa de errores es la razn a la que ocurren errores. Para un ancho de banda determinado es aconsejable la mayor velocidad de transmisin posible pero de forma que no se supere la tasa de errores aconsejable. Para conseguir esto, el mayor inconveniente es el ruido. Para un ancho de banda dado W, la mayor velocidad de transmisin posible es 2W, pero si se permite (con seales digitales) codificar ms de un bit en cada ciclo, es posible transmitir ms cantidad de informacin. La formulacin de Nyquist nos dice que aumentado los niveles de tensin diferenciables en la seal, es posible incrementar la cantidad de informacin transmitida.
C 2W . log 2.M
El problema de esta tcnica es que el receptor debe de ser capaz de diferenciar ms niveles de tensin en la seal recibida, cosa que es dificultada por el ruido, cuanto mayor es la velocidad de transmisin, mayor es el dao que puede ocasionar el ruido. Shannon propuso la frmula que relaciona la potencia de la seal (S), la potencia del ruido (N), la capacidad del canal (C) y el ancho de banda (W).
C W . log 2.(1 S / N )
Esta capacidad es la capacidad mxima terica de cantidad de transmisin, pero en la realidad, es menor debido a que no se ha tenido en cuenta nada ms que el ruido trmico.
53
3.2.5 - Diafona o atenuacin transversal, tal como su nombre lo indica, significa dos fonas. Esto quiere decir que la seal transmitida por un par logra ultrapasar a los dems pares adyacentes del cable, produciendo de esta forma interferencias entre las lneas del cable. Es frecuente cuando se est hablando por telfono, escuchar otras conversaciones ajenas a la propia. Este efecto que se produce en la comunicacin telefnica, se reconoce con el nombre de diafona. Las principales causas que generan la diafona, son los desequilibrios capacitivos y el bajo aislamiento entre los pares del cable, lo que normalmente son producidos al realizar los empalmes. Es importarte llamar la atencin en este punto, dado que la diafona, a diferencia de otros defectos, son muy difciles de localizar y reparar, por lo tanto los tcnicos encargados de realizar las uniones en los cables debern tomar todas las medidas pertinentes, con el objeto de evitar que se produzcan desequilibrios capacitivos (pares split) o bajo aislamiento en los cables. Este problema genera adems acoplamiento de seales en pares usados en transmisin de datos, y disminucin de velocidad de propagacin de la seal. La diafona se define como la relacin de potencia o voltaje que existe entre el par interferido y el par interferente. Esta relacin se expresa con una potencia de 1mW la cual corresponde a 0dBm. Se entiende por par interferente al que lleva la seal y el par interferido donde se escucha la seal.
3.2.6 Tele diafona y Para diafona Dependiendo la longitud de los cables, existen dos conceptos para determinar la diafona. Uno el que se refiere a la diafona cercana al lugar de medicin denominada Paradiafona, y el otro, referido a la diafona lejana, la cual se conoce como Telediafona.
54
3.3 - MEDIOS DE TRANSMISIN El propsito de la capa fsica es de transportar una corriente de bits sin tener conocimiento de lo que se transfiere ni importarle su significado, Existen diferentes tipos se enumerar algunas.
3.3.1 - Medios Magnticos.- La forma ms comn de transportar aunque en cantidades de Terabytes resulta incomparable e insuperable por cualquier compaa de transmisin de datos, un clculo simple nos dar cuenta. Una cinta de video de 8mm puede guardar hasta 30GB, una caja con una cantidad de 1000 de estas cintas ocupara 0.125 m3 o el 12.5% de un metro cbico transportadas por avin en 12 horas llegaran a cualquier parte de Norteamrica y la taza de transmisin seria de 30000GB/43200s resultara una velocidad de transferencia de 694.44 MB/s * 8 = 5555.56Mbps insuperable por cualquier portadora de Red en el mundo. La necesidad de transportar informacin y los recursos disponibles es la que indica el tipo de transmisin.
3.3.2 - Medios de transmisin guiados En medios guiados, el ancho de banda o velocidad de transmisin dependen de la distancia y de si el enlace es punto a punto o multipunto.
3.3.2.1 - Par trenzado.-Es el medio guiado ms barato y ms usado. Consiste en un par de cables, embutidos para su aislamiento, para cada enlace de comunicacin. Debido a que puede haber acoples entre pares, estos se trenza con pasos diferentes. La utilizacin del trenzado tiende a disminuir la interferencia electromagntica.
55
Este tipo de medio es el ms utilizado debido a su bajo coste (se utiliza mucho en telefona) pero su inconveniente principal es su poca velocidad de transmisin y su corta distancia de alcance. Con estos cables, se pueden transmitir seales analgicas o digitales. Es un medio muy susceptible a ruido y a interferencias. Para evitar estos problemas se suele trenzar el cable con distintos pasos de torsin y se suele recubrir con una malla externa para evitar las interferencias externas. Pares trenzados apantallados y sin apantallar: Los pares sin apantallar son los ms baratos aunque los menos resistentes a interferencias (aunque se usan con xito en telefona y en Redes de rea local). A velocidades de transmisin bajas, los pares apantallados son menos susceptibles a interferencias, aunque son ms caros y ms difciles de instalar.
3.3.2.2 - Cable coaxial.- Consiste en un cable conductor interno (cilndrico) separado de otro cable conductor externo por anillos aislantes o por un aislante macizo. Todo esto se recubre por otra capa aislante que es la funda del cable. Este cable, aunque es ms caro que el par trenzado, se puede utilizar a ms larga distancia, con velocidades de transmisin superiores, menos interferencias y permite conectar ms estaciones. Se suele utilizar para televisin, telefona a larga distancia, Redes de rea local, conexin de perifricos a corta distancia, etc. Se utiliza para transmitir seales analgicas o digitales. Sus inconvenientes principales son: atenuacin, ruido trmico, ruido de intermodulacin. Para seales analgicas, se necesita un amplificador cada pocos kilmetros y para seales digitales un repetidor cada kilmetro.
56
3.3.2.3. - Fibra ptica.- Se trata de un medio muy flexible y muy fino que conduce energa de naturaleza ptica. Su forma es cilndrica con tres secciones radiales: ncleo, revestimiento y cubierta. El ncleo est formado por una o varias fibras muy finas de cristal o plstico. Cada fibra est rodeada por su propio revestimiento que es un cristal o plstico con diferentes propiedades pticas distintas a las del ncleo. Alrededor de este conglomerado est la cubierta (constituida de material plstico o similar) que se encarga de aislar el contenido de aplastamientos, abrasiones, humedad, etc. Es un medio muy apropiado para largas distancias e incluso ltimamente para LAN's.
Sus beneficios frente a cables coaxiales y pares trenzados son: Permite mayor ancho de banda. Menor tamao y peso. Menor atenuacin. Aislamiento electromagntico. Mayor separacin entre repetidores. Su rango de frecuencias es todo el espectro visible y parte del infrarrojo.
El mtodo de transmisin de la fibra optica consiste en que los rayos de luz inciden con una gama de ngulos diferentes posibles en el ncleo del cable, entonces slo una gama de ngulos conseguirn reflejarse en la capa que recubre el ncleo. Son precisamente esos rayos que inciden en un cierto rango de ngulos los que irn rebotando a lo largo del cable hasta llegar a su destino. A este tipo de propagacin se le llama multimodal. Si se Reduce el radio del ncleo, el rango de ngulos disminuye
57
hasta que slo sea posible la transmisin de un rayo, el rayo axial, y a este mtodo de transmisin se le llama monomodal. Los inconvenientes del modo multimodal es que debido a que dependiendo al ngulo de incidencia de los rayos, estos tomarn caminos diferentes y tardarn ms o menos tiempo en llegar al destino, con lo que se puede producir una distorsin (rayos que salen antes pueden llegar despus), con lo que se limita la velocidad de transmisin posible. Hay un tercer modo de transmisin que es un paso intermedio entre los anteriormente comentados y que consiste en cambiar el ndice de refraccin del ncleo. A este modo se le llama Multimodo de ndice gradual. Los emisores de luz utilizados son: LED (de bajo coste, con utilizacin en un amplio rango de temperaturas y con larga vida media) y ILD (ms caro, pero ms eficaz y permite una mayor velocidad de transmisin).
3.3.3 - Transmisin inalmbrica.- Se utilizan medios no guiados, principalmente el aire. Se radia energa electromagntica por medio de una antena y luego se recibe esta energa con otra antena. Hay dos configuraciones para la emisin y recepcin de esta energa: direccional y omnidireccional. En la direccional, toda la energa se concentra en un haz que es emitido en una cierta direccin, por lo que tanto el emisor como el receptor deben estar alineados. En el mtodo omnidireccional, la energa es dispersada en mltiples direcciones, por lo que varias antenas pueden captarla. Cuanto mayor es la frecuencia de la seal a transmitir, ms factible es la transmisin unidireccional. Por tanto, para enlaces punto a punto se suelen utilizar microondas (altas frecuencias). Para enlaces con varios receptores posibles se utilizan las ondas de radio (bajas frecuencias). Los infrarrojos se utilizan para transmisiones a muy corta distancia (en una misma habitacin). 58
3.3.3.1
Microondas
terrestres.-Suelen
utilizarse
antenas
parablicas. Para conexionas a larga distancia, se utilizan conexiones intermedias punto a punto entre antenas parablicas. Se suelen utilizar en sustitucin del cable coaxial o las fibras pticas ya que se necesitan menos repetidores y amplificadores, aunque se necesitan antenas alineadas. Se usan para transmisin de televisin y voz. La principal causa de prdidas es la atenuacin debido a que las prdidas aumentan con el cuadrado de la distancia (con cable coaxial y par trenzado son logartmicas). La atenuacin aumenta con las lluvias. Las interferencias es otro inconveniente de las microondas ya que al proliferar estos sistemas, pude haber ms solapamientos de seales.
3.3.3.2 - Microondas por satlite.- El satlite recibe las seales y las amplifica o retransmite en la direccin adecuada. Para mantener la alineacin del satlite con los receptores y emisores de la tierra, el satlite debe ser geoestacionario. Se suele utilizar este sistema para: Difusin de televisin. Transmisin telefnica a larga distancia. Redes privadas. El rango de frecuencias para la recepcin del satlite debe ser diferente del rango al que este emite, para que no haya interferencias entre las seales que ascienden y las que descienden. Debido a que la seal tarda un pequeo intervalo de tiempo desde que sale del emisor en la Tierra hasta que es devuelta al receptor o receptores, ha de tenerse cuidado con el control de errores y de flujo de la seal. Las diferencias entre las ondas de radio y las microondas son:
59
Las microondas son unidireccionales y las ondas de radio omnidireccionales. Las microondas son ms sensibles a la atenuacin producida por la lluvia. En las ondas de radio, al poder reflejarse estas ondas en el mar u otros objetos, pueden aparecer mltiples seales "hermanas".
3.3.3.3 - Infrarrojos.- Los emisores y receptores de infrarrojos deben estar alineados o bien estar en lnea tras la posible reflexin de rayo en superficies como las Redes. En infrarrojos no existen problemas de seguridad ni de interferencias ya que estos rayos no pueden atravesar los objetos (Redes por ejemplo). Tampoco es necesario permiso para su utilizacin (en microondas y ondas de radio si es necesario un permiso para asignar una frecuencia de uso).
3.4.1 - Servicios de datos conmutados de multimegabits (SMDS).- fue diseado por BELLCORE y se diseo para transmisin de datos digitales en forma de rfagas al unir varias LANs, su velocidad estndar es de 45Mbps. El servicio bsico de SMDS es un simple servicio de entrega de paquetes sin conexin, el formato del paquete consta de tres campos: el origen y el destino que tiene un cdigo de 4 bits seguido de un numero telefnico de hasta 15 dgitos cada digito se codifica en un campo de 4 bits y el campo de datos que es de longitud variable mximo hasta 9188 Bits y puede contener en su carga cualquier tipo de paquete de cualquier formato y topologa, SMDS opera en la capa fsica.
60
3.4.2.1 - HUB.Ventajas.- Un Hub es un dispositivo muy simple, esto influye en dos caractersticas importantes: El precio, es bastante bajo. El retardo, un Hub casi no aade ningn retardo a los mensajes ya que como hemos explicado anteriormente simplemente repite las tramas que le llegan. Desventajas: Como ya sabemos un Hub es un dispositivo de nivel 1 segn la torre ISO de la OSI, ya que actan como repetidores. A pesar de que en ste nivel solo hay un destinatario de la informacin, para asegurarse de que la recibe, el Hub enva la informacin a todos los ordenadores que estn conectados a l. Este trfico aadido genera ms posibilidades de colisin. Una colisin se produce cuando un ordenador quiere enviar informacin y la emite de forma simultnea a otro ordenador. Al chocar los dos mensajes se pierden y es necesario retransmitir. Adems a medida que aadimos ordenadores a la Red, tambin aumentan las probabilidades de colisin. Otro gran inconveniente de la utilizacin de los Hubs, es que el hub funciona a la velocidad del dispositivo ms lento de la Red, con lo cual si tenemos un router para el acceso a Internet de 10 MB/seg., nuestra Red funcionar a 10 MB/seg. aunque nuestro puerto sea de 10/100 MB/seg.
61
3.4.2.2 - SWITCH.es un dispositivo de la capa de enlace, es decir de nivel 2. El Switch sabe en todo momento que ordenadores tiene conectados a cada uno de sus puertos. Cuando se enchufa no conoce las direcciones de los ordenadores de sus puertos, las aprende a medida que circula informacin a travs de l. Cuando un Switch no conoce la direccin MAC de destino enva la trama por todos sus puertos, al igual que un Hub (Flooding, inundacin.) Cuando hay ms de un ordenador conectado a un puerto de un Switch este aprende sus direcciones MAC y cuando se envan informacin entre ellos no la propaga al resto de la Red, a esto se llama filtrado. Si en nuestra Red nos planteramos sustituir los Hubs por los Switchs obtendramos considerables ventajas. Resumiendo, stas son las caractersticas que hacen a un Switch mucho ms potente y eficaz que un simple Hub.
3.5 - TIPOS DE REDES Vamos a explicar de forma resumida algunas de las ms importantes dentro cada criterio de clasificacin:
3.5.1.1 - Redes LAN (Local rea Network): Son Redes de rea local, cuya extensin vara entre 10 metros y 1 Km. Son Redes pequeas, suelen utilizarse en colegios, oficinas y empresas no muy grandes. La velocidad de transmisin tpica de una Red LAN est entre 10 y 100 MBS.
62
3.5.1.2 - Redes MAN (Metropolitan rea Network): Son Redes de rea metropolitana, su tamao es superior a una LAN, soliendo abarcar la longitud de una ciudad. Son Redes tpicas de empresas y organizaciones que poseen distintas oficinas repartidas en una misma rea metropolitana, por lo que su tamao mximo comprende un rea de aproximadamente 10Km.
3.5.1.3 - Redes WAN (Wide rea Network): Son Redes de rea amplia, tienen un tamao superior a una MAN, y consisten en una serie de hosts o de Redes LAN
conectadas por una Subred. sta Subred est formada por unas lneas de transmisin interconectadas por medio de routers, que se encargan de dirigir los paquetes hacia la LAN o host adecuado, envindose stos de un router a otro. Su tamao puede oscilar entre 100 y 1000Km.
REDES, Conceptos extraidos de REDES DE COMPUTADORAS 3ra ed. AUTOR: Andrew S. Tanenbaum.
3.5.2.1 - Redes Broadcast: Todas las computadors de la Red comparten el mismo canal de comunicacin. Por lo cual cada paquete de datos enviado por cualquier computador es recibido por todas las de la Red.
3.5.2.2 - Redes Point-to-Point: En estas Redes existen bastantes conexiones entre parejas individuales de computadors. Por tanto para poder transmitir los paquetes desde una computador a otra a veces es necesario el uso de routers, ya que el paquete tiene que atravesar computadors intermedias con lo cual el router debe trazar una ruta previa.
63
3.5.3.1 - Redes de transmisin simple: Aquellas Redes en las que los datos nicamente viajan en un sentido.
3.5.3.2 - Redes Half-Duplex: Aquellas en las que es posible que los datos viajen en uno u otro sentido pero no simultneamente. Es decir solo puede haber transferencia en un sentido a la vez.
3.5.3.3 - Redes Full-Duplex: Aquellas en las que los datos pueden viajar en ambos sentidos al mismo tiempo, se puede utilizar dos canales para transmitir las seales o en el mismo canal se pueden transmitir las dos seales simultaneamente.
3.6 - TOPOLOGA DE LA RED Llamamos topologa de Red a la disposicin de los diferentes componentes de una Red. sta topologa depende de factores como el nmero de computadores a interconectar, el tipo de acceso al medio fsico que deseemos, etc. Podemos distinguir tres topologas diferentes: Topologa fsica: disposicin real de los computadores,
dispositivos de Red y cableado en la Red. Topologa lgica: forma en que los computadores se
comunican a travs del medio fsico. Topologa matemtica: patrones. mapas de nodos y enlaces, formando
64
Para no alargar mucho ste cpitulo, nicamente vamos a recordar las topologas LAN ms comunes, debido a que son las que ms nos interesan conocer:
3.7 - Token Ring: La Red Token Ring es una implementacin del estndar IEEE 802.5, su diferencia respecto a la Red Ethernet vienen dada ms por el mtodo de transmitir la informacin que por la forma de conectar los ordenadores. En ste tipo de Redes la informacin se enva en un Token, el cual va pasando de un ordenador a otro. Cuando un ordenador quiere enviar informacin a otro, debe esperar a que le llegue el Token vaco, y utilizarlo entonces para enviar la informacin. Cuando ste Token llega a su destinatario, ste lo enva de vuelta al emisor con el mensaje de que fue recibida la informacin. Luego se libera el Token para poder volver a utilizarlo. Aqu debido a que una computadora requiere el Token para enviar informacin no hay colisiones, el problema reside en el tiempo que debe esperar una computadora para obtener el Token sin utilizar.
3.8 - Ethernet Es una implementacin del estndar 802.3, al contrario que ocurra en las Redes Token Ring, en las Redes Ethernet existe un gran porcentaje de colisiones debido a que en una Red de ste tipo hay muchos ordenadores intentando enviar datos al mismo tiempo, y como solamente puede haber un nico mensaje en trnsito por el cable, se produce la colisin, pudiendo llegar a saturar la Red.
3.8.1 - Fast Ethernet La Red Fast Ethernet es una ampliacin del estndar Ethernet que llega hasta 1000Mbits/seg. (125 MB/seg.), adems tiene la ventaja de que es totalmente compatible con Ethernet, de hecho muchas tarjetas de Red pueden usarse en ambos tipos de Redes sin hacer ningn cambio. 65
3.9 - Conclusiones Espero que esta primera parte halla ilustrado sobre una simple teoria que servir de base para lo que describiremos ms adelante, esta primera parte se ha resumido mucha teoria y solo se ha expuesto teoria que nos concierne y como conocimiento bsico para diseo y entendimiento de un sistema de Red y seguridad informtica, algunos parrafos del texto antes escrito tiene su origen en el libro: REDES DE COMPUTADORAS 3ra Ed. AUTOR: Andrew S. Tanenbaum Libro de amplio espectro en conceptos y tecnologias de comunicaciones de datos.
66
SEGUNDA PARTE
(Recopilacin de datos)
67
CAPITULO IV
4.1 - Consideraciones actuales de la subred Tenemos una empresa institucional de salud, en concreto un Hospital Estatal, el cual tiene una red local diseada hace ms o menos unos veinte aos. En sta segunda parte del trabajo nos vamos a encargar de describir, y analizar el diseo de la red tanto en equipamiento fsico como organizacin lgica, esto ocurrir en los prximos dos captulos siguientes.
4.2 - Estratgica actual de la subred H.E.P. Me atrevera a decir que la estrategia seguida en este centro de cmputo no ha estado prevista ni se le ha dado la importancia por las autoridades pertinentes a partir de los cambios sucesivos de gobierno y de manejo de las instituciones hospitalarias, es mas, se ha creado como una obligacin de incluirla necesariamente referente al avance tecnolgico. Como hoy sabemos el rea de informtica es de vital importancia en los manejos empresariales y en la eficiencia del manejo de la informacin, El porqu construirlo es la base para la inversin de crear esta unidad de Informtica, actualmente se dispone de varios conceptos y modelos cuando se responde a este cuestionamiento, pueden inferirse los caminos a seguir para la construccin del mismo sustentando que los sistemas
computacionales son herramienta de solucin para problemas de clculo de operaciones, investigacin de procesos estadsticos, gestin de integracin con sistemas departamentales, gestin de recursos econmico-financieros, logstico y gestin de procesos asistenciales.
4.3 - Recursos fsicos con los que cuenta el H.E.P. A continuacin desarrollaremos los recursos con que brinda el HEP. Material importante donde suceden los hechos.
68
4.3.1.1 - Bienes muebles: La institucin destina gran parte de su presupuesto a la compra de material mdico pero tiene un presupuesto mnimo para el mantenimiento de la Intranet que posee, a continuacin
Servidores: Servidores : 07
69
70
# Total de REA Equipos en Red 12 Direccin Ejecutiva Servicios Generales Estadstica & Informtica Epidemiologa Pediatra Nutricin SIS Enfermera Servicio Social Recursos Humanos Soporte Informtico 03
Usuarios de Internet
01
---
02
13
01
01
---
01
01
14 15 16 17 18 19 20 21
05 03 05 01 02 01 01 02
02 01 03 --01 01 01 02
-----------------
05 02 02 --02 -------
05 02 04 --02 01 01 02
22
06
03
---
---
06
71
# Total de REA Equipos en Red 23 24 25 26 27 28 29 30 31 32 Cajas recaudacin Admisin UTAB UTIP Laboratorio Cuerpo Mdico Auditorio Emergencia Almacn Farmacia Total Servidores 02 01 01 01 03 02 01 01 01 07
Usuarios de Internet
------01 01 02 ------02
02 01 01 --------01 -----
72
4.3.1.2 - Bienes Inmuebles: El hospital posee Dos (2) locales o edificios, en donde desarrollan sus actividades, consta de un local Propio otro local Alquilado, Muy buena parte de los trabajadores se encuentra en el local alquilado, se mencionar las reas que pertenecen a cada local as analizaremos con ms detalle y precisin.
4.3.1.2.1 - Local alquilado: Es de puramente trabajo administrativo rea de Personal.rea de Logstica rea de Planificacin rea de Control Interno rea de Patrimonio Direccin Administrativa rea de Almacn General : rea administrativa : rea administrativa : rea administrativa rea Administrativa : rea administrativa : rea administrativa : rea administrativa
73
4.3.1.2.2 - Local propio: Se ejecuta tanto la asistencia mdica a usuarios como trabajo administrativo
rea de Economa rea de Farmacia Direccin Ejecutiva rea de Servicios Generales rea de Estadstica e Informtica rea de Epidemiologa rea de Jefatura Asistencial rea de Nutricin rea Seguro Integral de Salud rea de Enfermera rea de Servicio Social rea de Recursos Humanos rea de Soporte Tcnico Informtico rea de Cajas rea de Admisin rea UTAB rea UTIP rea de Laboratorio rea Cuerpo Mdico Auditorio rea Emergencia rea de Almacn de Farmacia
rea administrativa rea asistencial Direccin rea Mantenimiento rea administrativa rea administrativa rea administrativa rea administrativa rea administrativa Unidad Enfermera rea administrativa rea administrativa rea Soporte Tcnico Recaudacin Dinero Ingreso de datos Unidad Mdica Unidad Mdica Unidad Laboratorio rea administrativa Auditorio H.E.P. Unidad Mdica Almacn General
4.3.2 - Seguridad fsica del local. El Hospital de Emergencias Peditricas no cuenta con un seguro de incendios muy sofisticado, solo extintores de polvo qumico seco, pero se esta gestionando un sistema contra incendios automatizado, corresponde a la institucin adquirirla.
74
La infraestructura es precaria y de poca seguridad frente a sismos y/o inundaciones por lluvias fuertes, aunque es un sitio central y estratgico para la localizacin de los servidores todava no posee las caractersticas pertinentes para un centro de cmputo, la direccin de Estadstica e Informtica esta gestionando acondicionar el lugar correctamente.
4.3.3 - Suministro elctrico. El H.E.P. no posee un sistema independizado elctrico pero los servidores cuentan son un sistema de UPS (Units Power Supply) para cadas del sistema elctrico, ni posee un transformador de aislamiento, pero hasta el momento no ha tenido ningn percance elctrico. Los nodos como Switch y los puntos crticos del hospital como ventas, Cajas, Farmacia y Admisin cuentan con UPS as salvaguardan su informacin.
75
CAPITULO V
5.1 - Organizacin lgica actual de la intranet H.E.P. Un Centro de Procesamiento de Datos (CPD) o Centro de cmputo, es el conjunto de recursos fsico, lgicos, y humanos necesarios para la organizacin, realizacin y control de las actividades informticas de una empresa, a continuacin describiremos el arreglo lgico de la Intranet dentro del HEP, el CPD cumple diversas funciones que justifican los puestos de trabajo establecidos que existen en l, las cuales se engloban a travs de los siguientes departamentos, es este caso solo analizaremos los
5.2 - Gestin y administracin lgica en la Red en los edificios Las funciones de gestin y administracin de un centro de procesamiento de datos engloban operaciones que deben ser supervisadas y organizadas mediante proyectos que a su vez siguen un estndar la cual nos otorgan seguridad y un mximo performance. Describiremos la organizacin lgica rigindonos en como la encontramos y en el prximo capitulo expondremos mejoras seguidas de un estndar.
5.2.1 - En el edificio rentado: Tenemos 34 ordenadores, todos repartidos en las diferentes reas del edificio en el tercer piso, todos ellos se conectan a un Switch y un Hub, El Switch de 24 puertos y el Hub de 12 puertos se unen mediante cable Crossower, el Switch se conecta al edificio en el rea de Soporte Informtico mediante un cable UTP Categora 5e de aproximado 65 metros al Switch principal. En el primer piso de ste edificio se encuentra el Almacn General El Almacn posee un pequeo Hub de 4 Puertos el cual se conecta al hub del tercer piso, con todo ello estn repleto los puertos Ethernet, los Hub
76
son Base10TX y los Switch son Base10/100TX, Las tarjetas de Red de los computadores son de transmisin 10/100TX. 5.2.2 - En el edificio propio: Se encuentra el resto de los computadores servidor local y el Router CISCO CONECTADO AL MODEM DTU para conectarse a Internet. El Router provee las direcciones IP Publicas en el rango de 17: IP 162.192.5.(6-19)/26. Tenemos implementado un servidor LINUX Fedora Core 6 de versin 8.0 de Kernel 2.4, el Servidor Linux esta configurado como Firewall y posee dos tarjetas de Red 100/10X que estn conectadas ambos puertos Ethernet a un mismo Switch, el programa Squid se ejecuta en el servidor y no se hace la funcin de NAT con ninguna regla, ninguna configuracin de reglas de IPTables protege la Intranet, las reglas del Firewall se examinan en la primera parte All mismo tenemos otros dos concentradores un HUB y un Switch que conecta los servidores y los dems computadores de la Intranet, de ellos se conectan dos HUB y un Switch distribuidos en toda la red que abastecen las reas de economa y asistencial. Por tanto tenemos un total de 63 ordenadores conectados en Red y distribuidos por todo el edificio y conectados en red.
5.2.3 - Entre los dos edificios Los dos edificios estn unidos por un cable UTP Categora 5e a una distancia entre concentradores de aproximadamente 65 metros y no tiene ninguna clase de blindaje ni proteccin y cada edificio se compone en varios departamentos ya mencionados. Los dos edificios se encuentran unidos y en nuestro anlisis se tornar como una Intranet general y unificada, todos los computadores pueden verse ente s por grupos de trabajo Windows a travs de la Intranet.
77
5.3 - Topologa de la red Como ya sabemos, existen diversos tipos de redes explicadas en la Primera Parte, nuestra Red es una LAN de tipo Fast Ethernet 100/10 Mbps con una tecnologa de transmisin broadcast (Ethernet). Todos los ordenadores disponen ya de tarjetas de red Ethernet o Fast Ethernet, con lo cual nosotros seguiremos manteniendo sta topologa.
5.4 - Distribucin de los IP Estos estn distribuidos en una forma genrica y no sigue ningn tipo de segmentacin, la clase asignada es la C (/24) con el IP como Red: 192.168.1.0 y hasta un total de 96 computadores conectados a Red, los IP para servidores estn reservadas dentro de los primero 10 Nmeros.
5.5 - Sistemas Operativos Usuarios En la mayora de los computadores de velocidades de procesamiento de 300MHz a 1,2GHz poseen WINDOWS98 y en los procesadores de tecnologa Pentium IV posee Windows XP, esta diferencia de Sistemas Operativos se deduce de los recursos que posee un computador para que pueda soportar correctamente las interfaces visuales, sistemas y sus aplicaciones, asimismo conforme se vaya realizando las actualizaciones en el hardware de los computadores se Irn cambiando la versin de los sistemas operativos.
5.6 - Departamento o rea de Servidores En esta rea se examinar totalmente los servidores instalados repartidos en los diferentes departamentos:
5.6.1 - El servidor ASISTENCIAL.Es el servidor principal de la institucin, el Sistema Operativo de este servidor consta de un NOVEL 5.0 del fabricante NETWARE (servidor dedicado), este servidor provee volmenes de redes que son los directorios para la ejecucin de los programas asistenciales y controles 78
de la institucin, estos volmenes de redes se asignan a los usuarios mediante unos clientes, tanto el cliente 3.31 para Win9x y el cliente 4.83 para WinXP/2K, en esta versin de cliente por la experiencia llevada, se ha concluido que el cliente 4.83 es ms estable que el 4.9; El protocolo de comunicacin TCP/IP de esta versin de sistema Operativo es el protocolo utilizado para el establecimiento del modo de comunicacin cliente-servidor; en lo que concierne a la seguridad, el Sistema Operativo ejecuta un NLM (Netware Load Module) que es provedo por la empresa HACKSOFT y su actualizacin se d mediante futuras versiones lanzadas por el fabricante. En lo que concierne al HARDWARE donde se ejecutan estos sistemas, es un servidor IBM NetFinity 3500 con un procesador de 350 MHz posee 64MB de memoria RAM PC100, disco duro de tecnologa SCSI de 8GB y una tarjeta de Red Ethernet de 100/10TX. El criterio de proteccin a fallos de hardware es nulo en este servidor ya que no posee ningn arreglo de servidor BACKUP o RAID de Discos Este servidor se encuentra instalado fsicamente en el rea de soporte tcnico informtico
5.6.2 - El servidor de CORREOS.El servicio de correos le corresponde al software PEGASSUS, un software instalado y configurado sobre el Sistema Operativo Windows NT 4.0 SP6 por la empresa proveedora del acceso a Internet. La empresa proveedora de Internet brinda en su servicio un dominio propio a la institucin y sistemas pblicos de DNS, el dominio es: (.emergenciaspediatricas.sld.pe) Este servidor utiliza el protocolo de comunicaciones de Internet TCP/IP aunque el protocolo nativo de Windows NT 4.0 sea NetBEUI, este posee un IP pblico desprotegido por el Firewall ya que en el diseo visto anteriormente, Fig. (X), muestra una mala instalacin fsica o mal arreglo lgico.
79
En este sistema se ha creado las cuentas de usuarios a todos aquellos que son permitidos tenerlas, tambin poltica de la institucin; los usuarios utilizan el OUTLOOK EXPRESS de Windows como el cliente manejador de correos. La seguridad de este sistema depende del Software antivirus THE HACKER, este software antivirus se actualiza va Internet de forma automtica, tambin cuenta con su Service Pack #6 que es e ultimo de su generacin. Se ha examinado la seguridad de los datos y no cuenta con ningn sistema se seguridad a fallos de Hardware, no posee servidor BDC ni ningn sistema RAID de discos. En lo que concierne al HARDWARE donde se ejecutan estos sistemas, es un servidor IBM NetFinity 3500 con un procesador de 350 MHz posee 64MB de memoria RAM PC100, disco duro de tecnologa SCSI de 8GB y una tarjeta de Red Ethernet de 100/10 TX. Este servidor se encuentra instalado fsicamente el rea de Estadstica e Informtica
5.6.3 - El servidor SIAF.(servicio integral de administracin financiera) Este servicio consta de un programa que el Ministerio de Economa otorga a las instituciones pblicas para la administracin econmica y contable de su presupuesto y manejo de sus recursos econmicos , este programa se ejecuta sobre el Sistema Operativo WINDOWS 98Se es manejado desde los usuarios con un enlace directo a una unidad de red compartida (por lo general S) por el servidor, al archivo ejecutable (de nombre Siafmain.exe); la cantidad de usuarios conectados esta determinada por la poltica de la institucin y no se tratar aqu; los datos cargados a este programa son enviados al servidor del ministerio de economa y finanzas (MEF) va la subred Ethernet al Internet y solo en caso de emergencia cuando falle el servicio de Internet, los datos se envan va MODEM en conexin con un proveedor de servicios del 80
propio Internet; el protocolo de enlace es un RAS (Remote Access Service) por el puerto no privilegiado 43XX. En la configuracin de Red de este servidor se involucra a dos protocolos de Red IP, un protocolo esta configurado con una direccin de la clase C (192.168.1.35) y una direccin pblica para las conexiones va RAS. Posee una direccin pblica (161.132.229.195). No existe proteccin cuando el servicio RAS es activado va MODEM, ya que debera ser filtrada toda conexin con el Internet, esto se puede ver en la siguiente figura Este sistema solo es ejecutable correctamente en plataforma Windows 98 y no se tiene versin ms actual lanzada por el MEF hasta el momento, solo es actualizada peridicamente llevando el computador al Ministerio de Economa y Finanzas (MEF) La seguridad de los datos es ejecuta mensualmente y son grabados en un CDRom y enviados al ministerio de economa; el servidor tambin no cuenta con algn plan de contingencia a fallas de Hardware. En lo que concierne al HARDWARE donde se ejecutan estos sistemas, este es una PC ensamblada de Tecnologa Intel con Chipset 865, la velocidad de procesamiento es de 3.2GHz el disco duro es de 80GB (IDE) de 7200 RPM con SATA 133MHz, cuenta con una memoria de 512MB PC2700 y una tarjeta de Red Ethernet de 100/10 TX. De marca 3COM 905Cx, por supuesto el Windows 98Se no tiene su ncleo actualizado a los chips 865 de transferencia de informacin de la tarjeta principal y su rendimiento es limitado. Este servidor se encuentra instalado fsicamente en el rea de Economa
81
82
5.6.4 - El servidor FIREWALL.Este servidor esta diseado para brindar una proteccin contra atacantes de Redes desde el exterior y Regular el trfico internoexterno de la Intranet, as como hacer conexiones nuevas o modificarlas, este servidor no filtra trfico de correo ni trafico Web, no define algn tipo de Firewall ni ejecuta plantillas de restricciones de direcciones prohibidas, tampoco ejecuta Script para restringir
conexiones a determinadas horas de trabajo, no realiza supervisin de conexiones registradas o fallos a logueos externos e internos
5.6.5 - El servidor Logstica.Recin implementndose, correr una plataforma Windows y se ejecutar un manejador de base de datos SQL 2000, en el rea de logstica se ejecutar sistemas en plataforma Windows 2000 Server, no se ejecuta el servicio de Active Directory
5.6.6 - El servidor Personal.Este servidor ejecuta en su Sistema Operativo Windows 2000 Server un motor de base de datos en SQL Personal que es la fuente de informacin para los clientes de personal que ejecutan un programa en Power Builder 8.0, En la configuracin de Red el servidor posee un IP de la clase C (/24) dentro del rango reservado para servidores. Se ha examinado la seguridad de los datos cuenta con un sistema se seguridad a fallos de Hardware integrada en la Mainboard, posee un sistema RAID de discos Nro 2. En lo que concierne al HARDWARE donde se ejecutan estos sistemas, es un servidor IBM xSeries 225 con un procesador de 3.2 GHz posee 128MB de memoria RAM PC2700, dos disco duro de tecnologa SCSI de 36GB con RAID 2 y una tarjeta de Red Ethernet de 1000/100/10 TX. BROADCOM. Este servidor se encuentra instalado fsicamente el rea de Soporte Tcnico.
83
5.6.7.1 - Departamento o rea de Anlisis de Sistemas. El H.E.P. no tiene analistas de sistemas especialistas
determinando los cambios requeridos para los sistemas, sino los mismos integrantes y trabajadores del hospital que todos los das trabajan con los sistemas son los mejores analistas, solo se es suficiente un buen analista programador que recaude toda la informacin y la moldee a los requerimientos de la institucin.
5.6.7.2 - Departamento o rea de Programacin. El H.E.P. posee sistemas que estn realizados en plataforma CLIPPER, el programador recauda casi diariamente de la oficina de estadstica e informtica reajustes y algunos nuevos cambios sustanciales a los sistemas, estos sistemas son CAJA,
ADMISION, FARMACIA, LOGIS, el programador tambin se encarga de realizar los Backup de los sistemas, tambin de asistir a los operadores con capacitaciones sobre las modificaciones.
5.6.7.3 - Departamento o rea de Soporte Tcnico. rea responsable de la gestin del hardware y del software dentro de las instalaciones del H.E.P. entendiendo por gestin: estrategia, planificacin, instalacin y mantenimiento. El departamento de soporte tcnico Planifica la modificacin e instalacin de nuevo software y hardware, tambin evaluar los nuevos paquetes de software y nuevos productos de hardware, dar el soporte tcnico necesario para el desarrollo de nuevos proyectos, evaluando el impacto de los nuevos proyectos en el sistema instalado. Asegurar la disponibilidad del sistema, y la coordinacin necesaria para la resolucin de los problemas tcnicos, esto concierne a todos los programas asistenciales y estadsticos.
84
Realizar la coordinacin con los tcnicos del proveedor con el fin de resolver los problemas tcnicos y garantizar la instalacin de los productos en caso se adquieran. Proponer las notas tcnicas y recomendaciones para el uso ptimo de los sistemas instalados. Esta rea realiza tambin mantenimiento a los equipos de cmputo a todo el hospital en forma peridica y con ms frecuencia a los computadores que prestan servicio asistencial, incluye impresoras en general.
5.7 - Recursos tcnicos humanos EL rea de informtica del hospital HEP muestra un conjunto de material humano indispensable para el desarrollo bsico normal, los describiremos a continuacin:
5.7.1 - Analista programador. Corresponde a los mismos trabajadores que lidian todos los das con los programas asistenciales que conocen mejor su funcionamiento ellos son digitadores, mdicos, tcnicos y personal administrativo, etc. Ellos comunican al analista programador mediante la unidad de estadstica e informtica los mejores cambios y acomodamientos de los sistemas, el programador se encarga de actualizarlos.
5.7.2 - Programador de Sistemas. EL programador del H.E.P. es una persona experta en la programacin en Clipper 3.4 con amplia conocimientos en desarrollo hospitalario y de gestin administrativa estatal. El programador debe sustentar con trabajos realizados anteriormente toda su experiencia.
85
5.7.3 - Soporte Tcnico El tcnico de soporte informtico del H.E.P. que es una persona experta realiza configuraciones de los sistemas operativos, tambin esta al tanto con las ltimas tecnologas y as asesora en cualquier adquisicin de un bien informtico, tambin realiza configuraciones de hardwares de computadora, aplicativos y utilitarios, tambin es de su competencia desarrollar el plan de trabajo que se detallar mas adelante.
5.7.4 - Supervisor de Procesos Corresponde al jefe de la unidad de Estadstica e Informtica dirigir y administrar procesamiento de datos y relacionarse con los dems departamentos a fin de coordinar con el rea de programacin y Soporte Tcnico, formula y administra todo el procesamiento de la informacin que maneja el Centro de Cmputo, tambin supervisa las actividades de ingreso de datos de documentos.
5.7.5 - Digitador o Capturista. Las personas que se dedican a ingresar datos en los sistemas hospitalarios ellos convierten los datos de su forma original (un papel) con dispositivos de teclado para proporcionar los datos directamente a la computadora. No obstante la importancia del trabajo de los preparadores de Datos su educacin no requiere una formacin tcnica formal, un mecangrafo competente puede adquirir en pocas semanas de instruccin especializada las habilidades necesarias para el manejo de datos electrnicos.
86
87
CAPITULO VI
ANALIZANDO MEJORAS EN LA RED ACTUAL
6.1.1 - Instalaciones fsicas.- si tendramos que ver y maximizar nuestras expectativas, nunca acabaramos por darle lo mejor y las cosas nunca tendran fin, la primera es el tiempo, nunca acabaramos por terminar lo que mejor nos parezca cada vez que hallamos acabado el trabajo y la segunda no habra presupuesto para nuestra imaginacin. Por tal motivo toda esta configuracin se mide en funcin del presupuesto dado, en los datos a proteger y en la propia infraestructura. Tanto en el local propio como en el local alquilado se tiene ya tendida una subred con cables UTP Cat5e que es el estndar aceptable hasta el momento, un mantenimiento de los conectores y homogenizarlos a una categora A o B bastara para optimizarla, la supervisin de los cables no atraviesen campos magnticos alternos fuertes como fluorescentes, motores elctricos de potencia, cables de alta corriente, tambin ruidos altos, sobrecalentamiento por el sol o estn expuestos a reas donde puedan ser maltratados
6.1.2 - Local de cmputo.- la estrategia no habra contemplado a las reas de cmputo desde la formacin de las unidades, es as que no dispone de un local adecuado para beneficio de la institucin. El estndar TIA/EIA-569 especifica que cada piso deber tener por lo menos un centro de cableado y que por cada 1000 m
2 2
se deber
agregar un centro de cableado adicional, cuando el rea del piso cubierto por la red supere los 1000 m o cuando la distancia del
cableado horizontal supere los 90 m. y para aproximadamente 1000m2 de campus deber tener un tamao de armario de 3,0*3,4 m2 de rea
88
del local, En este caso el HEP esta dentro de los limites reglamentarios algo desordenados como ya veremos.
6.1.3 - Computadores.- Los computadores adquiridos son de tecnologa actual con velocidades de procesador de 1.0GHz a 3.2GHz, tecnologa INTEL X86, con el tiempo se estn adquiriendo ms computadores con tecnologa actual, acorde con las aplicaciones actuales que demandan regular consumo de recursos.
6.1.4 - Concentradores.- Los concentradores son de diferentes velocidades, marcas y tecnologas, homogenizar las velocidades para un trfico homogneo realmente mejorar la transmisin de datos, desechar los switch de 10Mbps y colocando en lugar de ellos switch de mayores velocidades se optimiza la transmisin de datos,
configuraciones en cascada mejora tambin la transmisin como se ver mas adelante en las simulaciones.
6.1.5
Servidores.-
existen
adquisiciones
de
servidores
con
velocidades y hardware competente de marca IBM Xseries 225, los servidores no son para manejo multimedia, estn diseados para un exclusivo rendimiento y manejo de los recursos de red
6.1.6 - Seguridad del Local.- no es de importancia la seguridad fsica y marcarla con gran detalle en este trabajo, pero en nuestro local solo tres cosas importantes mencionaremos:
Toma independiente.- Toda la red elctrica del centro de cmputo debe estas independiente de las otras redes para no mezclar ruido entre los equipos de cmputo y al no afectar los posibles cortos circuitos y sobrecargas que hagan saltar llaves trmicas vinculadas.
89
Transformador de aislamiento.- Es un importante artefacto que se coloca a la entrada de una red de datos primordialmente, este componente elctrico de potencia filtra las corrientes parsitas y limpia la seal elctrica de sus armnicos hacindola mas limpia, la instalacin de este transformador debe ser supervisada por un experto en el campo elctrico a fin de no sobrecargarla.
Refrigeracin a los equipos de computo.- En la fsica del estado slido, el rendimiento varia en una forma inversamente proporcional a la temperatura de su medio, esto indica que los chip controladores de las computadoras ejercen mejor funcin en un medio de menor temperatura. Un medio de baja temperatura mejorara el rendimiento y alargara la vida de los componentes, actualmente posee un sistema de refrigeracin en el cuarto de servidores pero no se controla la humedad del mismo, un deshumedecedor servir para este fin.
6.2.1 - Organizacin lgica en los Edificios Con lo cual, a pesar de ser una red pequea con pocos ordenadores conectados, es necesario una divisin en partes de la misma por varias razones, cuando la red se vaya extendiendo, tambin ir aumentando de forma similar el dominio de colisin, afectando seriamente al rendimiento de la red. Esto se puede mitigar segmentando la red, dividiendo la misma en una serie de segmentos significativos de tal forma que mediante Switch podremos limitar estos dominios de colisin enviando las tramas tan slo al segmento donde se encuentra el Host de destino. Conforme aumenta el nmero de Hosts, aumenta tambin el nmero de transmisiones Broadcast en forma proporcional. Esto se debe a que los 90
Hosts envan de forma constante peticiones ARP, envos RIP, peticiones DNS, etc. Por tanto puede llegar un momento en el que dicho trfico puede congestionar toda la red de forma inaceptable al consumir un ancho de banda excesivo. Entonces por razones de rendimiento y para solucionar estos problemas es necesario dividir la red en una serie de subredes, de tal forma que cada una de ellas va a funcionar luego a nivel de envo y recepcin de paquetes como una red individual, aunque todas pertenezcan a la misma red principal (pero no por tanto al mismo dominio o subred). De esta forma a nivel administrativo podremos considerar subredes bien diferenciadas, consiguiendo con ello un control del trfico de la red y una limitacin de las peticiones de broadcast que la atraviesan. A continuacin segmentaremos la red de computadores reagrupando por localizacin, se describe en la siguiente tabla la configuracin:
Dominios
reas involucradas
Logstica, planificacin, Control interno,
Totales PC 25
21
C D
19 31
91
6.2.3 - Distribucin de las Direcciones IP (actual) Para la asignacin de las direcciones actualmente se utiliza una Red privada de clase C:
Red Mscara
: 192.168.1.0 : 255.255.255.0
Con sta red se tiene 256 direcciones, pero solo 254 son aprovechables para Hosts, ya que la primera direccin (192.168.1.0) define la propia red, y la ltima (192.168.1.255) se utiliza para direcciones broadcast. Por tanto con una red de ste tipo podemos tener hasta 254 Hosts en red, como es obvio, ya que nuestra red se compone de 93 ordenadores, una red de clase C colma todas las IP que tenemos en nuestra Red Las direcciones desde 192.168.1.1 hasta 192.168.1.10, sern
reservadas para servidores. El servidor Firewall tiene la direccin 192.168.1.1 (eth1), y el resto de servidores siguen una numeracin aleatoria. Mas adelante analizaremos ms variables en donde comprometern la Red, por lo tanto vistas todas las ventajas que aporta el uso de subredes, vamos a realizar los diseos.
6.2.4 - Divisin de la subred: Y luego veremos en cada uno de ellos sus ventajas e inconvenientes para finalmente decidirnos por la mejor opcin.
6.2.4.1 - Primer anlisis: Subredes con mscaras de tamao fijo, Como hemos visto anteriormente, para el diseo de la red tenemos una red privada de clase C, es decir con 254 direcciones posibles.
92
Ya que tenemos cuatro departamentos cada uno con un nmero de ordenadores no superior a 40, nos bastar con cuatro subredes, (A, B, C, D), adems la disposicin de los
computadores y del arreglo fsico de los computadores nos lleva agruparlos cmodamente en cuatro grupos en las cuales trataremos de segmentarla de tal forma reduzca el broadcast de la red, darle seguridad a las dependencias entre si.
6.2.4.1.1 - Primera opcin: Tenemos la red 192.168.1.0, si le aplicamos la mscara 255.255.255.224 o /27, (3 bits de subred y 5 bits de Host), la divide en 8 (2 ) subredes de 32 (2 ) direcciones cada una. () 3bits _ de _ red, _ 5bits_ de _ host
3 5
2 5 2 32 2 30 _ bits _ de _ HOST
Con lo cual tendramos muy limitada la ampliacin de Hosts, tambin en el edificio D tenemos 31 computadores con tendencia a aumentar el cual no nos permite alcanzar el rango deseado.
93
6.2.4.1.2 - Segunda opcin: De la misma forma que en la opcin anterior tenemos la red 192.168.1.0, si le aplicamos la mscara 255.255.255.192 o /26, (2 bits de subred y 6 bits de Host), la divide en 4 subredes de 64 direcciones cada una.
94
6.2.4.2 - Segundo anlisis: Subredes con mscaras de tamao variable, sta tcnica consiste en dividir una red en subredes de diferentes tamaos, de sta forma si tenemos varias oficinas o departamentos cada una con un nmero determinado de Host, no es necesario asignarles a todos ellas subredes del mismo tamao.
En caso de no existir esta posibilidad, analicemos que problemas tendramos. Supongamos nuestras 4 subredes A, B, C y D de 25, 21, 19 y 31 computadores respectivamente, Anteriormente hemos propuesto para la distribucin de las direcciones IP, 2 opciones, ambas con subredes con mascaras de tamao fijo. En las dos opciones se puede observar que el nmero de direcciones de las subredes que hemos elegido viene determinado por el
departamento con mayor nmero de ordenadores, de sta forma siendo D el departamento con ms ordenadores, se elige una subred que cubra las necesidades de ste departamento es decir, que tenga suficientes direcciones para todos sus ordenadores, de sta forma los departamentos A, B y C, teniendo menos computadores Host que el departamento D, tienen el mismo nmero de direcciones que ste para asignar a sus ordenadores, as aprovechando de esta forma una gran cantidad de direcciones IP, mediante este anlisis se puede pensar que
independientemente de las distribuciones equitativas de los IP, puede escogerse tamaos variables que tenga importancia solo el tamao de las redes. Una vez explicadas esta ventaja de las subredes con mscara de tamao variable vamos a ver como nos quedara la distribucin de las direcciones utilizando esta tcnica.
95
Parte
A-- 25 computadores
Le asignamos una subred de 62 direcciones: Subred (ID) 192.168.1.64 Mscara Subred/bits de mscara 192.168.1.64/26
255.255.255.192
Parte
B-- 18 computadores
Le asignamos una subred de 30 direcciones: Subred (ID) 192.168.1.64 Mscara Subred/bits de mscara 192.168.1.64/27
255.255.255.224
Parte
C-- 19 computadores
Le asignamos una subred de 30 direcciones: Subred (ID) 192.168.1.96 Mscara Subred/bits de mscara 192.168.1.96/27
255.255.255.224
Parte
D-- 34 computadores
Le asignamos una subred de 62 direcciones: Subred (ID) Mscara Subred/bits de mscara 192.168.1.128/26
192.168.1.128 255.255.255.192
Como podemos observar ahora cada segmento tiene una subred que se ajusta a sus necesidades, con lo cual no desaprovecha direcciones. En el caso de que los departamentos amplen el nmero de ordenadores, tambin tendremos que reestructurar el diseo de la red, ya que hemos elegido unas subredes con tamao ajustado al nmero de Host que tenemos actualmente. Esto podemos solucionarlo fcilmente siendo algo radical y colocando a cada segmento lgico en una subred diferente y total en su conjunto, Nos quedara entonces:
96
Mscara 255.255.255.0
Mscara 255.255.255.0
Mscara 255.255.255.0
Mscara 255.255.255.0
97
Como se puede ver en todas las configuraciones el ID es diferente significando que las PC no se podrn ver siendo necesario rutar los paquetes. Tambin eliminando el trfico BROADCAST considerablemente. En la zona DMZ tambin se considerar una red de (ID) diferente para todos los casos
Mscara 255.255.255.0
98
99
6.2.6 - Conclusin Las segundas opciones de los dos anlisis (fijo y variable) son buena configuracin para nuestra red. Partiendo del hecho de la ventaja de que la divisin en subredes no tiene porque hacerse necesariamente de forma homognea en todo el espacio de direcciones se ha planteado estas opciones de
configuracin y segmentacin donde est supeditada a que los nodos de concentracin de estas subredes deben tener caractersticas de router.
NOTA
IMPORTANTE:
para
tomar
en
cuenta
estas
tres
configuraciones (cualquiera que sea fija, variable o diferente) de segmentar la red en 4 utilizando bits prestados, estamos incurriendo en la necesidad de adquirir switch con caractersticas de enrutadores (ROUTER) para as poder encaminar los paquetes de los diferentes segmentos, nosotros en nuestro trabajo consideramos que solo tendramos que utilizar los switch que tenemos disponibles ya que no es importante destacar la compra de equipos de cmputo, se trabajar en una red general de 192.168.1.0/24 pero se tiene la certeza que una reestructuracin de este tipo podra agilizar la red considerablemente y darle mucha seguridad. La segunda topografa seria la ideal y seria una reestructuracin a largo plazo ya que tendra que invertirse en re-cablear varias reas.
100
101
6.2.8 - Asignacin personalizada de los IP para la configuracin del FIREWALL.Los segmentos A, B, C y D llevar una misma mscara y misma cantidad de IP, red segmentada.
SEGMENTOS
SUBRED
MSCARA
62
192.168.1
255.255.255.0
B C D
62 62 62
Se asignar Pull de IP a las unidades a fin de tenerlas registradas y tener la facilidad de poder alterar las tablas del firewall segn se hagan ajustes
# PC UNIDAD Servidores Personal Economa TOTAL C Logstica Planificacin Control Interno Patrimonio Direccin Administrativa REA NMERO DE IP / MASK
6 8 11 19 10 4 2 5 2
Sist C C C A A A A A
102
# PC
UNIDAD Almacn General TOTAL A Farmacia Diagnstico por Imgenes Rayos X Direccin Ejecutiva Servicios Generales Estadstica & Informtica Epidemiologa TOTAL B Pediatra Nutricin SIS Enfermera Servicio Social Recursos Humanos Soporte Informtico Cajas recaudacin Admisin UTAB UTIP
REA
NMERO DE IP / MASK
2 25 7 1 1 3 1 5 3 21 5 1 2 1 1 2 6 2 1 1 1
A A B B B B B B B B D D D D D D D D D D D
192.168.1.(88..89)/24 192.168.1.(65..126)/24 192.168.1.(129..135)/24 192.168.1.136/24 192.168.1.137/24 192.168.1.(138..140)/24 192.168.1.141/24 192.168.1.(142..146)/24 192.168.1.(147..149)/24 192.168.1.(129..190)/24 192.168.1.(193..197)/24 192.168.1.198/24 192.168.1.(199..200)/24 192.168.1.201/24 192.168.1.202/24 192.168.1.(203..204)/24 192.168.1.(205..210)/24 192.168.1.(211..212)/24 192.168.1.213/24 192.168.1.214/24 192.168.1.215/24
103
# PC
REA
NMERO DE IP / MASK
3 2 1 1 1 31
D D D D D D
Nota: en caso de que se haga caso a las reestructuraciones de la subred y se tome en cuenta la segmentacin se tendra que cambiar en la tabla anterior el sufijo o mscara de la configuracin que se tome y que se crea correcta en todas las anteriores mostradas.
104
6.3.1 - Servidores
El servidor ASISTENCIAL.- Muy pronto ser migrado a plataforma Netware 6.5 y a un servidor ms potente de marca IBM xSeries 225 modelo: 6487, se ejecutar solo el protocolo IP as no habr doble protocolo en la comunicacin.
El servidor CORREOS.- se recomienda para este servidor reemplazarlo por uno de mejor tecnologa ya que ha sido reparado una vez por deficiencias en los filtros. Talvez tambin se podra migrar a un Linux y un sendmail a fin de estabilizar el servidor ya que durante mi estada como soporte tcnico en la institucin se ha realizado levantamientos y reinstalaciones del sistema operativo NT4.0.
El servidor SIAF.- es una simple PC que se renueva con el tiempo, conforme avance la tecnologa en PC este servidor ira migrando constantemente, y el ministerio y su unidad de informtica tendr que darle soporte a su SIAF ya que no es instalable en el sistema operativo Xpsp2.
El servidor FIREWALL.- se configurar y expondr un Firewall configurado para nuestros propsitos. (TERCERA PARTE).
El servidor LOGISTICA.- Servidor de ltima tecnologa, poco a poco se expondr a mejoras en la programacin y hacindolo ms verstil para los usuarios, este tipo de servicio tiene que supervisar el rea de
Informtica ya que fue otorgado a tercero mediante licitacin pblica. El sistema operativo WINDOWS 2000 deber estar actualizado en su totalidad y con sus services pack
105
El servidor PERSONAL.- recientemente comprado, tambin se instalar un Windows 2000 y tiene que estar supervisado por el rea de Informtica ya que terceros desarrollarn el programa y su instalacin de la base de datos, las mejoras dependen del buen contrato realizado. El sistema operativo WINDOWS 2000 deber estar actualizado en su totalidad y con sus services pack al igual que el sistema SQL 2000
6.3.2 - Departamento o rea de Informtica.Aparte de lo que ya el programador realiza en la institucin en su contrato rige clusulas donde tiene que innovar los sistemas a forma visual, tambin coopera en soporte informtico mientas este a su alcance sus conocimientos de soporte, no expondremos mas en las funciones y contribuciones del programador en este trabajo ya que no es el fin.
Departamento o Area de Soporte Se expondr en un anexo un plan de trabajo realizado en el HEP. Como mejora y orden en las ejecuciones en la institucin concerniente a su hardware informtico.
6.3.3 - Planteamiento de un estndar. Existen innumerables de estndares de seguridad y de sistemas as como procedimientos genricos con tcnicas que le resuelven seguridad a cualquier tipo de organizacin, no se desarrollar algunas de estos porque seguiremos la configuracin de seguridad propia de Fedora Core 6 para la construccin de Firewall. Algunas normas para el conocimiento simple concepto se mencionan aqu:
NORMA ISO/IEC 17799.- Ofrece las recomendaciones para realizar la gestin de la seguridad de la informacin, la versin espaola e esta norma es la UNE 717799. 106
NORMA MULTIPARTE ISO/IEC 13335 (GMITS).- En esta norma se recogen las etapas del ciclo de gestin de la seguridad proporcionando orientaciones organizativas y tcnicas, la versin espaola de esta norma multiparte es la UNE 71501.
NORMA BRITANICA BS-7799-2.- La cual fija requisitos para establecer, implementar y mantener un sistema de gestin de la seguridad de los sistemas de informacin
6.3.4 - Consideraciones econmicas. No es prioridad en este documento realizar los clculos para gestionar cambios de hardware que requieran costo econmico, El Hospital de Emergencias Peditricas debe evaluar generando proyectos de actualizaciones de hardware incluyendo la sub red, cualquier optimizacin que se realice aqu solo es de tipo lgico incluyendo el software para servidores Linux ya que su descarga de Internet es gratuita y solo se debe a su licencia GNU, el nico costo que debe hacer la institucin es la adquisicin de Switch para actualizar y homogeneizar el hardware de la su subred
107
6.4 - Zona de operatividad del firewall aplicado Los cortafuegos o Firewall de filtrado de paquetes funcionan el mas capas de transporte y de red, trabajando sobre la informacin de las cabeceras de los paquetes IP, esto quiere decir que no se analiza el rea de DATOS, en la siguiente tabla se tendr en consideracin que nuestro firewall solo protege parte de la red y que para una proteccin ms sofisticada necesitamos de ms armas as cubrir todas las capas o pilas de la comunicacin.
A continuacin un grfico que contiene las tecnologas que se utilizan por capas
108
6.5 - CONCLUSIN: Como hemos visto en los planos de la distribucin se emplear un Firewall con zona DMZ con tres Interfaces de Red, se implementar un Proxy configurado a pedido de la unidad de Estadstica e Informtica y el Firewall se configurar examinado la Red.
En nuestra tercera parte llevaremos toda esta configuracin y ser implementada en un firewall de proteccin en la capa tres (3) de la OSI de ISO.
109
TERCERA PARTE
(Diseo y resultado de la investigacin)
110
CAPTULO VII
DESCRIPCION DE LINUX FEDORA 6 (actualidades)
Soporte ACL El soporte ACL aadido al kernel en los primeras dos lanzamientos beta demostraron ser inestable y causar que el kernel retrocediera. Fedora Core por lo tanto ha eliminado el soporte ACL del kernel para Fedora Core 9. Los ingenieros del Kernel continuarn trabajando para mejorar el soporte ACL, el cual estar disponible para futuras entregas. Los paquetes attr y acl necesitados para soportar ACLs estn todava incluidos para hacer las cosas ms fciles para usuarios y desarrolladores que deseen probar ACLs. Fedora Core puede, a nuestra discrecin, proporcionar el soporte para ACL para esta entrega de Fedora Core con fines de actualizacin, si las pruebas futuras demuestran que el soporte para ACL ha mejorado lo suficiente su calidad.
Nuevo planificador de procesos (Scheduler) Cuando el nmero de procesos es mayor que el nmero de procesadores es necesario alternar cada proceso para cada procesador as mismo se ver como si tolos los procesos se estuviesen ejecutando al mismo tiempo, el Scheduler o planificador del Kernel 2.4 tiene unas deficiencias en la asignacin de procesos, cuando un proceso es asignado a un cpu el scheduler del K2.4 usa un bloqueo de procesamiento para poder asignar otro proceso al procesador ocioso, as cuando existan dos procesadores, para asignar un proceso al procesador1, se tendr que esperar que el procesador2 acabe su tarea, as a mayor numero de procesadores ms contencin se crea.
111
Muy aparte del algoritmo para seleccionar el proceso a ejecutarse tampoco es escalable con respeto al nmero de procesos, para decidir que proceso ha de ejecutarse se recorre toda la lista de procesos no existe problema para esto pero cuando la cantidad de procesos se eleva considerablemente (10000), se tendr que consumir parte de CPU afectando el rendimiento por lo que tambin es un algoritmo no ptimo. Para solucionar el problema de la asignacin de procesos, el nuevo kernell2.6 en su Scheduler no hay una lista global de procesos sino una lista para cada procesador, as cada procesador ser autnomo y escoger que proceso le es ms conveniente de su lista y tratarlo. Podra ser que en una CPU sus procesos se acabasen para ello existe un hilo que se encarga de balancear los procesos de todas las CPU. Y con respecto al problema de escalabilidad de procesos de crea una mscara de bits sobre cada Array eso conlleva a una ejecucin de dos instrucciones de procesador para encontrar el prximo proceso lo cual hace un algoritmo muy eficiente. Otra cosa nueva que trae este Scheduler es una nueva poltica de planificacin de procesos conocida como batch Sheduling significa que esta tarea no se ejecutara hasta que todos los procesos hayan agotado sus timeslices, es decir se efecta prioridades (nice), pero siempre existe la probabilidad de que un proceso con (nice 0) se ejecute antes de un proceso con (nice 10), con el Batch scheduling se asegura de que una tarea no interfiera en absoluto con el resto del sistema.
(Proceso reescrito por Ingo Molnar, desarrollador Linux)
Inversin de prioridades EL batch scheduling trae algunos efectos negativos que cabe resaltar, como es la inversin de prioridades, algo que NO esta solucionado en Linux (si en otros sistemas operativos como NT). Explicaremos para dar un ejemplo,
112
Pongamos que tenemos tres procesos: A, B, C. El proceso A es una tarea que se ejecuta con prioridad alta, la B con una normal (nice 0), y la C como batch scheduling (muy baja). Pongamos que la tarea C adquiere un bloqueo y que necesita ser liberado para que A se ejecute. Ahora pongamos que la tarea B necesita ejecutarse; como la tarea C no se ejecutara hasta que la B termine, el resultado es que la tarea B se ejecutara y la A no, es decir la tarea B acaba ejecutndose como si tuviera la prioridad de A (de all inversin de prioridades). La solucin a esto es la herencia de prioridades si se quiere que la tarea A se ejecute lo que se necesita es dar la prioridad de A a C. Aparte de todo esto, los algoritmos que se han diseado de nuevo en muchos casos consiguen asegurar una buena interactividad, que no haya casos esquina, por lo que se consigue una mayor eficiencia en la mayora de los problemas que venan dndose en el kernel 2.4.X consiguiendo una buena planificacin de los procesos del sistema.
Hilos para POSIX Fedora Core 9 incluye la Native POSIX Thread Library, una nueva implementacin de hilos POSIX para Linux. Esta librera proporciona mejoras de rendimiento e incrementos en la escalabilidad para los procesadores i686 o superiores. Esta librera de hilos est diseada para ser compatible a nivel binario con las implementaciones viejas de LinuxThreads; sin embargo, las aplicaciones que cuentan con las partes donde la implementacin de LinuxThreads se desva del estndar POSIX necesitarn reparaciones. Algunas de las diferencias notables incluyen: El manejo de seales ha sido modificado del manejo de seales por-hilo a manejo de seales de procesos POSIX. Getpid() devuelve el mismo valor en todos los hilos. El soporte NPTL para todas las aplicaciones enlazadas dinmicamente se pueden desactivar mediante el uso de la siguiente opcin en el momento de arranque
113
7.1.5 - Mejora del algoritmo de asignacin de PIDs Segn parece la complejidad del algoritmo que daba un PID para asignarlo al siguiente proceso que crear era de complejidad cuadrtica O(n2) y lo que hacia era que cuantos ms procesos haba en la mquina, ms costosos en tiempo fuera obtener un PID libre. Evidentemente no es habitual (por ahora) tener en la maquina tantos procesos como para que se note la merma en el rendimiento slo para encontrar el siguiente PID. Pero con los recientes avances en el soporte multihebra del ncleo (principalmente la NPTL) y con sus pruebas de decenas de miles de Threads simultneos se esta logrando buen rendimiento.
7.1.6 - Soporte Hiperthreading Tambin se ha aadido en el kernel 2.6.x es el soporte Hiperthreading para aquellas mquinas que lo soporten, especialmente en
ordenadores personales ms de cara al usuario como podra ser el Pentium Xeon Intel. Soporte USB2.0 Nos permite unas tasas mayores de transferencia gracias a esta implementacin Soporte AGP3.0 Nos permite una velocidad grfica de 8X.
Para obtener un listado de la documentacin disponible. Para ms detalles consulte el sitio Web de OProfile en http://oprofile.sourceforge.net.
114
CAPTULO VIII
PREPARAR LA INSTALACIN DEL SISTEMA OPERATIVO Fedora Core esta diseado para ejecutarse en muchas plataformas que a lo largo de su evolucin en la comunidad Linux se ha estado agregando, sin embargo es de necesidad antes de cada instalacin, tener el conocimiento sobre que hardware se ejecutara un LINUX, es de muy mal pesar no completar la instalacin sabiendo que no conseguir controlador para determinado hardware aun mas si es necesario para el fin del proyecto.
Requerimientos de hardware La siguiente informacin representa los requerimientos mnimos de hardware necesarios para instalar exitosamente Fedora Core 9: CPU: Mnimo: clase Pentium Recomendado para modo texto: 200 MHz clase Pentium o superior Recomendado para grficos: Pentium II 400 MHz o superior Espacio en disco duro: Instalacin personalizada texto (mnima): 128MB de RAM Recomendacin de 256MB de RAM Instalacin personalizada (todo): 9.0GB
115
PIEZA MAINBOARD PROCESADOR MEMORIA RAM DISCO DURO FLOPPY LECTOR OPTICO INTERFACE VIDEO TRES (3) INTERFACE RED INTERFACE SONIDO TECLADO MULTIMEDIA MOUSE C/SCROLL MONITOR
MARCA INTEL INTEL SPECTECK SEAGATE SONY LG INTEL 3COM CHIP VIA CYBERLINK GENIUS SAMSUNG LG
MODELO D845GVFNL, I845GV De 2.55 GHz 512KB CACHE FCPGA 512 RAM DE BUS 333MHz HH DD 40GB IDE 5200rpm CAPACIDAD 1.44MB LECTOR DE CD-R INCORPORADO 64 MB 3C905 TXNM INCORPORADO PS/2 MULTIMEDIA BEIGE Netscroll, PS2, 2 botones 15" SYNCMASTER 591S
HCL OK OK OK OK OK OK OK OK OK OK OK OK
Lista de compatibilidad de hardware (HCL): Algunos componentes de hardware (tales como tarjetas de vdeo y de red) pueden requerir modos especficos de instalacin y/o uso luego de la instalacin, en nuestro caso nuestra PC servidor Firewall tiene total compatibilidad.
8.3 - Evaluacin de los medios a instalar El programa de instalacin de Fedora Core tiene la habilidad de evaluar la integridad de los medios de instalacin. Funciona con mtodos de instalacin basados en CD, DVD, disco duro ISO y NFS ISO. El programa de instalacin Anaconda posee una rutina de auto chequeo de los CD a instalar antes de reportar algn error relacionado con la instalacin (muchos de los errores reportados son debido a CD que no fueron grabados
116
apropiadamente o con fuentes de dudosa reputacin). Para usar esta prueba se puede ejecutar en el intrprete de comandos boot: Linux mediacheck o simplemente instale y ejecute la opcin (Test-CD) en Anaconda, nosotros ejecutaremos la segunda opcin.
8.4 - Notas Generales En esta seccin se describe precauciones que de no tomarlas en cuenta, podran afectar la ejecucin de las aplicaciones del servidor:
Se han observado ciertos problemas cuando se actualizan sistemas que tienen instalados paquetes con versiones distintas aun siendo de la misma versin del kernell pero diferente revisin este problema se corregira instalando paquetes de la misma versin tanto paquetes dependientes as se evitar una sobre posicin de las versiones entre los RPM de Fedora Core. Estos problemas ocurriran mas frecuentes en una actualizacin de kernell, actualizacin de servicios o migraciones.
No se debe instalar jams el entorno grafico para una aplicacin servidor ya que divide rendimiento al equipo y habilita procesos que podran abrir agujeros de seguridad, tanto tambin como consumo de memoria para el X Window.
117
CAPITULO IX
Poltica y consideraciones para el diseo del Firewall
9.1 - PLANEAMIENTO DEL FIREWALL Se desea implementar un cortafuego (Firewall), tomando en consideracin la seguridad de la intranet del Hospital de Emergencias Peditricas y su respectiva topologa planteada anteriormente; la proteccin ser hacia los servidores propios del H.E.P, desde la WAN y la misma intranet, bloqueando posibles conexiones maliciosas y permitiendo conexiones necesarias para los servicios que demanda el H.E.P
AREA DE ACCESO ECONOMA TODO A, C, B, SOPORTE INFORMTICO, CAJAS, RECAUDACIN, ADMISIN, LABORATORIO, EMERGENCIA, ALMACN FARMACIA. TODA LA INTRANET SOPORTE. TODO PERSONAL TODO LOGSTICA
SERVIDOR SIAF
ASISTENCIAL
9.3 - Mantenimiento del Firewall Se crearn un Script donde figurarn las reglas propias del Firewall, ello para considerar como si fuera un demonio, es decir un servicio, que se podra inicializar, detener y reiniciar cuando se vea conveniente, tambin el caso de
118
inicializarlo de manera automtica cada vez que se encienda o reinicie el servidor Firewall. 9.4 - ESQUEMA, REQUISITOS Y CONDICIONES PARA EL SCRIPT Regla Nmero: Descripcin de la regla aplicada TRAFCO DE CABECERA PRESENTACIN: Se expone un breve saludo y algunos comentarios indicando autor, poltica por defecto, etc.
LIMPIEZA DEL FIREWALL Se ejecutan comandos en la cual se limpia toda regla y toda cadena creada igualmente cadenas iniciadas temporalmente
configuradas en memoria
DECLARACIN DE VARIABLES Para un fcil manejo y mantenimiento de nuestro script se declaran variables, en ello nos indica los datos de nuestra Red
POLTICA POR DEFECTO Mas difcil y con mayor trabajo pero ms seguro, denegamos todo totalmente o le indicamos al kernell que no deje pasar algn paquete que no se identifique con alguna regla y este a merced de esta
119
TRAFCO LAN WAN Permitir acceso al Internet: HTTP cliente p(80), HTTPS cliente p(443) NNTP NEWS cliente p(119) POP cliente p(110) IMAP cliente p(143) SMTP cliente p(25) WHOIS cliente p(43) Actualizacin de antivirus por puerto XYZ Acceso para la mquina de soporte en: FTP cliente p(21), TELNET cliente p(23) IRC cliente (6667) ICQ cliente (4000)
TRAFCO DMZ LAN Servidor: SIAF ASISTENCIAL CORREO DATOS PERSONAL LOGISTICA Acceso desde el rea: ECONOMIA Y ESTADISTICA TODOS TODOS SOPORTE PERSONAL Y ESTADSTICA LOGISTICA Y ESTADSTICA
TRAFCO WAN DMZ Servidor SIAF DATOS Acceso hacia: COMUNICACIN CON EL MEF ACCESO A INTENET
120
CAPTULO X
10.1 - INSTALACIN DEL SISTEMA OPERATIVO (BSICO) Comienza teniendo una mquina ntegramente y dedicada para un Linux Firewall con Fedora Core 6, se deja bootear el DVD el cual aparece:
Se instalar el S.O. en forma texto a fin de poder escoger los paquetes y solo instalar lo bsico para nuestro Firewall, obviando as el modo grfico con la opcin F2, nos dar ms opciones de instalacin.
El sistema Operativo comienza con el escaneo del CD as chequeamos la integridad total del instalador antes de ejecutarse Anaconda, que es el
121
programa instalador de FEDORA CORE, si existe algn controlador o tecnologa importante en el kernell que no este presente en la base de datos del Linux FEDORA CORE 6, el sistema se plantar y no seguir su reconocimiento anunciando que debemos obtener un Linux ms actualizado
122
123
Creamos
una
disposicin
personalizada
de
las
particiones
hda
El entorno grfico que muestra el espacio libre, Antiguamente en los Linux 7.0 y 7.01 podamos crear tantas particiones, podamos crear e independientemente los espacios en el disco de tal forma que separbamos cada sistema de archivos independientemente para as poder trabajar separadamente como: /usr, /etc, /boot, /mnt, /users..etc, el manejo independiente daba alguna estrategia de seguridad, en nuestro FEDORA no hay muchas posibilidades de crear este tipo de archivos ya casi por defecto todos los archivos importantes se copian en /, directorio raz
124
Creamos la particin /boot, sistema de archivos ext3, 200MB de boot y tipo primaria.
125
Y finalizamos con el montaje final / la raz donde se albergara todo el sistema de archivo ext3
126
127
Escribimos la contrasea del root (sper usuario) para nuestro caso: 123456789*, un password regularmente seguro
128
personalizamos la seleccin de software: -ningn tipo de servidor, -algunas aplicaciones de ofimtica y -algunos paquetes de software importantes
Luego de loguearnos como root podemos inicializar nuestro entorno grfico para alguna Instalacin y/o descargo de paquetes Internet y luego bajar el servicio grfico, lo inicializamos con [root..]# startx <-|
129
130
131
acpid acpid
Recomendacin:
NO ejecutar
Servicio: Demonios:
at
at, atd,
Recomendacin:
SI ejecutar
desde un archivo especificado. At le permitir especificar que un comando debe ejecutarse a una hora particular Debe instalar este paquete si va a necesitar una utilidad
Consideraciones:
autofs
Autofs,
Recomendacin:
NO ejecutar
Servicio: Demonios:
avahi
Recomendacin:
NO ejecutar
avahi, avahi-daemon, avahi-dnsconfd avahi es un sistema que facilita el descubrimiento de servicios en una red local, esto significa que puede conectar su notebook o computadora a la red e
Descripcin:
instantneamente poder ver a otra gente con la que pueda chatear, encontrar impresoras compartidas, o archivos compartidos.
Consideraciones:
peligroso
132
Servicio: Demonios:
portmap portmap,
Recomendacin:
NO ejecutar
El programa portmapper es una herramienta de seguridad que previene el robo de NIS, NF y otra informacin
Descripcin:
sensitiva a travs de portmapper. Un portmapper administra conexiones RPC, que se usan en los protocolos como NFS y NIS debe instalarse en cualquier mquina que acte como un
Consideraciones:
cpuspeed cpuspeed,
Recomendacin:
NO ejecutar
Demonio que controla la velocidad del procesador para diferentes aplicaciones y programas
Consideraciones:
No importante
Servicio: Demonios:
Recomendacin:
SI ejecutar
El paquete crontab contiene archivos crontab de root. se usa para instalar, desinstalar y listar las tablas usadas por el demonio cron. El demonio cron chequea los archivos
Descripcin:
crontab para ver cundo se prevee ejecutar un comando en particular. Si los comandos se planifican, ste los ejecuta Crontabs maneja una funcin bsica del sistema, por lo
Consideraciones:
133
Servicio: Demonios:
cups Cups
Recomendacin:
No ejecutar
Entre sistemas operativos UNIX. Fu desarrollado por Easy Software Products para promover una solucin de
Descripcin:
impresin estndar para todos los vendedorese y usuarios de UNIX. CUPS provee las interfases de lnea de comando de System V y Berkeley
Consideraciones:
Servicio: Demonios:
dhcdbd Dhcp,
Recomendacin:
NO ejecutar
dhcdbd provides a D-BUS interface to the ISC dhclient software. El demonio provee acceso a DHCP, y guarda
Descripcin:
la configuracin persistentemenet Otras aplicaciones del D-AUTOBS pueden recibir notificaciones de cambios en la configuracin de DHCP del cliente
Consideraciones:
peligroso
diskdumputils Diskdump,
Recomendacin:
SI ejecutar
La utilidad diskdump implementa el kernel para guardar la imagen de memoria en la particin especfica
Consideraciones:
importante
dump dump
Recomendacin:
NO ejecutar
No importante
134
Servicio: Demonios:
firstboot firsboot
Recomendacin:
NO ejecutar
usuario a travs de una serie de pasos que le permitirn configurar fcilmente la computadora.
Consideraciones:
No importante
Servicio: Demonios:
gpm gmp-,
Recomendacin:
NO ejecutar
Gpm provee soporte para ratn en aplicaciones Linux basadas en texto como el editor Emacs y el sistema de adminsitracin de archivos Midnight Commander. Gpm
Descripcin:
tambin provee operaciones cortar y pegar en consola, usando el ratn, y permite a un programa abrir menes pop-up al apretar un botn del ratn
Consideraciones:
No importante
Servicio: Demonios:
hsqldb hsqldb
Recomendacin:
NO ejecutar
en JavaTM, con un driver JDBC, que soporta un subconjunto del SQL ANSI-92.
Consideraciones:
No importante
httpd httpd
Recomendacin:
NO ejecutar
No importante
135
Servicio: Demonios:
Ip6tables iptables-ipv6
Recomendacin:
NO ejecutar
El paquete iptables-ipv6 agrega soporte de IPV6 (la prxima versin del protocolo IP) a iptables. Iptables
Descripcin:
controla el cdigo de filtrado de paquetes del kernel de Linux, y permite configurar cortafuegos y
enmascaramiento de IP.
Consideraciones:
No utilizado todava
Servicio: Demonios:
iptables iptables
Recomendacin:
SI ejecutar
La utilidad iptables controla el cdigo de filtrando de paquetes de red en el kernel de Linux. Si quiere
Descripcin:
UTIL
Servicio: Demonios:
irda irda
Recomendacin:
NO ejecutar
IrDA (TM) (Asociacin de Datos Infrarrojo) es un estndar de la industria para la comunicacin inalmbrica por infrarrojo entre dispositivos. Las velocidades de IrDA van
Descripcin:
desde los 9600 bps a 4 Mbps, y se puede usar en los dispositivos modernos com notebook, adaptadores de red, PDAs, impresoras y telfonos celulares.
Consideraciones:
No utilizable
136
isdn isdn4k-utils
Recomendacin:
NO ejecutar
El paquete isdn4k-utils contiene una coleccin de utilidades para la configuracin de subsistemas RDSI.
Consideraciones:
No utilizable
kudzu kudzu
Recomendacin:
NO ejecutar
Servicio: Demonios:
mdadm mdadm
Recomendacin:
NO ejecutar
mdadm se usa para crear, administrar y monitorear dispositivos MD de Linux (RAID por software). Como tal, provee una funcionalidad similar al paquete raidtools. Sin
Descripcin:
embargo, mdadm es un programa simple, y puede realizar casi todas las funciones sin un archivo de configuracin, aunque se puede usar uno para ayuda en algunas tareas comunes.
Consideraciones:
No importante
Servicio: Demonios:
netdump Netdump
Recomendacin:
NO ejecutar
El cliente netdump hace que el kernel enve volcados de memoria y/o mensajes de consola mediante paquetes
Descripcin:
137
Servicio: Demonios:
Recomendacin:
NO ejecutar
El paquete nfs-utils provee un demonio para el servidor NFS del kernel y herramientas relacionadas, que proveen un nivel ms alto de performance que los servidores NFS de Linux tradicionales usado por la
Descripcin:
mayora de los usuarios. Este paquete tambin contiene el programa de showmount. montaje en Showmount un equipo consulta remoto el por
demonio
informacin acerca del servidor de NFS (Sistema de Archivo en Red) en el equipo remoto.
Consideraciones:
peligroso
Servicio: Demonios:
Hpparm Hdparm
Recomendacin:
NO ejecutar
Hdparm es una utilidad til para configurar un disco rgido (E)IDE. Por ejemplo, hdparm se puede usar para
Descripcin:
mejorar la performance de un disco rgido y retocarlo para que ste gaste menos energa.
Consideraciones:
No necesario
Servicio: Demonios:
procmail Procmail
Recomendacin:
NO ejecutar
El programa procmail es usado por Red Hat Linux para enviar correo local. Procmail puede ser utilizado para filtrar de forma automtica, el pre-ordenamiento y para la
Descripcin:
gestin de los trabajos a travs del correo electrnico. Procmail es utilizado tambin por el procesador de listas de correo SmartList
Consideraciones:
No utilizado
138
Servicio: Demonios:
nscd nscd
Recomendacin:
NO ejecutar
puede mejorar dramticamente la performance con NIS+, y a la vez ayudar con el DNS.
No se ejecuta servicios DNS ntp ntp El Network Time Protocol (NTP) se utiliza para sincronizar la hora de un ordenador con otra de referencia. El paquete ntp contiene utilidades y
Recomendacin:
NO ejecutar
ordenador con la hora Coordinated Universal Time (UTC) por medio del protocolo y de un servidor NTP. El paquete ntp incluye ntpdate (un programa para obtener la hora y fecha del ordenador remoto via red) y ntpd (demonio de sistema que continuamente ajusta la hora)
Consideraciones:
No es de necesidad
Servicio: Demonios:
Recomendacin:
NO instalar
contiene
las
herramientas
de
Descripcin:
administracin del sistema para monitorizar y limitar el uso del disco a un usuario o un grupo.
Consideraciones:
139
Servicio: Demonios:
Recomendacin:
NO ejecutar
proveer
una
interfase
SCard
de
Windows(R) en un factor de forma muy pequeo para la comunicacin con smartcards y lectores. PC/SC Lite usa el mismo API winscard que se usa en Windows(R). Este
Descripcin:
paquete incluye el demonio de PC/SC Lite, un administrador de recursos que coordina las
comunicaciones con los lectores de tarjetas inteligentes y las tarjetas inteligentes que se conectan al sistema.
Consideraciones:
No necesario
Servicio: Demonios:
setuptool setuptool
Recomendacin:
SI ejecutar
Es un programa de men en modo texto amigable al usuario que le permite acceder a todos los programas de
Descripcin:
Ya se configuro, no se instalar
Servicio: Demonios:
psacct psacct
Recomendacin:
SI ejecutar
Contiene diversas utilidades para visualizar la actividad de los procesos, incluye los comandos ac, lastcomm, accton y sa. El comando ac visualiza las estadsticas de
Descripcin:
los usuarios conectados. El comando lastcomm visualiza la informacin sobre comandos precedentemente
ejecutados. El comando lastcomm resume la informacin sobre los comandos precedentemente ejecutados.
Consideraciones:
necesario
140
Servicio: Demonios:
rdisc rdisc
Recomendacin:
NO ejecutar
El Este paquete contiene varias utilidades para controlar y configurar los dispositivos conectados al bus PCI. Las utilidades ofrecidas en este paquete requieren la versin 2.1.82 o una posterior del kernel (necesita del soporte
Descripcin:
para la interfaz /proc/bus/pci).programa RDist mantiene un copias idnticas de archivos en mltiples equipos. Si es posible, RDist preservar el dueo, grupo, modo, y mtime de los archivos y puede actualizar programas que se estn ejecutando.
Consideraciones:
No importante
Servicio: Demonios:
readahead readahead
Recomendacin:
NO ejecutar
readahead lee el contenido de una lista de archivos en memoria, lo que hace que sean luego ledos del cach
Descripcin:
No necesario
Servicio: Demonios:
setserial setserial
Recomendacin:
NO ejecutar
Setserial es una utilidad del sistema para mostrar o configurar la configuracin de un puerto serie. Setserial
Descripcin:
No importante
141
Servicio: Demonios:
pciutils
Recomendacin:
NO ejecutar
Este paquete contiene varias utilidades para controlar y configurar los dispositivos conectados al bus PCI. Las
Descripcin:
utilidades ofrecidas en este paquete requieren la versin 2.1.82 o una posterior del kernel (necesita del soporte para la interfaz /proc/bus/pci).
Consideraciones:
No necesario
Servicio: Demonios:
sendmal sendmail
Recomendacin:
NO ejecutar
El programa Sendmail es un Agente de Transporte de Correo (MTA) ampliamente utilizado. Los MTAs envan
Descripcin:
correo de una mquina a otra. Sendmail no es un cliente que se utilice para leer el correo. Sendmail es un programa para transferir correo va Internet
Consideraciones:
Servicio: Demonios:
Recomendacin:
SI ejecutar
El paquete smartmontools contiene dos programas utilitarios (smartctl y smartd) para controlar y monitorear los sistemas de almacenamientos usando el sistema de tecnologa de automonitoreo, anlisis y reporte (SMART
Descripcin:
en ingls) que viene en la mayora de los discos ATA y SCSI modernos. En muchos casos, estas utilidades proveern una advertencia avanzada de la degradacin del disco y sus fallas.
Consideraciones:
util
142
Servicio: Demonios:
telnet telnet
Recomendacin:
NO ejecutar
remotos a travs de Internet. El paquete telnet contiene un cliente telnet de lnea de comando.
Consideraciones:
peligroso
Servicio: Demonios:
ftp ftp
Recomendacin:
NO ejecutar
UNIX. FTP es un protocolo utilizado para transferir archivos a travs de Internet y para archivar ficheros.
Consideraciones:
peligroso
Servicio: Demonios:
Recomendacin:
SI ejecutar
El paquete sysklogd contiene dos utilitarios del sistema (syslogd y klogd) que proveen soporte para el registro de
Descripcin:
eventos del sistema. Syslogd y klogd, demonios que envan los mensajes del sistema a diferentes lugares, como logs de sendmail, logs de seguridad, errores, etc.
Consideraciones:
utilidad
Servicio: Demonios:
tomcat5 tomcat5
Recomendacin:
NO ejecutar
de
Referencia
oficial
para
las
tecnologas Servlet de Java y JavaServer Pages. Las especificaciones de Servlet de Java y de JavaServer Pages se desarrollaron en Sun bajo la Comunidad Java.
Consideraciones:
No necesario
143
Servicio: Demonios:
vnc Vnc
Recomendacin:
NO ejecutar
Es un sistema de pantalla remota que permite ver el entorno de escritorio de cmputos no slo de la mquina en donde est corriendo, sino de cualquier lugar en
Descripcin:
Internet y de una amplia variedad de arquitecturas de computadora. Este paquete contiene un cliente que le permitir conectar a otros escritorios que corran un servidor VNC.
Consideraciones:
peligroso
Servicio: Demonios:
Recomendacin:
NO ejecutar
usuario
expulsar
medios
removibles
Zip de IOmega) usando control por software. Eject tambien puede controlar algunos intercambiadores
multidiscos de CD.
Consideraciones:
No necesario
Servicio: Demonios:
mailcap mailcap
Recomendacin:
NO ejecutar
Al archivo mailcap lo usa el programa metamail. Metamail lee el archivo mailcap para determinar cmo debe mostrar material multimedia y que no sea texto plano.
Descripcin:
Bsicamente, mailcap asocia cualquier tipo de archivo particular con un programa particular que un agente de correo u otro programa puede llamar para que manejen ese archivo.
Consideraciones:
No necesario
144
Servicio: Demonios:
ypbind ypbind
Recomendacin:
NO ejecutar
El Servicio de Informacin de Red (NIS) es un sistema que proporciona informacin acerca de la red (login, contraseas, directorios de usuario, informacin sobre grupos) a todos los ordenadores de la red. NIS puede permitir el login a usuarios en cualquiera de los
Descripcin:
ordenadores de la red, siempre que en la mquina se estn ejecutando los programas cliente de NIS y la clave de usuario est guardada en la base de datos passwd de NIS. NIS tambin se conoca como Sun Yellow Pages (YP).
Consideraciones:
Comentario en la seguridad
puerto de booteo en el equipo donde instalaremos el FIREWALL, en la Bios podemos deshabilitar puertos boot como FDD, RED; USB, CDROM, SERIAL, Deshabilitar todas estas opciones de booteo y solo dejar
Acciones a seguir
la del disco duro principal as mismo proteger la entrada a la Bios con una contrasea segura
Rutina de ejecucin
145
Recurso en anlisis
DESCONECTAR EL SERVIDOR DE LA RED Es recomendable cuando se instala aplicaciones, se configura o se le de algn tipo de mantenimiento al
Comentario en la seguridad
servidor es recomendable desconectarlo de la red, en nuestro caso se desconectar antes de aplicar las opciones de seguridad.
ESCOGER UN BUEN PASSWORD Un buen password es la caracterstica primaria para una buena seguridad comenzndola a configurar para ese fin, Recomendamos: debe tener seis (6) caracteres como mnimo no debe de ser alguna palabra del diccionario espaol ni de otro idioma
Acciones a seguir
Debe de cambiarse peridicamente, eso depende de que tipo de servidor estamos trabajando y qu protege
Y el servidor por ultimo debe bloquear el login por ms de dos intentos fallidos
Rutina de ejecucin
Criterio personal
LA CUENTA ROOT La cuenta root es la mxima cuenta con los privilegios totales sobre el sistema, se recomienda tomar
precauciones cuando el login es con la cuenta root NUNCA INICIAR UN LOGIN REMOTO CON LA CUENTA
146
Recurso en anlisis
TIME OUT PARA CUENTAS DESCONECTADAS As mismo el administrador tiene que tener la certeza que sus propios trabajadores no desatiendan su cuenta cuando se distraigan o simplemente termine su trabajo y
Comentario en la seguridad
dejen desatendida la consola Linux, en /etc/profile aadimos una lnea que terminar la aplicacin cuando el tiempo de inactividad cumpla dos horas, en forma individual se puede configurar en el archivo oculto .bashrc Insercin de lnea en archivo /etc/profile despus de la
Acciones a seguir
TMOUT=7200
El uso del comando linux single en modo fallos Se debe deshabilitar toda esta caracterstica que Linux posee para cuando se trata de ingresar al sistema en forma de fallos, esto sucede al iniciar el grub Se ingresar una lnea en el archivo /etc/inittab a fin de
Acciones a seguir
pedir una contrasea de root antes de ingresar al sistema Antes: id:3:initdefault: Ahora se tiene que visualizar as:
Rutina de ejecucin
id:3:initdefault: ~~:S:wait:/sbin/sulogin Ahora para que los cambios tengan efecto, reiniciamos el servicio con el comando:
147
Recurso en anlisis
Configurando el archivo grub.conf Grub posee algunas detalles que talvez para cualquier persona que instale un Fedora Linux y le sirva de
Comentario en la seguridad
administrador de sus aplicaciones no sea de importancia algunas lneas que aadiremos minimizando las
Aadimos o modificamos en el /etc/grub.conf: boot=/dev/hda map=/boot/map install=/boot/boot.b prompt removemos esta lnea. timeout=00 inicia grub inmediatamente. lmessage=/boot/message removemos esta lnea si la encontramos. default=linux restricted aadimos esta lnea en proteccin.. password=<contrasea> siempre nos pedir el
Rutina de ejecucin
password que le pongamos image=/boot/vmlinuz-2.6.18... luego damos los derechos solo al root a modificarla:
148
Recurso en anlisis
Deshabilitando Ctrl.-Alt-Delete, comando shutdown Para prevenir accidentes es mejor deshabilitar el juego de
Comentario en la seguridad
-t3
-r
now
lnea
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now aadirle un prefijo de comentario y listo, reiniciamos el servicio con:
Rutina de ejecucin
149
SEGURIDAD PARA EL ARCHIVO /etc/service Este archivo contiene los puertos por defecto y sus aplicaciones vinculadas, es solo derecho ntegro de modificacin para el administrador root. Inmunizamos el archivo con el comando chattr
SEGURIDAD PARA EL ARCHIVO /etc/securetty Este archivo importante permite cuales tty y vc (consola virtual) dispositivos de root son permitidos a login en el servidor Aadiremos prefijos de comentario en el resto de los TTY
Acciones a seguir
y VC vc/1 #vc/2 #vc/3 #vc/4 #vc/5 #vc/6 #vc/7 #vc/8 #vc/9 #vc/10 #vc/11
tty1
Rutina de ejecucin
#tty2
#tty3
#tty4
#tty5
#tty6
#tty7
#tty8
Recomendable que solo el administrador pueda hacer login y luego utilizar el comando su, si es necesario ingresar como root.
150
CUENTAS ESPECIALES y BUIL-IN Es importante deshabilitar cualquier cuenta que venga por defecto, ejecutamos las siguientes lneas a fin de eliminarlos. Desinstalaremos paso a paso [root@HEP /]# userdel -r adm [root@HEP /]# userdel -r lp [root@HEP /]# userdel -r shutdown [root@HEP /]# userdel -r halt [root@HEP /]# userdel -r news [root@HEP /]# userdel -r mail [root@HEP /]# userdel -r uucp [root@HEP /]# userdel -r operator [root@HEP /]# userdel -r games [root@HEP /]# userdel -r gopher [root@HEP /]# userdel -r ftp [root@HEP /]# userdel -r rpm
Rutina de ejecucin
[root@HEP /]# userdel -r dbus [root@HEP /]# userdel -r avahi [root@HEP /]# userdel -r rpc [root@HEP /]# userdel -r mailnull [root@HEP /]# userdel -r smmsp [root@HEP /]# userdel -r nscd [root@HEP /]# userdel -r vcsa [root@HEP /]# userdel -r haldaemond [root@HEP /]# userdel -r rpcuser [root@HEP /]# userdel -r nfsnobody [root@HEP /]# userdel -r sshd [root@HEP /]# userdel -r netdump [root@HEP /]# userdel -r pcap
151
[root@HEP /]# userdel -r xfs [root@HEP /]# userdel -r ntp [root@HEP /]# userdel -r apache [root@HEP /]# userdel -r hsqldb [root@HEP /]# userdel -r tomcat [root@HEP /]# userdel -r gdm Al final en /etc/passwd solo debe figurar estas lneas:
152
GRUPOS ESPECIALES y BUIL-IN Tambin es importante deshabilitar cualquier cuenta que venga por defecto, ejecutamos las siguientes lneas a fin de eliminarlos. Desinstalaremos paso a paso [root@HEP /]# groupdel adm [root@HEP /]# groupdel lp [root@HEP /]# groupdel news [root@HEP /]# groupdel mail [root@HEP /]# groupdel uucp [root@HEP /]# groupdel games [root@HEP /]# groupdel dip [root@HEP /]# groupdel lock [root@HEP /]# groupdel utempter [root@HEP /]# groupdel screen Al final en /etc/group solo deben figurar estas lineas:
Rutina de ejecucin
root:x:0:root bin:x:1:root,bin,daemon daemon:x:2:root,bin,daemon sys:x:3:root,bin tty:x:5: disk:x:6:root mem:x:8: kmem:x:9: wheel:x:10:root man:x:15: nobody:x:99: users:x:100: floppy:x:19: slocate:x:21: utmp:x:22:
Luego creamos el usuario ADMIN y un password aceptable para los inicios remotos y administracin.
PASO FINAL
153
[root@HEP /]# useradd ADMIN [root@HEP /]# passwd ADMIN Y finalizamos inmunizando los configurados [root@HEP /]# chattr +i /etc/passwd [root@HEP /]# chattr +i /etc/shadow [root@HEP /]# chattr +i /etc/group [root@HEP /]# chattr +i /etc/gshadow
archivos
antes
Para deshabilitar esta inmunidad a los archivos suficiente con ejecutar los mismos comandos con la opcin -i: [root@HEP /]# chattr -i /etc/passwd [root@HEP /]# chattr -i /etc/shadow [root@HEP /]# chattr -i /etc/group [root@HEP /]# chattr -i /etc/gshadow
MONTANDO LA PARTICIN /boot COMO LECTURA A fin de que cualquier modificacin sea realizada tanto por algn programa maligno o personal extrao le daremos la asignacin de solo lectura Introduciremos el parmetro ro Antes: LABEL=/boot /boot ext3 defaults 1 2 Despus:
Rutina de ejecucin
LABEL=/boot /boot ext3 defaults,ro 1 2 Y luego ejecutamos para culminar: [root@HEP /]# mount /boot oremount
154
PROTECCIN DEL DIRECTORIO: /etc/rc:d/init:d/ Directorio donde se escriben archivos de configuracin, y rutinas, estos deben tener derecho exclusivo del root Restringir los derechos a los dems. [root@HEP /]# chmod -R 700 /etc/init.d/*
155
CAPTULO XI
156
# CAPITULO XI # IMPLEMENTACIN SCRIPT FIREWALL # SCRIPT FIREWALL PARA UN SERVER PROXY #----------------------------------------------------------------------------# CABECERA # ******** # SCRIPT FIREWALL PARA UN SERVER PROXY #----------------------------------------------------------------------------# Copyright (C) 2007. # ltima modificacin GIANCARLO ALARCN (FOR H.E.P.) # Tesis ICI ~ UNI # Usado para proveer el servicio de red Firewall. #----------------------------------------------------------------------------# Limpieza total de cualquier regla cargada en memoria /etc/init.d/iptables panic #----------------------------------------------------------------------------# DECLARAMOS VARIABLES PARA EL MANTENIMIENTO # ****************************************** NICK_EXTERNA=eth0 NICK_DMZ=eth1 NICK_INTERNA=eth2 NICK_LOOPBACK=lo #: interfase Internet (WAN) #: Interfase de los servidores (DMZ) #: interfase intranet (LAN) #: Llamado local de nombre.
157
TODA_SUBRED_LAN=192.168.1.0/24 IP_NICK_EXTERNA=162.192.5.6 IP_NICK_DMZ=192.168.2.1 IP_NICK_INTERNA=192.168.1.1 IPPUBLICOS=162.192.5.7-162.192.5.19 IP_SERVIDOR_ASISTENCIAL=192.168.1.2 IP_SERVIDOR_CORREO=192.168.1.3 IP_SERVIDOR_PERSONAL=192.168.1.4 IP_SERVIDOR_LOGISTICA=192.168.1.5 IP_SERVIDOR_DATOS=192.168.1.6 IP_SERVIDOR_SIAF=192.168.1.7 DNS_PRIM=200.48.225.130 DNS_SEC=200.48.225.146 LOOPBACK=127.0.0.0/8 CLASE_A=10.0.0.0/8 CLASE_B=172.16.0.0/12 CLASE_C=192.168.0.0/16 CLASE_D=224.0.0.0/4 CLASE_E=240.0.0.0/5 BROADCAST_FUENTE=0.0.0.0 BROADCAST_DESTINO=255.255.255.255 P_PRIVILEG=0:1023
#: Direccin de IP y rango mscara de la INTRANET #: IP de NICK WAN #: IP de NICK DMZ #: IP de NICK LAN #: RANGO DE IP PUBLICOS DEL ISP #: IP de servidor asistencial #: IP de servidor de correos #: IP de servidor personal #: IP de servidor logstica #: IP de servidor datos #: IP de servidor SIAF #: DNS primario #: DNS secundario #: direcciones reservadas del LOOPBACK. #: red privada clase A. #: red privada clase B. #: red privada clase C. #: direcciones multicast clase D. #: direcciones reservadas clase E. #: direcciones fuente Broadcast. #: direcciones destino Broadcast. #: rango de puertos si privilegiados
158
P_NOPRIVILEG=1024:65535 P_CORREO=5338 P_SIAF=970:1090 SSH_PUERTOS_LOCALES="1022:65535" SSH_PUERTOS_REMOTOS="513:65535" TRACEROUTE_PORTS_FUENT="32769:65535" TRACEROUTE_PORTS_DEST="33434:33523" # USUARIOS DE LOGISTICA 192.168.1.[65-74] SR_MANUEL_VALERA=192.168.1.65 SR_LUIS_CABEZAS=192.168.1.66 SR_PERCY_ATAURIMA=192.168.1.67 SRA_STEPHANY_GUILLEN=192.168.1.68 # USUARIOS DE ECONOMIA...
#: rango de puertos no privilegiados #: puerto del proveedor del correo #: rango de puertos del MEF #: Rango de puertos para clientes locales #: Rango de puertos para clientes remotos #: Rango de puertos fuentes #: Rango de puertos destino
#----------------------------------------------------------------------------# POLTICA POR DEFECTO ES DENY (denegar todo) # ********************************************* #----------------------------------------------------------------------------# Explcitamente se acepta para las conexiones ENTRANTES y SALIENTES. # Remueve toda regla existente que viene operando en el filtro iptables -F iptables -F INPUT iptables -F OUTPUT && echo "Regla 001 OK" && echo "Regla 002 OK" && echo "Regla 003 OK"
159
iptables -F FORWARD #----------------------------------------------------------------------------# Remueve alguna cadena definida por el usuario. iptables -X iptables -t nat -X iptables -t mangle -X #----------------------------------------------------------------------------# Remueve cadenas de PRE, OUTPUT y POSTROUTING iptables -t nat -F iptables -t nat -F PREROUTING iptables -t nat -F OUTPUT iptables -t nat -F POSTROUTING #----------------------------------------------------------------------------iptables -t mangle -F iptables -t mangle -F PREROUTING iptables -t mangle -F OUTPUT iptables -t mangle -F POSTROUTING #----------------------------------------------------------------------------# Conjunto de polticas para denegar cualquier conexin. iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP
&& echo "Regla 005 OK" && echo "Regla 006 OK" && echo "Regla 007 OK"
&& echo "Regla 008 OK" && echo "Regla 009 OK" && echo "Regla 010 OK" && echo "Regla 011 OK"
&& echo "Regla 012 OK" && echo "Regla 013 OK" && echo "Regla 014 OK" && echo "Regla 015 OK"
&& echo "Regla 016 OK" && echo "Regla 017 OK" && echo "Regla 018 OK"
160
#----------------------------------------------------------------------------# LOOPBACK # Trfico ilimitado para la interfase LOOPBACK. iptables -A INPUT -i $NICK_LOOPBACK -j ACCEPT iptables -A OUTPUT -o $NICK_LOOPBACK -j ACCEPT #----------------------------------------------------------------------------# TRFICO INCONSISTENTE # ********************* # Destruccin de paquetes mal formados XMAS. iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j DROP #----------------------------------------------------------------------------# Destruccin de paquetes mal formados NULL. iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP #----------------------------------------------------------------------------# Paquetes Block faked o "spoofed," consiguen consumir el Firewall. iptables -A FORWARD -i $NICK_INTERNA -s ! $TODA_SUBRED_LAN -j DROP #----------------------------------------------------------------------------# BLOQUEAR ALGUNA CONEXIN QUE VIENE DESDE EL INTERNET VIA PPP0. iptables -A FORWARD -i $NICK_EXTERNA -m state --state NEW,INVALID -j DROP #----------------------------------------------------------------------------&& echo "Regla 026 OK" && echo "Regla 025 OK" && echo "Regla 023 OK" && echo "Regla 024 OK" && echo "Regla 021 OK" && echo "Regla 022 OK" && echo "Regla 019 OK" && echo "Regla 020 OK"
161
# RECHAZA PAQUETES spoofed # ignora direcciones de fuentes evidentemente ilegales # Rechaza paquetes entrantes pretendiendo que son de direccin de red externa iptables -A INPUT -s $IP_NICK_EXTERNA -j DROP #----------------------------------------------------------------------------# Rechaza paquetes entrantes reclamando que son de clase A, B o C. para eth0 iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_A -j DROP iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_B -j DROP iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_C -j DROP # Rechaza paquetes entrantes reclamando que son de clase A, B o C. para eth2 iptables -A INPUT -i $NICK_INTERNA -s $CLASE_A -j DROP iptables -A INPUT -i $NICK_INTERNA -s $CLASE_B -j DROP iptables -A INPUT -i $NICK_INTERNA -s $CLASE_C -j DROP #----------------------------------------------------------------------------# Rechazar paquetes de direcciones SOURSE en broadcast. para eth0 iptables -A INPUT -i $NICK_EXTERNA -s $BROADCAST_DESTINO -j DROP iptables -A INPUT -i $NICK_EXTERNA -d $BROADCAST_FUENTE -j DROP # Rechazar paquetes de direcciones SOURSE en broadcast. para eth2 iptables -A INPUT -i $NICK_INTERNA -s $BROADCAST_DESTINO -j DROP iptables -A INPUT -i $NICK_INTERNA -d $BROADCAST_FUENTE -j DROP #----------------------------------------------------------------------------# Rechaza clase D direcciones multicast para eth0 && echo "Regla 036 OK" && echo "Regla 037 OK" && echo "Regla 034 OK" && echo "Regla 035 OK" && echo "Regla 031 OK" && echo "Regla 032 OK" && echo "Regla 033 OK" && echo "Regla 028 OK" && echo "Regla 029 OK" && echo "Regla 030 OK" && echo "Regla 027 OK"
162
iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_D -j DROP # Rechaza clase D direcciones multicast para eth2 iptables -A INPUT -i $NICK_INTERNA -s $CLASE_D -j DROP #----------------------------------------------------------------------------# Rechaza clase E direcciones IP reservadas. para eth0 iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_E -j DROP # Rechaza clase E direcciones IP reservadas. para eth2 iptables -A INPUT -i $NICK_INTERNA -s $CLASE_E -j DROP #----------------------------------------------------------------------------# Rechaza direcciones especiales definida por la IANA. # 0.*.*.* - Can't be blocked for DHCP users. # 127.*.*.* - LoopBack # 169.254.*.* - Link Local Networks # 192.0.2.* - TEST-NET # 224-255.*.*.* - Clases D & E, plus no localizada. # para eth0 iptables -A INPUT -i $NICK_EXTERNA -s 0.0.0.0/8 -j DROP iptables -A INPUT -i $NICK_EXTERNA -s 127.0.0.0/8 -j DROP iptables -A INPUT -i $NICK_EXTERNA -s 169.254.0.0/16 -j DROP iptables -A INPUT -i $NICK_EXTERNA -s 192.0.2.0/24 -j DROP iptables -A INPUT -i $NICK_EXTERNA -s 224.0.0.0/3 -j DROP # para eth1
&& echo "Regla 042 OK" && echo "Regla 043 OK" && echo "Regla 044 OK" && echo "Regla 045 OK" && echo "Regla 046 OK"
163
iptables -A INPUT -i $NICK_DMZ -s 0.0.0.0/8 -j DROP iptables -A INPUT -i $NICK_DMZ -s 127.0.0.0/8 -j DROP iptables -A INPUT -i $NICK_DMZ -s 169.254.0.0/16 -j DROP iptables -A INPUT -i $NICK_DMZ -s 192.0.2.0/24 -j DROP iptables -A INPUT -i $NICK_DMZ -s 224.0.0.0/3 -j DROP # para eth2 iptables -A INPUT -i $NICK_INTERNA -s 0.0.0.0/8 -j DROP iptables -A INPUT -i $NICK_INTERNA -s 127.0.0.0/8 -j DROP iptables -A INPUT -i $NICK_INTERNA -s 169.254.0.0/16 -j DROP iptables -A INPUT -i $NICK_INTERNA -s 192.0.2.0/24 -j DROP iptables -A INPUT -i $NICK_INTERNA -s 224.0.0.0/3 -j DROP #----------------------------------------------------------------------------# TRFICO LAN -- WAN # ******************* #----------------------------------------------------------------------------# Todo Trfico interno es externamente enmascarado. iptables -t nat -A POSTROUTING -o $NICK_EXTERNA -j MASQUERADE #SNAT --to $IPPUBLICOS #----------------------------------------------------------------------------# Enmascaramiento de la NICK_INTERNA y NICK_DMZ hacia la NICK_EXTERNA iptables -t nat -A POSTROUTING -s $TODA_SUBRED_LAN -o $NICK_EXTERNA -j SNAT --to $IPPUBLICOS iptables -t nat -A POSTROUTING -s $IP_SERVIDOR_SIAF -o $NICK_EXTERNA -j SNAT --to $IPPUBLICOS #-----------------------------------------------------------------------------
&& echo "Regla 047 OK" && echo "Regla 048 OK" && echo "Regla 049 OK" && echo "Regla 050 OK" && echo "Regla 051 OK"
&& echo "Regla 052 OK" && echo "Regla 053 OK" && echo "Regla 054 OK" && echo "Regla 055 OK" && echo "Regla 056 OK"
&& echo "Regla 058 OK" && echo "Regla 059 OK"
164
# HTTP (cliente) REdireccionar puerto 80 iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 80 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --sport 80 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# HTTPS (cliente) PREnateo puerto 443 iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 443 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 443 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# Permite todo paquete interno fuera de nuestra red. iptables -A FORWARD -m state --state NEW,ESTABLISHED -i $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# POP (cliente) PREnateo puerto 110 iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 110 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 110 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# IMAP cliente (143) iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 143 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 143 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# SMTP cliente (25) iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 25 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 25 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 069 OK" && echo "Regla 070 OK" && echo "Regla 067 OK" && echo "Regla 068 OK" && echo "Regla 065 OK" && echo "Regla 066 OK" && echo "Regla 064 OK" && echo "Regla 062 OK" && echo "Regla 063 OK" && echo "Regla 060 OK" && echo "Regla 061 OK"
165
#----------------------------------------------------------------------------# TELNET cliente (23) iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 23 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 23 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# FTP cliente (21) iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 21 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 21 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# IRC cliente (6667) iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 6667 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 6667 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# ICQ cliente (4000) iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 4000 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 4000 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# DNS servidor de nombres solo-forward iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 21 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 21 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# Usuarios con NICK_DISPOSITIVO MODEM "ppp0". && echo "Regla 079 OK" && echo "Regla 080 OK" && echo "Regla 077 OK" && echo "Regla 078 OK" && echo "Regla 075 OK" && echo "Regla 076 OK" && echo "Regla 073 OK" && echo "Regla 074 OK" && echo "Regla 071 OK" && echo "Regla 072 OK"
166
#----------------------------------------------------------------------------# TRFICO LAN -- DMZ # ****************** #----------------------------------------------------------------------------# Accediendo al servidor SIAF del H.E.P iptables -A FORWARD -s $SR_MANUEL_VALERA -d $IP_SERVIDOR_SIAF -p tcp -j ACCEPT iptables -A FORWARD -s $SR_LUIS_CABEZAS -d $IP_SERVIDOR_SIAF -p tcp -j ACCEPT iptables -A FORWARD -s $SR_PERCY_ATAURIMA -d $IP_SERVIDOR_SIAF -p tcp -j ACCEPT iptables -A FORWARD -s $SRA_STEPHANY_GUILLEN -d $IP_SERVIDOR_SIAF -p tcp -j ACCEPT iptables -A FORWARD -s $IP_SERVIDOR_SIAF -d $TODA_SUBRED_LAN -p tcp -j ACCEPT #----------------------------------------------------------------------------# Accediendo al servidor Asistencial del H.E.P (Novel) iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_ASISTENCIAL -p tcp -j ACCEPT iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_ASISTENCIAL -d $TODA_SUBRED_LAN -p tcp -j ACCEPT #----------------------------------------------------------------------------# Accediendo al servidor de Correo del H.E.P && echo "Regla 089 OK" && echo "Regla 090 OK" && echo "Regla 091 OK" && echo "Regla 092 OK" && echo "Regla 093 OK" && echo "Regla 087 OK" && echo "Regla 088 OK" && echo "Regla 082 OK" && echo "Regla 083 OK" && echo "Regla 084 OK" && echo "Regla 085 OK" && echo "Regla 086 OK"
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_CORREO -p tcp -j ACCEPT iptables -A FORWARD -i $NICK_INTERNA -d $IP_SERVIDOR_CORREO -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -i $NICK_DMZ -d $TODA_SUBRED_LAN -p tcp --sport 25 -j ACCEPT iptables -A FORWARD -i $NICK_INTERNA -d $IP_SERVIDOR_CORREO -p tcp --dport 110 -j ACCEPT iptables -A FORWARD -i $NICK_DMZ -d $TODA_SUBRED_LAN -p tcp --sport 110 -j ACCEPT
167
iptables -A FORWARD -i $NICK_INTERNA -d $IP_SERVIDOR_CORREO -p tcp --dport 143 -j ACCEPT iptables -A FORWARD -i $NICK_DMZ -d $TODA_SUBRED_LAN -p tcp --sport 143 -j ACCEPT iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_CORREO -d $TODA_SUBRED_LAN -p tcp -j ACCEPT iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --dport 25 -j DNAT --to $IP_SERVIDOR_CORREO:25 iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --dport 110 -j DNAT --to $IP_SERVIDOR_CORREO:110 iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --dport 143 -j DNAT --to $IP_SERVIDOR_CORREO:143 #----------------------------------------------------------------------------# Accediendo al servidor Personal del H.E.P iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_PERSONAL -p tcp -j ACCEPT #----------------------------------------------------------------------------# Accediendo al servidor de Logstica del H.E.P iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_LOGISTICA -p tcp -j ACCEPT iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_LOGISTICA -d $TODA_SUBRED_LAN -p tcp -j ACCEPT #----------------------------------------------------------------------------# Accediendo al servidor Datos del H.E.P iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_DATOS -p tcp -j ACCEPT iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_DATOS -d $TODA_SUBRED_LAN -p tcp -j ACCEPT iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_DATOS -p tcp --dport 23 -j ACCEPT #-----------------------------------------------------------------------------
&& echo "Regla 094 OK" && echo "Regla 095 OK" && echo "Regla 096 OK" && echo "Regla 097 OK" && echo "Regla 098 OK" && echo "Regla 099 OK"
&& echo "Regla 101 OK" && echo "Regla 102 OK"
&& echo "Regla 103 OK" && echo "Regla 104 OK" && echo "Regla 105 OK"
# permite el paso de cualquier IP de la intranet que consulte el DNS, ya sea por protocolo tcp o udp iptables -A FORWARD -s $TODA_SUBRED_LAN -i $NICK_INTERNA -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s $TODA_SUBRED_LAN -i $NICK_INTERNA -p udp --dport 53 -j ACCEPT && echo "Regla 106 OK" && echo "Regla 107 OK"
168
#----------------------------------------------------------------------------# En la respuesta del DNS traduce la IP de destino hacia la intranet iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --sport 53 -j DNAT --to-destination $IP_NICK_INTERNA iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p udp --sport 53 -j DNAT --to-destination $IP_NICK_INTERNA #----------------------------------------------------------------------------# TRFICO WAN -- DMZ # ****************** #----------------------------------------------------------------------------# salida del server SIAF al MEF iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_PERSONAL -o $NICK_EXTERNA -p tcp -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -o $NICK_DMZ -s $IP_SERVIDOR_PERSONAL -p tcp -j ACCEPT iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --sport 970:1090 -j DNAT --to-destination $IP_NICK_DMZ #----------------------------------------------------------------------------# salida del server correo al proveedor iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_CORREO -p tcp --dport $P_CORREO -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport $P_CORREO -o $NICK_DMZ -s $IP_SERVIDOR_CORREO -j ACCEPT iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --sport $P_CORREO -j DNAT --to-destination $IP_NICK_DMZ #----------------------------------------------------------------------------# Guardamos felizmente todo lo anterior escrito solamente # ******************************************************** #----------------------------------------------------------------------------/etc/init.d/network stop && echo "Regla 113 OK" && echo "Regla 114 OK" && echo "Regla 115 OK" && echo "Regla 110 OK" && echo "Regla 111 OK" && echo "Regla 112 OK" && echo "Regla 108 OK" && echo "Regla 109 OK"
169
rm -f /etc/sysconfig/iptables iptables-save /etc/init.d/iptables save chkconfig --level 2345 iptables on /etc/init.d/network start clear #----------------------------------------------------------------------------#/etc/init.d/iptables panic #----------------------------------------------------------------------------# #-----------------------------------------------------------------------------
[root/HEP]# sh final-script
Logramos configurar y poner en funcionamiento nuestro firewall, en tal caso guardamos en nuestro archivo de configuracin explicado en la siguiente parte. Ejecutando:, podemos visualizar las reglas cargadas [root/HEP]# iptables L -n:
Chain INPUT (policy target prot opt ACCEPT all -DROP tcp -DROP tcp -DROP all -DROP all -DROP all -DROP all -DROP all -DROP all -DROP all -DROP) source 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 162.192.5.6 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 destination 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0
170
DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP
all all all all all all all all all all all all all all all all all all all all all all all
------------------------
255.255.255.255 0.0.0.0/0 255.255.255.255 0.0.0.0/0 224.0.0.0/4 224.0.0.0/4 240.0.0.0/5 240.0.0.0/5 0.0.0.0/8 127.0.0.0/8 169.254.0.0/16 192.0.2.0/24 224.0.0.0/3 0.0.0.0/8 127.0.0.0/8 169.254.0.0/16 192.0.2.0/24 224.0.0.0/3 0.0.0.0/8 127.0.0.0/8 169.254.0.0/16 192.0.2.0/24 224.0.0.0/3
0.0.0.0/0 0.0.0.0 0.0.0.0/0 0.0.0.0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP) target prot opt source DROP tcp -- 0.0.0.0/0 DROP tcp -- 0.0.0.0/0 DROP all -- !192.168.1.0/24 DROP all -- 0.0.0.0/0 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT all -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24
destination 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0
tcp flags:0x3F/0x3F tcp flags:0x3F/0x00 state INVALID,NEW tcp dpt:80 tcp spt:80 tcp dpt:443 tcp dpt:443 state NEW,ESTABLISHED tcp dpt:110 tcp dpt:110 tcp dpt:143 tcp dpt:143 tcp dpt:25 tcp dpt:25 tcp dpt:23 tcp dpt:23
171
ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT
tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp udp tcp tcp tcp tcp
------------------------------------
192.168.1.0/24 192.168.1.0/24 192.168.1.0/24 192.168.1.0/24 192.168.1.0/24 192.168.1.0/24 192.168.1.0/24 192.168.1.0/24 192.168.1.65 192.168.1.66 192.168.1.67 192.168.1.68 192.168.1.7 192.168.1.0/24 192.168.1.2 192.168.1.0/24 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 192.168.1.3 192.168.1.0/24 192.168.1.0/24 192.168.1.5 192.168.1.0/24 192.168.1.6 192.168.1.0/24 192.168.1.0/24 192.168.1.0/24 192.168.1.4 192.168.1.4 192.168.1.3 192.168.1.3
0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 192.168.1.7 192.168.1.7 192.168.1.7 192.168.1.7 192.168.1.0/24 192.168.1.2 192.168.1.0/24 192.168.1.3 192.168.1.3 192.168.1.0/24 192.168.1.3 192.168.1.0/24 192.168.1.3 192.168.1.0/24 192.168.1.0/24 192.168.1.4 192.168.1.5 192.168.1.0/24 192.168.1.6 192.168.1.0/24 192.168.1.6 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy DROP) target prot opt source ACCEPT all -- 0.0.0.0/0
destination 0.0.0.0/0
172
ahora visualizamos el contenido del archivo de configuracin donde rc.d cojer para cargar en el ncleo las reglas, Ejecutando: [root/HEP]# vi /etc/sysconfig/iptables
# Generated by iptables-save v1.3.5 on Wed Feb 27 08:54:00 2008 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A INPUT -s 162.192.5.6 -j DROP -A INPUT -s 10.0.0.0/255.0.0.0 -i eth0 -j DROP -A INPUT -s 172.16.0.0/255.240.0.0 -i eth0 -j DROP -A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -j DROP -A INPUT -s 10.0.0.0/255.0.0.0 -i eth2 -j DROP -A INPUT -s 172.16.0.0/255.240.0.0 -i eth2 -j DROP -A INPUT -s 192.168.0.0/255.255.0.0 -i eth2 -j DROP -A INPUT -s 255.255.255.255 -i eth0 -j DROP -A INPUT -d 0.0.0.0 -i eth0 -j DROP -A INPUT -s 255.255.255.255 -i eth2 -j DROP -A INPUT -d 0.0.0.0 -i eth2 -j DROP -A INPUT -s 224.0.0.0/240.0.0.0 -i eth0 -j DROP -A INPUT -s 224.0.0.0/240.0.0.0 -i eth2 -j DROP -A INPUT -s 240.0.0.0/248.0.0.0 -i eth0 -j DROP -A INPUT -s 240.0.0.0/248.0.0.0 -i eth2 -j DROP -A INPUT -s 0.0.0.0/255.0.0.0 -i eth0 -j DROP -A INPUT -s 127.0.0.0/255.0.0.0 -i eth0 -j DROP -A INPUT -s 169.254.0.0/255.255.0.0 -i eth0 -j DROP -A INPUT -s 192.0.2.0/255.255.255.0 -i eth0 -j DROP -A INPUT -s 224.0.0.0/224.0.0.0 -i eth0 -j DROP -A INPUT -s 0.0.0.0/255.0.0.0 -i eth1 -j DROP -A INPUT -s 127.0.0.0/255.0.0.0 -i eth1 -j DROP -A INPUT -s 169.254.0.0/255.255.0.0 -i eth1 -j DROP -A INPUT -s 192.0.2.0/255.255.255.0 -i eth1 -j DROP -A INPUT -s 224.0.0.0/224.0.0.0 -i eth1 -j DROP -A INPUT -s 0.0.0.0/255.0.0.0 -i eth2 -j DROP -A INPUT -s 127.0.0.0/255.0.0.0 -i eth2 -j DROP -A INPUT -s 169.254.0.0/255.255.0.0 -i eth2 -j DROP -A INPUT -s 192.0.2.0/255.255.255.0 -i eth2 -j DROP -A INPUT -s 224.0.0.0/224.0.0.0 -i eth2 -j DROP
173
-A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A
FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD
-p -p -s -i -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -d -d -d -d -d -d -s -s -s -s
tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP ! 192.168.1.0/255.255.255.0 -i eth2 -j DROP eth0 -m state --state INVALID,NEW -j DROP 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --sport 80 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 443 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -m state --state NEW,ESTABLISHED -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 110 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 143 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 143 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 25 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 23 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 23 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 21 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 6667 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 6667 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 4000 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 4000 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 21 -j ACCEPT 192.168.1.65 -d 192.168.1.7 -p tcp -j ACCEPT 192.168.1.66 -d 192.168.1.7 -p tcp -j ACCEPT 192.168.1.67 -d 192.168.1.7 -p tcp -j ACCEPT 192.168.1.68 -d 192.168.1.7 -p tcp -j ACCEPT 192.168.1.7 -d 192.168.1.0/255.255.255.0 -p tcp -j ACCEPT 192.168.1.0/255.255.255.0 -d 192.168.1.2 -i eth2 -p tcp -j ACCEPT 192.168.1.2 -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -j ACCEPT 192.168.1.0/255.255.255.0 -d 192.168.1.3 -i eth2 -p tcp -j ACCEPT 192.168.1.3 -i eth2 -p tcp -m tcp --dport 25 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth1 -p tcp -m tcp --sport 25 -j ACCEPT 192.168.1.3 -i eth2 -p tcp -m tcp --dport 110 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth1 -p tcp -m tcp --sport 110 -j ACCEPT 192.168.1.3 -i eth2 -p tcp -m tcp --dport 143 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth1 -p tcp -m tcp --sport 143 -j ACCEPT 192.168.1.3 -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -j ACCEPT 192.168.1.0/255.255.255.0 -d 192.168.1.4 -i eth2 -p tcp -j ACCEPT 192.168.1.0/255.255.255.0 -d 192.168.1.5 -i eth2 -p tcp -j ACCEPT 192.168.1.5 -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -j ACCEPT
174
-A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.1.6 -i eth2 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.6 -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.1.6 -i eth2 -p tcp -m tcp --dport 23 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -p tcp -m tcp --dport 53 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -p udp -m udp --dport 53 -j ACCEPT -A FORWARD -s 192.168.1.4 -i eth1 -o eth0 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.4 -i eth0 -o eth1 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.3 -i eth1 -o eth0 -p tcp -m tcp --dport 5338 -j ACCEPT -A FORWARD -s 192.168.1.3 -i eth0 -o eth1 -p tcp -m tcp --dport 5338 -j ACCEPT -A OUTPUT -o lo -j ACCEPT COMMIT # Completed on Wed Feb 27 08:54:00 2008 # Generated by iptables-save v1.3.5 on Wed Feb 27 08:54:00 2008 *nat :PREROUTING DROP [0:0] :POSTROUTING DROP [0:0] :OUTPUT DROP [0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.3:25 -A PREROUTING -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.1.3:110 -A PREROUTING -i eth0 -p tcp -m tcp --dport 143 -j DNAT --to-destination 192.168.1.3:143 -A PREROUTING -i eth0 -p tcp -m tcp --sport 53 -j DNAT --to-destination 192.168.1.1 -A PREROUTING -i eth0 -p udp -m udp --sport 53 -j DNAT --to-destination 192.168.1.1 -A PREROUTING -i eth0 -p tcp -m tcp --sport 970:1090 -j DNAT --to-destination 192.168.2.1 -A PREROUTING -i eth0 -p tcp -m tcp --sport 5338 -j DNAT --to-destination 192.168.2.1 -A POSTROUTING -o eth0 -j MASQUERADE -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth0 -j SNAT --to-source 162.192.5.7-162.192.5.19 -A POSTROUTING -s 192.168.1.7 -o eth0 -j SNAT --to-source 162.192.5.7-162.192.5.19 -A POSTROUTING -o ppp0 -j SNAT --to-source 162.192.5.6 COMMIT # Completed on Wed Feb 27 08:54:00 2008 # Generated by iptables-save v1.3.5 on Wed Feb 27 08:54:00 2008 *mangle :PREROUTING DROP [0:0] :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] :POSTROUTING DROP [0:0] COMMIT # Completed on Wed Feb 27 08:54:00 2008
175
Se instala una versin ms actual de iptables: iptables-1.3.7-2.i386.rpm Con los siguientes comandos que se instal el paquete rpm anteriormente sealado, para nuestro FEDORA CORE 6 Cambiamos los permisos del directorio el ejecutable iptables, los comandos son: [root@HEP /]# chmod 700 /etc/rc.d/init.d/iptables [root@HEP /]# chown 0.0 /etc/rc.d/init.d/iptables Con este comando podemos actualizar el servicio de iptables, en nuestro acaso ya tenemos actualizado el iptables: [root@HEP /]# rpm -Uvh iptables-1.3.7-2.i386.rpm Por defecto se cre un script /etc/sysconfig/iptables el cual va ser usado por el script rc.d y tomar las reglas que sean configuradas en ese file, luego creamos un nuevo Script llamado firewall luego se guarda de la siguiente manera: [root@HEP /]# iptables-save Para trasladar esas nuevas reglas que hemos creado en nuestro Firewall y siempre despus de modificar algunas reglas se deber hacer lo siguiente: [root@HEP /]# iptables-save > /etc/sysconfig/iptables, Luego salvamos la nueva configuracin de las reglas en iptables, que por defecto ya existe un file con el nombre iptables en la ruta que se muestra, con lo cual se podr inicializar, detener o reestablecer el iptables como un servicio ms: [root@HEP /]# /etc/init.d/iptables save Luego establecemos los niveles de ejecucin para los cuales se podr habilitar el script con las nuevas reglas creadas, algunos de ellos sern monousuario, multiusuario, consola de texto o grficas [root@HEP /]# chkconfig --level 2345 iptables on Cada vez que reinicie el servidor Red Hat el script rc.d reestablecer las reglas almacenadas en el/etc/sysconfig/iptables
176
11.3.1 - SIMPLE SIMULACIN CON EL SOFTWARE PACKET TRACER 4.1 de Cisco System. Interfase del programa
177
_____________________________________________________________ Al ejecutar esta configuracin vemos como las PC que estn con la llama roja nos indica que reciben paquetes que no es necesario que reciban gracias a una mala configuracin de Hub Switch, ya que el Hub reenva toda la informacin por todos sus puertos excepto por donde entro.
178
_____________________________________________________________ En esta red mejorada, vemos como cada host recibe el paquete que es para el y no saturndose de paquetes descartados gracias a una correcta configuracin Hub-Switch, que proponemos en muestra configuracin final de nuestra SUBRED Mejorada.
179
180
181
182
CAPTULO XI
PLAN DE TRABAJO HEP (Preparado y aplicado por el rea De Soporte Informtico HEP.)
183
12.1 -Introduccin El Hospital de Emergencias Peditricas utiliza como una de sus estrategias, el mejoramiento de la calidad de la atencin integral de la salud. Este compromiso con la sociedad en general, y con el paciente en particular, impone un reto que para todos los servicios involucrados en el que hacer de la salud; de entre los cuales no escapa el servicio de conservacin y mantenimiento que debe brindarse a las instalaciones fsicas y equipos informticos, Aunque estn lejos naturalmente de la Lnea Mdica, impone un papel preponderante en la calidad de servicio a la ciudadana Por esta razn, todo buen gerente hospitalario, conociendo los beneficios que produce implementar un adecuado programa de Mantenimiento de Equipos Informticos (MEI), debe apoyar y propiciar las condiciones para ejecutar un programa de MEI de calidad. Este documento implica un mantenimiento a equipos de informtica y a su INTRANET de Datos, esto incluye todos los tipos de estaciones de trabajo, anexos y sus recursos que podran existir, as mismo el trmite administrativo que podra culminar cualquier servicio. Estos son:
de
ingresos
de
de
personal
Computadores Asistenciales Computadores en reas crticas. Computadores Aplicaciones Impresoras en reas asistenciales Impresoras administrativas en reas Servidores de
184
12.2 - Objetivos
a alcanzar
Nuestro objetivo esta enfocado al tratamiento de la informtica, sus recursos y su respaldo hacia las actividades para la que se ha utilizado y domina as mismo para sistemas no informticos pero que dependen de ello. La misin de este servicio es concretar objetivos, gestionar recursos, y ayudar a la institucin a lograr sus metas con comodidad y seguridad sobretodo con efectividad y a la vanguardia de la tecnologa Seguridad de los datos y fuentes fidedignas mostradas en el plan de contingencia Facilitar a los usuarios al tratamiento de los datos y su canalizacin hacia ellos Rapidez en la bsqueda de consultas y bases de datos estadsticas en general Acomodo de los datos y recursos a diferentes usuarios y su facilidad para el acceso Tambin nuestro objetivo es demostrarle que su inversin ser provechosa en lo que concierne al servicio y as ser recomendados
Los Mantenimientos realizados alargarn la vida til de cada equipo informtico destinado a uso y manejo hacia el usuario, as se har efectivo el servicio y coste del hospital por ello.
12.3 - Metodologa
a utilizar
La metodologa a utilizar esta basada en un conjunto de sistemas que harn de nuestro servicio el ms eficiente, estos sistemas son: Sistemtica Controlada Emprica Crtica Sistemtica porque nuestro servicio esta orientados a procesos como son las ejecucin de las rutinas de mantenimiento preventivo & correctivo y sistemas como los programas de toma de control remoto y manejo de los servidores Windows as dando un orden en la ejecucin de cualquier 185
problema y conservando los estndares dando eficiencia en el tiempo de ejecucin y calida del servicio; Controlada porque cada rutina esta creada para poder tomar el control totalmente en cualquier momento del proceso y definir nuevos procesos que se ajusten al mejor beneficio del sistema llevado a cabo, esto da flexibilidad al proceso y permite tener alternativas de rpida actuacin e improvisacin originando soluciones rpidamente; Emprica porque la experiencia esta basada en las ocurrencias que diariamente enriquece nuestro bagaje intelectual y de conocimiento, as conociendo ms profundamente la institucin, esto repercute y se ver un tiempo progresivo de disminucin en cada atencin correspondiente a todo el servicio en todo el ao; Crtica porque estamos supeditados tomar y examinar en nuestro beneficio cualquier tipo de crtica constructiva, esto servir de fortalecimiento a nuestro servicio, en beneficio de la Institucin.
186
12.4 - A continuacin describiremos los procedimientos generales de las rutinas del mantenimiento de equipos informticos segn la metodologa expuesta operaciones normales comprendidas en el servicio para cada equipo informtico, los trabajos y servicios que se detallan a continuacin se consideran incluidos en el mantenimiento, cualquier cambio de pieza o parte o software, esta ser adquirida por el Hospital de Emergencias Peditricas
RUTINAS DE MANTENIMIENTOS GENERALES PARA HARDWARE DE COMPUTADOR (PC-SERVIDOR) 1. 2. 3. 4. 5. 6. Inspeccin de condiciones ambientales Inspeccin externa del equipo * Limpieza integral externa Inspeccin interna Limpieza integral interna incluye Teclado y Mouse Chequeo de hardware con utilitarios y diagnosticadotes y comportamientos estadsticos de los dispositivos 7. Se comunicar para su compra el reemplazo de ciertas partes caso se encontraran errores de Hardware 8. 9. Ajuste y calibracin de ser el caso Revisin de seguridad elctrica
10. Pruebas funcionales completas 11. Sugerir nivel de referencia a tierra 12. Informe respectivo final RUTINAS DE MANTENIMIENTOS GENERALES PARA SOFTWARE DE UN COMPUTADOR 1. 2. Inspeccin de condiciones de operacin Inspeccin del funcionamiento del software y rendimiento del sistema 3. chequeo de comportamiento de virus informticos y eliminacin 4. Mantenimiento del sistema de archivos y estructura de
187
directorio 5. 6. Verificacin de conflictos de controladores del sistema Verificacin del buen funcionamiento de los controladores del sistema 7. 8. Reinstalacin de ciertas aplicaciones de encontrarse fallas Reinstalacin del sistema operativo total de encontrarse fallas graves 9. Revisin de seguridad elctrica y nivel de referencia a tierra
10. Pruebas funcionales completas 11. Informe respectivo final RUTINAS DE MANTENIMIENTOS GENERALES PARA
IMPRESORAS 1. 2. 3. Inspeccin de condiciones ambientales Inspeccin del funcionamiento de la Impresora Limpieza de Tarjeta Elctrica (alargamiento de vida de componentes) 4. 5. 6. En caso de tintas verificacin de Inyectores En caso de lser verificacin de fusor En caso de Matricial Verificacin de impedancias de bobinas 7. 8. 9. Verificacin de los Voltajes de la fuente de poder Verificacin de filtros alterados Desmontaje y limpieza de todo el sistema mecnico
10. Limpieza de Tarjeta Elctrica 11. Verificacin de buen estado de transistores de conmutacin 12. Sugerir Nivel de Referencia a Tierra 13. Informe respectivo final RUTINAS DE MANTENIMIENTOS GENERALES PARA
188
3. 4. 5. 6. 7. 8. RUTINAS
Inspeccin del filtro interno Limpieza interna integral del dispositivo Inspeccin de interruptor de encendido Inspeccin de recalentamiento Sugerir nivel de referencia a Tierra Informe respectivo final DE MANTENIMIENTOS GENERALES PARA
ESTABILIZADORES 1. 2. Inspeccin de condiciones ambientales Inspeccin de regulacin de voltaje de entrada (Rango asignado) 3. Inspeccin de regulacin de voltaje de salida (Rango asignado) 4. En caso de tipo Hbrido revisin de contactores en correcto estado de funcionamiento 5. En caso de tipo Slido verificacin de disparadores internos TRIAC 6. 7. 8. 9. Verificacin de filtros alterados Verificacin correcta de diodos Verificar impedancia del transformador Inspeccin de sobrecarga de estabilizadores por parte del usuario 10. Verificacin de tomacorrientes en buenos contactos 11. Sugerir nivel de referencia a tierra 12. Informe respectivo final RUTINAS DE MANTENIMIENTOS GENERALES PARA UPS 1. 2. Inspeccin de condiciones ambientales Verificacin de regulacin de voltaje de salida (Rango asignado) 3. 4. Inspeccin interna y limpieza integral Verificacin de bateras malogradas
189
5. 6. 7. 8.
Verificacin de filtros alterados Inspeccin de sobrecarga de UPS por parte del usuario Verificacin de tomacorrientes en buenos contactos Informe respectivo final
RUTINAS DE MANTENIMIENTOS GENERALES PARA MONITORES 1. 2. 3. 4. 5. 6. 7. 8. 9. Inspeccin de condiciones ambientales Inspeccin externa del equipo * Limpieza integral externa Inspeccin interna Desarmado total de monitor y limpieza integral Chequeo de FLYBACK Resoldado de placa principal y lgica de video Verificacin en continuidad en diodos y rectificadores Verificacin de filtros alterados
10. Ajuste y calibracin de color e imagen 11. Revisin de seguridad elctrica 12. Pruebas funcionales completas de resolucin 13. Sugerir nivel de referencia a tierra 14. Informe respectivo final RUTINAS DE MANTENIMIENTOS GENERALES PARA HUBS Y SWITCHES 1. 2. 3. 4. Inspeccin de condiciones ambientales Inspeccin externa del equipo Limpieza Externa del equipo Verificacin de puntos Ethernet
en ptimas condiciones y marcar los malos 5. Colocar numeracin o identificacin a los puntos
conectados 6. 7. 8. Revisin de seguridad elctrica Sugerir nivel de referencia a Tierra Informe respectivo final
190
RUTINAS
DE
MANTENIMIENTOS
GENERALES
PARA
EL
CABLEADO ESTRUCTURADO Verificacin de la categora de cada punto forma de conexin y distribucin de cables par trenzado Verificacin de antigedad de los cables y su estado de conservacin Verificar si su trayectoria es la correcta y rehacer el tendido si hubiese alguna anomala en el tendido del cable Verificacin de los puertos del Switch y su comunicacin continua hacia los servidores y estaciones de trabajo Verificacin y limpieza de los conectores RJ45 Reorganizar la distribucin de los conectores en el PANEL y su correcto etiquetado de cada punto RUTINAS DE MANTENIMIENTOS GENERALES PARA SCANERS Y WEBCAMS 1. 2. 3. 4. 5. 6. RUTINAS Inspeccin de condiciones ambientales Limpieza externa del Equipo Verificacin de puerto de comunicacin Calibracin de Lmpara Configuracin de drivers en el S.O. Informe respectivo final DE MANTENIMIENTOS GENERALES PARA LOS
SISTEMAS OPERATIVOS DE LOS SERVIDORES El mantenimiento de un servidor depende de su Sistema Operativo en caso de: LINUX.- Se establecer procesos solo para las aplicaciones y servicios brindados y borrado de temporales, en la proteccin del sistema se instalar y peridicamente se realizar ejecucin de antivirus. Optimizacin del sistema Firewall.y Proxy. NOVEL.- Se establecer rutinas de borrados de archivos temporales y archivos suprimidos tanto como reorganizacin a una buena estructura
191
de los usuarios y polticas de seguridad y derechos para los usuarios. Se realizarn peridicamente backup de los sistemas y archivos de los usuarios., Se realizar actualizacin de antivirus. WINDOWS.- Se realizar defragmentacin de las particiones as como borrados de archivos suprimidos y temporales, actualizacin de antivirus, actualizacin del sistema operativo y parches service pack, se realizarn peridicamente backup de los archivos de usuario y de sistemas. MANTENIMIENTO PREVENTIVO/CORRECTIVO DE EQUIPOS INFORMTICOS Se realizar el mantenimiento a los equipos e impresoras en procedimientos segn el cronograma de actividades realizados segn el equipo y la tecnologa a tratar as mismo se tendr en cuenta nuestra experiencia en componentes electrnicos con tiempo de vida a finalizar y tecnologas delicadas a la corriente esttica, el mantenimiento preventivo solo ser de Limpieza de piezas, ajustes, diagnstico de posibles fallas futuras, y mantenimiento de sistemas efectuados en un equipo o instalacin a fin de minimizar el riesgo de fallo y asegurar la continua operacin de los mismos, logrando de esta manera extender su vida media. Esto incluye el cuidado peridico que debe realizar el propio operador del equipo, como proteccin del medio bsicamente y correcta operacin del equipo.
192
Generalidades para asegurar que el servicio brindado en el hospital de Emergencias Peditricas sea continuo y eficaz, y adicionalmente se optimice el rendimiento de los equipos informticos, es necesario disponer de un sistema que sea capaz de gerenciar programas de conservacin y mantenimiento de los recursos fsicos, acorde con el desarrollo y necesidades de los mismos, y que sea parte integral del sistema de salud considerado como un todo, adems el sistema de mantenimiento de equipos informticos, adems debe ser consistente con los recursos y polticas de la institucin. En el nivel central, el supervisor solo depender de la unidad de Estadstica e Informtica, habr fluidez de conversacin entre el departamento de Estadstica e informtica y los tcnicos de soporte informtico. El rea de Soporte Tcnico Informtico emitir los informes respectivos despus de cada servicio dirigido solo a la unidad de Estadstica e Informtica al jefe a cargo.
Estructura y organizacin del mantenimiento de equipos informticos. El sistema de Mantenimiento Preventivo General constar de TRES (3) rutinas de ejecucin Se realizar el mantenimiento a los equipos e impresoras en procedimientos segn el cronograma de actividades El mantenimiento preventivo se convertira en correctivo si durante el procedimiento originara algn cambio de repuesto inmediato o a corto plazo.
193
Inicio MEI(p) Ejecutar la orden programada realizar pruebas de estado y verificacin e informar a usuario de las mismas
si
Desplazar el equipo al taller y ejecutar el mantenimiento
si
si
H
Anotar cualquier anomalia encontrada Registrar el tiempo del mantenimiento Limpieza y ordenamiento del lugar de trabajo Desplazar el equipo a la unidad (caso sea en taller) Realizar pruebas del equipo
MEI(c)
K
Firma del reporte de mantenimiento por el usuario
Fin
194
12.5.2 - Mantenimiento correctivo de equipos informticos De acuerdo al programa de mantenimiento preventivo. Cualquiera que sea la manera, todo mantenimiento correctivo debe iniciar en el cronograma de actividades. A continuacin se presenta el diagrama de flujo:
MEI(c)
si
si
si
Espere hasta que la unidad de Estadstica e Informtica lo adquiera
Son adquiribles?
195
12.5.3 - Mantenimiento de servidores (hardware) Los mantenimientos de los servidores constan de rutinas
especializadas que se han descrito anteriormente, los diagramas de mantenimiento para equipos crticos de servicios
si
si
Coordinar fecha, hora y tiempo de demora para apagar el servidor en horas de muy bajo uso de recursos
Ejecutar el servicio de mantenimiento general para servidores Puesta en linea y actualizacin de base de datos del controlador backup
Fin
196
El mantenimiento a computadores se realizar por rea: Segn las bases anexo A se tiene un total de 103 computadores y 54 impresoras en general, los he dividido de tal forma que sea ms fcil el mantenimiento en los siguientes grupos:
Asistenciales (farmacia, Admisin, Caja) 6 computadores El rea asistencial cuenta con 6 computadores: 2-Cajas, 1-Adm., 3-Farmacia, A estos computadores se les realizar el mantenimiento trimestral, se tomar en cuenta una computador de Reten para que este servicio no quede desamparado. Se aprovechar los das que una de estas puede abastecer para que recargue el trabajo momentneamente caso no exista computador Reten
Jefaturas (jefaturas de reas) 23 computadores A estos usuarios se les realizar el mantenimiento semestralmente previa coordinacin con los usuarios respectivos
Usuarios finales 79 computadores (aproximadamente) A estos usuarios se les realizar un mantenimiento semestralmente previa coordinacin con los usuarios respectivos o sus jefaturas
197
La cantidad de equipos de cmputo a realizar el mantenimiento; asumiendo 103 computadores promedio ms 54 impresoras (103+54=157) pero como todos tienen una frecuencia de dos veces por ao y agregndole el 20% ms de productividad, nos da una cantidad relativa de PC (103*1.2 + 54)*2=355.2 Equipos informticos anualmente, reportando el mantenimiento o avance trimestralmente; es el siguiente: 1 ao = 4 trimestres; y son 103 computadores + 54 impresoras con frecuencias de dos veces por ao y 20% mas de productividad requerida por la oficina de estadstica e informtica =355.2 equipos anualmente y entre 260 das tiles del ao Diariamente nuestra constante de mantenimiento es de 355.2/260=~ 1.37 PCs por da, as nuestra constante diferencial ser de = 1.3 PCs/Da Antidiferenciando nuestra constante nos dar una regla que utilizaremos para registrar el avance del mantenimiento a los equipos: #PCs= 1.3 (da) + C, C viene a ser la cantidad de equipos que por ser nuevos o en garanta no se realizarn el mantenimiento, esto se calcular en el primer da de trabajo. Todo el registro se introducir en una tabla de Excel, as el jefe superior inmediato a soporte tcnico supervisar todo el proceso todo el tiempo Se coordinar para que se efecte el mantenimiento diariamente con frecuencia de tres Equipos en dos das, as de no descuidar el servicio a usuarios y otros mantenimientos. Se entregar cada trimestre un informe correspondiente a todos los servicios brindados tanto como los mantenimientos de PCs e Impresoras.
198
Mantenimiento de la intranet (sub-red) La estructura de la intranet del hospital de emergencias peditricas esta a la actualidad de los estndares internacionales para cableado estructurado, la categora 5e para el cableado y velocidades de transmisin de paquetes de 100tx en mbps, rigen en la intranet, eso conlleva a tomar todas las precauciones en los mantenimientos preventivos y correctivos y la asistencia tcnica
Mantenimiento a puntos de red: El cambio de cada conector debe hacerse despus de dos aos, en este sentido cada cambio ser analizado por el tcnico. Los conectores se cambiarn de acuerdo al avance del mantenimiento de las pcs Las instalaciones de nuevos puntos se harn en forma planificada para no afectar mantenimientos importantes
El mantenimiento del cableado estructurado Se har conjuntamente con los mantenimientos preventivos de los computadores y servidores, en caso cuando se aproveche en el mantenimiento, este mantenimiento ser evaluado por el tcnico.
El mantenimiento a las impresoras El mantenimiento de las impresoras esta incluido en el mantenimiento de equipos de cmputo. En el rea asistencia como son las impresoras de CAJA, ADMISIN, FARMACIA, se le realizar un mantenimiento cada 15 das por ser impresoras de uso ininterrumpido previo cambio por una de RETEN (temporal) Se Abstendr del mantenimiento a las impresoras que tengan todava garanta de mantenimiento del vendedor o fabricante, el mantenimiento
199
ser registrado en hoja de Excel a fin de su control por el jefe inmediato superior de la unidad de estadstica e informtica El mantenimiento a los monitores A los monitores se les realizar su mantenimiento preventivo a partir del modelo de fabricacin con 2 aos de antigedad tanto para las marcas Samsung y LG o GOLDSTAR Se incluir revisin del Monitor en cada mantenimiento as no afectamos en dos veces al usuario.
El mantenimiento a los UPS No se les realizar el mantenimiento preventivo a los UPS que cuenten con garanta de fabricante o vendedor todava Se incluir un UPS para mantenimiento preventivo cada 15 das
El mantenimiento a los estabilizadores Se les realizar el mantenimiento preventivo a los estabilizadores aprovechando el mantenimiento a los computadores y tambin cuando lo requieran
El mantenimiento a los switch y Hub Se realizar el mantenimiento superficial as como conectores internos cada 6 meses
200
Los equipos se escogern de acuerdo a como estn dispuestos por los usuarios, constante C hallada en el inicio del servicio.
201
Recursos requeridos:
Una vez que conocemos el objetivo del departamento de mantenimiento, entonces los recursos necesarios e indispensables para lograrlo seran:
Recursos humanos:
asignado por licitacin publica en concurso
Supervisor:
Tcnicos:
Se designa a dos tcnicos (2) que se encargarn del soporte de acuerdo a las especificaciones establecidas en la convocatoria
Est
computadoras e Impresoras, experto en software de comunicacin de datos, experto en administracin e implementacin de redes, los mismos que acudirn de inmediato cuando sean solicitados, coordinando con el titular encargado. El Personal cuenta con conocimiento de Redes NOVEL y MICROSOFT as como LINUX, SQL Server El personal cuenta con tcnicos de vasta experiencia en impresoras de todos los modelos MATRICIAL, TINTA, LASER Los servicios de mantenimiento preventivo y correctivo para las
Horario de trabajo.
Realizacin de estos servicios se realizarn todos los das de la semana, de Lunes a Viernes, en el horario que estipula las bases que constan de lunes a
202
viernes y nueve horas diaria, previa coordinacin con el Jefe superior inmediato.
Funciones
asignado por licitacin publica en concurso
Supervisor:
Funciones del Supervisor del centro de cmputo Dirigir, evaluar y controlar el funcionamiento de los equipos de cmputo, servidores de aplicacin, Web y comunicaciones, de la red de la Institucin Planificar, dirigir, controlar y ejecutar las actividades de instalacin, mantenimiento y optimizacin de los sistemas operativos, del manejador de base de datos, del software de base y de las comunicaciones; Llevar registros de fallas, problemas, soluciones, acciones
desarrolladas, respaldos, recuperaciones y trabajos realizados. Aplicar en forma estricta las normas de seguridad y control establecidas. Mantener informado al jefe inmediato sobre el funcionamiento del centro de cmputo.
El soporte, tanto para los usuarios como para el propio sistema, se ocupa de seleccionar, instalar y mantener el sistema operativo adecuado, la gestin de los equipos de proceso informtico, el estudio y evaluacin de las necesidades y rendimientos del sistema y, por ltimo, la ayuda directa a usuarios en caso tambin fuera del horario.
203
Departamento o rea de Soporte Tcnico. rea responsable de la gestin del hardware, software, impresoras y perifricos en general dentro de las instalaciones del Centro de Cmputo, entendiendo por gestin estrategia, planificacin,
instalacin y mantenimiento. Planificar la modificacin e instalacin de nuevo software y hardware. Evaluar los nuevos paquetes de software y nuevos productos de hardware. Dar el soporte tcnico necesario para el desarrollo de nuevos proyectos, evaluando el impacto de los nuevos proyectos en el sistema instalado. Asegurar la disponibilidad del sistema, y la coordinacin necesaria para la resolucin de los problemas tcnicos en su rea. Realizar la coordinacin con los usuarios y jefatura proveedor con el fin de resolver los problemas tcnicos y garantizar la instalacin de los productos. Proponer las notas tcnicas y recomendaciones para el uso ptimo de los sistemas instalados. Planear, investigar y determinar, en coordinacin con las reas usuarios, los requerimientos de sistematizacin y tecnologa informtica, as como la asignacin de recursos informticos Realizar el mantenimiento de las aplicaciones que sean
desarrolladas en la Institucin; Mantener actualizada la documentacin de las aplicaciones que sean desarrolladas en la Institucin; Desarrollar y actualizar peridicamente el modelo de datos lgico y fsico de toda la Institucin Definir la metodologa y estndares de desarrollo de las
204
aplicaciones para la Institucin; Apoyar a la unidad de Estadstica e Informtica en la elaboracin del Planeamiento Estratgico Informtico Capacitar al personal usuario en la utilizacin de los nuevos sistemas desarrollados en la Institucin; Configurar, administrar y supervisar las redes locales y/o remotas, equipos perifricos, as como las diferentes bases de datos de la Institucin; Administrar, organizar y operar todos los recursos del Centro de Cmputo y Comunicaciones de la Institucin. Apoyar a la unidad de estadstica e informtica en la elaboracin del Planeamiento Estratgico Realizar las copias de respaldo (Back-up) de la informacin y procesos de cmputo que se realizan en la Direccin, conforme a parmetros preestablecidos. Velar porque el sistema computarizado se mantenga funcionando apropiadamente y estar vigilante para detectar y corregir fallas en el mismo. Elaborar peridicamente informes y estadsticas del sistema de red, software y hardware; El personal se reportar a su Jefe superior Inmediato todos los das a la hora indicada
205
Recursos econmicos
El equipo de trabajo no se responsabiliza por ningn costo que pueda ocurrir en los servicios caso solo negligencia comprobada. La adquisicin de cualquier repuesto ser adquirida por el hospital de Emergencias Peditricas
Recursos materiales
El equipo cuenta con herramientas para los mantenimientos descritos anteriormente y sern distribuidas con cada servicio dado, el servicio se realizar en forma detallada y efectiva con los instrumentos a mencin:
Multmetro digital de amplio rango de medicin. Pistola soldadora calibrable. Utilitarios en general y lo ltimo en diagnosticadotes de hardware.
Taladro de mano, accesorios. Desarmadores de todas las medidas y estndares. Generadores de seales para identificador de cables. Crimpin ponchadores RJ45 RJ11 Dos unidades. Pizarra acrlica para apuntes y trabajos pendientes. Manuales, programas y utilitarios. Se proveer dos (2) computadora PIV en caso de emergencia urgente a los servicios asistenciales.
Radios de comunicacin (local). Software de control remoto de PCs y monitoreo. Equipos para trabajos de taller, montaje, desmontaje, medicin etc.
206
Seguridad de la informacin
Acceso no autorizado Sin adecuadas medidas de seguridad se puede producir accesos no autorizados a: rea de Sistemas. Computadoras personales y/o Terminales de la red. Informacin confidencial.
El acceso normal ser dado solamente a la gente que regularmente trabaja en esta rea. Cualquier otra persona, de otro modo puede tener acceso nicamente bajo control. Se implementar: el acceso al rea de soporte informtico y sistemas se identifica en el rea de recepcin institucional, asignndole un letrero
Las restricciones que pueden ser aplicadas, la determinacin de los perodos de tiempo para los usuarios o las terminales, la designacin del usuario por terminal o del terminal por usuario, la limitacin del uso de programas para usuario o terminales y lmite de tentativas para la verificacin del usuario. Se establecern en polticas, permisos y derechos del servidor NOVELL, caso sistemas WINDOWS en su Active Directory
Algunos usuarios o extraos (personal no autorizado) pueden encontrar alguna forma mediante la cual, logren el acceso al sistema o la base de datos y descubrir informacin clasificada o datos no autorizados.
207
Se considera en las rutinas de las polticas seguidas tanto para Windows 2000 y Netware y Linux configuraciones de control. Revelacin o infidencia La informacin, que es de carcter confidencial, es vendida a personas ajenas a la institucin. Para tratar de evitar este tipo de problemas se tendr en cuenta lo siguiente: Control del uso de informacin en paquetes abiertos o cintas y otros datos residuales Mantener datos sensitivos fuera del trayecto de la basura Preparar procedimientos de control para la distribucin de informacin. Cambios peridicos de contraseas de forma forzosa Seguridad en redes
Las funciones de seguridad de red En el intento de proteger una red de computadoras, existen varias funciones comunes a las cuales deben dirigirse. La siguiente es una lista de tres problemas bsicos: La autenticacin de cliente y servidor. La autorizacin de cliente y servidor Contabilidad de cliente y servidor
Esto nos dice que se tendr en cuenta cualquier acceso a un tipo de usuario a los sistemas y bases de datos deber contar con las tres anteriormente mencionadas caractersticas de reglas Proteccin del servidor
Dada la importancia del servidor y la cantidad de datos que pasan por l, es necesario efectuar copias de seguridad, del servidor. Cabe recordar que las copias de seguridad del servidor de archivos son un elemento especialmente valioso, debindose quedar guardados en un lugar cerrado, seguro y con las condiciones ambientales necesarias. Un conjunto de copias de seguridad se debe trasladar regularmente a otro lugar seguro (de preferencia otro local).
208
Protegiendo la red
Una posible solucin para poder impedir la copia de programas y datos fuera de la red en disquetes, y que a travs de los disquetes ingresen virus y otros programas dainos a la red, es dotar a los usuarios vulnerables con estaciones de trabajo sin floppy disk.
Dado el caso crtico de que se presente virus en las computadoras se proceder a lo siguiente: Para servidor: Se contar con antivirus para el sistema que aslan el virus que ingresa al sistema llevndolo a un directorio para su pronta investigacin El antivirus muestra el nombre del archivo infectado y quin lo us. Estos archivos (exe, com, ovl, nlm, etc.) sern reemplazados del diskett original de instalacin o del backup. Si los archivos infectados son aislados y an persiste el mensaje de que existe virus en el sistema, lo ms probable es que una de las estaciones es la que caus la infeccin, debiendo retirarla del ingreso al sistema y proceder a su revisin.
De las emergencia fsicas, error fsico de disco de un servidor (sin raid). Dado el caso crtico de que el disco presenta fallas, tales que no pueden ser reparadas, se debe tomar las acciones siguientes: 1. Ubicar el disco malogrado. 2. Dar alerta a los usuarios que deben salir del sistema, utilizar mensajes por red y telfono a jefes de rea. 3. Deshabilitar la entrada al sistema para que el usuario no reintente su ingreso. 4. Bajar el sistema y apagar el equipo.
209
5. Retirar el disco malo y reponerlo con otro del mismo tipo, formatearlo y darle particin. 6. Restaurar el ltimo backup en el disco, seguidamente restaurar las modificaciones efectuadas desde esa fecha a la actualidad. 7. Recorrer los sistemas que se encuentran en dicho disco y verificar su buen estado. 8. Habilitar las entradas al sistema para los usuarios. Errores de memoria RAM
En este caso se dan los siguientes sntomas: El servidor no responde correctamente, por lentitud de proceso o por no rendir ante el ingreso masivo de usuarios. Ante procesos mayores se congela el proceso. Arroja errores con mapas de direcciones hexadecimales. Es recomendable que el servidor cuente con ECC (error correct checking), por lo tanto si hubiese un error de paridad, el servidor se auto corregir. Todo cambio interno a realizarse en el servidor ser fuera de horario de trabajo fijado por la compaa, a menos que la dificultad apremie, cambiarlo inmediatamente. Se debe tomar en cuenta que ningn proceso debe quedar cortado, y se deben tomar las acciones siguientes, acciones tomadas por nuestro personal:
1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y telfono a jefes de rea. 2. El servidor debe estar apagado, dando un correcto apagado del sistema. 3. Ubicar las memorias malogradas. 4. Retirar las memorias malogradas y reemplazarlas por otras iguales o similares. 5. Retirar la conexin del servidor con el concentrador, sta se ubica
210
detrs del servidor, ello evitar que al encender el sistema, los usuarios ingresen. 6. Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable hacia el concentrador, habilitar entradas para estaciones en las cuales se realizarn las pruebas. 7. Probar los sistemas que estn en red en diferentes estaciones. 8. Finalmente luego de los resultados, habilitar las entradas al sistema para los usuarios.
Se revisar las computadoras que no estn en red con antivirus de disquete. De suceder que una computadora se haya infectado con uno o varios virus ya sea en la memoria o a nivel disco duro, se debe proceder a realizar los siguientes pasos: 1. - Utilizar un disquete o Usb que contenga sistema operativo igual o mayor en versin al instalado en el computador infectado. Reiniciar el computador con dicho disquete. 2. - Retirar el disquete con el que arranc el computador e insertar el disquete antivirus, luego activar el programa de tal forma que revise todos los archivos y no slo los ejecutables. 3. - De encontrar virus, dar la opcin de eliminar el virus. Si es que no puede hacerlo el antivirus, recomendar borrar el archivo, tomar nota de los archivos que se borren. Si stos son varios pertenecientes al mismo programa, reinstalar al trmino del Scaneado. Finalizado el Scaneado, reconstruir el Master Boot del disco duro
Netware ofrece un potente conjunto de mecanismos de seguridad para los administradores de red, conscientes de los aspectos de seguridad, contempla una serie de alternativas de seguridad que se tendr en cuenta al administrarlo:
211
Seguridad a nivel de cuentas. Seguridad a nivel de claves de acceso. Seguridad de directorios. Seguridad de archivos. Seguridad entre redes.
La seguridad en Netware est implementada como una pequea base de datos de propsito especial denominada Bindery (entorno).
Cada servidor de archivos posee una base de entorno y la utiliza para administrar la seguridad de sus recursos locales, servicios y cuentas. Este entorno ofrece las bases sobre las que se basan diversos mecanismos de seguridad, incluyendo:
Seguridad de cuentas Seguridad de claves de acceso Seguridad de directorios Seguridad de archivos y Seguridad entre redes
El objetivo principal de este mecanismo es ofrecer al Hospital de Emergencias Peditricas, la posibilidad de disear un entorno operativo protegido y seguro, basado en los requisitos individuales de cada usuario, grupo de trabajo, departamento y organizacin de una instalacin.
La administracin del sistema es el conjunto de tareas, cuyo propsito es lograr que el sistema UNIX est disponible para los usuarios, en forma ordenada y segura. Estas tareas incluyen:
212
El registro de usuarios La eliminacin de usuarios La configuracin del Kernel El control del acceso a partes del sistema de archivos El respaldo y la restauracin de archivos y La instalacin de nuevos paquetes de software.
Si se configura por cuenta propia un sistema UNIX-LINUX, ser preciso realizar estas tareas al instalar el sistema y ms adelante, al usuario.
213
El inventario tcnico de equipos o simplemente inventario tcnico del hospital de emergencias peditricas ser desarrollado como un registro descriptivo permanente de las principales caractersticas y rutinas de mantenimiento de los equipos, sobre el cual se basa la planeacin, programacin, adquisicin y control de suministros, y la ejecucin de otras acciones operativas propias del servicio de mantenimiento. Se tendr en cuenta las siguientes caractersticas el formato de la ficha tcnica de mantenimiento: CARACTERISTICA DEL COMPONENTE O ARTEFACTO: TECNOLOGIA: MODELO: SERIE: CONSERVACION DEL EQUIPO ESTADO DEL EQUIPO
Esto se realiza tomando el control del escritorio del computador afectado as acortando los tiempos de atencin al usuario, caso el problema no requiera presencia del tcnico o pueda darse solucin no habiendo necesidad presencial.
Equipos de radio se tendr equipos de radio que faciliten y agilicen el trabajo y localizacin de los tcnicos.
Se presentar a la oficina de Estadstica e Informtica ligeros informes de reestructuracin del sistema de la Sub Red y as optimizar las velocidades de respuestas de las transacciones CLIENTE SERVIDOR as tambin dar seguridad a los Servidores desde la Internet
214
12.10 - FIRMA DE REPORTE DE VISITA Se proceder a finalizar el servicio con una ficha de conformidad con las caractersticas que se indique a fin de justificar y dar conformidad del servicio brindado. En el formato a utilizar es el siguiente:
215
12.11 - CONTROL DE INCIDENCIAS Y REQUERIMIENTOS Se proceder al finalizar cada atencin a llevar un cuadro estadstico de todas las atenciones diariamente en el transcurso de todo el servicio y el jefe de la unidad de Estadstica e Informtica. Supervisar. El formato del cuadro estadstico se muestra a continuacin:
SOPORTE INFORMTICO FECHA HORA INICIO HORA FINAL INC. REQ. USUARIO ESTADO FINAL DEL SERVICIO COD DE CIERRE DURACION
216
12.12 - CONTROL DEL MANTENIMIENTO CORRECTIVO Y PREVENTIVO Se proceder al llevar diariamente el registro del mantenimiento preventivo y correctivo y el jefe de la unidad de Estadstica e Informtica. Supervisar. El formato del cuadro estadstico se muestra a continuacin:
SOPORTE INFORMTICO HORA HORA INICIO FINAL Nr0 INVENTARIO TIPO DE MANTENIMIENTO. DETALLES DEL MANTENIMIENTO ESTADO FINAL COD DE CIERRE
Nro
FECHA
DURACION
217
Principios generales de funcionamiento. Partes que comprende el Equipo Informtico Operacin y Funcionamiento apropiados Consideraciones sobre su instalacin Mantenimiento Preventivo, Limpieza y conservacin.
218
Hemos llegado al final de nuestro trabajo, no estoy dando una absoluta seguridad en este documento, y solo es parte de un pequeo mapa de seguridad para una Red. El administrador de una Red de datos debe de recurrir a todas las formas de poder hacer dao una red sea dentro de la Lan que es cuando ms ocurre hasta los insignificantes detalles a fin de salvaguardar su red del peligro, si es que merece tanta seguridad, pero espero que este documento sirva de algn apoyo para quien desee implementar algo similar.
FIN
219
http://www.silug.org
http://fedoraproject.org/wiki/Docs/CustomKernel
Securing & Optimizing Linux: The Hacking Solution AUTOR: EDICIN: Gerhard Mourani and Open Network Architecture, Inc. Segunda
220