INSTITUTO DE CIENCIAS DE LA INFORMACIN

De la

UNIVERSIDAD NACIONAL DE INGENIERA

(ICI~UNI)

TESIS
PARA OPTAR EL TITULO PROFESIONAL TCNICO EN:

ELECTRNICA DIGITAL Y TELEMTICA

PRESENTADO POR:

ALARCN VALERA, Giancarlo Csar Lima ,Per 2010

1

TTULO DE TESIS
INSTALACION, MANTENIMIENTO Y RESTRUCTURACIN DE UNA SUBRED INFORMATICA APLICADO AL HOSPITAL DE EMERGENCIAS PEDIATRICAS

DEDICATORIA
Resumo mi dedicatoria en este proverbio:
El hombre, ese ser tan dbil, ha recibido de la naturaleza dos cosas que deberan hacer de l el ms fuerte de los animales: la razn y la sociabilidad. El hombre es un ser sociable y criado para contribuir al bien de la sociedad.

Lucio Sneca.

AGRADECIMIENTO
Agradezco a los funcionarios del H.E.P , a mis profesores del Instituto de Electrnica Digital y Telemtica de la UNI., por permitirme la realizacin de este modesto trabajo y a mi familia por el gran poyo brindado Gracias

NDICE
CONTENIDO
Primeras hojas Tema de tesis Dedicatoria Agradecimiento 2 3 4 12 12 13 13 14 15 16 17 19 20
PGINA

Antecedentes del problema Primera parte Segunda parte Tercera parte El Hospital de Emergencias Peditricas Misin y visin del Hospital de emergencias Peditrico Esquema organizacional del Hospital de Emergencias Peditrico Anlisis FODA Hospital de Emergencias Peditricas. Conceptos subyacentes a la preparacin del sistema de seguridad

Objetivo

PRIMERA PARTE (Marco Terico) CAPTULO I (Descripcin simple de nuestro trabajo: FIREWALL)
1.1 - Que es una red informtica? 1.2 -.Administracin de una red 1.3 - Firewall 1.3.1 -.Que es un Firewall? 1.3.2 -.Por qu utilizar un Firewall? 1.3.3.-.Tipos de Firewall 1.3.3.1 -.Firewall a nivel de capas 1.3.3.1.1 Firewall de filtrado de paquetes 1.3.3.1.2 Firewall de aplicacin 1.3.3.2 -.Firewall fsicos 1.3.3.2.1 Firewall tpicos 1.3.3.2.2 Firewall con zona DMZ 1.3.3.2.3 Firewall con filtrado parcial 1.4 - Descripcin del comando IPTABLES 22 22 23 23 23 23 24 24 24 25 25 26 27 28 21

CAPTULO II (Explicacin de las 7 capas OSI de la ISO)

2.1 - La capa FSICA 2.1.1 - Concepto matemtico 2.2 - La capa ENLACE DE DATOS 2.2.1 - Servicio sin acuse sin conexin 2.2.2 - Servicio con acuse sin conexin 2.2.3 - Servicio orientado a la conexin 2.2.4 - Subcapa de acceso al medio (MAC) 2.2.4.1 Aloha 2.2.4.1.1 - Aloha puro 2.2.4.1.2 - Aloha ranurado 2.2.4.2 - Protocolo de acceso mltiple con deteccin de portadora 2.2.4.2.1 - CSMA Persistente 2.2.4.2.2 - CSMA No Persistente 2.2.4.2.3 - CSMA Persistente-p 2.2.4.2.4 - CSMA/CD(carrier-sense Multiple Access with collision Detectin) 2.3 - La capa de RED 2.4 - La capa de TRANSPORTE 2.5 - La capa de SESIN 2.6 - La capa de PRESENTACIN 2.7 - La capa de APLICACIN

37

37 37 39 39 39 40 40 40 41 41 41 41 42 42 42 43 44 46 47 48

CAPTULO III (Conceptos sobre tecnologas de informacin)

3.1 - Terminologa usada en la transmisin de datos 3.1.1 medios de transmisin 3.1.2 - Frecuencia, espectro y ancho de banda 3.1.3 - Concepto del dominio de la frecuencia 3.1.4 - Relacin entre la velocidad de transmisin y el ancho de banda 3.1.5 - Transmisin de datos analgicos y digitales 3.1.6 - Causas de la utilizacin de la transmisin digital 3.2 - Perturbaciones en la transmisin 3.2.1 Atenuacin 3.2.2 - Distorsin de retardo

49

49 49 49 50 50 51 51 52 52 52

3.2.3 Ruido 3.2.4 - Capacidad del canal (C) 3.2.5 Diafona o Atenuacin transversal 3.2.6 Tele diafona y Para diafona 3.3 - Medios de transmisin 3.3.1 - Medios magnticos 3.3.2 - Medios de transmisin guiados 3.3.2.1 - Par trenzado 3.3.2.2 - Cable coaxial 3.3.2.3 - Fibra ptica 3.3.3 - Transmisin inalmbrica 3.3.3.1 - Microondas terrestres 3.3.3.2 - Microondas por satlite 3.3.3.3 - Infrarrojos 3.4 - Definicin de las modalidades de transmisin 3.4.1 - Servicios de datos conmutados de multimegabits (SMDS) 3.4.2 - Hub vs. Switch 3.4.2.1 - Hub 3.4.2.2 - Switch 3.5 - Tipos de redes 3.5.1 - Clasificacin segn su tamao y extensin 3.5.1.1 - Redes LAN 3.5.1.2 - Redes MAN 3.5.1.3 - Redes WAN 3.5.2 - Clasificacin segn la tecnologa de transmisin 3.5.2.1 - Redes broadcast 3.5.2.2 - Redes Point to-Point 3.5.3 - Clasificacin segn la transferencia de datos soportada 3.5.3.1 - Redes de transmisin simple 3.5.3.2 - Redes de transmisin Half-Duplex 3.5.3.3 - Redes de transmisin Full-Duplex 3.6 - Topologa de la red 3.7 - Token Ring 3.8 - Ethernet 3.8.1 - Fast Ethernet 3.9 - Conclusiones primera parte

52 53 54 54 55 55 55 55 56 57 58 59 59 60 60 60 61 61 62 62 62 62 63 63 63 63 63 64 64 64 64 64 65 65 65 66

SEGUNDA PARTE (Recopilacin de datos) CAPTULO IV (Consideraciones actuales de la intranet H.E.P.)

4.1 - Consideraciones actuales de la subred H.E.P. 4.2 - Estrategia actual de la intranet H.E.P. 4.3 - Recursos fsicos con lo que cuenta el H.E.P. 4.3.1 - Instalaciones Fsicas H.E.P. 4.3.1.1 - Bienes muebles 4.3.1.1.1 - Cuadro de distribucin de computadores 4.3.1.2 - Bienes inmuebles 4.3.1.2.1 - Local alquilado 4.3.1.2.2 - Local propio 4.3.2 - Seguridad Fsica del local 4.3.3 - Suministro elctrico 68 68 68 69 69 70 73 73 74 74 75 68

CAPTULO V (Organizacin lgica actual de la intranet H.E.P.)

5.1 - Organizacin actual de la intranet H.E.P. 5.2 - Gestin y administracin lgica en la Red en los Edificios 5.2.1 En el edificio rentado 5.2.2 En el edificio propio 5.2.3 En los dos edificios 5.3 - Topologa de la red 5.4 - Distribucin de los IP 5.5 - Sistemas operativos usuarios 5.6 - Departamento o reas de servidores 5.6.1 - El servidor ASISTENCIAL 5.6.2 - El servidor de CORREOS 5.6.3 - El servidor SIAF 5.6.3.1 Grafico Localizacin del servidor SIAF en la red de IPS del ministerio de Economa 5.6.4 - El servidor FIREWALL 5.6.5 - El servidor LOGSTICA 5.6.6 - El servidor PERSONAL 5.6.7 - Departamentos informticos del H.E.P.

76

76 76 76 77 77 78 78 78 78 78 79 80 82 83 83 83 84

5.6.7.1 - Departamento o rea de anlisis de sistema 5.6.7.2 - Departamento o rea de programacin 5.6.7.3 - Departamento o rea de soporte tcnico 5.7 - Recursos tcnicos humanos 5.7.1 - Analista programador 5.7.2 - Programador de sistemas 5.7.3 - Soporte tcnico 5.7.4 - Supervisor de procesos 5.7.5 - Digitador o capturista de datos 5.8 - Grafico Diagrama actual de la Red informtica H.E.P.

84 84 84 85 85 85 86 86 86 87

CAPTULO VI (Analizando mejoras en la red actual)

6.1 - En lo que concierne a estructuras Fsicas y Recursos 6.1.1 - Instalaciones fsicas 6.1.2 - Local de cmputo 6.1.3 - Computadores 6.1.4 - Concentradores 6.1.5 - Servidores 6.1.6 - Seguridad del local 6.2 - En lo que concierne a organizacin lgica intranet H.E.P. 6.2.1 - Organizacin lgica en los edificios 6.2.2 - Segmentacin lgica de la red H.E.P. 6.2.3 - Distribucin de las direcciones IP 6.2.4 - Divisin de la subred 6.2.4.1 Primer Anlisis: Subredes de tamao fijo 6.2.4.1.1 Primera opcin 6.2.4.1.2 - Segunda opcin 6.2.4.2 Segundo Anlisis: Subredes de tamao variable 6.2.4.3 Tercer Anlisis: subredes con mascaras diferentes 6.2.5 - Grafico Diagrama reestructurado de la Red informtica H.E.P. a corto plazo 6.2.6 - Conclusin de anlisis de divisin de la subred (NOTA IMPORTANTE) 6.2.7 - Grafico Diagrama final de la topologa H.E.P. 6.2.8 - Asignacin personalizada de los IP 6.3 - Recomendaciones generales

88

88 88 88 89 89 89 89 90 90 91 92 92 92 93 94 95 97 99

100 101 102 105

6.3.1 Servidores 6.3.2 - Recomendaciones para las reas informticas 6.3.3 - Planeamiento de un estndar 6.3.4 - Consideraciones econmicas 6.4 - Zona de operatividad de nuestro Firewall 6.5 - Conclusiones segunda parte

105 106 106 107 108 109

TERCERA PARTE (Diseo y resultado de la investigacin) CAPTULO VII (Nuevas caractersticas incorporadas en el kernel 2.6.18)
7.1 - Diferencias kernel 2.4.X y 2.6.18 111 111

CAPTULO VIII (Preparar la instalacin del Sistema Operativo)

8.1 Evaluacin de software & hardware 8.2 - Caractersticas de la PC a utilizar 8.3 - Evaluacin de los medios a instalar 8.4 - Notas generales

115

115 116 116 117

CAPTULO IX (Polticas y consideraciones para el diseo del Firewall)

9.1 - Planeamiento del firewall 9.2 - Tabla de acceso a los servidores por parte de las reas segmentadas Lgicamente 9.3 - Mantenimiento del Firewall 9.4 - Tabla de requisitos para el script

118

118 118 118 119

CAPTULO X (Instalacin del Sistema Operativo)

10.1 - Instalacin del sistema operativo 10.2 - Consideraciones Post-Instalacin 10.2.1 - Anlisis y optimizacin de Fedora Core 10.2.1.1 - Anlisis de servicios instalados 10.2.1.2 - Anlisis de sistema de archivos

121

121 131 131 132 145

10

CAPTULO XI (Implementacin del Firewall)

11.1 - Script del Firewall 11.2 - Consideracin post-creacin y ejecucin del script 11.3 - Anlisis de resultados 11.3.1 - Simulacin software PACKET TRACE Cisco system 11.3.2 - Ejecucin del Firewall

156

157 176 177 177 178

CAPTULO XII (Plan de trabajo H.E.P.)

12.1 - Introduccin 12.2 - Objetivos a alcanzar 12.3 - Metodologa a utilizar 12.4 - Rutinas de mantenimiento a equipos de cmputo 12.5 - Organizacin del mantenimiento de equipos de cmputo 12.5.1 - Diagrama de flujo rutina de mantenimiento preventivo hardware H.E.P. 12.5.2 - Diagrama de flujo de rutina de mantenimiento correctivo hardware H.E.P. 12.5.3 - Rutina de mantenimiento de servidores 12.6 - Planeamiento del servicio 12.6.1 - Cronograma de actividades (anlisis y calculo) 12.6.2 - Cronograma de actividades (ejecucin) 12.7 - Planeamiento de los recursos 12.8 - Planeamiento de contingencia 12.9 - Mejoras del servicio 12.10 - Formato de visita tcnica a usuarios 12.11 - Formato de control de incidencias y requerimientos 12.12 - Formato de control de mantenimiento correctivo y preventivo 12.13 - Capacitacin a usuarios, trabajadores el hospital 12.14 Discusiones generales 12.15 - Bibliografa

183

184 185 185 187 193 194

195 196 197 197 201 202 207 214 215 216 217 218 219 220

11

ANTECEDENTES DEL PROBLEMA (Este trabajo est comprendido en tres partes y una protocolar)

Parte protocolar.-

en esta parte se expondr una breve introduccin de

nuestro trabajo que nos detallar el objetivo de nuestro trabajo y la Institucin analizada, Se describe una sucinta historia de la institucin, anlisis de la misin y visin de la empresa, se muestra el esquema organizacional del Hospital, y un sencillo anlisis FODA que resume en pocas palabras la situacin actual, cabe mencionar que el presente trabajo tom una fotografa en el tiempo de la institucin para poder tomar los datos, cualquier cambio que podra hacer el HEP tanto en sus instalaciones como en sus equipos de computo a partir de la fecha que se recogieron los datos no ser tomada en cuenta en este trabajo y no sentir influencia a partir de enero del ao 2006

Primera parte.- Primero examinaremos algunos conceptos que nos ilustrarn mas sobre nuestro trabajo, primero describiremos las funciones de un administrador de redes informticas, luego describiremos el concepto de nuestro trabajo a realizar Los Firewall esto comprende unas descripciones de las diferentes configuraciones tpicas y examinado tambin en diferentes capas de ejecucin en donde el firewall trabaja, tambin describiremos el concepto de las siete capas de OSI de la ISO a fin de entender todo el proceso de comunicacin en unos simples y entendibles conceptos de teora, ello comprender conceptos de Firewall, conceptos de las siete (7) capas de OSI, ellos explicado en los diferentes estndares de comunicacin como son ISO, NETWARE, TCP/IP, conceptos de ancho de banda, conceptos sobre perturbaciones en la transmisin, tambin ilustraremos sobre los medios de transmisin de la informacin como router switch, hubs, modem, conceptos sobre equipos repetidores de datos, tipos clasificacin de las redes y topologas de Redes,

12

Segunda parte.- comenzaremos con una descripcin de la institucin, los antecedentes y su estructura organizacional, se detalla el nmero de ordenadores que rigen en el hospital, as mismo la distribucin de los computadores en las reas respectivas, as como las reas crticas de servicio asistencial, el tipo de Red utilizado, el tipo de cable y de dispositivos de conexin. Se toman las primeras decisiones del diseo, con respecto a las conclusiones que sacaremos despus de analizar el diseo actual y compararlo con alguna posible mejora o reestructuracin del mismo. Tambin evaluaremos la Subred y los sistemas que corren en ella, analizaremos el rea descrita a corto y largo plazo ya que podra acontecer algn cambio que requiera reestructuracin de la Intranet, evaluaremos la seguridad, su conexin a Internet, la plataforma de ejecucin de los programas asistenciales, las plataformas de las Bases de Datos, se describir los sistemas de comunicacin remota con diferentes entidades estatales como, el SIAF-Ministerio de ECONOMA.

Tercera parte.- en esta parte se describir el sistema operativo para nuestro fin, se explicar las caractersticas de nuestro kernel, las mejoras y las restricciones que posee, desarrollaremos la poltica y consideraciones del diseo de nuestro firewall, continuaremos con la instalacin del sistema operativo, evaluaremos las consideraciones post-instalacin que trata de acomodar nuestra instalacin a un estable y seguro sistema operativo, y en seguida implementamos el script, tambin ejecutamos una configuracin post-instalacin para dar la finalizacin a este script, mediante el programa PACKET TRACER v4.1 de Cisco System simularemos la nueva configuracin de nuestra subred, tambin mostramos las ventanas de instalacin de nuestro firewall en el sistema operativo. Al final desarrollaremos un plan de mantenimiento preventivo y correctivo a los equipos de cmputo del H.E.P. implementado netamente al hardware y al mantenimiento de los sistemas operativos instalados.

13

EL HOSPITAL DE EMERGENCIAS PEDIATRICAS

El Hospital de Emergencias Peditricas fue creado el 12 de Julio de 1985 por RM N: 183-85-SA/DVM con la denominacin de Centro de Emergencias, encontrndose ubicado en la octava cuadra de la Avenida Grau del distrito de la Victoria, en el local de la antigua Asistencia Pblica de Lima. En el ao 1987 fue anexado al Hospital de Emergencias Casimiro Ulloa y tres aos despus al Instituto de salud del Nio. El 03 de agosto de 1991 se anula esta integracin a solicitud de sus trabajadores considerndosele Hospital de Apoyo especializado en Salud Infantil. A partir de dicho periodo se inicio la repotenciacin de las diferentes reas y servicios de nuestra institucin favoreciendo una mejor atencin a los usuarios, es as que se acondicion e implement la Sala de Operaciones y la Unidad de Terapia Intensiva peditrica con la respectiva dotacin de unidades mviles (ambulancias). En marzo de 1995 por RM N: 206-95 SA/DM el Hospital recibe la

denominacin de HOSPITAL DE EMERGENCIAS PEDIATRICAS, brindando atencin especializada a la poblacin infantil en las especialidades de Medicina, Ciruga, Traumatologa, Neurociruga, Anestesiologa y Terapia Intensiva, contando a la fecha con cinco (5) consultorios para la atencin de urgencias y con 45 camas para la atencin en Hospitalizacin, (10 corresponden a la unidad de Terapia Intensiva y Unidad de Cuidados Intermedios)

14

LA MISIN Y VISION DEL HOSPITAL DE EMERGENCIAS PEDIATRICAS Los ejecutivos de la institucin dieron y precisaron la definicin de la misin de su institucin, tomando como base las definiciones anotadas en cuestionario, como resultado de dicha tarea, se estableci una serie de enunciados en los cuales las palabras claves giraban en torno a los siguientes conceptos y criterios:
1.- Nio, familia y comunidad. Razn de ser de nuestro servicio. 2.- Servicios. Brindar con excelencia el servicio a nuestro pblico objetivo. 3.- Desarrollo Integral Condicin indispensable para el individuo en una sociedad. 4.- Tecnologa Que posibilite cumplir y satisfacer las necesidades de nuestro pblico objetivo actual y potencial 5.- Valores Actitud orientada al xito, amor, tolerancia, solidaridad y humildad 6.- Autoconcepto de ventajas competitivas. H.E.P. rene a los mejores profesionales, tiene objetivos claros, la estructura organizacional estimula la creatividad y comunicacin Disciplina y decisin. 7.- Aspiraciones Todas sus acciones y servicios deben ser reconocidas como una expresin de calidad, ser la mejor Institucin, Llegar a todos los elementos Integrantes de la comunidad. 8.- Calida de vida. Como una constante a ser alcanzada en cada producto final. 9.- Riesgo social. Situacin en la que se encuentran muchos nios, familias y gran parte de la comunidad. 10.- Imagen pblica deseada. H.E.P. es un servicio social digno de ser copiado por otras instituciones.

15

ESQUEMA ORGANIZACINAL DEL HOSPITAL DE EMERGENCIAS PEDIATRICAS La institucin cuenta con un modelo organizacional propio de las organizaciones del Estado, este no cuenta con un modelo moderno donde la gerencia informtica es la mxima autoridad, modelo representado en el siguiente esquema DIAGRAMA ACTUAL

Direccin Secretaria

Personal

Logstica

Economa Admisin Cajas

Presupuesto

Cuerpo Medico

Estadstica & Informtica

Farmacia Sub-Almacn

UTIP

UTAB

16

ANLISIS FODA HOSPITAL EMERGENCIAS PEDIATRICAS

FORTALEZA Especializacin en Emergencias y Urgencias Peditricas (Traumatologa, Ciruga, Pediatra, Neurociruga, Laboratorio, Rayos X, Farmacia, Unidad de Terapia Intensiva Peditrica). Accesibilidad al HEP. Atencin las 24 horas las 365 das del ao Equipamiento de instrumentos. Recursos Humanos especializados. Permanencia de mdicos en el HEP. todas las reas estn conectadas mediante un sistema cliente de red con Red Novell Netware.

OPORTUNIDAD Organizar el sistema de ambulancias. Sistema nacional de urgencias. Convenios o firma de alianzas estratgicas con instituciones sin especialidad peditricas. Demanda de aplicaciones en especialidades asistenciales Transicin epidemiolgica. Aparicin de nuevos sistemas de seguros. Proyectos de inversin en salud. Nuevas polticas del sector salud.

DEBILIDAD Infraestructura (tanto externa como interna, almacenes). Alta rotacin del personal asistencial. Carencia de documentos de gestin actualizadas. Carencia de guas teraputicas. Resistencia al cambio de procedimientos. 17

Carencia de estructuras de costos. Registros inadecuados y Sub Registros de diagnostico. Red informtica no adecuada al crecimiento y desarrollo laboral. No cuenta con una pagina Web, pero cuentan con los recursos necesarios para poder publicar una Web.

No cuenta con un plan publicitario, para as hacer conocer el servicio que se ofrece.

Falta mejorar la infraestructura del local, tener mdulos adecuados.

AMENAZAS Zona de riesgo delictivo y altamente contaminado Desconocimiento del significado de lo que es Urgencias y emergencias, por la comunidad. Cambio de la Poltica Medidas de austeridad y presupuesto reducido.
ANLISIS FODA, Conceptos extraidos de documentacin del H.E.P.

18

CONCEPTOS BSICOS SUBYACENTES A LA PREPARACIN DEL SISTEMA DE SEGURIDAD Con el fin de poder ofrecer un entorno de trabajo entendible, describiremos aqu algunos conceptos que se tendr en cuenta en todo el desarrollo del trabajo. Llamaremos: LAN (local Area Network) a una Red privada dentro de un solo edificio o campus hasta de unos cuantos kilmetros de extensin. WAN (Wide Area Network) a la Red total del planeta, el Internet. SUBRED a la coleccin de enrutadores Switchs y lneas de comunicacin que mueve paquetes de un Host a otro Host. NODOS a los puntos de convergencia de las Subredes. INTERREDES a Redes de diferentes tipos de hardware y software, que siendo necesario para su comunicacin un ensamblador y

desensamblador de paquetes a que llamaremos PAD (Packets Assemble Disassemble). Modelo OSI (Open System Interconnection) al modelo de referencia de la ISO, modelo de siete capas que se detallar mas adelante. Modelo de referencia TCP/IP al modelo de 4 capas de la WAN. Topologa ETHERNET a la topologa de transmisin de datos que rige el estndar de la IEEE 802.3 HOST a los computadores que estn en la ventana del Internet, un Host posee una direccin IP pblica. H.E.P. a las siglas de Hospital de Emergencias Peditricas. PROXY, viene a ser un servicio de control de trafico de redes NAT a (Netware Address Translater) una configuracin que crea conexiones entre puentes de redes CPD a centro de procesamiento de datos

19

OBJETIVO El objetivo enfocado en este trabajo de investigacin tiene la visin de propiciar el uso de estos Sistemas Operativos de Licencia GNU (software libre) apelando no solo a su casi ningn costo econmico sino tambin a su robusta plataforma, arquitectura y diseo en que fueron edificados. Internet es una de las entidades con una total denominacin en el mundo de la computacin de estos tiempos donde millones de computadores (Host) estn enlazadas a disposicin de conexin entre ellos, conllevando riesgo de robo o maltrato de cualquier otra ndole de nuestra informacin, es por eso que este trabajo se centra en la edificacin de un Sistema de Seguridad en la Intranet de la institucin, una cada de los sistemas comprometera seriamente le servicio Asistencial, datos y cargara deficiencias en la Intranet, As mismo se tomar en cuenta y se pondr en conocimiento en este trabajo las limitaciones encontradas en la edificacin del sistema de seguridad en el transcurso del diseo. El motivo de este documento no es edificar un sistema 100% seguro sino otorgar una buena seguridad a la institucin as como utilizar sus recursos de Internet de una forma eficiente, maximizando el rendimiento de los sistemas y aplicaciones. Se examina este trabajo bajo un concepto de MODELO DE REFERENCIA HBRIDO que resulta del anlisis de examinar los estndares ms comunes existentes y en donde hace trabajo explicito nuestro sistema de seguridad. Este sistema constar de cuatro capas:

1. Capa ENLACE 2. Capa RED 3. Capa TRANSPORTE 4. Capa APLICACION

Nuestro diseo del Sistema de Seguridad estar examinado en estas cuatro ltimas capas descritas y principalmente las capas de RED y TRANSPORTE

20

PRIMERA PARTE
MARCO TERICO

21

CAPTULO I
1.1 - Que es una red informatica? Una Red Informtica es un conjunto de computadores interconectadas con arreglo lgico, sin importar la distancia, por medios de cables apropiados de cobre, fibras de vidrio, ondas de radio, que modulaciones comparten digitales,

comunicaciones

satelitales,

etc.,

informacin

electrnicamente (en ello comprende impresoras, recursos compartidos, bases de datos, documentacin etc.)

1.2 - Administracin de una red? El administrador de Red es la persona responsable de supervisar y controlar el hardware, software y la interconexin entre los Sistemas Operativos y sus aplicaciones de una Red informtica, nuestro fin no es desplayarnos en los conceptos de la administracin simplemente resumir sus generalidades, aqu mencionamos: EL Administrador se encarga de la comunicacin entre los

Sistemas Operativos y aplicaciones, la administracin y conservacin de la informacin. El Administrador trabaja en la deteccin y correccin de problemas

que hacen ineficiente o imposible la comunicacin y en la eliminacin de las condiciones que pudieran llegar a provocar el problema nuevamente, ya que tanto las fallas de hardware como de software pueden generar problemas, el administrador de Red debe supervisar ambos. El Administracin de una Red informtica debe ver los errores de

comunicacin que puede suscitarse entre diferentes topologas de Redes informticas (Redes heterogneas), es decir, la Red consta de componentes de hardware y software fabricado por varias compaas. Auditar la Seguridad de la Red mediante aplicaciones, utilidades y

procesos especializados tanto dentro y fuera de la Intranet.

22

EL Administrador de una Red Informtica debe poseer una cultura

tica alta y profesionalismo al confiarle cualquier tipo de informacin. Controlar cambios y actualizaciones en la red de modo que

ocasionen las menos interrupciones posibles, en el servicio a los usuarios. El Administrador de encarga de disear los planes de trabajo del

mantenimiento de los sistemas, bases de datos, mantenimiento de equipos informticos, manejo del personal a su cargo

1.3 Firewall

1.3.1 - que es un firewall? se puede definir como firewall a una serie de sistemas e instrucciones que opera entre dos redes y su funcin es analizar el flujo de informacin entre ambas y ejecutar acciones segn las conveniencias y acuerdos

1.3.2 Por que utilizar un firewall? la ventaja del internet ha hecho que la comunicacin y la informacin sea ms verstil de manejar y a la vez peligrosa, el firewall permite darle parte de seguridad a los datos de alguna institucin que desee ser reservada y evitarse de intrusos que la pongan en riesgo, un firewall no lo es todo, solo soluciona parte de la seguridad de una red.

1.3.3 - Tipos de firewall Dependiendo de las necesidades de la Red puede ponerse uno o ms Firewall para establecer distintos permetros de seguridad, tambin resulta frecuente algn servidor al Internet como un servidor Web, o de Correos, es el caso que se debe aceptar cualquier conexin a ellos. Existen dos tipos de Firewall a nivel de capas y tres clases de diseos fsicos de Firewall a nivel de las capas mas bajas.

23

1.3.3.1 - Firewall a nivel de capas

1.3.3.1.1 - Firewall de filtrado de paquetes, que actan en el nivel o capa de Red y en la capa de transporte. Es decir, en el caso concreto de la pila TCP/IP, permite filtrar por direccin IP, y tambin por puertos TCP o UDP, el uso de estos cortafuegos es totalmente transparente a las aplicaciones (por ejemplo, para un navegador Web), como ejemplo de ellos podemos citar routers con caractersticas de filtrado de paquetes, o el modelo de filtrado IPTables de los ncleos del sistema operativo Linux superiores a la v2.2 (aunque ya ha tomado total protagonismo en la serie de los ncleos v2.6).

1.3.3.1.2 - Firewall de aplicacin, tambin conocidos como proxys, actan a un nivel ms alto de la pila (a nivel de sesin, como los proxys socks, o a nivel de aplicacin, como los proxys de filtrado de contenido). A diferencia de los Firewall de filtrado de paquetes, suelen ser siempre soluciones de software. La configuracin de estos

cortafuegos no es transparente a las aplicaciones (los clientes necesitan de una configuracin especial para poder hacer uso de estos cortafuegos). Adems de actuar como guardianes, controlando el trfico de Red y dando la cara o estando al frente ante cualquier peticion por parte de cualquier cliente tanto externo como interno, seria en este caso el resolvedor de peticiones y una interface frente al servidor de la aplicacin y el cliente, este tipo de cortafuegos tienen muchas ms aplicaciones: permiten mejorar el tiempo de respuesta de algunas pginas (pues actan como cach y guardan copias de los datos), as como permiten el filtrado de contenidos y el registro de los lugares visitados por los distintos clientes Web a los que se da servicio. Como ejemplo 24

de esta familia o variante de cortafuegos, podemos citar Wingate, Squid, CyberGuard, WathGuard, Sunscreen EFS Firewall de SUN Microsystem, etc.

1.3.3.2 - Firewall fsicos

1.3.3.2.1 - Firewall tpico.- consta de un servidor Firewall con dos tarjetas de Red que separa a dos Redes Lan, una Interfase Ethernet conectada al router con un nico cable y la otra interfase Ethernet al Switch principal.

25

1.3.3.2.2 - Firewall con zona DMZ.- este esquema de configuracin permite crear otra zona en la cual es una zona expuesta al Internet y esta separada de la Red, cualquier ataque que sea dirigido a los servidores mantendr la Red de datos protegida, el esquema para este diseo seria el siguiente.

Otra variante de Firewal con zona DMZ, este tipo de diseo permite independizar el trafico externo e interno, asi mismo alijera la carga de toda la transmisin, reglas independientes pueden ejecutarse tanto en cada servidor Firewall, reglas pertinentes para cada tipo de Redes, el esquema para este diseo seria:

26

1.3.3.2.3 - Firewall de filtrado parcial.- este tipo de diseo permite solo filtrar o proteger parte de la Red dejando zonas libres para acceso total, esto se aplicara a los ISP en el que se coloca el Firewall para proteger determinados servidores o usuarios y dejar a los usuarios o servidores libres al Internet, el esquema para este diseo seria:

27

1.4 - Descripcin del comando IPTABLES:

Interviene en un conjunto de reglas de filtrado de paquetes que regulan y controlan el trfico entre dos redes (o el trfico individual de un equipo). Este conjunto de reglas se pueden establecer en un hardware especfico o bien establecerlo en un computador con Linux caso en nuestro Firewall. Iptables es la utilidad que vamos a utilizar para crear e insertar en el ncleo las distintas reglas de filtrado que vamos a establecer sobre los paquetes.

IPTABLES - TABLAS Existen tres tablas independientes (aunque puede que no todas estn presentes, dependiendo de la configuracin del kernel):

FILTER: Es la tabla que se usa por defecto. Se utiliza para especificar filtros de paquetes. Contiene 3 chains predefinidas:

INPUT: Se consulta para los paquetes cuyo destino es la propia maquina. FORWARD: La atraviesan los paquetes enrutados a travs de esta maquina (tanto el origen como el destino son externos). OUTPUT: Para paquetes generados localmente. Todos los paquetes que entran o salen de la maquina atraviesan exactamente una chain predefinida, excepto aquellos cuyo origen y destino sea la propia maquina, que atraviesan 2: INPUT y OUTPUT.

NAT: Se utiliza para el seguimiento de conexiones; esta tabla se consulta cada vez que se ve un paquete que inicia una nueva conexin, con el objetivo de alterar algn parmetro de esa conexin. Tiene tres cadenas predefinidas:

PREROUTING: Se consulta con los paquetes que entran en la maquina, tan pronto como llegan, antes de decidir que hacer con ellos. 28

OUTPUT: Se utiliza para alterar paquetes generados localmente, antes de enrutarlos. POSTROUTING: Para alterar todos los paquetes que estn a punto de salir de la maquina. MANGLE: Tabla especial, destinada a alterar determinados parmetros de los paquetes, como el campo TOS, el TTL, etc.

Anteriormente haba solo dos chains: PREROUTING y OUTPUT, pero a partir del kernel 2.4.18 hay 5:

PREROUTING INPUT FORWARD OUTPUT POSTROUTING

Su significado es el mismo que el de las chains con el mismo nombre de las tablas Filter y Nat.

IPTABLES - TARGETS: Acciones predefinidas Cuando un paquete no se ajusta a una regla, se contina examinando la siguiente hasta que se ajusta con alguna. Si se ajusta, se examina el target, que puede ser una accin predefinida, como:

ACCEPT: El paquete puede seguir su camino normal. DROP: El paquete se descarta, no se le deja pasar. REJECT: Rechaza la conexin:unreachale RETURN: Se dejan de examinar reglas en esta chain y se contina por la chain que llamo a esta. (Otras QUEQUE, LOG) Si se llega al fin de una chain predefinida, se ejecuta un target por defecto, llamado chain policy.

29

IPTABLES - LISTADO DE REGLAS Sintaxis:

iptables [-t tabla] [-opciones] [-parmetro] [chain] [criterio] -j [target] tabla: -Nat -Mangle

opciones disponibles: -v: Informacin detallada. Muestra toda la informacin disponible de las chains y de cada regla. -n: Salida numrica. No intenta convertir direcciones IP a nombres de maquinas. -x: Mostrar el valor exacto de cada numero, en lugar de mostrar mltiplos de 1000 (K), 1000K (M) 1000M (G).

chain: INPUT OUTPUT FORWARD POSTROUTING PREROUTING

Borrado de contadores iptables [-t tabla] [-v] -Z [chain] Borra los contadores de una determinada chain, o de todas ellas. iptables [-t tabla] [-v] -F [chain] Borra todas las reglas de una determinada chain, o de todas ellas. Creado y borrado de chains iptables [-t tabla] [-v] -N chain Crea una nueva chain iptables [-t tabla] [-v] -X [chain] 30

Borra una chain determinada, o todas las definidas por el usuario. iptables [-t tabla] [-v] -E <old-chain> < new-chain> Renombra una chain. iptables [-t tabla] [-v] -P <chain target> Establece el target de una chain predefinida, esto es, lo que deben hacer los paquetes que lleguen al final de ella.

-A aade una regla al final de la lista. -I inserta una regla al principio de la lista, o en el punto especificado. -R reemplaza una regla (especificada por su numero en la lista) por otra. -D borra una regla determinada, especificada por su numero de orden o por su especificacin -L: Muestra un listado de todas las reglas de una chain, o de todas ellas.

Especificacin de reglas Con las opciones -A, -I, -R y -D de iptables hay que especificar una regla; se puede hacer con las siguientes opciones: -p [!] protocolo: El protocolo del paquete a comprobar. Puede ser tcp, udp, icmp, all, o un valor numrico.

-[s d] [!] direccin[/mascara]: Direccin IP origen (s)o destino (d) del paquete. Si se utiliza una mascara, la direccin coincide si es una de las que esten en esa red. -[io] [!] iface: Nombre del interfaz de entrada (i) o de salida (o) [!] -f: El paquete es un fragmento distinto del primero. -m extension: Activa una extensin para poder especificar mas parmetros del paquete. -j target: Se utiliza para especificar el target de dicha regla, esto es, lo que se debe hacer cuando un paquete coincida con lo indicado en ella. 31

ACCEPT aceptar el paquete. REJECT o DROP lo desecharn, la diferencia entre ellos reside en que DROP descartar el paquete silenciosamente y REJECT emitir un paquete ICMP Port Unreachable, indicando que est cerrado. REDIRECT redirigir el paquete a donde se indique en el criterio del comando y por ltimo LOG lo logear para su posterior anlisis.

Extensiones de las reglas Tal como se han descrito, los paquetes describen los parmetros ms bsicos de la cabecera IP de cada paquete. Pero puede ser necesario tener un control mas estricto; por ejemplo, especificar los nmeros de puerto en protocolos TCP o UDP.

udp: Aade las opciones: --sport [!] port [:port]: Especifican puerto (o rango de puertos) origen. --dport [!] port [:port]: Especifican puerto (o rango de puertos) origen.

tcp: Aade las opciones: --sport [!] port : Especifican puerto --dport [!] port : Especifican puerto --tcp-option [!] numero: Especifica una determinada opcin TCP.

icmp: Aade la opcin --icmp-type tipo, que especifica que tipo ICMP debe tener el paquete. echo-reply destination unreachable, echo-request, timeexceeded

tos: Aade la opcin --tos valor, que especifica que valor debe tener el campo TOS de la cabecera IP. 32

ttl: Aade las opciones: --ttl-eq valor: El campo TTL ha de ser exactamente el especificado. --ttl-gt valor: El campo TTL ha de ser mayor que el specificado. --ttl-lt valor: El campo TTL ha de ser menor que el especificado.

state: Aade la opcin --state valor, que indica el estado en el que debe estar la conexin correspondiente a dicho paquete. Los tipos de estado son: -INVALID: El paquete no se ha identificado por alguna razn, direccin desconocida -NEW: El paquete corresponde a una conexin nueva.(en una direccin) -ESTABLISHED: El paquete esta asociado a una conexin establecida.(ambas direcciones) -RELATED: El paquete corresponde una conexin nueva, pero relacionada con una que ya esta establecida (como un canal de datos de FTP, o un error de ICMP).

Extensiones de target Aparte de las target predefinidas, hay otras que se pueden usar como extensin. Por ejemplo, las siguientes extensiones solo son validas en la tabla NAT: MASQUERADE: Solo es valida en la chain POSTROUTING.-Indica que la direccin origen del paquete (y de todos los futuros de esta misma conexin) ha de ser cambiada por la direccin IP local de esta maquina. Muy usado en conexiones con IP dinmica, es lo que normalmente se entiende como simplemente NAT.

SNAT: Solo es valida en la chain POSTROUTING.- Indica que la direccin y puerto origen de este paquete (y de todos los futuros de esta misma conexin) sea modificado segn reespecifica con la opcin --tosource. 33

DNAT: Solo es valida en las chains PREROUTING y OUTPUT.Cambian la direccin IP destino de un paquete (y de todos los futuros de esta misma conexin) por el especificado con la opcin -to destination.

Interpretaciones:
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT Acepta todo paquete que forme parte de una conexin realizada

Iptables -A INPUT -m state -m tcp -p tcp --dport 32:761 --state RELATED -j ACCEPT Para conexiones pasivas

Iptables -A INPUT -p tcp -i eth0 --dport 80 -j DROP Cerrar conexiones entrantes desde eth0 y hacia el puerto (local) 80 (HTTP)

iptables -t NAT <192.168.1.1>

PREROUTING -i eth0 -p tcp

-s <172.20.0.1/24>

j SNAT -to

Los paquetes entrantes del host 172.20.0.1/24 se natearn con 192.168.1.1

34

Tabla nat Esta tabla debe ser usada slo para hacer NAT (Network Address Translation) a los diferentes paquetes. En otras palabras, debe ser empleada solamente para traducir el campo origen del paquete o el campo destino. Ten en cuenta que tal como hemos dicho antes, slo el primer paquete de un flujo alcanzar esta cadena. Despus, al resto de paquetes del mismo flujo de datos se les aplicar la misma accin que al primero. Los objetivos que hacen este tipo de cosas son:

DNAT SNAT MASQUERADE

El objetivo DNAT (Destination Network Address Translation) se emplea principalmente en los casos donde se tiene una IP pblica y se quiere redirigir los accesos al firewall hacia algn otro host (en una "zona desmilitarizada", DMZ, por ejemplo). Dicho de otro modo, cambiamos la direccin de destino del paquete y lo re-enrutamos a otro host. SNAT (Source Network Address Translation) es principalmente usada para cambiar la direccin de origen de los paquetes. La mayora de las veces querrs esconder tus redes locales, DMZ, etc. Un ejemplo muy bueno podra ser cuando queremos sustituir las direcciones IP de la red local que est tras el cortafuego, por la direccin IP del propio cortafuego, que posee una IP pblica hacia fuera. Con este objetivo el firewall automticamente har SNAT y de-SNAT sobre los paquetes, lo cual hace posible que las conexiones provenientes de la LAN salgan a Internet. Por ejemplo, si tu red usa 192.168.0.0/mscara_de_red, los paquetes nunca regresarn de Internet, porque IANA ha designado dicho rango de direcciones (entre otras) como privadas y slo para ser usadas en redes locales aisladas. El objetivo MASQUERADE se usa exactamente para lo mismo que SNAT, pero MASQUERADE requiere un poquito ms de trabajo del 35

procesador. La razn es que cada vez que llega un paquete al objetivo MASQUERADE, automticamente chequea qu direccin IP debe asignarle, en lugar de hacer como SNAT, que simplemente utiliza la direccin IP configurada. MASQUERADE hace posible trabajar con las direcciones IP Dinmicas por DHCP que tu ISP pueda proporcionarte a travs de conexiones a Internet va PPP, PPPoE o SLIP.

36

CAPTULO II
EN ESTE CAPTULO SE EXPLICAR EL MODELO DE LAS SIETE CAPAS UNA POR UNA A FIN DE ENTENDER TODO EL PROCESO DE COMUNICACIN, DESDE LA SEAL ELCTRICA HASTA LA EJECUCIN DE LAS APLICACIONES

2.1 - LA CAPA FSICA La capa fsica tiene que ver con la transmisin de bits por bits por el canal de comunicacin, tiene que ver con la autenticidad de los paquetes transmitidos, si en un extremo se transmite un bit en el otro extremo debe recibirse un bit tambin, sea su valor cero (0) un uno (I) o con cualquier tipo de codificacin, y las caractersticas que encierran un bit como valor de duracin en segundos, nivel de voltaje, cantidad de corriente transmitida (potencia), as tambin material o medio de transporte, estndares para correccin de errores y eliminacin de ruido elctrico y reglas de manipuleo. Nuestro Firewall no es aplicable a esta capa, esta capa solo se encarga de procesar una corriente de niveles de voltaje, sus modulaciones y codificaciones, no es posible diferenciar datos aqu, cualquier Firewall libre o propietario no esta apto ni es de importancia implicarse aqu.

2.1.1 - CONCEPTO MATEMTICO Tal vez nuestra percepcin de las cosas no nos ayude a entender bien los principios fsicos que nos rige, es por ello que se tiene que recurrir a algoritmos para poder manipularlos sin que sufran alteraciones en su concepto fsico natural, por ello un dispositivo electrnico o elctrico no ve a la corriente elctrica como nosotros la vemos, un pulso elctrico de valor constante en un intervalo de periodo que seria as para nuestro concepto: Un dispositivo elctrico lo ve como una sucesin de senos y cosenos de periodos constantes, segn el matemtico francs Jean-Baptiste Fourier

37

 n 1

n 1

G(t ) (1/ 2).c an.sen(2. .n. f .t ) bn. cos(2. .n. f .t ) (cf 01)
donde f= 1/t es la frecuencia fundamental y an y bn son amplitudes de seno y coseno del n-simo (trmino) armnico tal descomposicin se llama serie de Fourier, la funcin se puede reconstruir a partir de una serie de Fourier, eso es si se conoce el periodo T y se dan las amplitudes se puede encontrar la funcin original del tiempo efectuando las sumas de la ecuacin (cf-01) Una seal de datos que tenga una duracin finita se puede manejar con solo imaginar que el patrn completo se repite una y otra vez eternamente (en intervalos de T a 2T que es el mismo de 0 a T) Las amplitudes an se pueden calcular para cualquier g(t), multiplicando ambos lados de la ecuacin (cf-01) por sen(2nft) e integrando de 0 a T. Puesto que:

T 0

sen ( 2 kft ). sen ( 2 nft ) dt

0 _ para _ k !n T / 2 _ para _ k n

nicamente sobrevive un trmino de la sumatoria: an. La sumatoria de bn se desvanece por completo. De manera similar al multiplicar la ecuacin (cf-01) por cos(2kft) e integrar entre 0 y T podemos deducir bn. Con solo integrar ambos miembros de la ecuacin como esta, se puede encontrar c, los resultados de estas operaciones son las siguientes:

a
n

2 T 2 T 2 T 0 g (t ).sen(2ft )dt b T 0 g (t ). cos(2ft )dt c T 0 g (t ).dt T

n n

38

2.2 - CAPA DE ENLACE DE DATOS La tarea principal de esta capa es la de tomar toda una banda base en bruto y trasformarla en un alinea que parezca libre de errores de trasmisin no detectados a la capa de Red. Esta tarea la cumple al hacer que el emisor divida los datos de entrada en marcos de datos y que transmita los marcos en una forma secuencial y procese los marcos de acuse de recibo que devuelve el receptor, esto se realiza porque en la capa fsica solo se transmite una corriente de bits sin preocuparse por el significado o su estructura, corresponde a la capa de enlace de datos crear y reconocer los limites de los marcos, esto se puede lograr aadiendo bits especiales al final y al principio del marco. Algn tipo de ruido puede daar el marco recibido o transmitido, en estas condiciones la capa de enlace puede retransmitir el marco, estos tipos de inconvenientes no solo acarrea retraso en la transmisin sino posibles duplicados de marcos enviados, la capa de enlace de datos posee el software necesario para tratar de resolver estos inconvenientes El software de la capa de enlace de datos tambin posee rutinas para tratar de equilibrar la velocidad de transmisin, esto introduce un buffer que es regulado as como el manejo de errores. La capa de enlace de datos esta diseada para ofrecer varios servicios y estos varan en sistema en sistema, estos servicios son tres:

2.2.1 - Servicio sin acuse sin conexin.- consiste en que la maquina de origen envi marcos independientes a la maquina de destino sin pedir que esta los reconozca o acuse su recibo, no se establece una conexin primero ni se libera despus de la comunicacin, tampoco intenta recuperacin de un marco perdido por ruido.

2.2.2 - Servicio con acuse sin conexin.- consiste en que la maquina de origen acepta una comunicacin aunque no se usa conexin pero cada marco enviado es reconocido individualmente, de esta manera el

39

transmisor sabe si el marco ha llegado bien, si no ha llegado a tiempo puede retransmitirse.

2.2.3 - Servicio orientado a la conexin.- es el servicio mas elaborado a la capa de Red, con este servicio los computadores establecen una conexin antes de transferir datos, cada marco esta enumerado y la capa de enlace garantiza que cada marco llegara a su destino correctamente y sean recibido en el orden adecuado. Las Redes de difusin tienen una consideracin adicional en la capa de enlace de datos de cmo controlar el acceso al canal compartido una subcapa especial de la capa de enlace de datos se encarga de este problema (la subcapa de acceso al medio)

2.2.4 - SUBCAPA DE ACCESO AL MEDIO (MAC) Existen dos categoras en la forma de comunicacin en Redes digitales, una es conexiones punto a punto y las que usan canales de difusin. En cualquier Red de difusin el asunto es la manera de determinar quien puede usar el canal cuando hay competencia por l, en la determinacin de quien tiene el turno se procede a utilizar protocolos para resolver el problema. La subcapa MAC tiene especial importancia en las LAN casi todas usan un canal multiacceso como base a su comunicacin, las WAN en cambio usan enlace punto a punto excepto en las Redes satelitales Estos son los protocolos que tratan de resolver el problema del acceso al medio:

2.2.4.1 - ALOHA.- un mtodo creado por Norman Abramson y sus colegas en la universidad de Hawai, usaron la radio transmisin basada en tierra, idea aplicable a cualquier sistema en el que usuarios no coordinados compiten por el uso de un solo canal compartido. Existen dos versiones de ALOHA, la analizaremos a continuacin: 40

2.2.4.1.1 - ALOHA PURO.- La idea bsica de un sistema ALOHA es sencilla, permite que los usuarios transmitan cuando tengan datos por enviar. Por supuesto habr colisiones y las macros se destruirn sin embargo debido a la propiedad de retroalimentacin de la difusin, un trasmisor siempre puede saber si el marco fue destruido o no escuchando el canal de la misma manera que los dems usuarios, en el ALOHA puro los marcos se transmiten en momentos completamente arbitrarios.

2.2.4.1.2 - ALOHA RANURADO.- Diseado por Robert (1972) su propuesta fue de dividir el tiempo en intervalos discretos correspondiente cada uno a un marco, este enfoque requiere que los usuarios acuerden lmites de ranura. Una manera de lograr la sincronizacin seria tener una estacin especial que emitiera una seal al comienzo de cada intervalo, como un reloj.

2.2.4.2

PROTOCOLO

DE

ACCESO

MULTIPLE

CON

DETECCION DE PORTADORA En esta seccin analizaremos algunos protocolos para mejorar el desempeo. Los protocolos en los que las estaciones detectan una portadora (es decir una transmisin) y actan de acuerdo con ello se llaman protocolos de deteccin de portadora, se detallar los ms importantes:

2.2.4.2.1 - CSMA Persistente.- Cuando una estacin tiene datos por transmitir, primero escucha el canal para ver si otra esta transmitiendo en ese momento, si el canal esta ocupado la estacin esperara hasta que se desocupe, cuando este se desocupe se transmite un marco, si ocurriese una colisin el 41

canal espera un tiempo aleatorio para repetir la transmisin, el protocolo se llama persistente porque la estacin con una probabilidad de uno cuando encuentra el canal en reposo.

2.2.4.2.2 - CSMA No Persistente.- En este protocolo se hace un intento consciente por ser menos egosta que su compaero CSMA Persistente, antes de enviar una estacin detecta el canal, si nadie mas esta trasmitiendo la estacin comienza a hacerlo. Sin embargo, si el canal ya esta en uso la estacin no observa continuamente el canal a fin de tomarlo de inmediato al detectar el final de la transmisin previa, en cambio espera un periodo de tiempo aleatorio y repite el algoritmo.

2.2.4.2.3 - CSMA Persistente-p.- Cuando una estacin esta lista para enviar, escucha el canal, si el canal esta en reposo la estacin transmite con una probabilidad p, con una probabilidad q=1-p se espera hasta la siguiente ranura, si esta ranura tambin esta en reposo la estacin transmite o espera nuevamente con probabilidades p y q,. este proceso se repite hasta que el marco ha sido transmitido o hasta que otra estacin comience a transmitir

2.2.4.2.4 - CSMA/CD (Carrier-Sense Multiple Access with Collision Detection.).-En este protocolo con diferencia a sus primos anteriores cuando dos computadores encuentran una colisin abortan sus transmisiones, la terminacin pronta de marcos daados ahorra tiempo y ancho de banda este protocolo es utilizado ampliamente en las LAN de la subcapa MAC.
ALOHA, Conceptos extraidos de REDES DE COMPUTADORAS 3ra ed. AUTOR: Andrew S. Tanenbaum.

42

Existen muchos protocolos ms como son los protocolos libres de colisiones, protocolos de contencin limitada, protocolo de recorrido de rbol adaptable, protocolos de acceso mltiple de longitud de onda, protocolos de LAN inalmbricas, protocolos de acceso mltiple con prevencin de colisin (MACA), protocolo de acceso mltiple por divisin de colisiones etc. Que no son prioridad de estudio y anlisis en este trabajo. Esta capa esta fuertemente vinculada con la capa de Red, cada marco de la capa de enlace es controlado y modificado segn rutinas de comunicacin el cual los protocolos que ambos soportan como TCP, UDP, PPP, ICMP, SNMP, etc. Nuestro Firewall se centrar en la examinacin de los marcos entrantes y los paquetes salientes

2.3 - LA CAPA DE RED La capa de Red se ocupa de controlar el funcionamiento de la Subred. Una consideracin de diseo es determinar como se encaminan los paquetes de la fuente a su destino. Las rutas se puedes basar en tablas estticas que se alambran en la Red y rara vez cambian. Tambin se pueden determinar al inicio de cada conversacin o ser altamente dinmicas determinndose de nuevo con cada paquete para reflejar la carga actual de la Red. La capa de Red para lograr su cometido, la capa de Red debe conocer la topologa de la Subred de comunicacin es decir el grupo de enrutadores y escoger las trayectorias adecuadas a travs de ella tambin debe tener cuidado de escoger las rutas de modo de evitar la carga extra de algunas de las lneas de comunicacin y de los enrutadores mientras deja a otros sin trabajo. Si en la Subred se encuentran presentes demasiados paquetes a la vez, se estorbarn mutuamente, formando cuellos de botella. El control de tal congestin pertenece tambin a la capa de Red. En vista de que los operadores de la Subred podran esperar remuneracin por su labor, con frecuencia hay una funcin de contabilidad integrada a la capa de Red. Cuando menos, el software debe contar cuantos paquetes, caracteres o bits que enva cada cliente para producir informacin de

43

facturacin. Cuando un paquete cruza una frontera nacional con tarifas diferentes de cada lado, la contabilidad se puede complicar. Cuando un paquete viaja de una Red a otra para alcanzar su destino, pueden surgir muchos inconvenientes. El tipo de direcciones que usa la segunda Red puede ser diferente con respecto a la primera, puede ser que la segunda no acepte en absoluto el paquete por ser demasiado grande, los protocolos pueden diferir entre otras cosas, la capa de Red debe resolver todos estos problemas para lograr que se interconecten Redes

heterogneas. En nuestro modelo TCP/IP esta capa esta definida como la capa de INTERRED, la capa de INTERRED define un formato de paquete y protocolo oficial llamado IP (protocolo de Internet) el trabajo de esta capa es entregar paquetes IP a donde se supone que deben ir. Aqu la consideracin ms importante es claramente el ruteo de los paquetes y tambin evitar la congestin. Por lo anterior es razonable decir que la capa de Interred es muy parecida a la capa de Red OSI.

2.4 - LA CAPA DE TRANSPORTE La funcin bsica de la capa de transporte es aceptar datos de la capa de sesin, dividirlos en unidades mas pequeas si es necesario, pasarlos a la capa de Red y asegurar que todos los pedazos lleguen correctamente al otro extremo, adems todo esto de debe hacer de manera eficiente y en forma que asle a la capas superiores de los cambios inevitables en la tecnologa del hardware En condiciones normales, la capa de transporte crea una conexin de Red distinta para cada conexin de transporte que requiera la capa de sesin. Sin embargo, si la conexin de transporte requiere un volumen de transmisin alto, la capa de transporte podra crear mltiples conexiones de Red, dividiendo los datos entre las conexiones para aumentar el volumen. Por otro lado si es costoso crear o mantener una conexin de Red, la capa de transporte puede multiplexar varias conexiones de transporte en la misma conexin de Red para Reducir el costo. En todos los casos, a capa de 44

transporte debe lograr que la multiplexacin sea transparente para la capa de sesin. La capa de transporte determina tambin que tipos de servicios proporciona a la capa de sesin y finalmente a los usuarios de la Red. El tipo mas popular de conexin de transporte es un canal de punto a punto libre de errores que entregan mensajes o Bytes en el orden en que se enviaron. Sin embargo, otras posibles clases de servicios de transporte son el transporte de mensajes aislados sin garanta respecto al orden de entrega y la difusin de mensajes a mltiples destinos. El tipo de servicio se determina al establecer la sesin. La capa de transporte es una verdadera capa de extremo, del origen al destino. En otras palabras, un programa en el computador fuente sostiene una conversacin con un programa similar en el computador de destino, haciendo uso de los encabezados de mensajes y de los mensajes de control. En las capas bajas los protocolos se usan entre cada computador y sus vecinas inmediatas, y no entre los computadores de origen y destino, que pueden estar separadas por muchos enrutadores. Adems de multiplexar varias corrientes de mensajes por un canal, la capa de transporte debe cuidar de establecer y liberar conexiones a travs de la Red. Esto requiere alguna clase de mecanismo de asignacin de nombres, de modo que un proceso en una computador pueda describir con quien quiere conversar, Tambin debe haber un mecanismo para regular el flujo de informacin, a fin de que un nodo rpido no pueda saturar a uno lento. Tal mecanismo se llama controla de flujo, el control de flujo entre dos nodos es distinto del control de flujo entre enrutadores. Esta capa tambin pertenece al modelo de referencia TCP/IP como representante el protocolo de transporte TCP (Transmisin Control Protocol) confiable y orientado a la conexin que permite que una corriente de bytes originada en un computador de entregue sin errores en cualquier otro computador. Este protocolo fragmenta la corriente entrante de bytes en mensajes discretos y pasa cada uno a la capa de Interred el receptos ensambla los paquetes as mismo regula la transmisin para no saturar cualquier receptor lento. 45

El segundo protocolo de esta capa es el UDP (user datagrama protocol), protocolo orientado sin conexin no confiable para aplicaciones que no necesitan la asignacin de secuencia ni el control de flujo. Este protocolo se usa tambin para consultas de peticin y respuesta de una sola ocasin y en transmisiones donde la entrega pronta es mas importante que la entrega precisa como las transmisiones de vos y video. Aqu tambin se centrara nuestro Firewall

2.5 - LA CAPA DE SESIN La capa de sesin permite a los usuarios de computadores diferentes establecer sesiones entre ellos. Una sesin permite el transporte ordinario de datos, como lo hace la capa de transporte, pero tambin proporciona servicios mejorados que son tiles en algunas aplicaciones. Se podra usar una sesin para que el usuario se conecte a un sistema remoto de tiempo compartido o para transferir un archivo entre dos computadores. Uno de los servicios de la capa de sesin es de manejar el control del dialogo, las sesiones pueden permitir que el trafico valla en ambas direcciones al mismo tiempo, o solo en una direccin a la vez. Si el trfico puede ir nicamente en un sentido a la vez la capa de sesin pude ayuda a llevar el control de los turnos. Un servicio de sesin relacionado es el manejo de fichas, para algunos protocolos es esencial que ambos lados no intenten la misma operacin al mismo tiempo. A fin de controlar estas actividades, la capa de sesin proporciona fichas que se pueden intercambiar. Solamente estas actividades la capa de sesin proporciona fichas que se pueden intercambiar. Solamente el lado que posea la ficha podr efectuar la operacin crtica. Otro servicio de sesin es la sincronizacin que considere los problemas que pueden ocurrir cuando se trata de efectuar una transferencia de archivos de 2 horas de duracin entre dos computadores que tiene un, tiempo medio entre ruptura de una hora, cada transferencia, despus de abortar, tendra que empezar de nuevo desde el principio y probablemente fallara tambin la siguiente vez. Para eliminar este problema, la capa de sesin ofrece una 46

forma de insertar puntos de verificacin en las corrientes de datos, de modo que despus de cada interrupcin solo se deban repetir los datos que se transfirieron despus del ltimo punto de verificacin.

2.6 - LA CAPA DE PRESENTACIN La capa de presentacin realiza funciones que se piden con suficientes frecuencia para justificar la bsqueda de una solucin general, en lugar de dejar que cada usuario resuelva los problemas en particular y a diferencia de todas las capas inferiores que se interesan solo en mover bits de manera confiable de ac para all, la capa de presentacin se ocupa de la sintaxis y la semntica se la informacin que se transmite. Un ejemplo tpico de servicio de presentacin es la codificacin de datos en una forma estndar acordada. La mayor parte de posprogramas de usuario no intercambian cadenas de bits al azar intercambian cosas como nombres de personas, fechas, cantidades de dinero y cuentas. Estos elementos se representan como cadenas de caracteres, enteros, cantidades de puntos flotantes y estructuras de datos compuestas de varios elementos mas simples. Los diferentes computadores tienen cdigos diferentes para representar cadenas de caracteres como ASCII y Unicode, enteros como por ejemplo en complemento a uno y en complemento a dos y dems. Con el fin de hacer posible la comunicacin entre computadores con representaciones

diferentes, las estructuras de datos por intercambiar se pueden definir de forma abstracta junto con un cdigo estndar que se use en el cable. La capa de presentacin maneja estas estructuras de datos abstractas y las convierte de la representacin que se usa dentro de la computadora a la representacin estndar de la Red y viceversa.

47

2.7 - LA CAPA DE APLICACIN La capa de aplicacin contiene varios protocolos que se necesitan con frecuencia por ejemplo existen cientos de tipos de terminales incompatibles en el mundo considere la situacin de un editor de pantalla completa que debe trabajar en una Red con muchos tipos diferentes de terminal cada uno con formatos diferentes de pantalla, secuencia de escape para insertar y eliminar texto, mover el cursor, etc. Una forma de resolver este problema es definir una terminal virtual de Red abstracta que los editores y otros programas puedan manejar. Para cada tipo de terminar se debe escribir un programa para establecer la correspondencia entre las funciones de la terminal virtual de Red y las de la terminal real, por ejemplo cuando el editor mueva el cursor de la terminal virtual a la esquina superior izquierda de la pantalla, este software debe emitir la secuencia apropiada de ordenes a la terminal real para poner su cursor en ese lugar. Todo el software de terminal virtual esta en la capa de aplicacin. Otra funcin de la capa de aplicacin es la transferencia de archivos. Los diferentes sistemas de archivos tienen convenciones diferentes para nombrar los archivos, formas diferentes de representar lneas de texto. La transferencia de un archivo entre dos sistemas diferentes requiere la resolucin de estas y otras incompatibilidades. Este trabajo tambin pertenece a la capa de aplicacin, lo mismo que el correo electrnico, la carga remota de trabajos, la bsqueda en direccin y otros recursos de uso general y especial.

48

CAPTULO III
EN ESTE CAPTULO SE DETALLAR ALGUNOS CONCEPTOS SOBRE TECNOLOGIAS DE TRANSMISION A FIN DE ILUSTRAR MEJOR Y ENTENDER MAS NUENTRO TRABAJO

3.1 - TERMINOLOGA UTILIZADA EN TRANSMISIN DE DATOS

3.1.1 - Los medios de transmisin Guiados si las seales de datos van encaminadas a lo largo de un camino fsico. No guiados si el medio es sin encauzar (aire, agua, etc.). Simplex si la seal es unidireccional, Half-duplex si ambas estaciones pueden trasmitir pero no a la vez; Full-duplex si ambas estaciones pueden transmitir a la vez.

3.1.2 - Frecuencia, espectro y ancho de banda Conceptos en el dominio temporal. Una seal, en el mbito temporal, puede ser continua o discreta. Puede ser peridica o no peridica. Una seal es peridica si se repite en intervalos de tiempo fijos llamados periodo. La onda seno es la ms conocida y utilizada de las seales peridicas. En el mbito del tiempo, la onda seno se caracteriza por la amplitud, la frecuencia y la fase.

S (t ) A.sen(2ft fase ( ))
La longitud de onda se define como el producto de la velocidad de propagacin de la onda por su fase.

49

3.1.3 - Conceptos del dominio de la frecuencia. En la prctica, una seal electromagntica est compuesta por muchas frecuencias. Si todas las frecuencias son mltiplos de una dada, esa frecuencia se llama frecuencia fundamental. El periodo (o inversa de la frecuencia) de la seal suma de componentes es el periodo de la frecuencia fundamental. Se puede demostrar que cualquier seal est constituida por diversas frecuencias de una seal seno (Fourier). El espectro de una seal es el conjunto de frecuencias que constituyen la seal. El ancho de banda es la anchura del espectro. Muchas seales tienen un ancho de banda infinito, pero la mayora de la energa est concentrada en un ancho de banda pequeo. Si una seal tiene una componente de frecuencia 0, es una componente continua (corriente continua).

3.1.4 - Relacin entre la velocidad de transmisin y el ancho de banda. El medio de transmisin de las seales limita mucho las componentes de frecuencia a las que puede ir la seal (incluye tecnologa del hardware), por lo que el medio slo permite la transmisin de cierto ancho de banda, En el caso de ondas cuadradas (binarias), estas se pueden simular con ondas senoidales en las que la seal slo contenga mltiplos impares de la frecuencia fundamental. Cuanto ms ancho de banda, ms se asemeja la funcin seno (multifrecuencia) a la onda cuadrada. Pero generalmente es suficiente con las tres primeras componentes. Se puede demostrar que al duplicar el ancho de banda, se duplica la velocidad de transmisin a la que puede ir la seal. Al considerar que el ancho de banda de una seal est concentrado sobre una frecuencia central, al aumentar esta, aumenta la velocidad potencial de transmitir la seal. Pero al aumentar el ancho de banda, aumenta el coste de transmisin de la seal aunque disminuye la distorsin y la posibilidad de ocurrencia de errores

50

3.1.5 - Transmisin de datos analgicos y digitales Los datos analgicos toman valores continuos y los digitales, valores discretos. Una seal analgica es una seal continua que se propaga por ciertos medios. (cables electricos, aire, agua, etc.) Una seal digital es una serie de pulsos que se transmiten a travs de un cable ya que son pulsos elctricos. Los datos analgicos se pueden representar por una seal

electromagntica con el mismo espectro que los datos. Los datos digitales se suelen representar por una serie de pulsos de tensin que representan los valores binarios de la seal. La transmisin analgica es una forma de transmitir seales analgicas (que pueden contener datos analgicos o datos digitales). El problema de la transmisin analgica es que la seal se debilita con la distancia, por lo que hay que utilizar amplificadores de seal cada cierta distancia. La transmisin digital tiene el problema de que la seal se atena y distorsiona con la distancia, por lo que cada cierta distancia hay que introducir repetidores de seal.

3.1.6 - Causas de la utilizacin de la transmisin digital La tecnologa digital se ha abaratado mucho. Al usar repetidores en vez de amplificadores, el ruido y otras distorsiones no es acumulativo. La utilizacin de banda ancha es ms aprovechada por la tecnologa digital. Los datos transportados se pueden encriptar y por tanto hay ms seguridad en la informacin. Al tratar digitalmente todas las seales, se pueden integrar servicios de datos analgicos (voz, vdeo, etc.) con digitales como texto y otros.

51

3.2 - Perturbaciones en la transmisin

3.2.1 - Atenuacin La energa de una seal decae con la distancia, por lo que hay que asegurarse que llegue con la suficiente energa como para ser captada por la circuitera del receptor y adems, el ruido debe ser sensiblemente menor que la seal original (para mantener la energa de la seal se utilizan amplificadores o repetidores). Debido a que la atenuacin vara en funcin de la frecuencia, las seales analgicas llegan distorsionadas, por lo que hay que utilizar sistemas que le devuelvan a la seal sus caractersticas iniciales (usando bobinas que cambian las caractersticas elctricas o amplificando ms las frecuencias ms altas).

3.2.2 - Distorsin de retardo Debido a que en medios guiados, la velocidad de propagacin de una seal vara con la frecuencia, hay frecuencias que llegan antes que otras dentro de la misma seal y por tanto las diferentes componentes en frecuencia de la seal llegan en instantes diferentes al receptor. Para atenuar este problema se usan tcnicas de ecualizacin.

3.2.3 - Ruido El ruido es toda aquella seal que se inserta entre el emisor y el receptor de una seal dada. Hay diferentes tipos de ruido: ruido trmico debido a la agitacin trmica de electrones dentro del conductor, ruido de intermodulacin cuando distintas frecuencias comparten el mismo medio de transmisin, diafona se produce cuando hay un acoplamiento entre las lneas que transportan las seales y el ruido impulsivo se trata de pulsos discontinuos de poca duracin y de gran amplitud que afectan a la seal.

52

3.2.4 - Capacidad del canal (C) Se llama capacidad del canal a la velocidad a la que se pueden transmitir los datos en un canal de comunicacin de datos. La velocidad de los datos es la velocidad expresada en bits por segundo a la que se pueden transmitir los datos. El ancho de banda es aquel ancho de banda de la seal transmitida y que est limitado por el transmisor y por la naturaleza del medio de transmisin (en hertzios). La tasa de errores es la razn a la que ocurren errores. Para un ancho de banda determinado es aconsejable la mayor velocidad de transmisin posible pero de forma que no se supere la tasa de errores aconsejable. Para conseguir esto, el mayor inconveniente es el ruido. Para un ancho de banda dado W, la mayor velocidad de transmisin posible es 2W, pero si se permite (con seales digitales) codificar ms de un bit en cada ciclo, es posible transmitir ms cantidad de informacin. La formulacin de Nyquist nos dice que aumentado los niveles de tensin diferenciables en la seal, es posible incrementar la cantidad de informacin transmitida.

C 2W . log 2.M
El problema de esta tcnica es que el receptor debe de ser capaz de diferenciar ms niveles de tensin en la seal recibida, cosa que es dificultada por el ruido, cuanto mayor es la velocidad de transmisin, mayor es el dao que puede ocasionar el ruido. Shannon propuso la frmula que relaciona la potencia de la seal (S), la potencia del ruido (N), la capacidad del canal (C) y el ancho de banda (W).

C W . log 2.(1 S / N )
Esta capacidad es la capacidad mxima terica de cantidad de transmisin, pero en la realidad, es menor debido a que no se ha tenido en cuenta nada ms que el ruido trmico.

53

3.2.5 - Diafona o atenuacin transversal, tal como su nombre lo indica, significa dos fonas. Esto quiere decir que la seal transmitida por un par logra ultrapasar a los dems pares adyacentes del cable, produciendo de esta forma interferencias entre las lneas del cable. Es frecuente cuando se est hablando por telfono, escuchar otras conversaciones ajenas a la propia. Este efecto que se produce en la comunicacin telefnica, se reconoce con el nombre de diafona. Las principales causas que generan la diafona, son los desequilibrios capacitivos y el bajo aislamiento entre los pares del cable, lo que normalmente son producidos al realizar los empalmes. Es importarte llamar la atencin en este punto, dado que la diafona, a diferencia de otros defectos, son muy difciles de localizar y reparar, por lo tanto los tcnicos encargados de realizar las uniones en los cables debern tomar todas las medidas pertinentes, con el objeto de evitar que se produzcan desequilibrios capacitivos (pares split) o bajo aislamiento en los cables. Este problema genera adems acoplamiento de seales en pares usados en transmisin de datos, y disminucin de velocidad de propagacin de la seal. La diafona se define como la relacin de potencia o voltaje que existe entre el par interferido y el par interferente. Esta relacin se expresa con una potencia de 1mW la cual corresponde a 0dBm. Se entiende por par interferente al que lleva la seal y el par interferido donde se escucha la seal.

3.2.6 Tele diafona y Para diafona Dependiendo la longitud de los cables, existen dos conceptos para determinar la diafona. Uno el que se refiere a la diafona cercana al lugar de medicin denominada Paradiafona, y el otro, referido a la diafona lejana, la cual se conoce como Telediafona.

54

3.3 - MEDIOS DE TRANSMISIN El propsito de la capa fsica es de transportar una corriente de bits sin tener conocimiento de lo que se transfiere ni importarle su significado, Existen diferentes tipos se enumerar algunas.

3.3.1 - Medios Magnticos.- La forma ms comn de transportar aunque en cantidades de Terabytes resulta incomparable e insuperable por cualquier compaa de transmisin de datos, un clculo simple nos dar cuenta. Una cinta de video de 8mm puede guardar hasta 30GB, una caja con una cantidad de 1000 de estas cintas ocupara 0.125 m3 o el 12.5% de un metro cbico transportadas por avin en 12 horas llegaran a cualquier parte de Norteamrica y la taza de transmisin seria de 30000GB/43200s resultara una velocidad de transferencia de 694.44 MB/s * 8 = 5555.56Mbps insuperable por cualquier portadora de Red en el mundo. La necesidad de transportar informacin y los recursos disponibles es la que indica el tipo de transmisin.

3.3.2 - Medios de transmisin guiados En medios guiados, el ancho de banda o velocidad de transmisin dependen de la distancia y de si el enlace es punto a punto o multipunto.

3.3.2.1 - Par trenzado.-Es el medio guiado ms barato y ms usado. Consiste en un par de cables, embutidos para su aislamiento, para cada enlace de comunicacin. Debido a que puede haber acoples entre pares, estos se trenza con pasos diferentes. La utilizacin del trenzado tiende a disminuir la interferencia electromagntica.

55

Este tipo de medio es el ms utilizado debido a su bajo coste (se utiliza mucho en telefona) pero su inconveniente principal es su poca velocidad de transmisin y su corta distancia de alcance. Con estos cables, se pueden transmitir seales analgicas o digitales. Es un medio muy susceptible a ruido y a interferencias. Para evitar estos problemas se suele trenzar el cable con distintos pasos de torsin y se suele recubrir con una malla externa para evitar las interferencias externas. Pares trenzados apantallados y sin apantallar: Los pares sin apantallar son los ms baratos aunque los menos resistentes a interferencias (aunque se usan con xito en telefona y en Redes de rea local). A velocidades de transmisin bajas, los pares apantallados son menos susceptibles a interferencias, aunque son ms caros y ms difciles de instalar.

3.3.2.2 - Cable coaxial.- Consiste en un cable conductor interno (cilndrico) separado de otro cable conductor externo por anillos aislantes o por un aislante macizo. Todo esto se recubre por otra capa aislante que es la funda del cable. Este cable, aunque es ms caro que el par trenzado, se puede utilizar a ms larga distancia, con velocidades de transmisin superiores, menos interferencias y permite conectar ms estaciones. Se suele utilizar para televisin, telefona a larga distancia, Redes de rea local, conexin de perifricos a corta distancia, etc. Se utiliza para transmitir seales analgicas o digitales. Sus inconvenientes principales son: atenuacin, ruido trmico, ruido de intermodulacin. Para seales analgicas, se necesita un amplificador cada pocos kilmetros y para seales digitales un repetidor cada kilmetro.

56

3.3.2.3. - Fibra ptica.- Se trata de un medio muy flexible y muy fino que conduce energa de naturaleza ptica. Su forma es cilndrica con tres secciones radiales: ncleo, revestimiento y cubierta. El ncleo est formado por una o varias fibras muy finas de cristal o plstico. Cada fibra est rodeada por su propio revestimiento que es un cristal o plstico con diferentes propiedades pticas distintas a las del ncleo. Alrededor de este conglomerado est la cubierta (constituida de material plstico o similar) que se encarga de aislar el contenido de aplastamientos, abrasiones, humedad, etc. Es un medio muy apropiado para largas distancias e incluso ltimamente para LAN's.

Sus beneficios frente a cables coaxiales y pares trenzados son: Permite mayor ancho de banda. Menor tamao y peso. Menor atenuacin. Aislamiento electromagntico. Mayor separacin entre repetidores. Su rango de frecuencias es todo el espectro visible y parte del infrarrojo.

El mtodo de transmisin de la fibra optica consiste en que los rayos de luz inciden con una gama de ngulos diferentes posibles en el ncleo del cable, entonces slo una gama de ngulos conseguirn reflejarse en la capa que recubre el ncleo. Son precisamente esos rayos que inciden en un cierto rango de ngulos los que irn rebotando a lo largo del cable hasta llegar a su destino. A este tipo de propagacin se le llama multimodal. Si se Reduce el radio del ncleo, el rango de ngulos disminuye

57

hasta que slo sea posible la transmisin de un rayo, el rayo axial, y a este mtodo de transmisin se le llama monomodal. Los inconvenientes del modo multimodal es que debido a que dependiendo al ngulo de incidencia de los rayos, estos tomarn caminos diferentes y tardarn ms o menos tiempo en llegar al destino, con lo que se puede producir una distorsin (rayos que salen antes pueden llegar despus), con lo que se limita la velocidad de transmisin posible. Hay un tercer modo de transmisin que es un paso intermedio entre los anteriormente comentados y que consiste en cambiar el ndice de refraccin del ncleo. A este modo se le llama Multimodo de ndice gradual. Los emisores de luz utilizados son: LED (de bajo coste, con utilizacin en un amplio rango de temperaturas y con larga vida media) y ILD (ms caro, pero ms eficaz y permite una mayor velocidad de transmisin).

3.3.3 - Transmisin inalmbrica.- Se utilizan medios no guiados, principalmente el aire. Se radia energa electromagntica por medio de una antena y luego se recibe esta energa con otra antena. Hay dos configuraciones para la emisin y recepcin de esta energa: direccional y omnidireccional. En la direccional, toda la energa se concentra en un haz que es emitido en una cierta direccin, por lo que tanto el emisor como el receptor deben estar alineados. En el mtodo omnidireccional, la energa es dispersada en mltiples direcciones, por lo que varias antenas pueden captarla. Cuanto mayor es la frecuencia de la seal a transmitir, ms factible es la transmisin unidireccional. Por tanto, para enlaces punto a punto se suelen utilizar microondas (altas frecuencias). Para enlaces con varios receptores posibles se utilizan las ondas de radio (bajas frecuencias). Los infrarrojos se utilizan para transmisiones a muy corta distancia (en una misma habitacin). 58

3.3.3.1

Microondas

terrestres.-Suelen

utilizarse

antenas

parablicas. Para conexionas a larga distancia, se utilizan conexiones intermedias punto a punto entre antenas parablicas. Se suelen utilizar en sustitucin del cable coaxial o las fibras pticas ya que se necesitan menos repetidores y amplificadores, aunque se necesitan antenas alineadas. Se usan para transmisin de televisin y voz. La principal causa de prdidas es la atenuacin debido a que las prdidas aumentan con el cuadrado de la distancia (con cable coaxial y par trenzado son logartmicas). La atenuacin aumenta con las lluvias. Las interferencias es otro inconveniente de las microondas ya que al proliferar estos sistemas, pude haber ms solapamientos de seales.

3.3.3.2 - Microondas por satlite.- El satlite recibe las seales y las amplifica o retransmite en la direccin adecuada. Para mantener la alineacin del satlite con los receptores y emisores de la tierra, el satlite debe ser geoestacionario. Se suele utilizar este sistema para: Difusin de televisin. Transmisin telefnica a larga distancia. Redes privadas. El rango de frecuencias para la recepcin del satlite debe ser diferente del rango al que este emite, para que no haya interferencias entre las seales que ascienden y las que descienden. Debido a que la seal tarda un pequeo intervalo de tiempo desde que sale del emisor en la Tierra hasta que es devuelta al receptor o receptores, ha de tenerse cuidado con el control de errores y de flujo de la seal. Las diferencias entre las ondas de radio y las microondas son:

59

Las microondas son unidireccionales y las ondas de radio omnidireccionales. Las microondas son ms sensibles a la atenuacin producida por la lluvia. En las ondas de radio, al poder reflejarse estas ondas en el mar u otros objetos, pueden aparecer mltiples seales "hermanas".

3.3.3.3 - Infrarrojos.- Los emisores y receptores de infrarrojos deben estar alineados o bien estar en lnea tras la posible reflexin de rayo en superficies como las Redes. En infrarrojos no existen problemas de seguridad ni de interferencias ya que estos rayos no pueden atravesar los objetos (Redes por ejemplo). Tampoco es necesario permiso para su utilizacin (en microondas y ondas de radio si es necesario un permiso para asignar una frecuencia de uso).

3.4 - DEFINICIN DE LAS MODALIDADES DE TRANSMISIN

3.4.1 - Servicios de datos conmutados de multimegabits (SMDS).- fue diseado por BELLCORE y se diseo para transmisin de datos digitales en forma de rfagas al unir varias LANs, su velocidad estndar es de 45Mbps. El servicio bsico de SMDS es un simple servicio de entrega de paquetes sin conexin, el formato del paquete consta de tres campos: el origen y el destino que tiene un cdigo de 4 bits seguido de un numero telefnico de hasta 15 dgitos cada digito se codifica en un campo de 4 bits y el campo de datos que es de longitud variable mximo hasta 9188 Bits y puede contener en su carga cualquier tipo de paquete de cualquier formato y topologa, SMDS opera en la capa fsica.

60

3.4.2 - Hub vs. Switch

Todos los ordenadores de los tres edificios estn conectados entre s mediante Hubs, exceptuando los tres Switch que conecta los ordenadores del edificio rentado con los del edificio propio A continuacin vamos a analizar las diferencias que existen entre un Hub y un Switch, as como las ventajas que nos aporta uno frente al otro.

3.4.2.1 - HUB.Ventajas.- Un Hub es un dispositivo muy simple, esto influye en dos caractersticas importantes: El precio, es bastante bajo. El retardo, un Hub casi no aade ningn retardo a los mensajes ya que como hemos explicado anteriormente simplemente repite las tramas que le llegan. Desventajas: Como ya sabemos un Hub es un dispositivo de nivel 1 segn la torre ISO de la OSI, ya que actan como repetidores. A pesar de que en ste nivel solo hay un destinatario de la informacin, para asegurarse de que la recibe, el Hub enva la informacin a todos los ordenadores que estn conectados a l. Este trfico aadido genera ms posibilidades de colisin. Una colisin se produce cuando un ordenador quiere enviar informacin y la emite de forma simultnea a otro ordenador. Al chocar los dos mensajes se pierden y es necesario retransmitir. Adems a medida que aadimos ordenadores a la Red, tambin aumentan las probabilidades de colisin. Otro gran inconveniente de la utilizacin de los Hubs, es que el hub funciona a la velocidad del dispositivo ms lento de la Red, con lo cual si tenemos un router para el acceso a Internet de 10 MB/seg., nuestra Red funcionar a 10 MB/seg. aunque nuestro puerto sea de 10/100 MB/seg.

61

3.4.2.2 - SWITCH.es un dispositivo de la capa de enlace, es decir de nivel 2. El Switch sabe en todo momento que ordenadores tiene conectados a cada uno de sus puertos. Cuando se enchufa no conoce las direcciones de los ordenadores de sus puertos, las aprende a medida que circula informacin a travs de l. Cuando un Switch no conoce la direccin MAC de destino enva la trama por todos sus puertos, al igual que un Hub (Flooding, inundacin.) Cuando hay ms de un ordenador conectado a un puerto de un Switch este aprende sus direcciones MAC y cuando se envan informacin entre ellos no la propaga al resto de la Red, a esto se llama filtrado. Si en nuestra Red nos planteramos sustituir los Hubs por los Switchs obtendramos considerables ventajas. Resumiendo, stas son las caractersticas que hacen a un Switch mucho ms potente y eficaz que un simple Hub.

3.5 - TIPOS DE REDES Vamos a explicar de forma resumida algunas de las ms importantes dentro cada criterio de clasificacin:

3.5.1 - Clasificacin segn su tamao y extensin:

3.5.1.1 - Redes LAN (Local rea Network): Son Redes de rea local, cuya extensin vara entre 10 metros y 1 Km. Son Redes pequeas, suelen utilizarse en colegios, oficinas y empresas no muy grandes. La velocidad de transmisin tpica de una Red LAN est entre 10 y 100 MBS.

62

3.5.1.2 - Redes MAN (Metropolitan rea Network): Son Redes de rea metropolitana, su tamao es superior a una LAN, soliendo abarcar la longitud de una ciudad. Son Redes tpicas de empresas y organizaciones que poseen distintas oficinas repartidas en una misma rea metropolitana, por lo que su tamao mximo comprende un rea de aproximadamente 10Km.

3.5.1.3 - Redes WAN (Wide rea Network): Son Redes de rea amplia, tienen un tamao superior a una MAN, y consisten en una serie de hosts o de Redes LAN

conectadas por una Subred. sta Subred est formada por unas lneas de transmisin interconectadas por medio de routers, que se encargan de dirigir los paquetes hacia la LAN o host adecuado, envindose stos de un router a otro. Su tamao puede oscilar entre 100 y 1000Km.
REDES, Conceptos extraidos de REDES DE COMPUTADORAS 3ra ed. AUTOR: Andrew S. Tanenbaum.

3.5.2 - Clasificacin segn la tecnologa de transmisin:

3.5.2.1 - Redes Broadcast: Todas las computadors de la Red comparten el mismo canal de comunicacin. Por lo cual cada paquete de datos enviado por cualquier computador es recibido por todas las de la Red.

3.5.2.2 - Redes Point-to-Point: En estas Redes existen bastantes conexiones entre parejas individuales de computadors. Por tanto para poder transmitir los paquetes desde una computador a otra a veces es necesario el uso de routers, ya que el paquete tiene que atravesar computadors intermedias con lo cual el router debe trazar una ruta previa.

63

3.5.3 - Clasificacin segn la transferencia de datos soportada:

3.5.3.1 - Redes de transmisin simple: Aquellas Redes en las que los datos nicamente viajan en un sentido.

3.5.3.2 - Redes Half-Duplex: Aquellas en las que es posible que los datos viajen en uno u otro sentido pero no simultneamente. Es decir solo puede haber transferencia en un sentido a la vez.

3.5.3.3 - Redes Full-Duplex: Aquellas en las que los datos pueden viajar en ambos sentidos al mismo tiempo, se puede utilizar dos canales para transmitir las seales o en el mismo canal se pueden transmitir las dos seales simultaneamente.

3.6 - TOPOLOGA DE LA RED Llamamos topologa de Red a la disposicin de los diferentes componentes de una Red. sta topologa depende de factores como el nmero de computadores a interconectar, el tipo de acceso al medio fsico que deseemos, etc. Podemos distinguir tres topologas diferentes: Topologa fsica: disposicin real de los computadores,

dispositivos de Red y cableado en la Red. Topologa lgica: forma en que los computadores se

comunican a travs del medio fsico. Topologa matemtica: patrones. mapas de nodos y enlaces, formando

64

Para no alargar mucho ste cpitulo, nicamente vamos a recordar las topologas LAN ms comunes, debido a que son las que ms nos interesan conocer:

3.7 - Token Ring: La Red Token Ring es una implementacin del estndar IEEE 802.5, su diferencia respecto a la Red Ethernet vienen dada ms por el mtodo de transmitir la informacin que por la forma de conectar los ordenadores. En ste tipo de Redes la informacin se enva en un Token, el cual va pasando de un ordenador a otro. Cuando un ordenador quiere enviar informacin a otro, debe esperar a que le llegue el Token vaco, y utilizarlo entonces para enviar la informacin. Cuando ste Token llega a su destinatario, ste lo enva de vuelta al emisor con el mensaje de que fue recibida la informacin. Luego se libera el Token para poder volver a utilizarlo. Aqu debido a que una computadora requiere el Token para enviar informacin no hay colisiones, el problema reside en el tiempo que debe esperar una computadora para obtener el Token sin utilizar.

3.8 - Ethernet Es una implementacin del estndar 802.3, al contrario que ocurra en las Redes Token Ring, en las Redes Ethernet existe un gran porcentaje de colisiones debido a que en una Red de ste tipo hay muchos ordenadores intentando enviar datos al mismo tiempo, y como solamente puede haber un nico mensaje en trnsito por el cable, se produce la colisin, pudiendo llegar a saturar la Red.

3.8.1 - Fast Ethernet La Red Fast Ethernet es una ampliacin del estndar Ethernet que llega hasta 1000Mbits/seg. (125 MB/seg.), adems tiene la ventaja de que es totalmente compatible con Ethernet, de hecho muchas tarjetas de Red pueden usarse en ambos tipos de Redes sin hacer ningn cambio. 65

3.9 - Conclusiones Espero que esta primera parte halla ilustrado sobre una simple teoria que servir de base para lo que describiremos ms adelante, esta primera parte se ha resumido mucha teoria y solo se ha expuesto teoria que nos concierne y como conocimiento bsico para diseo y entendimiento de un sistema de Red y seguridad informtica, algunos parrafos del texto antes escrito tiene su origen en el libro: REDES DE COMPUTADORAS 3ra Ed. AUTOR: Andrew S. Tanenbaum Libro de amplio espectro en conceptos y tecnologias de comunicaciones de datos.

66

SEGUNDA PARTE
(Recopilacin de datos)

67

CAPITULO IV
4.1 - Consideraciones actuales de la subred Tenemos una empresa institucional de salud, en concreto un Hospital Estatal, el cual tiene una red local diseada hace ms o menos unos veinte aos. En sta segunda parte del trabajo nos vamos a encargar de describir, y analizar el diseo de la red tanto en equipamiento fsico como organizacin lgica, esto ocurrir en los prximos dos captulos siguientes.

4.2 - Estratgica actual de la subred H.E.P. Me atrevera a decir que la estrategia seguida en este centro de cmputo no ha estado prevista ni se le ha dado la importancia por las autoridades pertinentes a partir de los cambios sucesivos de gobierno y de manejo de las instituciones hospitalarias, es mas, se ha creado como una obligacin de incluirla necesariamente referente al avance tecnolgico. Como hoy sabemos el rea de informtica es de vital importancia en los manejos empresariales y en la eficiencia del manejo de la informacin, El porqu construirlo es la base para la inversin de crear esta unidad de Informtica, actualmente se dispone de varios conceptos y modelos cuando se responde a este cuestionamiento, pueden inferirse los caminos a seguir para la construccin del mismo sustentando que los sistemas

computacionales son herramienta de solucin para problemas de clculo de operaciones, investigacin de procesos estadsticos, gestin de integracin con sistemas departamentales, gestin de recursos econmico-financieros, logstico y gestin de procesos asistenciales.

4.3 - Recursos fsicos con los que cuenta el H.E.P. A continuacin desarrollaremos los recursos con que brinda el HEP. Material importante donde suceden los hechos.

68

4.3.1 - Instalaciones fsicas HEP.

4.3.1.1 - Bienes muebles: La institucin destina gran parte de su presupuesto a la compra de material mdico pero tiene un presupuesto mnimo para el mantenimiento de la Intranet que posee, a continuacin

mencionaremos los equipos de la Red

Computadores: Edificio Propio Edificio Alquilado : 63 : 33

Concentradores: Hubs Switchs : 04 : 03

Servidores: Servidores : 07

69

4.3.1.1.1 - CUADRO DE DISTRIBUCIN DE TOTAL COMPUTADORES

# Total de REA Equipos en Red 01 02 03 04 05 06 07 08 09 10 11 Personal Logstica Planificacin Control Interno Patrimonio Direccin Administrativa Almacn General Economa Farmacia Diagnstico por Imgenes Rayos X 08 10 04 02 05 02 02 11 07 01 01 Usuarios de Internet 03 03 02 02 01 01 01 05 01 01 --01 Brindan Servicio Asistencial ----------------03 Ingreso de datos a los Sistemas 02 08 ----05 01 02 04 05 01 01 Ejercen Transferencia de Informacin 05 09 02 02 01 01 01 07 05 01 01

70

# Total de REA Equipos en Red 12 Direccin Ejecutiva Servicios Generales Estadstica & Informtica Epidemiologa Pediatra Nutricin SIS Enfermera Servicio Social Recursos Humanos Soporte Informtico 03

Usuarios de Internet

Brindan Servicio Asistencial

Ingreso de datos a los Sistemas

Ejercen Transferencia de Informacin 02

01

---

02

13

01

01

---

01

01

14 15 16 17 18 19 20 21

05 03 05 01 02 01 01 02

02 01 03 --01 01 01 02

-----------------

05 02 02 --02 -------

05 02 04 --02 01 01 02

22

06

03

---

---

06

71

# Total de REA Equipos en Red 23 24 25 26 27 28 29 30 31 32 Cajas recaudacin Admisin UTAB UTIP Laboratorio Cuerpo Mdico Auditorio Emergencia Almacn Farmacia Total Servidores 02 01 01 01 03 02 01 01 01 07

Usuarios de Internet

Brindan Servicio Asistencial

Ingreso de datos a los Sistemas

Ejercen Transferencia de Informacin 02 01 01 01 03 02 01 01 01 05

------01 01 02 ------02

02 01 01 --------01 -----

02 01 01 --02 ----01 01 ---

72

4.3.1.2 - Bienes Inmuebles: El hospital posee Dos (2) locales o edificios, en donde desarrollan sus actividades, consta de un local Propio otro local Alquilado, Muy buena parte de los trabajadores se encuentra en el local alquilado, se mencionar las reas que pertenecen a cada local as analizaremos con ms detalle y precisin.

4.3.1.2.1 - Local alquilado: Es de puramente trabajo administrativo rea de Personal.rea de Logstica rea de Planificacin rea de Control Interno rea de Patrimonio Direccin Administrativa rea de Almacn General : rea administrativa : rea administrativa : rea administrativa rea Administrativa : rea administrativa : rea administrativa : rea administrativa

73

4.3.1.2.2 - Local propio: Se ejecuta tanto la asistencia mdica a usuarios como trabajo administrativo

rea de Economa rea de Farmacia Direccin Ejecutiva rea de Servicios Generales rea de Estadstica e Informtica rea de Epidemiologa rea de Jefatura Asistencial rea de Nutricin rea Seguro Integral de Salud rea de Enfermera rea de Servicio Social rea de Recursos Humanos rea de Soporte Tcnico Informtico rea de Cajas rea de Admisin rea UTAB rea UTIP rea de Laboratorio rea Cuerpo Mdico Auditorio rea Emergencia rea de Almacn de Farmacia

rea administrativa rea asistencial Direccin rea Mantenimiento rea administrativa rea administrativa rea administrativa rea administrativa rea administrativa Unidad Enfermera rea administrativa rea administrativa rea Soporte Tcnico Recaudacin Dinero Ingreso de datos Unidad Mdica Unidad Mdica Unidad Laboratorio rea administrativa Auditorio H.E.P. Unidad Mdica Almacn General

4.3.2 - Seguridad fsica del local. El Hospital de Emergencias Peditricas no cuenta con un seguro de incendios muy sofisticado, solo extintores de polvo qumico seco, pero se esta gestionando un sistema contra incendios automatizado, corresponde a la institucin adquirirla.

74

La infraestructura es precaria y de poca seguridad frente a sismos y/o inundaciones por lluvias fuertes, aunque es un sitio central y estratgico para la localizacin de los servidores todava no posee las caractersticas pertinentes para un centro de cmputo, la direccin de Estadstica e Informtica esta gestionando acondicionar el lugar correctamente.

4.3.3 - Suministro elctrico. El H.E.P. no posee un sistema independizado elctrico pero los servidores cuentan son un sistema de UPS (Units Power Supply) para cadas del sistema elctrico, ni posee un transformador de aislamiento, pero hasta el momento no ha tenido ningn percance elctrico. Los nodos como Switch y los puntos crticos del hospital como ventas, Cajas, Farmacia y Admisin cuentan con UPS as salvaguardan su informacin.

75

CAPITULO V
5.1 - Organizacin lgica actual de la intranet H.E.P. Un Centro de Procesamiento de Datos (CPD) o Centro de cmputo, es el conjunto de recursos fsico, lgicos, y humanos necesarios para la organizacin, realizacin y control de las actividades informticas de una empresa, a continuacin describiremos el arreglo lgico de la Intranet dentro del HEP, el CPD cumple diversas funciones que justifican los puestos de trabajo establecidos que existen en l, las cuales se engloban a travs de los siguientes departamentos, es este caso solo analizaremos los

departamentos que se presenten en el desarrollo del anlisis

5.2 - Gestin y administracin lgica en la Red en los edificios Las funciones de gestin y administracin de un centro de procesamiento de datos engloban operaciones que deben ser supervisadas y organizadas mediante proyectos que a su vez siguen un estndar la cual nos otorgan seguridad y un mximo performance. Describiremos la organizacin lgica rigindonos en como la encontramos y en el prximo capitulo expondremos mejoras seguidas de un estndar.

5.2.1 - En el edificio rentado: Tenemos 34 ordenadores, todos repartidos en las diferentes reas del edificio en el tercer piso, todos ellos se conectan a un Switch y un Hub, El Switch de 24 puertos y el Hub de 12 puertos se unen mediante cable Crossower, el Switch se conecta al edificio en el rea de Soporte Informtico mediante un cable UTP Categora 5e de aproximado 65 metros al Switch principal. En el primer piso de ste edificio se encuentra el Almacn General El Almacn posee un pequeo Hub de 4 Puertos el cual se conecta al hub del tercer piso, con todo ello estn repleto los puertos Ethernet, los Hub

76

son Base10TX y los Switch son Base10/100TX, Las tarjetas de Red de los computadores son de transmisin 10/100TX. 5.2.2 - En el edificio propio: Se encuentra el resto de los computadores servidor local y el Router CISCO CONECTADO AL MODEM DTU para conectarse a Internet. El Router provee las direcciones IP Publicas en el rango de 17: IP 162.192.5.(6-19)/26. Tenemos implementado un servidor LINUX Fedora Core 6 de versin 8.0 de Kernel 2.4, el Servidor Linux esta configurado como Firewall y posee dos tarjetas de Red 100/10X que estn conectadas ambos puertos Ethernet a un mismo Switch, el programa Squid se ejecuta en el servidor y no se hace la funcin de NAT con ninguna regla, ninguna configuracin de reglas de IPTables protege la Intranet, las reglas del Firewall se examinan en la primera parte All mismo tenemos otros dos concentradores un HUB y un Switch que conecta los servidores y los dems computadores de la Intranet, de ellos se conectan dos HUB y un Switch distribuidos en toda la red que abastecen las reas de economa y asistencial. Por tanto tenemos un total de 63 ordenadores conectados en Red y distribuidos por todo el edificio y conectados en red.

5.2.3 - Entre los dos edificios Los dos edificios estn unidos por un cable UTP Categora 5e a una distancia entre concentradores de aproximadamente 65 metros y no tiene ninguna clase de blindaje ni proteccin y cada edificio se compone en varios departamentos ya mencionados. Los dos edificios se encuentran unidos y en nuestro anlisis se tornar como una Intranet general y unificada, todos los computadores pueden verse ente s por grupos de trabajo Windows a travs de la Intranet.

77

5.3 - Topologa de la red Como ya sabemos, existen diversos tipos de redes explicadas en la Primera Parte, nuestra Red es una LAN de tipo Fast Ethernet 100/10 Mbps con una tecnologa de transmisin broadcast (Ethernet). Todos los ordenadores disponen ya de tarjetas de red Ethernet o Fast Ethernet, con lo cual nosotros seguiremos manteniendo sta topologa.

5.4 - Distribucin de los IP Estos estn distribuidos en una forma genrica y no sigue ningn tipo de segmentacin, la clase asignada es la C (/24) con el IP como Red: 192.168.1.0 y hasta un total de 96 computadores conectados a Red, los IP para servidores estn reservadas dentro de los primero 10 Nmeros.

5.5 - Sistemas Operativos Usuarios En la mayora de los computadores de velocidades de procesamiento de 300MHz a 1,2GHz poseen WINDOWS98 y en los procesadores de tecnologa Pentium IV posee Windows XP, esta diferencia de Sistemas Operativos se deduce de los recursos que posee un computador para que pueda soportar correctamente las interfaces visuales, sistemas y sus aplicaciones, asimismo conforme se vaya realizando las actualizaciones en el hardware de los computadores se Irn cambiando la versin de los sistemas operativos.

5.6 - Departamento o rea de Servidores En esta rea se examinar totalmente los servidores instalados repartidos en los diferentes departamentos:

5.6.1 - El servidor ASISTENCIAL.Es el servidor principal de la institucin, el Sistema Operativo de este servidor consta de un NOVEL 5.0 del fabricante NETWARE (servidor dedicado), este servidor provee volmenes de redes que son los directorios para la ejecucin de los programas asistenciales y controles 78

de la institucin, estos volmenes de redes se asignan a los usuarios mediante unos clientes, tanto el cliente 3.31 para Win9x y el cliente 4.83 para WinXP/2K, en esta versin de cliente por la experiencia llevada, se ha concluido que el cliente 4.83 es ms estable que el 4.9; El protocolo de comunicacin TCP/IP de esta versin de sistema Operativo es el protocolo utilizado para el establecimiento del modo de comunicacin cliente-servidor; en lo que concierne a la seguridad, el Sistema Operativo ejecuta un NLM (Netware Load Module) que es provedo por la empresa HACKSOFT y su actualizacin se d mediante futuras versiones lanzadas por el fabricante. En lo que concierne al HARDWARE donde se ejecutan estos sistemas, es un servidor IBM NetFinity 3500 con un procesador de 350 MHz posee 64MB de memoria RAM PC100, disco duro de tecnologa SCSI de 8GB y una tarjeta de Red Ethernet de 100/10TX. El criterio de proteccin a fallos de hardware es nulo en este servidor ya que no posee ningn arreglo de servidor BACKUP o RAID de Discos Este servidor se encuentra instalado fsicamente en el rea de soporte tcnico informtico

5.6.2 - El servidor de CORREOS.El servicio de correos le corresponde al software PEGASSUS, un software instalado y configurado sobre el Sistema Operativo Windows NT 4.0 SP6 por la empresa proveedora del acceso a Internet. La empresa proveedora de Internet brinda en su servicio un dominio propio a la institucin y sistemas pblicos de DNS, el dominio es: (.emergenciaspediatricas.sld.pe) Este servidor utiliza el protocolo de comunicaciones de Internet TCP/IP aunque el protocolo nativo de Windows NT 4.0 sea NetBEUI, este posee un IP pblico desprotegido por el Firewall ya que en el diseo visto anteriormente, Fig. (X), muestra una mala instalacin fsica o mal arreglo lgico.

79

En este sistema se ha creado las cuentas de usuarios a todos aquellos que son permitidos tenerlas, tambin poltica de la institucin; los usuarios utilizan el OUTLOOK EXPRESS de Windows como el cliente manejador de correos. La seguridad de este sistema depende del Software antivirus THE HACKER, este software antivirus se actualiza va Internet de forma automtica, tambin cuenta con su Service Pack #6 que es e ultimo de su generacin. Se ha examinado la seguridad de los datos y no cuenta con ningn sistema se seguridad a fallos de Hardware, no posee servidor BDC ni ningn sistema RAID de discos. En lo que concierne al HARDWARE donde se ejecutan estos sistemas, es un servidor IBM NetFinity 3500 con un procesador de 350 MHz posee 64MB de memoria RAM PC100, disco duro de tecnologa SCSI de 8GB y una tarjeta de Red Ethernet de 100/10 TX. Este servidor se encuentra instalado fsicamente el rea de Estadstica e Informtica

5.6.3 - El servidor SIAF.(servicio integral de administracin financiera) Este servicio consta de un programa que el Ministerio de Economa otorga a las instituciones pblicas para la administracin econmica y contable de su presupuesto y manejo de sus recursos econmicos , este programa se ejecuta sobre el Sistema Operativo WINDOWS 98Se es manejado desde los usuarios con un enlace directo a una unidad de red compartida (por lo general S) por el servidor, al archivo ejecutable (de nombre Siafmain.exe); la cantidad de usuarios conectados esta determinada por la poltica de la institucin y no se tratar aqu; los datos cargados a este programa son enviados al servidor del ministerio de economa y finanzas (MEF) va la subred Ethernet al Internet y solo en caso de emergencia cuando falle el servicio de Internet, los datos se envan va MODEM en conexin con un proveedor de servicios del 80

propio Internet; el protocolo de enlace es un RAS (Remote Access Service) por el puerto no privilegiado 43XX. En la configuracin de Red de este servidor se involucra a dos protocolos de Red IP, un protocolo esta configurado con una direccin de la clase C (192.168.1.35) y una direccin pblica para las conexiones va RAS. Posee una direccin pblica (161.132.229.195). No existe proteccin cuando el servicio RAS es activado va MODEM, ya que debera ser filtrada toda conexin con el Internet, esto se puede ver en la siguiente figura Este sistema solo es ejecutable correctamente en plataforma Windows 98 y no se tiene versin ms actual lanzada por el MEF hasta el momento, solo es actualizada peridicamente llevando el computador al Ministerio de Economa y Finanzas (MEF) La seguridad de los datos es ejecuta mensualmente y son grabados en un CDRom y enviados al ministerio de economa; el servidor tambin no cuenta con algn plan de contingencia a fallas de Hardware. En lo que concierne al HARDWARE donde se ejecutan estos sistemas, este es una PC ensamblada de Tecnologa Intel con Chipset 865, la velocidad de procesamiento es de 3.2GHz el disco duro es de 80GB (IDE) de 7200 RPM con SATA 133MHz, cuenta con una memoria de 512MB PC2700 y una tarjeta de Red Ethernet de 100/10 TX. De marca 3COM 905Cx, por supuesto el Windows 98Se no tiene su ncleo actualizado a los chips 865 de transferencia de informacin de la tarjeta principal y su rendimiento es limitado. Este servidor se encuentra instalado fsicamente en el rea de Economa

81

5.6.3.1 - Localizacin del servidor SIAF en la red del ministerio de Economa

82

5.6.4 - El servidor FIREWALL.Este servidor esta diseado para brindar una proteccin contra atacantes de Redes desde el exterior y Regular el trfico internoexterno de la Intranet, as como hacer conexiones nuevas o modificarlas, este servidor no filtra trfico de correo ni trafico Web, no define algn tipo de Firewall ni ejecuta plantillas de restricciones de direcciones prohibidas, tampoco ejecuta Script para restringir

conexiones a determinadas horas de trabajo, no realiza supervisin de conexiones registradas o fallos a logueos externos e internos

5.6.5 - El servidor Logstica.Recin implementndose, correr una plataforma Windows y se ejecutar un manejador de base de datos SQL 2000, en el rea de logstica se ejecutar sistemas en plataforma Windows 2000 Server, no se ejecuta el servicio de Active Directory

5.6.6 - El servidor Personal.Este servidor ejecuta en su Sistema Operativo Windows 2000 Server un motor de base de datos en SQL Personal que es la fuente de informacin para los clientes de personal que ejecutan un programa en Power Builder 8.0, En la configuracin de Red el servidor posee un IP de la clase C (/24) dentro del rango reservado para servidores. Se ha examinado la seguridad de los datos cuenta con un sistema se seguridad a fallos de Hardware integrada en la Mainboard, posee un sistema RAID de discos Nro 2. En lo que concierne al HARDWARE donde se ejecutan estos sistemas, es un servidor IBM xSeries 225 con un procesador de 3.2 GHz posee 128MB de memoria RAM PC2700, dos disco duro de tecnologa SCSI de 36GB con RAID 2 y una tarjeta de Red Ethernet de 1000/100/10 TX. BROADCOM. Este servidor se encuentra instalado fsicamente el rea de Soporte Tcnico.

83

5.6.7 - Departamentos informticos del H.E.P.

5.6.7.1 - Departamento o rea de Anlisis de Sistemas. El H.E.P. no tiene analistas de sistemas especialistas

determinando los cambios requeridos para los sistemas, sino los mismos integrantes y trabajadores del hospital que todos los das trabajan con los sistemas son los mejores analistas, solo se es suficiente un buen analista programador que recaude toda la informacin y la moldee a los requerimientos de la institucin.

5.6.7.2 - Departamento o rea de Programacin. El H.E.P. posee sistemas que estn realizados en plataforma CLIPPER, el programador recauda casi diariamente de la oficina de estadstica e informtica reajustes y algunos nuevos cambios sustanciales a los sistemas, estos sistemas son CAJA,

ADMISION, FARMACIA, LOGIS, el programador tambin se encarga de realizar los Backup de los sistemas, tambin de asistir a los operadores con capacitaciones sobre las modificaciones.

5.6.7.3 - Departamento o rea de Soporte Tcnico. rea responsable de la gestin del hardware y del software dentro de las instalaciones del H.E.P. entendiendo por gestin: estrategia, planificacin, instalacin y mantenimiento. El departamento de soporte tcnico Planifica la modificacin e instalacin de nuevo software y hardware, tambin evaluar los nuevos paquetes de software y nuevos productos de hardware, dar el soporte tcnico necesario para el desarrollo de nuevos proyectos, evaluando el impacto de los nuevos proyectos en el sistema instalado. Asegurar la disponibilidad del sistema, y la coordinacin necesaria para la resolucin de los problemas tcnicos, esto concierne a todos los programas asistenciales y estadsticos.

84

Realizar la coordinacin con los tcnicos del proveedor con el fin de resolver los problemas tcnicos y garantizar la instalacin de los productos en caso se adquieran. Proponer las notas tcnicas y recomendaciones para el uso ptimo de los sistemas instalados. Esta rea realiza tambin mantenimiento a los equipos de cmputo a todo el hospital en forma peridica y con ms frecuencia a los computadores que prestan servicio asistencial, incluye impresoras en general.

5.7 - Recursos tcnicos humanos EL rea de informtica del hospital HEP muestra un conjunto de material humano indispensable para el desarrollo bsico normal, los describiremos a continuacin:

5.7.1 - Analista programador. Corresponde a los mismos trabajadores que lidian todos los das con los programas asistenciales que conocen mejor su funcionamiento ellos son digitadores, mdicos, tcnicos y personal administrativo, etc. Ellos comunican al analista programador mediante la unidad de estadstica e informtica los mejores cambios y acomodamientos de los sistemas, el programador se encarga de actualizarlos.

5.7.2 - Programador de Sistemas. EL programador del H.E.P. es una persona experta en la programacin en Clipper 3.4 con amplia conocimientos en desarrollo hospitalario y de gestin administrativa estatal. El programador debe sustentar con trabajos realizados anteriormente toda su experiencia.

85

5.7.3 - Soporte Tcnico El tcnico de soporte informtico del H.E.P. que es una persona experta realiza configuraciones de los sistemas operativos, tambin esta al tanto con las ltimas tecnologas y as asesora en cualquier adquisicin de un bien informtico, tambin realiza configuraciones de hardwares de computadora, aplicativos y utilitarios, tambin es de su competencia desarrollar el plan de trabajo que se detallar mas adelante.

5.7.4 - Supervisor de Procesos Corresponde al jefe de la unidad de Estadstica e Informtica dirigir y administrar procesamiento de datos y relacionarse con los dems departamentos a fin de coordinar con el rea de programacin y Soporte Tcnico, formula y administra todo el procesamiento de la informacin que maneja el Centro de Cmputo, tambin supervisa las actividades de ingreso de datos de documentos.

5.7.5 - Digitador o Capturista. Las personas que se dedican a ingresar datos en los sistemas hospitalarios ellos convierten los datos de su forma original (un papel) con dispositivos de teclado para proporcionar los datos directamente a la computadora. No obstante la importancia del trabajo de los preparadores de Datos su educacin no requiere una formacin tcnica formal, un mecangrafo competente puede adquirir en pocas semanas de instruccin especializada las habilidades necesarias para el manejo de datos electrnicos.

86

5.8 - RED ACTUAL DEL HOSPITAL EMERGENCIAS PEDIATRICAS

87

CAPITULO VI
ANALIZANDO MEJORAS EN LA RED ACTUAL

6.1 - En lo que concierne a estructuras fsicas y recursos

6.1.1 - Instalaciones fsicas.- si tendramos que ver y maximizar nuestras expectativas, nunca acabaramos por darle lo mejor y las cosas nunca tendran fin, la primera es el tiempo, nunca acabaramos por terminar lo que mejor nos parezca cada vez que hallamos acabado el trabajo y la segunda no habra presupuesto para nuestra imaginacin. Por tal motivo toda esta configuracin se mide en funcin del presupuesto dado, en los datos a proteger y en la propia infraestructura. Tanto en el local propio como en el local alquilado se tiene ya tendida una subred con cables UTP Cat5e que es el estndar aceptable hasta el momento, un mantenimiento de los conectores y homogenizarlos a una categora A o B bastara para optimizarla, la supervisin de los cables no atraviesen campos magnticos alternos fuertes como fluorescentes, motores elctricos de potencia, cables de alta corriente, tambin ruidos altos, sobrecalentamiento por el sol o estn expuestos a reas donde puedan ser maltratados

6.1.2 - Local de cmputo.- la estrategia no habra contemplado a las reas de cmputo desde la formacin de las unidades, es as que no dispone de un local adecuado para beneficio de la institucin. El estndar TIA/EIA-569 especifica que cada piso deber tener por lo menos un centro de cableado y que por cada 1000 m
2 2

se deber

agregar un centro de cableado adicional, cuando el rea del piso cubierto por la red supere los 1000 m o cuando la distancia del

cableado horizontal supere los 90 m. y para aproximadamente 1000m2 de campus deber tener un tamao de armario de 3,0*3,4 m2 de rea

88

del local, En este caso el HEP esta dentro de los limites reglamentarios algo desordenados como ya veremos.

6.1.3 - Computadores.- Los computadores adquiridos son de tecnologa actual con velocidades de procesador de 1.0GHz a 3.2GHz, tecnologa INTEL X86, con el tiempo se estn adquiriendo ms computadores con tecnologa actual, acorde con las aplicaciones actuales que demandan regular consumo de recursos.

6.1.4 - Concentradores.- Los concentradores son de diferentes velocidades, marcas y tecnologas, homogenizar las velocidades para un trfico homogneo realmente mejorar la transmisin de datos, desechar los switch de 10Mbps y colocando en lugar de ellos switch de mayores velocidades se optimiza la transmisin de datos,

configuraciones en cascada mejora tambin la transmisin como se ver mas adelante en las simulaciones.

6.1.5

Servidores.-

existen

adquisiciones

de

servidores

con

velocidades y hardware competente de marca IBM Xseries 225, los servidores no son para manejo multimedia, estn diseados para un exclusivo rendimiento y manejo de los recursos de red

6.1.6 - Seguridad del Local.- no es de importancia la seguridad fsica y marcarla con gran detalle en este trabajo, pero en nuestro local solo tres cosas importantes mencionaremos:

Toma independiente.- Toda la red elctrica del centro de cmputo debe estas independiente de las otras redes para no mezclar ruido entre los equipos de cmputo y al no afectar los posibles cortos circuitos y sobrecargas que hagan saltar llaves trmicas vinculadas.

89

 Transformador de aislamiento.- Es un importante artefacto que se coloca a la entrada de una red de datos primordialmente, este componente elctrico de potencia filtra las corrientes parsitas y limpia la seal elctrica de sus armnicos hacindola mas limpia, la instalacin de este transformador debe ser supervisada por un experto en el campo elctrico a fin de no sobrecargarla.

Refrigeracin a los equipos de computo.- En la fsica del estado slido, el rendimiento varia en una forma inversamente proporcional a la temperatura de su medio, esto indica que los chip controladores de las computadoras ejercen mejor funcin en un medio de menor temperatura. Un medio de baja temperatura mejorara el rendimiento y alargara la vida de los componentes, actualmente posee un sistema de refrigeracin en el cuarto de servidores pero no se controla la humedad del mismo, un deshumedecedor servir para este fin.

6.2 - En lo que concierne a organizacin lgica intranet:

6.2.1 - Organizacin lgica en los Edificios Con lo cual, a pesar de ser una red pequea con pocos ordenadores conectados, es necesario una divisin en partes de la misma por varias razones, cuando la red se vaya extendiendo, tambin ir aumentando de forma similar el dominio de colisin, afectando seriamente al rendimiento de la red. Esto se puede mitigar segmentando la red, dividiendo la misma en una serie de segmentos significativos de tal forma que mediante Switch podremos limitar estos dominios de colisin enviando las tramas tan slo al segmento donde se encuentra el Host de destino. Conforme aumenta el nmero de Hosts, aumenta tambin el nmero de transmisiones Broadcast en forma proporcional. Esto se debe a que los 90

Hosts envan de forma constante peticiones ARP, envos RIP, peticiones DNS, etc. Por tanto puede llegar un momento en el que dicho trfico puede congestionar toda la red de forma inaceptable al consumir un ancho de banda excesivo. Entonces por razones de rendimiento y para solucionar estos problemas es necesario dividir la red en una serie de subredes, de tal forma que cada una de ellas va a funcionar luego a nivel de envo y recepcin de paquetes como una red individual, aunque todas pertenezcan a la misma red principal (pero no por tanto al mismo dominio o subred). De esta forma a nivel administrativo podremos considerar subredes bien diferenciadas, consiguiendo con ello un control del trfico de la red y una limitacin de las peticiones de broadcast que la atraviesan. A continuacin segmentaremos la red de computadores reagrupando por localizacin, se describe en la siguiente tabla la configuracin:

6.2.2 - SEGMENTACIN LGICA DE LA RED HEP

Dominios

reas involucradas
Logstica, planificacin, Control interno,

Totales PC 25

Patrimonio, Direccin Administrativa, almacn General Farmacia, Diagnostico por Imgenes,

Rayos X, Direccin Ejecutiva, Servicios Generales, Estadstica e Informtica, Epidemiologa

21

C D

Personal y Economa Resto de reas

19 31

91

6.2.3 - Distribucin de las Direcciones IP (actual) Para la asignacin de las direcciones actualmente se utiliza una Red privada de clase C:

Red Mscara

: 192.168.1.0 : 255.255.255.0

Con sta red se tiene 256 direcciones, pero solo 254 son aprovechables para Hosts, ya que la primera direccin (192.168.1.0) define la propia red, y la ltima (192.168.1.255) se utiliza para direcciones broadcast. Por tanto con una red de ste tipo podemos tener hasta 254 Hosts en red, como es obvio, ya que nuestra red se compone de 93 ordenadores, una red de clase C colma todas las IP que tenemos en nuestra Red Las direcciones desde 192.168.1.1 hasta 192.168.1.10, sern

reservadas para servidores. El servidor Firewall tiene la direccin 192.168.1.1 (eth1), y el resto de servidores siguen una numeracin aleatoria. Mas adelante analizaremos ms variables en donde comprometern la Red, por lo tanto vistas todas las ventajas que aporta el uso de subredes, vamos a realizar los diseos.

6.2.4 - Divisin de la subred: Y luego veremos en cada uno de ellos sus ventajas e inconvenientes para finalmente decidirnos por la mejor opcin.

6.2.4.1 - Primer anlisis: Subredes con mscaras de tamao fijo, Como hemos visto anteriormente, para el diseo de la red tenemos una red privada de clase C, es decir con 254 direcciones posibles.

92

Ya que tenemos cuatro departamentos cada uno con un nmero de ordenadores no superior a 40, nos bastar con cuatro subredes, (A, B, C, D), adems la disposicin de los

computadores y del arreglo fsico de los computadores nos lleva agruparlos cmodamente en cuatro grupos en las cuales trataremos de segmentarla de tal forma reduzca el broadcast de la red, darle seguridad a las dependencias entre si.

6.2.4.1.1 - Primera opcin: Tenemos la red 192.168.1.0, si le aplicamos la mscara 255.255.255.224 o /27, (3 bits de subred y 5 bits de Host), la divide en 8 (2 ) subredes de 32 (2 ) direcciones cada una. () 3bits _ de _ red, _ 5bits_ de _ host
3 5

23 8 _ bits _ de _ RED 2 5 32 _ bits _ de _ HOST

Teniendo en cuenta que las direcciones con el valor todo ceros y todo unos del campo Host y del campo subred estn reservadas, nos quedaran 6 subred es de 30 direcciones cada una, con el inconveniente de que cada una de ellas tiene nicamente 30 direcciones aprovechables 2 3 2 8 2 6 _ bits _ de _ RED

2 5 2 32 2 30 _ bits _ de _ HOST
Con lo cual tendramos muy limitada la ampliacin de Hosts, tambin en el edificio D tenemos 31 computadores con tendencia a aumentar el cual no nos permite alcanzar el rango deseado.

93

6.2.4.1.2 - Segunda opcin: De la misma forma que en la opcin anterior tenemos la red 192.168.1.0, si le aplicamos la mscara 255.255.255.192 o /26, (2 bits de subred y 6 bits de Host), la divide en 4 subredes de 64 direcciones cada una.

() 2bits _ de _ red, _ 6bits _ de _ host

2 2 4 _ bits _ de _ RED 2 6 64 _ bits _ de _ HOST

Evidentemente con 62 direcciones (64 menos las dos direcciones reservadas) en cada subred tenemos suficiente, ya que actualmente el nmero de Hosts no supera los 40 en total. El problema ahora viene determinado por el nmero de subredes, ya que en ste caso si ser necesario utilizar subnet-zero para poder aprovechar ntegramente las 4 subredes, ya que de no poder cometer esta pequea infraccin nos quedaran nicamente 2 subredes, que obviamente no son suficientes para cubrir los servicios de los cuatro departamentos, si queremos asignarles a cada uno de ellos una subred diferente.

2 2 2 4 2 2 _ bits _ de _ RED 2 6 2 64 2 62 _ bits _ de _ HOST

Una vez vistos ambos casos, se ve claramente que ninguna de las opciones es la adecuada, y tambin pudiendo con el tiempo llevarnos a una reestructuracin de la red pero que no sera a corto plazo, si observamos la relacin de ordenadores hecha anteriormente, podemos ver que los edificios estn ligeramente descompensados en lo que al nmero de ordenadores se refiere En un pequeo clculo del promedio tenemos (31+19+25+21)/4=24, las varianzas respectivas difiere en pequeo numero de las cantidades originales.

94

6.2.4.2 - Segundo anlisis: Subredes con mscaras de tamao variable, sta tcnica consiste en dividir una red en subredes de diferentes tamaos, de sta forma si tenemos varias oficinas o departamentos cada una con un nmero determinado de Host, no es necesario asignarles a todos ellas subredes del mismo tamao.

En caso de no existir esta posibilidad, analicemos que problemas tendramos. Supongamos nuestras 4 subredes A, B, C y D de 25, 21, 19 y 31 computadores respectivamente, Anteriormente hemos propuesto para la distribucin de las direcciones IP, 2 opciones, ambas con subredes con mascaras de tamao fijo. En las dos opciones se puede observar que el nmero de direcciones de las subredes que hemos elegido viene determinado por el

departamento con mayor nmero de ordenadores, de sta forma siendo D el departamento con ms ordenadores, se elige una subred que cubra las necesidades de ste departamento es decir, que tenga suficientes direcciones para todos sus ordenadores, de sta forma los departamentos A, B y C, teniendo menos computadores Host que el departamento D, tienen el mismo nmero de direcciones que ste para asignar a sus ordenadores, as aprovechando de esta forma una gran cantidad de direcciones IP, mediante este anlisis se puede pensar que

independientemente de las distribuciones equitativas de los IP, puede escogerse tamaos variables que tenga importancia solo el tamao de las redes. Una vez explicadas esta ventaja de las subredes con mscara de tamao variable vamos a ver como nos quedara la distribucin de las direcciones utilizando esta tcnica.

95

Parte

A-- 25 computadores

Le asignamos una subred de 62 direcciones: Subred (ID) 192.168.1.64 Mscara Subred/bits de mscara 192.168.1.64/26

255.255.255.192

Parte

B-- 18 computadores

Le asignamos una subred de 30 direcciones: Subred (ID) 192.168.1.64 Mscara Subred/bits de mscara 192.168.1.64/27

255.255.255.224

Parte

C-- 19 computadores

Le asignamos una subred de 30 direcciones: Subred (ID) 192.168.1.96 Mscara Subred/bits de mscara 192.168.1.96/27

255.255.255.224

Parte

D-- 34 computadores

Le asignamos una subred de 62 direcciones: Subred (ID) Mscara Subred/bits de mscara 192.168.1.128/26

192.168.1.128 255.255.255.192

Como podemos observar ahora cada segmento tiene una subred que se ajusta a sus necesidades, con lo cual no desaprovecha direcciones. En el caso de que los departamentos amplen el nmero de ordenadores, tambin tendremos que reestructurar el diseo de la red, ya que hemos elegido unas subredes con tamao ajustado al nmero de Host que tenemos actualmente. Esto podemos solucionarlo fcilmente siendo algo radical y colocando a cada segmento lgico en una subred diferente y total en su conjunto, Nos quedara entonces:

96

6.2.4.3 - Tercer anlisis: Subredes con mscaras iguales e ID diferente

Edificio A-- 25 ordenadores Le asignamos una subred de 254 direcciones:

Subred (ID) 192.168.1.0

Mscara 255.255.255.0

Subred/bits de mscara 192.168.1.0/24

Edificio B-- 18 ordenadores Le asignamos una subred de 254 direcciones:

Subred (ID) 192.168.2.0

Mscara 255.255.255.0

Subred/bits de mscara 192.168.2.0/24

Edificio C-- 19 ordenadores Le asignamos una subred de 254 direcciones:

Subred (ID) 192.168.3.0

Mscara 255.255.255.0

Subred/bits de mscara 192.168.3.0/24

Edificio C-- 34 ordenadores Le asignamos una subred de 254 direcciones:

Subred (ID) 192.168.4.0

Mscara 255.255.255.0

Subred/bits de mscara 192.168.4.0/24

97

Como se puede ver en todas las configuraciones el ID es diferente significando que las PC no se podrn ver siendo necesario rutar los paquetes. Tambin eliminando el trfico BROADCAST considerablemente. En la zona DMZ tambin se considerar una red de (ID) diferente para todos los casos

Subred (ID) 192.168.5.0

Mscara 255.255.255.0

Subred/bits de mscara 192.168.5.0/24

98

6.2.5 - REESTRUCTURACIN DE LA INTRANET HEP. A CORTO PLAZO

99

6.2.6 - Conclusin Las segundas opciones de los dos anlisis (fijo y variable) son buena configuracin para nuestra red. Partiendo del hecho de la ventaja de que la divisin en subredes no tiene porque hacerse necesariamente de forma homognea en todo el espacio de direcciones se ha planteado estas opciones de

configuracin y segmentacin donde est supeditada a que los nodos de concentracin de estas subredes deben tener caractersticas de router.

NOTA

IMPORTANTE:

para

tomar

en

cuenta

estas

tres

configuraciones (cualquiera que sea fija, variable o diferente) de segmentar la red en 4 utilizando bits prestados, estamos incurriendo en la necesidad de adquirir switch con caractersticas de enrutadores (ROUTER) para as poder encaminar los paquetes de los diferentes segmentos, nosotros en nuestro trabajo consideramos que solo tendramos que utilizar los switch que tenemos disponibles ya que no es importante destacar la compra de equipos de cmputo, se trabajar en una red general de 192.168.1.0/24 pero se tiene la certeza que una reestructuracin de este tipo podra agilizar la red considerablemente y darle mucha seguridad. La segunda topografa seria la ideal y seria una reestructuracin a largo plazo ya que tendra que invertirse en re-cablear varias reas.

100

6.2.7 - TOPOLOGIA FINAL HEP.

101

6.2.8 - Asignacin personalizada de los IP para la configuracin del FIREWALL.Los segmentos A, B, C y D llevar una misma mscara y misma cantidad de IP, red segmentada.

SEGMENTOS

NMEROS DE HOST ASIGNADOS

SUBRED

MSCARA

62

192.168.1

255.255.255.0

B C D

62 62 62

192.168.1 192.168.1 192.168.1

255.255.255.0 255.255.255.0 255.255.255.0

Se asignar Pull de IP a las unidades a fin de tenerlas registradas y tener la facilidad de poder alterar las tablas del firewall segn se hagan ajustes
# PC UNIDAD Servidores Personal Economa TOTAL C Logstica Planificacin Control Interno Patrimonio Direccin Administrativa REA NMERO DE IP / MASK

6 8 11 19 10 4 2 5 2

Sist C C C A A A A A

192.168.1.(1..10)/24 192.168.1.(11..19)/24 192.168.1.(20..31)/24 192.168.1.(11..62)/24 192.168.1.(65..74)/24 192.168.1.(75..78)/24 192.168.1.(79..80)/24 192.168.1.(81..85)/24 192.168.1.(86..87)/24

102

# PC

UNIDAD Almacn General TOTAL A Farmacia Diagnstico por Imgenes Rayos X Direccin Ejecutiva Servicios Generales Estadstica & Informtica Epidemiologa TOTAL B Pediatra Nutricin SIS Enfermera Servicio Social Recursos Humanos Soporte Informtico Cajas recaudacin Admisin UTAB UTIP

REA

NMERO DE IP / MASK

2 25 7 1 1 3 1 5 3 21 5 1 2 1 1 2 6 2 1 1 1

A A B B B B B B B B D D D D D D D D D D D

192.168.1.(88..89)/24 192.168.1.(65..126)/24 192.168.1.(129..135)/24 192.168.1.136/24 192.168.1.137/24 192.168.1.(138..140)/24 192.168.1.141/24 192.168.1.(142..146)/24 192.168.1.(147..149)/24 192.168.1.(129..190)/24 192.168.1.(193..197)/24 192.168.1.198/24 192.168.1.(199..200)/24 192.168.1.201/24 192.168.1.202/24 192.168.1.(203..204)/24 192.168.1.(205..210)/24 192.168.1.(211..212)/24 192.168.1.213/24 192.168.1.214/24 192.168.1.215/24

103

# PC

UNIDAD Laboratorio Cuerpo Mdico Auditorio Emergencia Almacn Farmacia TOTAL D

REA

NMERO DE IP / MASK

3 2 1 1 1 31

D D D D D D

192.168.1.(216..218)/24 192.168.1.(219..220)/24 192.168.1.221/24 192.168.1.222/24 192.168.1.223/24 192.168.1.(193..254)/24

Nota: en caso de que se haga caso a las reestructuraciones de la subred y se tome en cuenta la segmentacin se tendra que cambiar en la tabla anterior el sufijo o mscara de la configuracin que se tome y que se crea correcta en todas las anteriores mostradas.

Ejemplo: En tal caso un ejemplo: Actualmente:

31 TOTAL D D 192.168.1.(193..254)/24

Red segmentada: (utilizacin de switch ruteables).

31 TOTAL D D 192.168.1.(193..254)/26

104

6.3 - Recomendaciones generales para:

6.3.1 - Servidores

El servidor ASISTENCIAL.- Muy pronto ser migrado a plataforma Netware 6.5 y a un servidor ms potente de marca IBM xSeries 225 modelo: 6487, se ejecutar solo el protocolo IP as no habr doble protocolo en la comunicacin.

El servidor CORREOS.- se recomienda para este servidor reemplazarlo por uno de mejor tecnologa ya que ha sido reparado una vez por deficiencias en los filtros. Talvez tambin se podra migrar a un Linux y un sendmail a fin de estabilizar el servidor ya que durante mi estada como soporte tcnico en la institucin se ha realizado levantamientos y reinstalaciones del sistema operativo NT4.0.

El servidor SIAF.- es una simple PC que se renueva con el tiempo, conforme avance la tecnologa en PC este servidor ira migrando constantemente, y el ministerio y su unidad de informtica tendr que darle soporte a su SIAF ya que no es instalable en el sistema operativo Xpsp2.

El servidor FIREWALL.- se configurar y expondr un Firewall configurado para nuestros propsitos. (TERCERA PARTE).

El servidor LOGISTICA.- Servidor de ltima tecnologa, poco a poco se expondr a mejoras en la programacin y hacindolo ms verstil para los usuarios, este tipo de servicio tiene que supervisar el rea de

Informtica ya que fue otorgado a tercero mediante licitacin pblica. El sistema operativo WINDOWS 2000 deber estar actualizado en su totalidad y con sus services pack

105

El servidor PERSONAL.- recientemente comprado, tambin se instalar un Windows 2000 y tiene que estar supervisado por el rea de Informtica ya que terceros desarrollarn el programa y su instalacin de la base de datos, las mejoras dependen del buen contrato realizado. El sistema operativo WINDOWS 2000 deber estar actualizado en su totalidad y con sus services pack al igual que el sistema SQL 2000

6.3.2 - Departamento o rea de Informtica.Aparte de lo que ya el programador realiza en la institucin en su contrato rige clusulas donde tiene que innovar los sistemas a forma visual, tambin coopera en soporte informtico mientas este a su alcance sus conocimientos de soporte, no expondremos mas en las funciones y contribuciones del programador en este trabajo ya que no es el fin.

Departamento o Area de Soporte Se expondr en un anexo un plan de trabajo realizado en el HEP. Como mejora y orden en las ejecuciones en la institucin concerniente a su hardware informtico.

6.3.3 - Planteamiento de un estndar. Existen innumerables de estndares de seguridad y de sistemas as como procedimientos genricos con tcnicas que le resuelven seguridad a cualquier tipo de organizacin, no se desarrollar algunas de estos porque seguiremos la configuracin de seguridad propia de Fedora Core 6 para la construccin de Firewall. Algunas normas para el conocimiento simple concepto se mencionan aqu:

NORMA ISO/IEC 17799.- Ofrece las recomendaciones para realizar la gestin de la seguridad de la informacin, la versin espaola e esta norma es la UNE 717799. 106

NORMA MULTIPARTE ISO/IEC 13335 (GMITS).- En esta norma se recogen las etapas del ciclo de gestin de la seguridad proporcionando orientaciones organizativas y tcnicas, la versin espaola de esta norma multiparte es la UNE 71501.

NORMA BRITANICA BS-7799-2.- La cual fija requisitos para establecer, implementar y mantener un sistema de gestin de la seguridad de los sistemas de informacin

6.3.4 - Consideraciones econmicas. No es prioridad en este documento realizar los clculos para gestionar cambios de hardware que requieran costo econmico, El Hospital de Emergencias Peditricas debe evaluar generando proyectos de actualizaciones de hardware incluyendo la sub red, cualquier optimizacin que se realice aqu solo es de tipo lgico incluyendo el software para servidores Linux ya que su descarga de Internet es gratuita y solo se debe a su licencia GNU, el nico costo que debe hacer la institucin es la adquisicin de Switch para actualizar y homogeneizar el hardware de la su subred

107

6.4 - Zona de operatividad del firewall aplicado Los cortafuegos o Firewall de filtrado de paquetes funcionan el mas capas de transporte y de red, trabajando sobre la informacin de las cabeceras de los paquetes IP, esto quiere decir que no se analiza el rea de DATOS, en la siguiente tabla se tendr en consideracin que nuestro firewall solo protege parte de la red y que para una proteccin ms sofisticada necesitamos de ms armas as cubrir todas las capas o pilas de la comunicacin.

A continuacin un grfico que contiene las tecnologas que se utilizan por capas

Fuente: Imagen extrada de Internet

108

6.5 - CONCLUSIN: Como hemos visto en los planos de la distribucin se emplear un Firewall con zona DMZ con tres Interfaces de Red, se implementar un Proxy configurado a pedido de la unidad de Estadstica e Informtica y el Firewall se configurar examinado la Red.

En nuestra tercera parte llevaremos toda esta configuracin y ser implementada en un firewall de proteccin en la capa tres (3) de la OSI de ISO.

109

TERCERA PARTE
(Diseo y resultado de la investigacin)

110

CAPTULO VII
DESCRIPCION DE LINUX FEDORA 6 (actualidades)

7.1 - El Kernel v-2.6.18, caractersticas incorporadas en diferencia con el

kernel 2.4.X

Soporte ACL El soporte ACL aadido al kernel en los primeras dos lanzamientos beta demostraron ser inestable y causar que el kernel retrocediera. Fedora Core por lo tanto ha eliminado el soporte ACL del kernel para Fedora Core 9. Los ingenieros del Kernel continuarn trabajando para mejorar el soporte ACL, el cual estar disponible para futuras entregas. Los paquetes attr y acl necesitados para soportar ACLs estn todava incluidos para hacer las cosas ms fciles para usuarios y desarrolladores que deseen probar ACLs. Fedora Core puede, a nuestra discrecin, proporcionar el soporte para ACL para esta entrega de Fedora Core con fines de actualizacin, si las pruebas futuras demuestran que el soporte para ACL ha mejorado lo suficiente su calidad.

Nuevo planificador de procesos (Scheduler) Cuando el nmero de procesos es mayor que el nmero de procesadores es necesario alternar cada proceso para cada procesador as mismo se ver como si tolos los procesos se estuviesen ejecutando al mismo tiempo, el Scheduler o planificador del Kernel 2.4 tiene unas deficiencias en la asignacin de procesos, cuando un proceso es asignado a un cpu el scheduler del K2.4 usa un bloqueo de procesamiento para poder asignar otro proceso al procesador ocioso, as cuando existan dos procesadores, para asignar un proceso al procesador1, se tendr que esperar que el procesador2 acabe su tarea, as a mayor numero de procesadores ms contencin se crea.

111

Muy aparte del algoritmo para seleccionar el proceso a ejecutarse tampoco es escalable con respeto al nmero de procesos, para decidir que proceso ha de ejecutarse se recorre toda la lista de procesos no existe problema para esto pero cuando la cantidad de procesos se eleva considerablemente (10000), se tendr que consumir parte de CPU afectando el rendimiento por lo que tambin es un algoritmo no ptimo. Para solucionar el problema de la asignacin de procesos, el nuevo kernell2.6 en su Scheduler no hay una lista global de procesos sino una lista para cada procesador, as cada procesador ser autnomo y escoger que proceso le es ms conveniente de su lista y tratarlo. Podra ser que en una CPU sus procesos se acabasen para ello existe un hilo que se encarga de balancear los procesos de todas las CPU. Y con respecto al problema de escalabilidad de procesos de crea una mscara de bits sobre cada Array eso conlleva a una ejecucin de dos instrucciones de procesador para encontrar el prximo proceso lo cual hace un algoritmo muy eficiente. Otra cosa nueva que trae este Scheduler es una nueva poltica de planificacin de procesos conocida como batch Sheduling significa que esta tarea no se ejecutara hasta que todos los procesos hayan agotado sus timeslices, es decir se efecta prioridades (nice), pero siempre existe la probabilidad de que un proceso con (nice 0) se ejecute antes de un proceso con (nice 10), con el Batch scheduling se asegura de que una tarea no interfiera en absoluto con el resto del sistema.
(Proceso reescrito por Ingo Molnar, desarrollador Linux)

Inversin de prioridades EL batch scheduling trae algunos efectos negativos que cabe resaltar, como es la inversin de prioridades, algo que NO esta solucionado en Linux (si en otros sistemas operativos como NT). Explicaremos para dar un ejemplo,

112

Pongamos que tenemos tres procesos: A, B, C. El proceso A es una tarea que se ejecuta con prioridad alta, la B con una normal (nice 0), y la C como batch scheduling (muy baja). Pongamos que la tarea C adquiere un bloqueo y que necesita ser liberado para que A se ejecute. Ahora pongamos que la tarea B necesita ejecutarse; como la tarea C no se ejecutara hasta que la B termine, el resultado es que la tarea B se ejecutara y la A no, es decir la tarea B acaba ejecutndose como si tuviera la prioridad de A (de all inversin de prioridades). La solucin a esto es la herencia de prioridades si se quiere que la tarea A se ejecute lo que se necesita es dar la prioridad de A a C. Aparte de todo esto, los algoritmos que se han diseado de nuevo en muchos casos consiguen asegurar una buena interactividad, que no haya casos esquina, por lo que se consigue una mayor eficiencia en la mayora de los problemas que venan dndose en el kernel 2.4.X consiguiendo una buena planificacin de los procesos del sistema.

Hilos para POSIX Fedora Core 9 incluye la Native POSIX Thread Library, una nueva implementacin de hilos POSIX para Linux. Esta librera proporciona mejoras de rendimiento e incrementos en la escalabilidad para los procesadores i686 o superiores. Esta librera de hilos est diseada para ser compatible a nivel binario con las implementaciones viejas de LinuxThreads; sin embargo, las aplicaciones que cuentan con las partes donde la implementacin de LinuxThreads se desva del estndar POSIX necesitarn reparaciones. Algunas de las diferencias notables incluyen: El manejo de seales ha sido modificado del manejo de seales por-hilo a manejo de seales de procesos POSIX. Getpid() devuelve el mismo valor en todos los hilos. El soporte NPTL para todas las aplicaciones enlazadas dinmicamente se pueden desactivar mediante el uso de la siguiente opcin en el momento de arranque

113

7.1.5 - Mejora del algoritmo de asignacin de PIDs Segn parece la complejidad del algoritmo que daba un PID para asignarlo al siguiente proceso que crear era de complejidad cuadrtica O(n2) y lo que hacia era que cuantos ms procesos haba en la mquina, ms costosos en tiempo fuera obtener un PID libre. Evidentemente no es habitual (por ahora) tener en la maquina tantos procesos como para que se note la merma en el rendimiento slo para encontrar el siguiente PID. Pero con los recientes avances en el soporte multihebra del ncleo (principalmente la NPTL) y con sus pruebas de decenas de miles de Threads simultneos se esta logrando buen rendimiento.

7.1.6 - Soporte Hiperthreading Tambin se ha aadido en el kernel 2.6.x es el soporte Hiperthreading para aquellas mquinas que lo soporten, especialmente en

ordenadores personales ms de cara al usuario como podra ser el Pentium Xeon Intel. Soporte USB2.0 Nos permite unas tasas mayores de transferencia gracias a esta implementacin Soporte AGP3.0 Nos permite una velocidad grfica de 8X.
Para obtener un listado de la documentacin disponible. Para ms detalles consulte el sitio Web de OProfile en http://oprofile.sourceforge.net.

114

CAPTULO VIII
PREPARAR LA INSTALACIN DEL SISTEMA OPERATIVO Fedora Core esta diseado para ejecutarse en muchas plataformas que a lo largo de su evolucin en la comunidad Linux se ha estado agregando, sin embargo es de necesidad antes de cada instalacin, tener el conocimiento sobre que hardware se ejecutara un LINUX, es de muy mal pesar no completar la instalacin sabiendo que no conseguir controlador para determinado hardware aun mas si es necesario para el fin del proyecto.

8.1 - Evaluacin de software & hardware

Requerimientos de hardware La siguiente informacin representa los requerimientos mnimos de hardware necesarios para instalar exitosamente Fedora Core 9: CPU: Mnimo: clase Pentium Recomendado para modo texto: 200 MHz clase Pentium o superior Recomendado para grficos: Pentium II 400 MHz o superior Espacio en disco duro: Instalacin personalizada texto (mnima): 128MB de RAM Recomendacin de 256MB de RAM Instalacin personalizada (todo): 9.0GB

115

8.2 - Se cuenta con una PC de las siguientes caractersticas:

PIEZA MAINBOARD PROCESADOR MEMORIA RAM DISCO DURO FLOPPY LECTOR OPTICO INTERFACE VIDEO TRES (3) INTERFACE RED INTERFACE SONIDO TECLADO MULTIMEDIA MOUSE C/SCROLL MONITOR

MARCA INTEL INTEL SPECTECK SEAGATE SONY LG INTEL 3COM CHIP VIA CYBERLINK GENIUS SAMSUNG LG

MODELO D845GVFNL, I845GV De 2.55 GHz 512KB CACHE FCPGA 512 RAM DE BUS 333MHz HH DD 40GB IDE 5200rpm CAPACIDAD 1.44MB LECTOR DE CD-R INCORPORADO 64 MB 3C905 TXNM INCORPORADO PS/2 MULTIMEDIA BEIGE Netscroll, PS2, 2 botones 15" SYNCMASTER 591S

HCL OK OK OK OK OK OK OK OK OK OK OK OK

Lista de compatibilidad de hardware (HCL): Algunos componentes de hardware (tales como tarjetas de vdeo y de red) pueden requerir modos especficos de instalacin y/o uso luego de la instalacin, en nuestro caso nuestra PC servidor Firewall tiene total compatibilidad.

8.3 - Evaluacin de los medios a instalar El programa de instalacin de Fedora Core tiene la habilidad de evaluar la integridad de los medios de instalacin. Funciona con mtodos de instalacin basados en CD, DVD, disco duro ISO y NFS ISO. El programa de instalacin Anaconda posee una rutina de auto chequeo de los CD a instalar antes de reportar algn error relacionado con la instalacin (muchos de los errores reportados son debido a CD que no fueron grabados

116

apropiadamente o con fuentes de dudosa reputacin). Para usar esta prueba se puede ejecutar en el intrprete de comandos boot: Linux mediacheck o simplemente instale y ejecute la opcin (Test-CD) en Anaconda, nosotros ejecutaremos la segunda opcin.

8.4 - Notas Generales En esta seccin se describe precauciones que de no tomarlas en cuenta, podran afectar la ejecucin de las aplicaciones del servidor:

Se han observado ciertos problemas cuando se actualizan sistemas que tienen instalados paquetes con versiones distintas aun siendo de la misma versin del kernell pero diferente revisin este problema se corregira instalando paquetes de la misma versin tanto paquetes dependientes as se evitar una sobre posicin de las versiones entre los RPM de Fedora Core. Estos problemas ocurriran mas frecuentes en una actualizacin de kernell, actualizacin de servicios o migraciones.

No se debe instalar jams el entorno grafico para una aplicacin servidor ya que divide rendimiento al equipo y habilita procesos que podran abrir agujeros de seguridad, tanto tambin como consumo de memoria para el X Window.

117

CAPITULO IX
Poltica y consideraciones para el diseo del Firewall

9.1 - PLANEAMIENTO DEL FIREWALL Se desea implementar un cortafuego (Firewall), tomando en consideracin la seguridad de la intranet del Hospital de Emergencias Peditricas y su respectiva topologa planteada anteriormente; la proteccin ser hacia los servidores propios del H.E.P, desde la WAN y la misma intranet, bloqueando posibles conexiones maliciosas y permitiendo conexiones necesarias para los servicios que demanda el H.E.P

9.2 - TABLA DE ACCESO MAYORITARIO A LOS SERVIDORES

AREA DE ACCESO ECONOMA TODO A, C, B, SOPORTE INFORMTICO, CAJAS, RECAUDACIN, ADMISIN, LABORATORIO, EMERGENCIA, ALMACN FARMACIA. TODA LA INTRANET SOPORTE. TODO PERSONAL TODO LOGSTICA

SERVIDOR SIAF

ASISTENCIAL

CORREOS DATOS PERSONAL LOGSTICA

9.3 - Mantenimiento del Firewall Se crearn un Script donde figurarn las reglas propias del Firewall, ello para considerar como si fuera un demonio, es decir un servicio, que se podra inicializar, detener y reiniciar cuando se vea conveniente, tambin el caso de

118

inicializarlo de manera automtica cada vez que se encienda o reinicie el servidor Firewall. 9.4 - ESQUEMA, REQUISITOS Y CONDICIONES PARA EL SCRIPT Regla Nmero: Descripcin de la regla aplicada TRAFCO DE CABECERA PRESENTACIN: Se expone un breve saludo y algunos comentarios indicando autor, poltica por defecto, etc.

LIMPIEZA DEL FIREWALL Se ejecutan comandos en la cual se limpia toda regla y toda cadena creada igualmente cadenas iniciadas temporalmente

configuradas en memoria

DECLARACIN DE VARIABLES Para un fcil manejo y mantenimiento de nuestro script se declaran variables, en ello nos indica los datos de nuestra Red

POLTICA POR DEFECTO Mas difcil y con mayor trabajo pero ms seguro, denegamos todo totalmente o le indicamos al kernell que no deje pasar algn paquete que no se identifique con alguna regla y este a merced de esta

HABILITACIN DEL LOOPBACK Indispensable, trfico ilimitado en la interfase loopback

119

TRAFCO LAN WAN Permitir acceso al Internet: HTTP cliente p(80), HTTPS cliente p(443) NNTP NEWS cliente p(119) POP cliente p(110) IMAP cliente p(143) SMTP cliente p(25) WHOIS cliente p(43) Actualizacin de antivirus por puerto XYZ Acceso para la mquina de soporte en: FTP cliente p(21), TELNET cliente p(23) IRC cliente (6667) ICQ cliente (4000)

TRAFCO DMZ LAN Servidor: SIAF ASISTENCIAL CORREO DATOS PERSONAL LOGISTICA Acceso desde el rea: ECONOMIA Y ESTADISTICA TODOS TODOS SOPORTE PERSONAL Y ESTADSTICA LOGISTICA Y ESTADSTICA

TRAFCO WAN DMZ Servidor SIAF DATOS Acceso hacia: COMUNICACIN CON EL MEF ACCESO A INTENET

120

CAPTULO X
10.1 - INSTALACIN DEL SISTEMA OPERATIVO (BSICO) Comienza teniendo una mquina ntegramente y dedicada para un Linux Firewall con Fedora Core 6, se deja bootear el DVD el cual aparece:

Se instalar el S.O. en forma texto a fin de poder escoger los paquetes y solo instalar lo bsico para nuestro Firewall, obviando as el modo grfico con la opcin F2, nos dar ms opciones de instalacin.

El sistema Operativo comienza con el escaneo del CD as chequeamos la integridad total del instalador antes de ejecutarse Anaconda, que es el

121

programa instalador de FEDORA CORE, si existe algn controlador o tecnologa importante en el kernell que no este presente en la base de datos del Linux FEDORA CORE 6, el sistema se plantar y no seguir su reconocimiento anunciando que debemos obtener un Linux ms actualizado

Bienvenida a la Instalacin modo texto.

Enseguida escogemos el lenguaje del Sistema Operativo (Espaol).

122

Escogemos el lenguaje del teclado (Espaol Latinoamericano).

Este mensaje nos indica un disco sin formato y dispuesto a formatearle.

123

Creamos

una

disposicin

personalizada

de

las

particiones

hda

El entorno grfico que muestra el espacio libre, Antiguamente en los Linux 7.0 y 7.01 podamos crear tantas particiones, podamos crear e independientemente los espacios en el disco de tal forma que separbamos cada sistema de archivos independientemente para as poder trabajar separadamente como: /usr, /etc, /boot, /mnt, /users..etc, el manejo independiente daba alguna estrategia de seguridad, en nuestro FEDORA no hay muchas posibilidades de crear este tipo de archivos ya casi por defecto todos los archivos importantes se copian en /, directorio raz

124

Creamos la particin /boot, sistema de archivos ext3, 200MB de boot y tipo primaria.

Creamos la particin swap aproximado de el doble de la memoria real 2x512=1024Mb

125

Y finalizamos con el montaje final / la raz donde se albergara todo el sistema de archivo ext3

Vemos la culminacin de las particiones listas para el formateo

126

Usamos el gestor de arranque GRUB

Localizacin del MBR en el sector de inicio del disco duro: /dev/hda.

127

El nombre de nuestro FIREWALL

Escribimos la contrasea del root (sper usuario) para nuestro caso: 123456789*, un password regularmente seguro

128

Para la seleccin de paquetes seleccionamos los tres puntos

personalizamos la seleccin de software: -ningn tipo de servidor, -algunas aplicaciones de ofimtica y -algunos paquetes de software importantes

Luego de loguearnos como root podemos inicializar nuestro entorno grfico para alguna Instalacin y/o descargo de paquetes Internet y luego bajar el servicio grfico, lo inicializamos con [root..]# startx <-|

129

Nuestro entorno grfico KDE

Con un clic derecho y terminando la sesin finalizamos el KDE

130

10.2 - CONSIDERACIONES POST-INSTALACIN

10.2.1 - Anlisis y optimizacin de FEDORA CORE servicios a ejecutar En esta parte describiremos aquellos servicios que debemos desinstalar, se analizar uno por uno y solo los servicios que estn ejecutndose luego de la instalacin, Describiremos algunos comandos que nos ayudar en nuestro anlisis:

Para instalar un paquete RPM:

[root@HEP /]# rpm -ivh ipchains-1.5.rpm

Para desinstalar un paquete RPM:

[root@HEP /]# rpm-e <ipchains>

Para ver la versin del paquete:

[root@HEP /]# rpm -q <iptables>

Para ver la informacin general del paquete:

[root@HEP /]# rpm -qi <iptables>

Para listar los paquetes semejantes:

[root@HEP /]# rpm -ql <iptables>

Para listar a que proceso se liga el archivo:

[root@HEP /]# rpm -qf /etc/passwd

Con estos comandos nos ayudamos a saber que tipo y que realiza cada proceso que se hallo en el archivo de Instalacin: install.log en la carpeta /root/

131

10.2.1.1 - Anlisis de servicios instalados: examinacin de demonios en ejecucin

Servicio: Demonios: Descripcin: Consideraciones:

acpid acpid

Recomendacin:

NO ejecutar

Demonio que envia eventos ACPI a programas No importante

Servicio: Demonios:

at
at, atd,

Recomendacin:

SI ejecutar

At y batch leen comandos desde la entrada estndar o

Descripcin:

desde un archivo especificado. At le permitir especificar que un comando debe ejecutarse a una hora particular Debe instalar este paquete si va a necesitar una utilidad

Consideraciones:

para el control de tareas orientada al tiempo, necesaria

Servicio: Demonios: Descripcin:

autofs
Autofs,

Recomendacin:

NO ejecutar

Herramienta para montar y desmontar sistemas de ficheros automticamente

Consideraciones:

Ejecutar cuando se necesite solamente

Servicio: Demonios:

avahi

Recomendacin:

NO ejecutar

avahi, avahi-daemon, avahi-dnsconfd avahi es un sistema que facilita el descubrimiento de servicios en una red local, esto significa que puede conectar su notebook o computadora a la red e

Descripcin:

instantneamente poder ver a otra gente con la que pueda chatear, encontrar impresoras compartidas, o archivos compartidos.
Consideraciones:

peligroso

132

Servicio: Demonios:

portmap portmap,

Recomendacin:

NO ejecutar

El programa portmapper es una herramienta de seguridad que previene el robo de NIS, NF y otra informacin
Descripcin:

sensitiva a travs de portmapper. Un portmapper administra conexiones RPC, que se usan en los protocolos como NFS y NIS debe instalarse en cualquier mquina que acte como un

Consideraciones:

servidor para protocolos que usan RPC.

Servicio: Demonios: Descripcin:

cpuspeed cpuspeed,

Recomendacin:

NO ejecutar

Demonio que controla la velocidad del procesador para diferentes aplicaciones y programas
Consideraciones:

No importante

Servicio: Demonios:

crontabs crontab, cron,

Recomendacin:

SI ejecutar

El paquete crontab contiene archivos crontab de root. se usa para instalar, desinstalar y listar las tablas usadas por el demonio cron. El demonio cron chequea los archivos
Descripcin:

crontab para ver cundo se prevee ejecutar un comando en particular. Si los comandos se planifican, ste los ejecuta Crontabs maneja una funcin bsica del sistema, por lo
Consideraciones:

que debe ser instalado en su computadora.

133

Servicio: Demonios:

cups Cups

Recomendacin:

No ejecutar

Entre sistemas operativos UNIX. Fu desarrollado por Easy Software Products para promover una solucin de
Descripcin:

impresin estndar para todos los vendedorese y usuarios de UNIX. CUPS provee las interfases de lnea de comando de System V y Berkeley

Consideraciones:

Ejecutar cuando sea necesario

Servicio: Demonios:

dhcdbd Dhcp,

Recomendacin:

NO ejecutar

dhcdbd provides a D-BUS interface to the ISC dhclient software. El demonio provee acceso a DHCP, y guarda
Descripcin:

la configuracin persistentemenet Otras aplicaciones del D-AUTOBS pueden recibir notificaciones de cambios en la configuracin de DHCP del cliente

Consideraciones:

peligroso

Servicio: Demonios: Descripcin:

diskdumputils Diskdump,

Recomendacin:

SI ejecutar

La utilidad diskdump implementa el kernel para guardar la imagen de memoria en la particin especfica
Consideraciones:

importante

Servicio: Demonios: Descripcin:

dump dump

Recomendacin:

NO ejecutar

Es un comando para programas y chequear backups de discos o sistemas de archivos

Consideraciones:

No importante

134

Servicio: Demonios:

firstboot firsboot

Recomendacin:

NO ejecutar

La utilidad firstboot corre luego de la instalacin. Gua al

Descripcin:

usuario a travs de una serie de pasos que le permitirn configurar fcilmente la computadora.

Consideraciones:

No importante

Servicio: Demonios:

gpm gmp-,

Recomendacin:

NO ejecutar

Gpm provee soporte para ratn en aplicaciones Linux basadas en texto como el editor Emacs y el sistema de adminsitracin de archivos Midnight Commander. Gpm
Descripcin:

tambin provee operaciones cortar y pegar en consola, usando el ratn, y permite a un programa abrir menes pop-up al apretar un botn del ratn
Consideraciones:

No importante

Servicio: Demonios:

hsqldb hsqldb

Recomendacin:

NO ejecutar

HSQLdb es un motor de bases de datos relacional escrito

Descripcin:

en JavaTM, con un driver JDBC, que soporta un subconjunto del SQL ANSI-92.

Consideraciones:

No importante

Servicio: Demonios: Descripcin:

httpd httpd

Recomendacin:

NO ejecutar

El Servidor HTTP Apache es un servidor web poderoso, eficiente y extensible.

Consideraciones:

No importante

135

Servicio: Demonios:

Ip6tables iptables-ipv6

Recomendacin:

NO ejecutar

El paquete iptables-ipv6 agrega soporte de IPV6 (la prxima versin del protocolo IP) a iptables. Iptables
Descripcin:

controla el cdigo de filtrado de paquetes del kernel de Linux, y permite configurar cortafuegos y

enmascaramiento de IP.
Consideraciones:

No utilizado todava

Servicio: Demonios:

iptables iptables

Recomendacin:

SI ejecutar

La utilidad iptables controla el cdigo de filtrando de paquetes de red en el kernel de Linux. Si quiere
Descripcin:

configurar un firewall o el enmascaramiento IP debera instalar este paquete.

Consideraciones:

UTIL

Servicio: Demonios:

irda irda

Recomendacin:

NO ejecutar

IrDA (TM) (Asociacin de Datos Infrarrojo) es un estndar de la industria para la comunicacin inalmbrica por infrarrojo entre dispositivos. Las velocidades de IrDA van
Descripcin:

desde los 9600 bps a 4 Mbps, y se puede usar en los dispositivos modernos com notebook, adaptadores de red, PDAs, impresoras y telfonos celulares.
Consideraciones:

No utilizable

136

Servicio: Demonios: Descripcin:

isdn isdn4k-utils

Recomendacin:

NO ejecutar

El paquete isdn4k-utils contiene una coleccin de utilidades para la configuracin de subsistemas RDSI.
Consideraciones:

No utilizable

Servicio: Demonios: Descripcin:

kudzu kudzu

Recomendacin:

NO ejecutar

Kudzu es la herramienta para reconocer el hardware durante el arranque del ordenador.

Consideraciones:

Luego de la Instalacin no es necesario

Servicio: Demonios:

mdadm mdadm

Recomendacin:

NO ejecutar

mdadm se usa para crear, administrar y monitorear dispositivos MD de Linux (RAID por software). Como tal, provee una funcionalidad similar al paquete raidtools. Sin
Descripcin:

embargo, mdadm es un programa simple, y puede realizar casi todas las funciones sin un archivo de configuracin, aunque se puede usar uno para ayuda en algunas tareas comunes.

Consideraciones:

No importante

Servicio: Demonios:

netdump Netdump

Recomendacin:

NO ejecutar

El cliente netdump hace que el kernel enve volcados de memoria y/o mensajes de consola mediante paquetes
Descripcin:

syslog a un sistema remoto. Se requiere alguna configuracin manual

Consideraciones:

No se ejecutarn sistemas remotos

137

Servicio: Demonios:

nfs-utils nfs, showmount,

Recomendacin:

NO ejecutar

El paquete nfs-utils provee un demonio para el servidor NFS del kernel y herramientas relacionadas, que proveen un nivel ms alto de performance que los servidores NFS de Linux tradicionales usado por la
Descripcin:

mayora de los usuarios. Este paquete tambin contiene el programa de showmount. montaje en Showmount un equipo consulta remoto el por

demonio

informacin acerca del servidor de NFS (Sistema de Archivo en Red) en el equipo remoto.
Consideraciones:

peligroso

Servicio: Demonios:

Hpparm Hdparm

Recomendacin:

NO ejecutar

Hdparm es una utilidad til para configurar un disco rgido (E)IDE. Por ejemplo, hdparm se puede usar para
Descripcin:

mejorar la performance de un disco rgido y retocarlo para que ste gaste menos energa.
Consideraciones:

No necesario

Servicio: Demonios:

procmail Procmail

Recomendacin:

NO ejecutar

El programa procmail es usado por Red Hat Linux para enviar correo local. Procmail puede ser utilizado para filtrar de forma automtica, el pre-ordenamiento y para la
Descripcin:

gestin de los trabajos a travs del correo electrnico. Procmail es utilizado tambin por el procesador de listas de correo SmartList
Consideraciones:

No utilizado

138

Servicio: Demonios:

nscd nscd

Recomendacin:

NO ejecutar

Nscd captura bsquedas en el servicio de nombre y

Descripcin:

puede mejorar dramticamente la performance con NIS+, y a la vez ayudar con el DNS.

Consideraciones: Servicio: Demonios:

No se ejecuta servicios DNS ntp ntp El Network Time Protocol (NTP) se utiliza para sincronizar la hora de un ordenador con otra de referencia. El paquete ntp contiene utilidades y
Recomendacin:

NO ejecutar

demonios de sistema que sincronizan la hora del

Descripcin:

ordenador con la hora Coordinated Universal Time (UTC) por medio del protocolo y de un servidor NTP. El paquete ntp incluye ntpdate (un programa para obtener la hora y fecha del ordenador remoto via red) y ntpd (demonio de sistema que continuamente ajusta la hora)

Consideraciones:

No es de necesidad

Servicio: Demonios:

quota quota El paquete quota

Recomendacin:

NO instalar

contiene

las

herramientas

de

Descripcin:

administracin del sistema para monitorizar y limitar el uso del disco a un usuario o un grupo.

Consideraciones:

El sistema administrar su sistema de archivos

139

Servicio: Demonios:

pcsc-lite pcsc Demonio para

Recomendacin:

NO ejecutar

proveer

una

interfase

SCard

de

Windows(R) en un factor de forma muy pequeo para la comunicacin con smartcards y lectores. PC/SC Lite usa el mismo API winscard que se usa en Windows(R). Este
Descripcin:

paquete incluye el demonio de PC/SC Lite, un administrador de recursos que coordina las

comunicaciones con los lectores de tarjetas inteligentes y las tarjetas inteligentes que se conectan al sistema.
Consideraciones:

No necesario

Servicio: Demonios:

setuptool setuptool

Recomendacin:

SI ejecutar

Es un programa de men en modo texto amigable al usuario que le permite acceder a todos los programas de
Descripcin:

configuracin en modo texto includos en el sistema operativo Red Hat Linux.

Consideraciones:

Ya se configuro, no se instalar

Servicio: Demonios:

psacct psacct

Recomendacin:

SI ejecutar

Contiene diversas utilidades para visualizar la actividad de los procesos, incluye los comandos ac, lastcomm, accton y sa. El comando ac visualiza las estadsticas de
Descripcin:

los usuarios conectados. El comando lastcomm visualiza la informacin sobre comandos precedentemente

ejecutados. El comando lastcomm resume la informacin sobre los comandos precedentemente ejecutados.
Consideraciones:

necesario

140

Servicio: Demonios:

rdisc rdisc

Recomendacin:

NO ejecutar

El Este paquete contiene varias utilidades para controlar y configurar los dispositivos conectados al bus PCI. Las utilidades ofrecidas en este paquete requieren la versin 2.1.82 o una posterior del kernel (necesita del soporte
Descripcin:

para la interfaz /proc/bus/pci).programa RDist mantiene un copias idnticas de archivos en mltiples equipos. Si es posible, RDist preservar el dueo, grupo, modo, y mtime de los archivos y puede actualizar programas que se estn ejecutando.

Consideraciones:

No importante

Servicio: Demonios:

readahead readahead

Recomendacin:

NO ejecutar

readahead lee el contenido de una lista de archivos en memoria, lo que hace que sean luego ledos del cach
Descripcin:

cuando se necesiten realmente. El objetivo es acelerar el proceso de arranque.

Consideraciones:

No necesario

Servicio: Demonios:

setserial setserial

Recomendacin:

NO ejecutar

Setserial es una utilidad del sistema para mostrar o configurar la configuracin de un puerto serie. Setserial
Descripcin:

permite modificar el puerto de E/S, la interrupcin, la velocidad del dispositivo serie.

Consideraciones:

No importante

141

Servicio: Demonios:

pciutils

Recomendacin:

NO ejecutar

Este paquete contiene varias utilidades para controlar y configurar los dispositivos conectados al bus PCI. Las
Descripcin:

utilidades ofrecidas en este paquete requieren la versin 2.1.82 o una posterior del kernel (necesita del soporte para la interfaz /proc/bus/pci).

Consideraciones:

No necesario

Servicio: Demonios:

sendmal sendmail

Recomendacin:

NO ejecutar

El programa Sendmail es un Agente de Transporte de Correo (MTA) ampliamente utilizado. Los MTAs envan
Descripcin:

correo de una mquina a otra. Sendmail no es un cliente que se utilice para leer el correo. Sendmail es un programa para transferir correo va Internet

Consideraciones:

No se ejecutar sendmail en la maquina firewall

Servicio: Demonios:

smartmontools Smartctl, smartd

Recomendacin:

SI ejecutar

El paquete smartmontools contiene dos programas utilitarios (smartctl y smartd) para controlar y monitorear los sistemas de almacenamientos usando el sistema de tecnologa de automonitoreo, anlisis y reporte (SMART
Descripcin:

en ingls) que viene en la mayora de los discos ATA y SCSI modernos. En muchos casos, estas utilidades proveern una advertencia avanzada de la degradacin del disco y sus fallas.
Consideraciones:

util

142

Servicio: Demonios:

telnet telnet

Recomendacin:

NO ejecutar

telnet es un protocolo popular para entrar en sistemas

Descripcin:

remotos a travs de Internet. El paquete telnet contiene un cliente telnet de lnea de comando.

Consideraciones:

peligroso

Servicio: Demonios:

ftp ftp

Recomendacin:

NO ejecutar

Proporciona el cliente FTP para la lnea de comando en

Descripcin:

UNIX. FTP es un protocolo utilizado para transferir archivos a travs de Internet y para archivar ficheros.

Consideraciones:

peligroso

Servicio: Demonios:

syslog syslogd, klogd,

Recomendacin:

SI ejecutar

El paquete sysklogd contiene dos utilitarios del sistema (syslogd y klogd) que proveen soporte para el registro de
Descripcin:

eventos del sistema. Syslogd y klogd, demonios que envan los mensajes del sistema a diferentes lugares, como logs de sendmail, logs de seguridad, errores, etc.

Consideraciones:

utilidad

Servicio: Demonios:

tomcat5 tomcat5

Recomendacin:

NO ejecutar

Tomcat es un contenedor servlet que se usa en la Implementacin

Descripcin:

de

Referencia

oficial

para

las

tecnologas Servlet de Java y JavaServer Pages. Las especificaciones de Servlet de Java y de JavaServer Pages se desarrollaron en Sun bajo la Comunidad Java.

Consideraciones:

No necesario

143

Servicio: Demonios:

vnc Vnc

Recomendacin:

NO ejecutar

Es un sistema de pantalla remota que permite ver el entorno de escritorio de cmputos no slo de la mquina en donde est corriendo, sino de cualquier lugar en
Descripcin:

Internet y de una amplia variedad de arquitecturas de computadora. Este paquete contiene un cliente que le permitir conectar a otros escritorios que corran un servidor VNC.

Consideraciones:

peligroso

Servicio: Demonios:

eject eject Permite al

Recomendacin:

NO ejecutar

usuario

expulsar

medios

removibles

(normalmente CD-ROMs, discos flexibles, discos Jaz o

Descripcin:

Zip de IOmega) usando control por software. Eject tambien puede controlar algunos intercambiadores

multidiscos de CD.
Consideraciones:

No necesario

Servicio: Demonios:

mailcap mailcap

Recomendacin:

NO ejecutar

Al archivo mailcap lo usa el programa metamail. Metamail lee el archivo mailcap para determinar cmo debe mostrar material multimedia y que no sea texto plano.
Descripcin:

Bsicamente, mailcap asocia cualquier tipo de archivo particular con un programa particular que un agente de correo u otro programa puede llamar para que manejen ese archivo.

Consideraciones:

No necesario

144

Servicio: Demonios:

ypbind ypbind

Recomendacin:

NO ejecutar

El Servicio de Informacin de Red (NIS) es un sistema que proporciona informacin acerca de la red (login, contraseas, directorios de usuario, informacin sobre grupos) a todos los ordenadores de la red. NIS puede permitir el login a usuarios en cualquiera de los
Descripcin:

ordenadores de la red, siempre que en la mquina se estn ejecutando los programas cliente de NIS y la clave de usuario est guardada en la base de datos passwd de NIS. NIS tambin se conoca como Sun Yellow Pages (YP).
Consideraciones:

No se ejecutar ningn servicio NIS

10.2.1.2 - Anlisis y optimizacin de FEDORA CORE sistema de archivos

Recurso en anlisis

BIOS Es recomendable deshabilitar cualquier medio o recurso o

Comentario en la seguridad

puerto de booteo en el equipo donde instalaremos el FIREWALL, en la Bios podemos deshabilitar puertos boot como FDD, RED; USB, CDROM, SERIAL, Deshabilitar todas estas opciones de booteo y solo dejar

Acciones a seguir

la del disco duro principal as mismo proteger la entrada a la Bios con una contrasea segura

Rutina de ejecucin

Ingreso a Bios F10, DEL, F2 depende del hardware

145

Recurso en anlisis

DESCONECTAR EL SERVIDOR DE LA RED Es recomendable cuando se instala aplicaciones, se configura o se le de algn tipo de mantenimiento al

Comentario en la seguridad

servidor es recomendable desconectarlo de la red, en nuestro caso se desconectar antes de aplicar las opciones de seguridad.

Acciones a seguir Rutina de ejecucin

Desconectamos la res con network stop

[root@HEP /]# /etc/rc.d/init.d/network stop

Recurso en anlisis Comentario en la seguridad

ESCOGER UN BUEN PASSWORD Un buen password es la caracterstica primaria para una buena seguridad comenzndola a configurar para ese fin, Recomendamos: debe tener seis (6) caracteres como mnimo no debe de ser alguna palabra del diccionario espaol ni de otro idioma

Acciones a seguir

debe tener en su contenido: letras, nmeros y caracteres.

Debe de cambiarse peridicamente, eso depende de que tipo de servidor estamos trabajando y qu protege

Y el servidor por ultimo debe bloquear el login por ms de dos intentos fallidos

Rutina de ejecucin

Criterio personal

Recurso en anlisis Comentario en la seguridad Acciones a seguir

LA CUENTA ROOT La cuenta root es la mxima cuenta con los privilegios totales sobre el sistema, se recomienda tomar

precauciones cuando el login es con la cuenta root NUNCA INICIAR UN LOGIN REMOTO CON LA CUENTA

146

ROOT Ingresar primero con una cuenta usuario y luego ejecutar

Rutina de ejecucin

el comando su e identificar que las PC cuenten con encriptamiento

Recurso en anlisis

TIME OUT PARA CUENTAS DESCONECTADAS As mismo el administrador tiene que tener la certeza que sus propios trabajadores no desatiendan su cuenta cuando se distraigan o simplemente termine su trabajo y

Comentario en la seguridad

dejen desatendida la consola Linux, en /etc/profile aadimos una lnea que terminar la aplicacin cuando el tiempo de inactividad cumpla dos horas, en forma individual se puede configurar en el archivo oculto .bashrc Insercin de lnea en archivo /etc/profile despus de la

Acciones a seguir

lnea HISTSIZE=1000 se agrega TMOUT=7200

Rutina de ejecucin

TMOUT=7200

Recurso en anlisis Comentario en la seguridad

El uso del comando linux single en modo fallos Se debe deshabilitar toda esta caracterstica que Linux posee para cuando se trata de ingresar al sistema en forma de fallos, esto sucede al iniciar el grub Se ingresar una lnea en el archivo /etc/inittab a fin de

Acciones a seguir

pedir una contrasea de root antes de ingresar al sistema Antes: id:3:initdefault: Ahora se tiene que visualizar as:
Rutina de ejecucin

id:3:initdefault: ~~:S:wait:/sbin/sulogin Ahora para que los cambios tengan efecto, reiniciamos el servicio con el comando:

147

[root@HEP /]# /sbin/init q

Recurso en anlisis

Configurando el archivo grub.conf Grub posee algunas detalles que talvez para cualquier persona que instale un Fedora Linux y le sirva de

Comentario en la seguridad

administrador de sus aplicaciones no sea de importancia algunas lneas que aadiremos minimizando las

posibilidades de cualquier inseguridad vulnerable

Acciones a seguir

Aadimos o modificamos en el /etc/grub.conf: boot=/dev/hda map=/boot/map install=/boot/boot.b prompt removemos esta lnea. timeout=00 inicia grub inmediatamente. lmessage=/boot/message removemos esta lnea si la encontramos. default=linux restricted aadimos esta lnea en proteccin.. password=<contrasea> siempre nos pedir el

Rutina de ejecucin

password que le pongamos image=/boot/vmlinuz-2.6.18... luego damos los derechos solo al root a modificarla:

[root@HEP /]# chmod 600 /etc/grub.conf

Actualizamos el grub.conf ejecutando

[root@HEP /]# /sbin/grub -v

Ahora inmunizamos el grub contra accidentes

[root@HEP /]# chattr +i /etc/grub.conf

148

Recurso en anlisis

Deshabilitando Ctrl.-Alt-Delete, comando shutdown Para prevenir accidentes es mejor deshabilitar el juego de

Comentario en la seguridad

teclas que por defecto es un comando de apagado inmediato:

[root@HEP /]# shutdown -t3 -r now

ca::ctrlaltdel:/sbin/shutdown principal
Acciones a seguir

-t3

-r

now

lnea

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now aadirle un prefijo de comentario y listo, reiniciamos el servicio con:

Rutina de ejecucin

[root@HEP /]# /sbin/init q

149

Recurso en anlisis Comentario en la seguridad Acciones a seguir Rutina de ejecucin

SEGURIDAD PARA EL ARCHIVO /etc/service Este archivo contiene los puertos por defecto y sus aplicaciones vinculadas, es solo derecho ntegro de modificacin para el administrador root. Inmunizamos el archivo con el comando chattr

[root@HEP /]# chattr +i /etc/services

Recurso en anlisis Comentario en la seguridad

SEGURIDAD PARA EL ARCHIVO /etc/securetty Este archivo importante permite cuales tty y vc (consola virtual) dispositivos de root son permitidos a login en el servidor Aadiremos prefijos de comentario en el resto de los TTY

Acciones a seguir

y VC vc/1 #vc/2 #vc/3 #vc/4 #vc/5 #vc/6 #vc/7 #vc/8 #vc/9 #vc/10 #vc/11

tty1
Rutina de ejecucin

#tty2

#tty3

#tty4

#tty5

#tty6

#tty7

#tty8

#tty9 #tty10 #tty11

Recomendable que solo el administrador pueda hacer login y luego utilizar el comando su, si es necesario ingresar como root.

150

Recurso en anlisis Comentario en la seguridad Acciones a seguir

CUENTAS ESPECIALES y BUIL-IN Es importante deshabilitar cualquier cuenta que venga por defecto, ejecutamos las siguientes lneas a fin de eliminarlos. Desinstalaremos paso a paso [root@HEP /]# userdel -r adm [root@HEP /]# userdel -r lp [root@HEP /]# userdel -r shutdown [root@HEP /]# userdel -r halt [root@HEP /]# userdel -r news [root@HEP /]# userdel -r mail [root@HEP /]# userdel -r uucp [root@HEP /]# userdel -r operator [root@HEP /]# userdel -r games [root@HEP /]# userdel -r gopher [root@HEP /]# userdel -r ftp [root@HEP /]# userdel -r rpm

Rutina de ejecucin

[root@HEP /]# userdel -r dbus [root@HEP /]# userdel -r avahi [root@HEP /]# userdel -r rpc [root@HEP /]# userdel -r mailnull [root@HEP /]# userdel -r smmsp [root@HEP /]# userdel -r nscd [root@HEP /]# userdel -r vcsa [root@HEP /]# userdel -r haldaemond [root@HEP /]# userdel -r rpcuser [root@HEP /]# userdel -r nfsnobody [root@HEP /]# userdel -r sshd [root@HEP /]# userdel -r netdump [root@HEP /]# userdel -r pcap

151

[root@HEP /]# userdel -r xfs [root@HEP /]# userdel -r ntp [root@HEP /]# userdel -r apache [root@HEP /]# userdel -r hsqldb [root@HEP /]# userdel -r tomcat [root@HEP /]# userdel -r gdm Al final en /etc/passwd solo debe figurar estas lneas:

root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin: daemon:x:2:2:daemon:/sbin: sync:x:5:0:sync:/sbin:/bin/sync nobody:x:99:99:Nobody:/:

152

Recurso en anlisis Comentario en la seguridad Acciones a seguir

GRUPOS ESPECIALES y BUIL-IN Tambin es importante deshabilitar cualquier cuenta que venga por defecto, ejecutamos las siguientes lneas a fin de eliminarlos. Desinstalaremos paso a paso [root@HEP /]# groupdel adm [root@HEP /]# groupdel lp [root@HEP /]# groupdel news [root@HEP /]# groupdel mail [root@HEP /]# groupdel uucp [root@HEP /]# groupdel games [root@HEP /]# groupdel dip [root@HEP /]# groupdel lock [root@HEP /]# groupdel utempter [root@HEP /]# groupdel screen Al final en /etc/group solo deben figurar estas lineas:

Rutina de ejecucin

root:x:0:root bin:x:1:root,bin,daemon daemon:x:2:root,bin,daemon sys:x:3:root,bin tty:x:5: disk:x:6:root mem:x:8: kmem:x:9: wheel:x:10:root man:x:15: nobody:x:99: users:x:100: floppy:x:19: slocate:x:21: utmp:x:22:
Luego creamos el usuario ADMIN y un password aceptable para los inicios remotos y administracin.

PASO FINAL

153

[root@HEP /]# useradd ADMIN [root@HEP /]# passwd ADMIN Y finalizamos inmunizando los configurados [root@HEP /]# chattr +i /etc/passwd [root@HEP /]# chattr +i /etc/shadow [root@HEP /]# chattr +i /etc/group [root@HEP /]# chattr +i /etc/gshadow

archivos

antes

Para deshabilitar esta inmunidad a los archivos suficiente con ejecutar los mismos comandos con la opcin -i: [root@HEP /]# chattr -i /etc/passwd [root@HEP /]# chattr -i /etc/shadow [root@HEP /]# chattr -i /etc/group [root@HEP /]# chattr -i /etc/gshadow

Recurso en anlisis Comentario en la seguridad Acciones a seguir

MONTANDO LA PARTICIN /boot COMO LECTURA A fin de que cualquier modificacin sea realizada tanto por algn programa maligno o personal extrao le daremos la asignacin de solo lectura Introduciremos el parmetro ro Antes: LABEL=/boot /boot ext3 defaults 1 2 Despus:

Rutina de ejecucin

LABEL=/boot /boot ext3 defaults,ro 1 2 Y luego ejecutamos para culminar: [root@HEP /]# mount /boot oremount

154

Recurso en anlisis Comentario en la seguridad Acciones a seguir Rutina de ejecucin

PROTECCIN DEL DIRECTORIO: /etc/rc:d/init:d/ Directorio donde se escriben archivos de configuracin, y rutinas, estos deben tener derecho exclusivo del root Restringir los derechos a los dems. [root@HEP /]# chmod -R 700 /etc/init.d/*

155

CAPTULO XI

11.1 - EL FIREWALL SCRIPT

156

# CAPITULO XI # IMPLEMENTACIN SCRIPT FIREWALL # SCRIPT FIREWALL PARA UN SERVER PROXY #----------------------------------------------------------------------------# CABECERA # ******** # SCRIPT FIREWALL PARA UN SERVER PROXY #----------------------------------------------------------------------------# Copyright (C) 2007. # ltima modificacin GIANCARLO ALARCN (FOR H.E.P.) # Tesis ICI ~ UNI # Usado para proveer el servicio de red Firewall. #----------------------------------------------------------------------------# Limpieza total de cualquier regla cargada en memoria /etc/init.d/iptables panic #----------------------------------------------------------------------------# DECLARAMOS VARIABLES PARA EL MANTENIMIENTO # ****************************************** NICK_EXTERNA=eth0 NICK_DMZ=eth1 NICK_INTERNA=eth2 NICK_LOOPBACK=lo #: interfase Internet (WAN) #: Interfase de los servidores (DMZ) #: interfase intranet (LAN) #: Llamado local de nombre.

157

TODA_SUBRED_LAN=192.168.1.0/24 IP_NICK_EXTERNA=162.192.5.6 IP_NICK_DMZ=192.168.2.1 IP_NICK_INTERNA=192.168.1.1 IPPUBLICOS=162.192.5.7-162.192.5.19 IP_SERVIDOR_ASISTENCIAL=192.168.1.2 IP_SERVIDOR_CORREO=192.168.1.3 IP_SERVIDOR_PERSONAL=192.168.1.4 IP_SERVIDOR_LOGISTICA=192.168.1.5 IP_SERVIDOR_DATOS=192.168.1.6 IP_SERVIDOR_SIAF=192.168.1.7 DNS_PRIM=200.48.225.130 DNS_SEC=200.48.225.146 LOOPBACK=127.0.0.0/8 CLASE_A=10.0.0.0/8 CLASE_B=172.16.0.0/12 CLASE_C=192.168.0.0/16 CLASE_D=224.0.0.0/4 CLASE_E=240.0.0.0/5 BROADCAST_FUENTE=0.0.0.0 BROADCAST_DESTINO=255.255.255.255 P_PRIVILEG=0:1023

#: Direccin de IP y rango mscara de la INTRANET #: IP de NICK WAN #: IP de NICK DMZ #: IP de NICK LAN #: RANGO DE IP PUBLICOS DEL ISP #: IP de servidor asistencial #: IP de servidor de correos #: IP de servidor personal #: IP de servidor logstica #: IP de servidor datos #: IP de servidor SIAF #: DNS primario #: DNS secundario #: direcciones reservadas del LOOPBACK. #: red privada clase A. #: red privada clase B. #: red privada clase C. #: direcciones multicast clase D. #: direcciones reservadas clase E. #: direcciones fuente Broadcast. #: direcciones destino Broadcast. #: rango de puertos si privilegiados

158

P_NOPRIVILEG=1024:65535 P_CORREO=5338 P_SIAF=970:1090 SSH_PUERTOS_LOCALES="1022:65535" SSH_PUERTOS_REMOTOS="513:65535" TRACEROUTE_PORTS_FUENT="32769:65535" TRACEROUTE_PORTS_DEST="33434:33523" # USUARIOS DE LOGISTICA 192.168.1.[65-74] SR_MANUEL_VALERA=192.168.1.65 SR_LUIS_CABEZAS=192.168.1.66 SR_PERCY_ATAURIMA=192.168.1.67 SRA_STEPHANY_GUILLEN=192.168.1.68 # USUARIOS DE ECONOMIA...

#: rango de puertos no privilegiados #: puerto del proveedor del correo #: rango de puertos del MEF #: Rango de puertos para clientes locales #: Rango de puertos para clientes remotos #: Rango de puertos fuentes #: Rango de puertos destino

#----------------------------------------------------------------------------# POLTICA POR DEFECTO ES DENY (denegar todo) # ********************************************* #----------------------------------------------------------------------------# Explcitamente se acepta para las conexiones ENTRANTES y SALIENTES. # Remueve toda regla existente que viene operando en el filtro iptables -F iptables -F INPUT iptables -F OUTPUT && echo "Regla 001 OK" && echo "Regla 002 OK" && echo "Regla 003 OK"

159

iptables -F FORWARD #----------------------------------------------------------------------------# Remueve alguna cadena definida por el usuario. iptables -X iptables -t nat -X iptables -t mangle -X #----------------------------------------------------------------------------# Remueve cadenas de PRE, OUTPUT y POSTROUTING iptables -t nat -F iptables -t nat -F PREROUTING iptables -t nat -F OUTPUT iptables -t nat -F POSTROUTING #----------------------------------------------------------------------------iptables -t mangle -F iptables -t mangle -F PREROUTING iptables -t mangle -F OUTPUT iptables -t mangle -F POSTROUTING #----------------------------------------------------------------------------# Conjunto de polticas para denegar cualquier conexin. iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP

&& echo "Regla 004 OK"

&& echo "Regla 005 OK" && echo "Regla 006 OK" && echo "Regla 007 OK"

&& echo "Regla 008 OK" && echo "Regla 009 OK" && echo "Regla 010 OK" && echo "Regla 011 OK"

&& echo "Regla 012 OK" && echo "Regla 013 OK" && echo "Regla 014 OK" && echo "Regla 015 OK"

&& echo "Regla 016 OK" && echo "Regla 017 OK" && echo "Regla 018 OK"

160

#----------------------------------------------------------------------------# LOOPBACK # Trfico ilimitado para la interfase LOOPBACK. iptables -A INPUT -i $NICK_LOOPBACK -j ACCEPT iptables -A OUTPUT -o $NICK_LOOPBACK -j ACCEPT #----------------------------------------------------------------------------# TRFICO INCONSISTENTE # ********************* # Destruccin de paquetes mal formados XMAS. iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j DROP #----------------------------------------------------------------------------# Destruccin de paquetes mal formados NULL. iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP #----------------------------------------------------------------------------# Paquetes Block faked o "spoofed," consiguen consumir el Firewall. iptables -A FORWARD -i $NICK_INTERNA -s ! $TODA_SUBRED_LAN -j DROP #----------------------------------------------------------------------------# BLOQUEAR ALGUNA CONEXIN QUE VIENE DESDE EL INTERNET VIA PPP0. iptables -A FORWARD -i $NICK_EXTERNA -m state --state NEW,INVALID -j DROP #----------------------------------------------------------------------------&& echo "Regla 026 OK" && echo "Regla 025 OK" && echo "Regla 023 OK" && echo "Regla 024 OK" && echo "Regla 021 OK" && echo "Regla 022 OK" && echo "Regla 019 OK" && echo "Regla 020 OK"

161

# RECHAZA PAQUETES spoofed # ignora direcciones de fuentes evidentemente ilegales # Rechaza paquetes entrantes pretendiendo que son de direccin de red externa iptables -A INPUT -s $IP_NICK_EXTERNA -j DROP #----------------------------------------------------------------------------# Rechaza paquetes entrantes reclamando que son de clase A, B o C. para eth0 iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_A -j DROP iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_B -j DROP iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_C -j DROP # Rechaza paquetes entrantes reclamando que son de clase A, B o C. para eth2 iptables -A INPUT -i $NICK_INTERNA -s $CLASE_A -j DROP iptables -A INPUT -i $NICK_INTERNA -s $CLASE_B -j DROP iptables -A INPUT -i $NICK_INTERNA -s $CLASE_C -j DROP #----------------------------------------------------------------------------# Rechazar paquetes de direcciones SOURSE en broadcast. para eth0 iptables -A INPUT -i $NICK_EXTERNA -s $BROADCAST_DESTINO -j DROP iptables -A INPUT -i $NICK_EXTERNA -d $BROADCAST_FUENTE -j DROP # Rechazar paquetes de direcciones SOURSE en broadcast. para eth2 iptables -A INPUT -i $NICK_INTERNA -s $BROADCAST_DESTINO -j DROP iptables -A INPUT -i $NICK_INTERNA -d $BROADCAST_FUENTE -j DROP #----------------------------------------------------------------------------# Rechaza clase D direcciones multicast para eth0 && echo "Regla 036 OK" && echo "Regla 037 OK" && echo "Regla 034 OK" && echo "Regla 035 OK" && echo "Regla 031 OK" && echo "Regla 032 OK" && echo "Regla 033 OK" && echo "Regla 028 OK" && echo "Regla 029 OK" && echo "Regla 030 OK" && echo "Regla 027 OK"

162

iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_D -j DROP # Rechaza clase D direcciones multicast para eth2 iptables -A INPUT -i $NICK_INTERNA -s $CLASE_D -j DROP #----------------------------------------------------------------------------# Rechaza clase E direcciones IP reservadas. para eth0 iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_E -j DROP # Rechaza clase E direcciones IP reservadas. para eth2 iptables -A INPUT -i $NICK_INTERNA -s $CLASE_E -j DROP #----------------------------------------------------------------------------# Rechaza direcciones especiales definida por la IANA. # 0.*.*.* - Can't be blocked for DHCP users. # 127.*.*.* - LoopBack # 169.254.*.* - Link Local Networks # 192.0.2.* - TEST-NET # 224-255.*.*.* - Clases D & E, plus no localizada. # para eth0 iptables -A INPUT -i $NICK_EXTERNA -s 0.0.0.0/8 -j DROP iptables -A INPUT -i $NICK_EXTERNA -s 127.0.0.0/8 -j DROP iptables -A INPUT -i $NICK_EXTERNA -s 169.254.0.0/16 -j DROP iptables -A INPUT -i $NICK_EXTERNA -s 192.0.2.0/24 -j DROP iptables -A INPUT -i $NICK_EXTERNA -s 224.0.0.0/3 -j DROP # para eth1

&& echo "Regla 038 OK"

&& echo "Regla 039 OK"

&& echo "Regla 040 OK"

&& echo "Regla 041 OK"

&& echo "Regla 042 OK" && echo "Regla 043 OK" && echo "Regla 044 OK" && echo "Regla 045 OK" && echo "Regla 046 OK"

163

iptables -A INPUT -i $NICK_DMZ -s 0.0.0.0/8 -j DROP iptables -A INPUT -i $NICK_DMZ -s 127.0.0.0/8 -j DROP iptables -A INPUT -i $NICK_DMZ -s 169.254.0.0/16 -j DROP iptables -A INPUT -i $NICK_DMZ -s 192.0.2.0/24 -j DROP iptables -A INPUT -i $NICK_DMZ -s 224.0.0.0/3 -j DROP # para eth2 iptables -A INPUT -i $NICK_INTERNA -s 0.0.0.0/8 -j DROP iptables -A INPUT -i $NICK_INTERNA -s 127.0.0.0/8 -j DROP iptables -A INPUT -i $NICK_INTERNA -s 169.254.0.0/16 -j DROP iptables -A INPUT -i $NICK_INTERNA -s 192.0.2.0/24 -j DROP iptables -A INPUT -i $NICK_INTERNA -s 224.0.0.0/3 -j DROP #----------------------------------------------------------------------------# TRFICO LAN -- WAN # ******************* #----------------------------------------------------------------------------# Todo Trfico interno es externamente enmascarado. iptables -t nat -A POSTROUTING -o $NICK_EXTERNA -j MASQUERADE #SNAT --to $IPPUBLICOS #----------------------------------------------------------------------------# Enmascaramiento de la NICK_INTERNA y NICK_DMZ hacia la NICK_EXTERNA iptables -t nat -A POSTROUTING -s $TODA_SUBRED_LAN -o $NICK_EXTERNA -j SNAT --to $IPPUBLICOS iptables -t nat -A POSTROUTING -s $IP_SERVIDOR_SIAF -o $NICK_EXTERNA -j SNAT --to $IPPUBLICOS #-----------------------------------------------------------------------------

&& echo "Regla 047 OK" && echo "Regla 048 OK" && echo "Regla 049 OK" && echo "Regla 050 OK" && echo "Regla 051 OK"

&& echo "Regla 052 OK" && echo "Regla 053 OK" && echo "Regla 054 OK" && echo "Regla 055 OK" && echo "Regla 056 OK"

&& echo "Regla 057 OK"

&& echo "Regla 058 OK" && echo "Regla 059 OK"

164

# HTTP (cliente) REdireccionar puerto 80 iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 80 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --sport 80 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# HTTPS (cliente) PREnateo puerto 443 iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 443 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 443 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# Permite todo paquete interno fuera de nuestra red. iptables -A FORWARD -m state --state NEW,ESTABLISHED -i $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# POP (cliente) PREnateo puerto 110 iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 110 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 110 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# IMAP cliente (143) iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 143 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 143 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# SMTP cliente (25) iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 25 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 25 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 069 OK" && echo "Regla 070 OK" && echo "Regla 067 OK" && echo "Regla 068 OK" && echo "Regla 065 OK" && echo "Regla 066 OK" && echo "Regla 064 OK" && echo "Regla 062 OK" && echo "Regla 063 OK" && echo "Regla 060 OK" && echo "Regla 061 OK"

165

#----------------------------------------------------------------------------# TELNET cliente (23) iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 23 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 23 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# FTP cliente (21) iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 21 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 21 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# IRC cliente (6667) iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 6667 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 6667 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# ICQ cliente (4000) iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 4000 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 4000 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# DNS servidor de nombres solo-forward iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 21 -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 21 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT #----------------------------------------------------------------------------# Usuarios con NICK_DISPOSITIVO MODEM "ppp0". && echo "Regla 079 OK" && echo "Regla 080 OK" && echo "Regla 077 OK" && echo "Regla 078 OK" && echo "Regla 075 OK" && echo "Regla 076 OK" && echo "Regla 073 OK" && echo "Regla 074 OK" && echo "Regla 071 OK" && echo "Regla 072 OK"

166

iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to $IP_NICK_EXTERNA

&& echo "okey 4"

&& echo "Regla 081 OK"

#----------------------------------------------------------------------------# TRFICO LAN -- DMZ # ****************** #----------------------------------------------------------------------------# Accediendo al servidor SIAF del H.E.P iptables -A FORWARD -s $SR_MANUEL_VALERA -d $IP_SERVIDOR_SIAF -p tcp -j ACCEPT iptables -A FORWARD -s $SR_LUIS_CABEZAS -d $IP_SERVIDOR_SIAF -p tcp -j ACCEPT iptables -A FORWARD -s $SR_PERCY_ATAURIMA -d $IP_SERVIDOR_SIAF -p tcp -j ACCEPT iptables -A FORWARD -s $SRA_STEPHANY_GUILLEN -d $IP_SERVIDOR_SIAF -p tcp -j ACCEPT iptables -A FORWARD -s $IP_SERVIDOR_SIAF -d $TODA_SUBRED_LAN -p tcp -j ACCEPT #----------------------------------------------------------------------------# Accediendo al servidor Asistencial del H.E.P (Novel) iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_ASISTENCIAL -p tcp -j ACCEPT iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_ASISTENCIAL -d $TODA_SUBRED_LAN -p tcp -j ACCEPT #----------------------------------------------------------------------------# Accediendo al servidor de Correo del H.E.P && echo "Regla 089 OK" && echo "Regla 090 OK" && echo "Regla 091 OK" && echo "Regla 092 OK" && echo "Regla 093 OK" && echo "Regla 087 OK" && echo "Regla 088 OK" && echo "Regla 082 OK" && echo "Regla 083 OK" && echo "Regla 084 OK" && echo "Regla 085 OK" && echo "Regla 086 OK"

iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_CORREO -p tcp -j ACCEPT iptables -A FORWARD -i $NICK_INTERNA -d $IP_SERVIDOR_CORREO -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -i $NICK_DMZ -d $TODA_SUBRED_LAN -p tcp --sport 25 -j ACCEPT iptables -A FORWARD -i $NICK_INTERNA -d $IP_SERVIDOR_CORREO -p tcp --dport 110 -j ACCEPT iptables -A FORWARD -i $NICK_DMZ -d $TODA_SUBRED_LAN -p tcp --sport 110 -j ACCEPT

167

iptables -A FORWARD -i $NICK_INTERNA -d $IP_SERVIDOR_CORREO -p tcp --dport 143 -j ACCEPT iptables -A FORWARD -i $NICK_DMZ -d $TODA_SUBRED_LAN -p tcp --sport 143 -j ACCEPT iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_CORREO -d $TODA_SUBRED_LAN -p tcp -j ACCEPT iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --dport 25 -j DNAT --to $IP_SERVIDOR_CORREO:25 iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --dport 110 -j DNAT --to $IP_SERVIDOR_CORREO:110 iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --dport 143 -j DNAT --to $IP_SERVIDOR_CORREO:143 #----------------------------------------------------------------------------# Accediendo al servidor Personal del H.E.P iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_PERSONAL -p tcp -j ACCEPT #----------------------------------------------------------------------------# Accediendo al servidor de Logstica del H.E.P iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_LOGISTICA -p tcp -j ACCEPT iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_LOGISTICA -d $TODA_SUBRED_LAN -p tcp -j ACCEPT #----------------------------------------------------------------------------# Accediendo al servidor Datos del H.E.P iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_DATOS -p tcp -j ACCEPT iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_DATOS -d $TODA_SUBRED_LAN -p tcp -j ACCEPT iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_DATOS -p tcp --dport 23 -j ACCEPT #-----------------------------------------------------------------------------

&& echo "Regla 094 OK" && echo "Regla 095 OK" && echo "Regla 096 OK" && echo "Regla 097 OK" && echo "Regla 098 OK" && echo "Regla 099 OK"

&& echo "Regla 100 OK"

&& echo "Regla 101 OK" && echo "Regla 102 OK"

&& echo "Regla 103 OK" && echo "Regla 104 OK" && echo "Regla 105 OK"

# permite el paso de cualquier IP de la intranet que consulte el DNS, ya sea por protocolo tcp o udp iptables -A FORWARD -s $TODA_SUBRED_LAN -i $NICK_INTERNA -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s $TODA_SUBRED_LAN -i $NICK_INTERNA -p udp --dport 53 -j ACCEPT && echo "Regla 106 OK" && echo "Regla 107 OK"

168

#----------------------------------------------------------------------------# En la respuesta del DNS traduce la IP de destino hacia la intranet iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --sport 53 -j DNAT --to-destination $IP_NICK_INTERNA iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p udp --sport 53 -j DNAT --to-destination $IP_NICK_INTERNA #----------------------------------------------------------------------------# TRFICO WAN -- DMZ # ****************** #----------------------------------------------------------------------------# salida del server SIAF al MEF iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_PERSONAL -o $NICK_EXTERNA -p tcp -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -o $NICK_DMZ -s $IP_SERVIDOR_PERSONAL -p tcp -j ACCEPT iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --sport 970:1090 -j DNAT --to-destination $IP_NICK_DMZ #----------------------------------------------------------------------------# salida del server correo al proveedor iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_CORREO -p tcp --dport $P_CORREO -o $NICK_EXTERNA -j ACCEPT iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport $P_CORREO -o $NICK_DMZ -s $IP_SERVIDOR_CORREO -j ACCEPT iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --sport $P_CORREO -j DNAT --to-destination $IP_NICK_DMZ #----------------------------------------------------------------------------# Guardamos felizmente todo lo anterior escrito solamente # ******************************************************** #----------------------------------------------------------------------------/etc/init.d/network stop && echo "Regla 113 OK" && echo "Regla 114 OK" && echo "Regla 115 OK" && echo "Regla 110 OK" && echo "Regla 111 OK" && echo "Regla 112 OK" && echo "Regla 108 OK" && echo "Regla 109 OK"

169

rm -f /etc/sysconfig/iptables iptables-save /etc/init.d/iptables save chkconfig --level 2345 iptables on /etc/init.d/network start clear #----------------------------------------------------------------------------#/etc/init.d/iptables panic #----------------------------------------------------------------------------# #-----------------------------------------------------------------------------

Ejecucin de los comandos

[root/HEP]# sh final-script

Logramos configurar y poner en funcionamiento nuestro firewall, en tal caso guardamos en nuestro archivo de configuracin explicado en la siguiente parte. Ejecutando:, podemos visualizar las reglas cargadas [root/HEP]# iptables L -n:
Chain INPUT (policy target prot opt ACCEPT all -DROP tcp -DROP tcp -DROP all -DROP all -DROP all -DROP all -DROP all -DROP all -DROP all -DROP) source 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 162.192.5.6 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 destination 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0

tcp flags:0x3F/0x3F tcp flags:0x3F/0x00

170

DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP DROP

all all all all all all all all all all all all all all all all all all all all all all all

------------------------

255.255.255.255 0.0.0.0/0 255.255.255.255 0.0.0.0/0 224.0.0.0/4 224.0.0.0/4 240.0.0.0/5 240.0.0.0/5 0.0.0.0/8 127.0.0.0/8 169.254.0.0/16 192.0.2.0/24 224.0.0.0/3 0.0.0.0/8 127.0.0.0/8 169.254.0.0/16 192.0.2.0/24 224.0.0.0/3 0.0.0.0/8 127.0.0.0/8 169.254.0.0/16 192.0.2.0/24 224.0.0.0/3

0.0.0.0/0 0.0.0.0 0.0.0.0/0 0.0.0.0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP) target prot opt source DROP tcp -- 0.0.0.0/0 DROP tcp -- 0.0.0.0/0 DROP all -- !192.168.1.0/24 DROP all -- 0.0.0.0/0 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT all -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24

destination 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0

tcp flags:0x3F/0x3F tcp flags:0x3F/0x00 state INVALID,NEW tcp dpt:80 tcp spt:80 tcp dpt:443 tcp dpt:443 state NEW,ESTABLISHED tcp dpt:110 tcp dpt:110 tcp dpt:143 tcp dpt:143 tcp dpt:25 tcp dpt:25 tcp dpt:23 tcp dpt:23

171

ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT ACCEPT

tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp udp tcp tcp tcp tcp

------------------------------------

192.168.1.0/24 192.168.1.0/24 192.168.1.0/24 192.168.1.0/24 192.168.1.0/24 192.168.1.0/24 192.168.1.0/24 192.168.1.0/24 192.168.1.65 192.168.1.66 192.168.1.67 192.168.1.68 192.168.1.7 192.168.1.0/24 192.168.1.2 192.168.1.0/24 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 192.168.1.3 192.168.1.0/24 192.168.1.0/24 192.168.1.5 192.168.1.0/24 192.168.1.6 192.168.1.0/24 192.168.1.0/24 192.168.1.0/24 192.168.1.4 192.168.1.4 192.168.1.3 192.168.1.3

0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 192.168.1.7 192.168.1.7 192.168.1.7 192.168.1.7 192.168.1.0/24 192.168.1.2 192.168.1.0/24 192.168.1.3 192.168.1.3 192.168.1.0/24 192.168.1.3 192.168.1.0/24 192.168.1.3 192.168.1.0/24 192.168.1.0/24 192.168.1.4 192.168.1.5 192.168.1.0/24 192.168.1.6 192.168.1.0/24 192.168.1.6 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0

tcp tcp tcp tcp tcp tcp tcp tcp

dpt:21 dpt:21 dpt:6667 dpt:6667 dpt:4000 dpt:4000 dpt:21 dpt:21

tcp tcp tcp tcp tcp tcp

dpt:25 spt:25 dpt:110 spt:110 dpt:143 spt:143

tcp dpt:23 tcp dpt:53 udp dpt:53

tcp dpt:5338 tcp dpt:5338

Chain OUTPUT (policy DROP) target prot opt source ACCEPT all -- 0.0.0.0/0

destination 0.0.0.0/0

172

ahora visualizamos el contenido del archivo de configuracin donde rc.d cojer para cargar en el ncleo las reglas, Ejecutando: [root/HEP]# vi /etc/sysconfig/iptables
# Generated by iptables-save v1.3.5 on Wed Feb 27 08:54:00 2008 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A INPUT -s 162.192.5.6 -j DROP -A INPUT -s 10.0.0.0/255.0.0.0 -i eth0 -j DROP -A INPUT -s 172.16.0.0/255.240.0.0 -i eth0 -j DROP -A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -j DROP -A INPUT -s 10.0.0.0/255.0.0.0 -i eth2 -j DROP -A INPUT -s 172.16.0.0/255.240.0.0 -i eth2 -j DROP -A INPUT -s 192.168.0.0/255.255.0.0 -i eth2 -j DROP -A INPUT -s 255.255.255.255 -i eth0 -j DROP -A INPUT -d 0.0.0.0 -i eth0 -j DROP -A INPUT -s 255.255.255.255 -i eth2 -j DROP -A INPUT -d 0.0.0.0 -i eth2 -j DROP -A INPUT -s 224.0.0.0/240.0.0.0 -i eth0 -j DROP -A INPUT -s 224.0.0.0/240.0.0.0 -i eth2 -j DROP -A INPUT -s 240.0.0.0/248.0.0.0 -i eth0 -j DROP -A INPUT -s 240.0.0.0/248.0.0.0 -i eth2 -j DROP -A INPUT -s 0.0.0.0/255.0.0.0 -i eth0 -j DROP -A INPUT -s 127.0.0.0/255.0.0.0 -i eth0 -j DROP -A INPUT -s 169.254.0.0/255.255.0.0 -i eth0 -j DROP -A INPUT -s 192.0.2.0/255.255.255.0 -i eth0 -j DROP -A INPUT -s 224.0.0.0/224.0.0.0 -i eth0 -j DROP -A INPUT -s 0.0.0.0/255.0.0.0 -i eth1 -j DROP -A INPUT -s 127.0.0.0/255.0.0.0 -i eth1 -j DROP -A INPUT -s 169.254.0.0/255.255.0.0 -i eth1 -j DROP -A INPUT -s 192.0.2.0/255.255.255.0 -i eth1 -j DROP -A INPUT -s 224.0.0.0/224.0.0.0 -i eth1 -j DROP -A INPUT -s 0.0.0.0/255.0.0.0 -i eth2 -j DROP -A INPUT -s 127.0.0.0/255.0.0.0 -i eth2 -j DROP -A INPUT -s 169.254.0.0/255.255.0.0 -i eth2 -j DROP -A INPUT -s 192.0.2.0/255.255.255.0 -i eth2 -j DROP -A INPUT -s 224.0.0.0/224.0.0.0 -i eth2 -j DROP

173

-A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A

FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD FORWARD

-p -p -s -i -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -s -d -d -d -d -d -d -s -s -s -s

tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP ! 192.168.1.0/255.255.255.0 -i eth2 -j DROP eth0 -m state --state INVALID,NEW -j DROP 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --sport 80 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 443 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -m state --state NEW,ESTABLISHED -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 110 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 143 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 143 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 25 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 23 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 23 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 21 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 6667 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 6667 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 4000 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 4000 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 21 -j ACCEPT 192.168.1.65 -d 192.168.1.7 -p tcp -j ACCEPT 192.168.1.66 -d 192.168.1.7 -p tcp -j ACCEPT 192.168.1.67 -d 192.168.1.7 -p tcp -j ACCEPT 192.168.1.68 -d 192.168.1.7 -p tcp -j ACCEPT 192.168.1.7 -d 192.168.1.0/255.255.255.0 -p tcp -j ACCEPT 192.168.1.0/255.255.255.0 -d 192.168.1.2 -i eth2 -p tcp -j ACCEPT 192.168.1.2 -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -j ACCEPT 192.168.1.0/255.255.255.0 -d 192.168.1.3 -i eth2 -p tcp -j ACCEPT 192.168.1.3 -i eth2 -p tcp -m tcp --dport 25 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth1 -p tcp -m tcp --sport 25 -j ACCEPT 192.168.1.3 -i eth2 -p tcp -m tcp --dport 110 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth1 -p tcp -m tcp --sport 110 -j ACCEPT 192.168.1.3 -i eth2 -p tcp -m tcp --dport 143 -j ACCEPT 192.168.1.0/255.255.255.0 -i eth1 -p tcp -m tcp --sport 143 -j ACCEPT 192.168.1.3 -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -j ACCEPT 192.168.1.0/255.255.255.0 -d 192.168.1.4 -i eth2 -p tcp -j ACCEPT 192.168.1.0/255.255.255.0 -d 192.168.1.5 -i eth2 -p tcp -j ACCEPT 192.168.1.5 -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -j ACCEPT

174

-A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.1.6 -i eth2 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.6 -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.1.6 -i eth2 -p tcp -m tcp --dport 23 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -p tcp -m tcp --dport 53 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -p udp -m udp --dport 53 -j ACCEPT -A FORWARD -s 192.168.1.4 -i eth1 -o eth0 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.4 -i eth0 -o eth1 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.3 -i eth1 -o eth0 -p tcp -m tcp --dport 5338 -j ACCEPT -A FORWARD -s 192.168.1.3 -i eth0 -o eth1 -p tcp -m tcp --dport 5338 -j ACCEPT -A OUTPUT -o lo -j ACCEPT COMMIT # Completed on Wed Feb 27 08:54:00 2008 # Generated by iptables-save v1.3.5 on Wed Feb 27 08:54:00 2008 *nat :PREROUTING DROP [0:0] :POSTROUTING DROP [0:0] :OUTPUT DROP [0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.3:25 -A PREROUTING -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.1.3:110 -A PREROUTING -i eth0 -p tcp -m tcp --dport 143 -j DNAT --to-destination 192.168.1.3:143 -A PREROUTING -i eth0 -p tcp -m tcp --sport 53 -j DNAT --to-destination 192.168.1.1 -A PREROUTING -i eth0 -p udp -m udp --sport 53 -j DNAT --to-destination 192.168.1.1 -A PREROUTING -i eth0 -p tcp -m tcp --sport 970:1090 -j DNAT --to-destination 192.168.2.1 -A PREROUTING -i eth0 -p tcp -m tcp --sport 5338 -j DNAT --to-destination 192.168.2.1 -A POSTROUTING -o eth0 -j MASQUERADE -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth0 -j SNAT --to-source 162.192.5.7-162.192.5.19 -A POSTROUTING -s 192.168.1.7 -o eth0 -j SNAT --to-source 162.192.5.7-162.192.5.19 -A POSTROUTING -o ppp0 -j SNAT --to-source 162.192.5.6 COMMIT # Completed on Wed Feb 27 08:54:00 2008 # Generated by iptables-save v1.3.5 on Wed Feb 27 08:54:00 2008 *mangle :PREROUTING DROP [0:0] :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] :POSTROUTING DROP [0:0] COMMIT # Completed on Wed Feb 27 08:54:00 2008

175

11.2 - Consideracin post-creacin y ejecucin del script

Se instala una versin ms actual de iptables: iptables-1.3.7-2.i386.rpm Con los siguientes comandos que se instal el paquete rpm anteriormente sealado, para nuestro FEDORA CORE 6 Cambiamos los permisos del directorio el ejecutable iptables, los comandos son: [root@HEP /]# chmod 700 /etc/rc.d/init.d/iptables [root@HEP /]# chown 0.0 /etc/rc.d/init.d/iptables Con este comando podemos actualizar el servicio de iptables, en nuestro acaso ya tenemos actualizado el iptables: [root@HEP /]# rpm -Uvh iptables-1.3.7-2.i386.rpm Por defecto se cre un script /etc/sysconfig/iptables el cual va ser usado por el script rc.d y tomar las reglas que sean configuradas en ese file, luego creamos un nuevo Script llamado firewall luego se guarda de la siguiente manera: [root@HEP /]# iptables-save Para trasladar esas nuevas reglas que hemos creado en nuestro Firewall y siempre despus de modificar algunas reglas se deber hacer lo siguiente: [root@HEP /]# iptables-save > /etc/sysconfig/iptables, Luego salvamos la nueva configuracin de las reglas en iptables, que por defecto ya existe un file con el nombre iptables en la ruta que se muestra, con lo cual se podr inicializar, detener o reestablecer el iptables como un servicio ms: [root@HEP /]# /etc/init.d/iptables save Luego establecemos los niveles de ejecucin para los cuales se podr habilitar el script con las nuevas reglas creadas, algunos de ellos sern monousuario, multiusuario, consola de texto o grficas [root@HEP /]# chkconfig --level 2345 iptables on Cada vez que reinicie el servidor Red Hat el script rc.d reestablecer las reglas almacenadas en el/etc/sysconfig/iptables

176

11.3 - ANLISIS DE RESULTADOS

11.3.1 - SIMPLE SIMULACIN CON EL SOFTWARE PACKET TRACER 4.1 de Cisco System. Interfase del programa

INTERFACE DEL DISEO

177

Disearemos la Red ANTIGUA y la MEJORADA y simularemos una comunicacin en Red.

DISEO: RED ANTIGUA

_____________________________________________________________ Al ejecutar esta configuracin vemos como las PC que estn con la llama roja nos indica que reciben paquetes que no es necesario que reciban gracias a una mala configuracin de Hub Switch, ya que el Hub reenva toda la informacin por todos sus puertos excepto por donde entro.

178

DISEO: RED MEJORADA

_____________________________________________________________ En esta red mejorada, vemos como cada host recibe el paquete que es para el y no saturndose de paquetes descartados gracias a una correcta configuracin Hub-Switch, que proponemos en muestra configuracin final de nuestra SUBRED Mejorada.

179

11.3.2 - Ejecucin del Firewall

180

181

182

CAPTULO XI

PLAN DE TRABAJO HEP (Preparado y aplicado por el rea De Soporte Informtico HEP.)

183

12.1 -Introduccin El Hospital de Emergencias Peditricas utiliza como una de sus estrategias, el mejoramiento de la calidad de la atencin integral de la salud. Este compromiso con la sociedad en general, y con el paciente en particular, impone un reto que para todos los servicios involucrados en el que hacer de la salud; de entre los cuales no escapa el servicio de conservacin y mantenimiento que debe brindarse a las instalaciones fsicas y equipos informticos, Aunque estn lejos naturalmente de la Lnea Mdica, impone un papel preponderante en la calidad de servicio a la ciudadana Por esta razn, todo buen gerente hospitalario, conociendo los beneficios que produce implementar un adecuado programa de Mantenimiento de Equipos Informticos (MEI), debe apoyar y propiciar las condiciones para ejecutar un programa de MEI de calidad. Este documento implica un mantenimiento a equipos de informtica y a su INTRANET de Datos, esto incluye todos los tipos de estaciones de trabajo, anexos y sus recursos que podran existir, as mismo el trmite administrativo que podra culminar cualquier servicio. Estos son:

Computadores datos. Computadores administrativo.

de

ingresos

de

Impresoras en reas crticas Impresoras servidoras

de

personal

Supresores de picos Estabilizadores hbridos y slidos UPS Monitores

Computadores Asistenciales Computadores en reas crticas. Computadores Aplicaciones Impresoras en reas asistenciales Impresoras administrativas en reas Servidores de

Hubs Switcher Scanners La Intranet H.E.P. La subred H.E.P.

184

12.2 - Objetivos

a alcanzar

Nuestro objetivo esta enfocado al tratamiento de la informtica, sus recursos y su respaldo hacia las actividades para la que se ha utilizado y domina as mismo para sistemas no informticos pero que dependen de ello. La misin de este servicio es concretar objetivos, gestionar recursos, y ayudar a la institucin a lograr sus metas con comodidad y seguridad sobretodo con efectividad y a la vanguardia de la tecnologa Seguridad de los datos y fuentes fidedignas mostradas en el plan de contingencia Facilitar a los usuarios al tratamiento de los datos y su canalizacin hacia ellos Rapidez en la bsqueda de consultas y bases de datos estadsticas en general Acomodo de los datos y recursos a diferentes usuarios y su facilidad para el acceso Tambin nuestro objetivo es demostrarle que su inversin ser provechosa en lo que concierne al servicio y as ser recomendados

Seguridad: Versatilidad: Rapidez: Flexibilidad: Costos:

Los Mantenimientos realizados alargarn la vida til de cada equipo informtico destinado a uso y manejo hacia el usuario, as se har efectivo el servicio y coste del hospital por ello.

12.3 - Metodologa

a utilizar

La metodologa a utilizar esta basada en un conjunto de sistemas que harn de nuestro servicio el ms eficiente, estos sistemas son: Sistemtica Controlada Emprica Crtica Sistemtica porque nuestro servicio esta orientados a procesos como son las ejecucin de las rutinas de mantenimiento preventivo & correctivo y sistemas como los programas de toma de control remoto y manejo de los servidores Windows as dando un orden en la ejecucin de cualquier 185

problema y conservando los estndares dando eficiencia en el tiempo de ejecucin y calida del servicio; Controlada porque cada rutina esta creada para poder tomar el control totalmente en cualquier momento del proceso y definir nuevos procesos que se ajusten al mejor beneficio del sistema llevado a cabo, esto da flexibilidad al proceso y permite tener alternativas de rpida actuacin e improvisacin originando soluciones rpidamente; Emprica porque la experiencia esta basada en las ocurrencias que diariamente enriquece nuestro bagaje intelectual y de conocimiento, as conociendo ms profundamente la institucin, esto repercute y se ver un tiempo progresivo de disminucin en cada atencin correspondiente a todo el servicio en todo el ao; Crtica porque estamos supeditados tomar y examinar en nuestro beneficio cualquier tipo de crtica constructiva, esto servir de fortalecimiento a nuestro servicio, en beneficio de la Institucin.

186

12.4 - A continuacin describiremos los procedimientos generales de las rutinas del mantenimiento de equipos informticos segn la metodologa expuesta operaciones normales comprendidas en el servicio para cada equipo informtico, los trabajos y servicios que se detallan a continuacin se consideran incluidos en el mantenimiento, cualquier cambio de pieza o parte o software, esta ser adquirida por el Hospital de Emergencias Peditricas

RUTINAS DE MANTENIMIENTOS GENERALES PARA HARDWARE DE COMPUTADOR (PC-SERVIDOR) 1. 2. 3. 4. 5. 6. Inspeccin de condiciones ambientales Inspeccin externa del equipo * Limpieza integral externa Inspeccin interna Limpieza integral interna incluye Teclado y Mouse Chequeo de hardware con utilitarios y diagnosticadotes y comportamientos estadsticos de los dispositivos 7. Se comunicar para su compra el reemplazo de ciertas partes caso se encontraran errores de Hardware 8. 9. Ajuste y calibracin de ser el caso Revisin de seguridad elctrica

10. Pruebas funcionales completas 11. Sugerir nivel de referencia a tierra 12. Informe respectivo final RUTINAS DE MANTENIMIENTOS GENERALES PARA SOFTWARE DE UN COMPUTADOR 1. 2. Inspeccin de condiciones de operacin Inspeccin del funcionamiento del software y rendimiento del sistema 3. chequeo de comportamiento de virus informticos y eliminacin 4. Mantenimiento del sistema de archivos y estructura de

187

directorio 5. 6. Verificacin de conflictos de controladores del sistema Verificacin del buen funcionamiento de los controladores del sistema 7. 8. Reinstalacin de ciertas aplicaciones de encontrarse fallas Reinstalacin del sistema operativo total de encontrarse fallas graves 9. Revisin de seguridad elctrica y nivel de referencia a tierra

10. Pruebas funcionales completas 11. Informe respectivo final RUTINAS DE MANTENIMIENTOS GENERALES PARA

IMPRESORAS 1. 2. 3. Inspeccin de condiciones ambientales Inspeccin del funcionamiento de la Impresora Limpieza de Tarjeta Elctrica (alargamiento de vida de componentes) 4. 5. 6. En caso de tintas verificacin de Inyectores En caso de lser verificacin de fusor En caso de Matricial Verificacin de impedancias de bobinas 7. 8. 9. Verificacin de los Voltajes de la fuente de poder Verificacin de filtros alterados Desmontaje y limpieza de todo el sistema mecnico

10. Limpieza de Tarjeta Elctrica 11. Verificacin de buen estado de transistores de conmutacin 12. Sugerir Nivel de Referencia a Tierra 13. Informe respectivo final RUTINAS DE MANTENIMIENTOS GENERALES PARA

SUPRESORES DE PICOS 1. 2. Inspeccin de condiciones ambientales Inspeccin de correcto funcionamiento de contactos

188

3. 4. 5. 6. 7. 8. RUTINAS

Inspeccin del filtro interno Limpieza interna integral del dispositivo Inspeccin de interruptor de encendido Inspeccin de recalentamiento Sugerir nivel de referencia a Tierra Informe respectivo final DE MANTENIMIENTOS GENERALES PARA

ESTABILIZADORES 1. 2. Inspeccin de condiciones ambientales Inspeccin de regulacin de voltaje de entrada (Rango asignado) 3. Inspeccin de regulacin de voltaje de salida (Rango asignado) 4. En caso de tipo Hbrido revisin de contactores en correcto estado de funcionamiento 5. En caso de tipo Slido verificacin de disparadores internos TRIAC 6. 7. 8. 9. Verificacin de filtros alterados Verificacin correcta de diodos Verificar impedancia del transformador Inspeccin de sobrecarga de estabilizadores por parte del usuario 10. Verificacin de tomacorrientes en buenos contactos 11. Sugerir nivel de referencia a tierra 12. Informe respectivo final RUTINAS DE MANTENIMIENTOS GENERALES PARA UPS 1. 2. Inspeccin de condiciones ambientales Verificacin de regulacin de voltaje de salida (Rango asignado) 3. 4. Inspeccin interna y limpieza integral Verificacin de bateras malogradas

189

5. 6. 7. 8.

Verificacin de filtros alterados Inspeccin de sobrecarga de UPS por parte del usuario Verificacin de tomacorrientes en buenos contactos Informe respectivo final

RUTINAS DE MANTENIMIENTOS GENERALES PARA MONITORES 1. 2. 3. 4. 5. 6. 7. 8. 9. Inspeccin de condiciones ambientales Inspeccin externa del equipo * Limpieza integral externa Inspeccin interna Desarmado total de monitor y limpieza integral Chequeo de FLYBACK Resoldado de placa principal y lgica de video Verificacin en continuidad en diodos y rectificadores Verificacin de filtros alterados

10. Ajuste y calibracin de color e imagen 11. Revisin de seguridad elctrica 12. Pruebas funcionales completas de resolucin 13. Sugerir nivel de referencia a tierra 14. Informe respectivo final RUTINAS DE MANTENIMIENTOS GENERALES PARA HUBS Y SWITCHES 1. 2. 3. 4. Inspeccin de condiciones ambientales Inspeccin externa del equipo Limpieza Externa del equipo Verificacin de puntos Ethernet

en ptimas condiciones y marcar los malos 5. Colocar numeracin o identificacin a los puntos

conectados 6. 7. 8. Revisin de seguridad elctrica Sugerir nivel de referencia a Tierra Informe respectivo final

190

RUTINAS

DE

MANTENIMIENTOS

GENERALES

PARA

EL

CABLEADO ESTRUCTURADO Verificacin de la categora de cada punto forma de conexin y distribucin de cables par trenzado Verificacin de antigedad de los cables y su estado de conservacin Verificar si su trayectoria es la correcta y rehacer el tendido si hubiese alguna anomala en el tendido del cable Verificacin de los puertos del Switch y su comunicacin continua hacia los servidores y estaciones de trabajo Verificacin y limpieza de los conectores RJ45 Reorganizar la distribucin de los conectores en el PANEL y su correcto etiquetado de cada punto RUTINAS DE MANTENIMIENTOS GENERALES PARA SCANERS Y WEBCAMS 1. 2. 3. 4. 5. 6. RUTINAS Inspeccin de condiciones ambientales Limpieza externa del Equipo Verificacin de puerto de comunicacin Calibracin de Lmpara Configuracin de drivers en el S.O. Informe respectivo final DE MANTENIMIENTOS GENERALES PARA LOS

SISTEMAS OPERATIVOS DE LOS SERVIDORES El mantenimiento de un servidor depende de su Sistema Operativo en caso de: LINUX.- Se establecer procesos solo para las aplicaciones y servicios brindados y borrado de temporales, en la proteccin del sistema se instalar y peridicamente se realizar ejecucin de antivirus. Optimizacin del sistema Firewall.y Proxy. NOVEL.- Se establecer rutinas de borrados de archivos temporales y archivos suprimidos tanto como reorganizacin a una buena estructura

191

de los usuarios y polticas de seguridad y derechos para los usuarios. Se realizarn peridicamente backup de los sistemas y archivos de los usuarios., Se realizar actualizacin de antivirus. WINDOWS.- Se realizar defragmentacin de las particiones as como borrados de archivos suprimidos y temporales, actualizacin de antivirus, actualizacin del sistema operativo y parches service pack, se realizarn peridicamente backup de los archivos de usuario y de sistemas. MANTENIMIENTO PREVENTIVO/CORRECTIVO DE EQUIPOS INFORMTICOS Se realizar el mantenimiento a los equipos e impresoras en procedimientos segn el cronograma de actividades realizados segn el equipo y la tecnologa a tratar as mismo se tendr en cuenta nuestra experiencia en componentes electrnicos con tiempo de vida a finalizar y tecnologas delicadas a la corriente esttica, el mantenimiento preventivo solo ser de Limpieza de piezas, ajustes, diagnstico de posibles fallas futuras, y mantenimiento de sistemas efectuados en un equipo o instalacin a fin de minimizar el riesgo de fallo y asegurar la continua operacin de los mismos, logrando de esta manera extender su vida media. Esto incluye el cuidado peridico que debe realizar el propio operador del equipo, como proteccin del medio bsicamente y correcta operacin del equipo.

192

12.5 - Organizacin del mantenimiento de equipos informticos en el hospital de emergencias peditricas

Generalidades para asegurar que el servicio brindado en el hospital de Emergencias Peditricas sea continuo y eficaz, y adicionalmente se optimice el rendimiento de los equipos informticos, es necesario disponer de un sistema que sea capaz de gerenciar programas de conservacin y mantenimiento de los recursos fsicos, acorde con el desarrollo y necesidades de los mismos, y que sea parte integral del sistema de salud considerado como un todo, adems el sistema de mantenimiento de equipos informticos, adems debe ser consistente con los recursos y polticas de la institucin. En el nivel central, el supervisor solo depender de la unidad de Estadstica e Informtica, habr fluidez de conversacin entre el departamento de Estadstica e informtica y los tcnicos de soporte informtico. El rea de Soporte Tcnico Informtico emitir los informes respectivos despus de cada servicio dirigido solo a la unidad de Estadstica e Informtica al jefe a cargo.

Estructura y organizacin del mantenimiento de equipos informticos. El sistema de Mantenimiento Preventivo General constar de TRES (3) rutinas de ejecucin Se realizar el mantenimiento a los equipos e impresoras en procedimientos segn el cronograma de actividades El mantenimiento preventivo se convertira en correctivo si durante el procedimiento originara algn cambio de repuesto inmediato o a corto plazo.

193

12.5.1 - Mantenimiento preventivo de equipos informticos

RUTINA DE MANTENIMIENTO PREVENTIVO H.E.P.

Inicio MEI(p) Ejecutar la orden programada realizar pruebas de estado y verificacin e informar a usuario de las mismas

Pedir autorizacin al usuario para desplazar el equipo, le otorgan?

Informar a la unidad de estadstica e informtica

si
Desplazar el equipo al taller y ejecutar el mantenimiento

si

informa si es desplazado el equipo

Ejecutar el mantenimiento in situ

el equipo requiere de algun repuesto?

si

H
Anotar cualquier anomalia encontrada Registrar el tiempo del mantenimiento Limpieza y ordenamiento del lugar de trabajo Desplazar el equipo a la unidad (caso sea en taller) Realizar pruebas del equipo

Si el equipo requiere repuesto se convierte en mantenimiento correctivo

MEI(c)

K
Firma del reporte de mantenimiento por el usuario

Fin

194

12.5.2 - Mantenimiento correctivo de equipos informticos De acuerdo al programa de mantenimiento preventivo. Cualquiera que sea la manera, todo mantenimiento correctivo debe iniciar en el cronograma de actividades. A continuacin se presenta el diagrama de flujo:

RUTINA DE MANTENIMIENTO CORRECTIVO H.E.P.

VIENE DEL MANTENIMIENTO PREVENTIVO

MEI(c)

Es posible reparar el repuesto defectuoso

Cuenta con el repuesto almacn

si

si

Solictelo y ejecute el cambio

si
Espere hasta que la unidad de Estadstica e Informtica lo adquiera

Son adquiribles?

Realice la prueba de funcionamiento y cercirese de la calidad del trabajo

Recomiende baja del equipo

Generar informe tcnico

195

12.5.3 - Mantenimiento de servidores (hardware) Los mantenimientos de los servidores constan de rutinas

especializadas que se han descrito anteriormente, los diagramas de mantenimiento para equipos crticos de servicios

RUTINA DE MANTENIMIENTO PREVENTIVO/CORRECTIVO SERVIDORES H.E.P.

Inicio MEI(s)

Recibir orden de trabajo Verificar inventario

Inspeccione, revise estado y magnitud del trabajo solicitado

Analizar el Sistema Operativo

Cuenta el servidor con un respaldo en paralelo?

El servidor es de caracter crtico

si

si
Coordinar fecha, hora y tiempo de demora para apagar el servidor en horas de muy bajo uso de recursos

Verificar el hardware despues de apagado

Ejecutar el servicio de mantenimiento general para servidores Puesta en linea y actualizacin de base de datos del controlador backup

Fin

196

12.6 - Planeamiento del servicio

12.6.1 - Cronograma de actividades, anlisis y clculo

El mantenimiento a computadores se realizar por rea: Segn las bases anexo A se tiene un total de 103 computadores y 54 impresoras en general, los he dividido de tal forma que sea ms fcil el mantenimiento en los siguientes grupos:

Asistenciales (farmacia, Admisin, Caja) 6 computadores El rea asistencial cuenta con 6 computadores: 2-Cajas, 1-Adm., 3-Farmacia, A estos computadores se les realizar el mantenimiento trimestral, se tomar en cuenta una computador de Reten para que este servicio no quede desamparado. Se aprovechar los das que una de estas puede abastecer para que recargue el trabajo momentneamente caso no exista computador Reten

Jefaturas (jefaturas de reas) 23 computadores A estos usuarios se les realizar el mantenimiento semestralmente previa coordinacin con los usuarios respectivos

Usuarios finales 79 computadores (aproximadamente) A estos usuarios se les realizar un mantenimiento semestralmente previa coordinacin con los usuarios respectivos o sus jefaturas

197

La cantidad de equipos de cmputo a realizar el mantenimiento; asumiendo 103 computadores promedio ms 54 impresoras (103+54=157) pero como todos tienen una frecuencia de dos veces por ao y agregndole el 20% ms de productividad, nos da una cantidad relativa de PC (103*1.2 + 54)*2=355.2 Equipos informticos anualmente, reportando el mantenimiento o avance trimestralmente; es el siguiente: 1 ao = 4 trimestres; y son 103 computadores + 54 impresoras con frecuencias de dos veces por ao y 20% mas de productividad requerida por la oficina de estadstica e informtica =355.2 equipos anualmente y entre 260 das tiles del ao Diariamente nuestra constante de mantenimiento es de 355.2/260=~ 1.37 PCs por da, as nuestra constante diferencial ser de = 1.3 PCs/Da Antidiferenciando nuestra constante nos dar una regla que utilizaremos para registrar el avance del mantenimiento a los equipos: #PCs= 1.3 (da) + C, C viene a ser la cantidad de equipos que por ser nuevos o en garanta no se realizarn el mantenimiento, esto se calcular en el primer da de trabajo. Todo el registro se introducir en una tabla de Excel, as el jefe superior inmediato a soporte tcnico supervisar todo el proceso todo el tiempo Se coordinar para que se efecte el mantenimiento diariamente con frecuencia de tres Equipos en dos das, as de no descuidar el servicio a usuarios y otros mantenimientos. Se entregar cada trimestre un informe correspondiente a todos los servicios brindados tanto como los mantenimientos de PCs e Impresoras.

198

 Mantenimiento de la intranet (sub-red) La estructura de la intranet del hospital de emergencias peditricas esta a la actualidad de los estndares internacionales para cableado estructurado, la categora 5e para el cableado y velocidades de transmisin de paquetes de 100tx en mbps, rigen en la intranet, eso conlleva a tomar todas las precauciones en los mantenimientos preventivos y correctivos y la asistencia tcnica

Mantenimiento a puntos de red: El cambio de cada conector debe hacerse despus de dos aos, en este sentido cada cambio ser analizado por el tcnico. Los conectores se cambiarn de acuerdo al avance del mantenimiento de las pcs Las instalaciones de nuevos puntos se harn en forma planificada para no afectar mantenimientos importantes

El mantenimiento del cableado estructurado Se har conjuntamente con los mantenimientos preventivos de los computadores y servidores, en caso cuando se aproveche en el mantenimiento, este mantenimiento ser evaluado por el tcnico.

El mantenimiento a las impresoras El mantenimiento de las impresoras esta incluido en el mantenimiento de equipos de cmputo. En el rea asistencia como son las impresoras de CAJA, ADMISIN, FARMACIA, se le realizar un mantenimiento cada 15 das por ser impresoras de uso ininterrumpido previo cambio por una de RETEN (temporal) Se Abstendr del mantenimiento a las impresoras que tengan todava garanta de mantenimiento del vendedor o fabricante, el mantenimiento

199

ser registrado en hoja de Excel a fin de su control por el jefe inmediato superior de la unidad de estadstica e informtica El mantenimiento a los monitores A los monitores se les realizar su mantenimiento preventivo a partir del modelo de fabricacin con 2 aos de antigedad tanto para las marcas Samsung y LG o GOLDSTAR Se incluir revisin del Monitor en cada mantenimiento as no afectamos en dos veces al usuario.

El mantenimiento a los UPS No se les realizar el mantenimiento preventivo a los UPS que cuenten con garanta de fabricante o vendedor todava Se incluir un UPS para mantenimiento preventivo cada 15 das

El mantenimiento a los estabilizadores Se les realizar el mantenimiento preventivo a los estabilizadores aprovechando el mantenimiento a los computadores y tambin cuando lo requieran

El mantenimiento a los switch y Hub Se realizar el mantenimiento superficial as como conectores internos cada 6 meses

200

12.6.2 - CRONOGRAMA DE ACTIVIDADES Ejecucin

PRIMER TRIMESTRE COMPUTADORES A REALIZARLES MANTENIMIENTO #PCs= 1.3 (da) + C En un trimestre existen 260/4 dias = 65 dias #PCs= 1.3 (65) + C 84.5 TOTAL ACCESORIOS DE PC A REALIZARLES MANTENIMIENTO IMPRESORAS A REALIZARLES MANTENIMIENTO GENERACION DE REPORTE TRIMESTRAL SEGUNDO TRIMESTRE COMPUTADORES A REALIZARLES MANTENIMIENTO #PCs= 1.3 (da) + C En un trimestre existen 260/4 dias = 65 dias #PCs= 1.3 (65) + C 169 TOTAL. ACCESORIOS DE PC A REALIZARLES MANTENIMIENTO IMPRESORAS A REALIZARLES MANTENIMIENTO GENERACION DE REPORTE TRIMESTRAL TERCER TRIMESTRE COMPUTADORES A REALIZARLES MANTENIMIENTO #PCs= 1.3 (da) + C En un trimestre existen 260/4 dias = 65 dias #PCs= 1.3 (65) + C 253.5 TOTAL ACCESORIOS DE PC A REALIZARLES MANTENIMIENTO IMPRESORAS A REALIZARLES MANTENIMIENTO GENERACION DE REPORTE TRIMESTRAL CUARTO TRIMESTRE COMPUTADORES A REALIZARLES MANTENIMIENTO #PCs= 1.3 (da) + C En un trimestre existen 260/4 dias = 65 dias #PCs= 1.3 (65) + C 338 TOTAL ACCESORIOS DE PC A REALIZARLES MANTENIMIENTO IMPRESORAS A REALIZARLES MANTENIMIENTO GENERACION DE REPORTE TRIMESTRAL

Los equipos se escogern de acuerdo a como estn dispuestos por los usuarios, constante C hallada en el inicio del servicio.

201

12.7 - Planeamiento de los recursos

Recursos requeridos:

Una vez que conocemos el objetivo del departamento de mantenimiento, entonces los recursos necesarios e indispensables para lograrlo seran:

Recursos humanos:
asignado por licitacin publica en concurso

Supervisor:

Tcnicos:

asignado por licitacin publica en concurso

Se designa a dos tcnicos (2) que se encargarn del soporte de acuerdo a las especificaciones establecidas en la convocatoria

Est

El personal TcnicoProfesional. capacitado en ensamblaje, mantenimiento y reparacin de

computadoras e Impresoras, experto en software de comunicacin de datos, experto en administracin e implementacin de redes, los mismos que acudirn de inmediato cuando sean solicitados, coordinando con el titular encargado. El Personal cuenta con conocimiento de Redes NOVEL y MICROSOFT as como LINUX, SQL Server El personal cuenta con tcnicos de vasta experiencia en impresoras de todos los modelos MATRICIAL, TINTA, LASER Los servicios de mantenimiento preventivo y correctivo para las

computadoras, impresoras instalaciones del HEP

y dems servicios, se realizarn en las

Horario de trabajo.

Realizacin de estos servicios se realizarn todos los das de la semana, de Lunes a Viernes, en el horario que estipula las bases que constan de lunes a

202

viernes y nueve horas diaria, previa coordinacin con el Jefe superior inmediato.

Funciones
asignado por licitacin publica en concurso

Supervisor:

Funciones del Supervisor del centro de cmputo Dirigir, evaluar y controlar el funcionamiento de los equipos de cmputo, servidores de aplicacin, Web y comunicaciones, de la red de la Institucin Planificar, dirigir, controlar y ejecutar las actividades de instalacin, mantenimiento y optimizacin de los sistemas operativos, del manejador de base de datos, del software de base y de las comunicaciones; Llevar registros de fallas, problemas, soluciones, acciones

desarrolladas, respaldos, recuperaciones y trabajos realizados. Aplicar en forma estricta las normas de seguridad y control establecidas. Mantener informado al jefe inmediato sobre el funcionamiento del centro de cmputo.

Soporte Tcnico a usuarios.

El soporte, tanto para los usuarios como para el propio sistema, se ocupa de seleccionar, instalar y mantener el sistema operativo adecuado, la gestin de los equipos de proceso informtico, el estudio y evaluacin de las necesidades y rendimientos del sistema y, por ltimo, la ayuda directa a usuarios en caso tambin fuera del horario.

203

Departamento o rea de Soporte Tcnico. rea responsable de la gestin del hardware, software, impresoras y perifricos en general dentro de las instalaciones del Centro de Cmputo, entendiendo por gestin estrategia, planificacin,

instalacin y mantenimiento. Planificar la modificacin e instalacin de nuevo software y hardware. Evaluar los nuevos paquetes de software y nuevos productos de hardware. Dar el soporte tcnico necesario para el desarrollo de nuevos proyectos, evaluando el impacto de los nuevos proyectos en el sistema instalado. Asegurar la disponibilidad del sistema, y la coordinacin necesaria para la resolucin de los problemas tcnicos en su rea. Realizar la coordinacin con los usuarios y jefatura proveedor con el fin de resolver los problemas tcnicos y garantizar la instalacin de los productos. Proponer las notas tcnicas y recomendaciones para el uso ptimo de los sistemas instalados. Planear, investigar y determinar, en coordinacin con las reas usuarios, los requerimientos de sistematizacin y tecnologa informtica, as como la asignacin de recursos informticos Realizar el mantenimiento de las aplicaciones que sean

desarrolladas en la Institucin; Mantener actualizada la documentacin de las aplicaciones que sean desarrolladas en la Institucin; Desarrollar y actualizar peridicamente el modelo de datos lgico y fsico de toda la Institucin Definir la metodologa y estndares de desarrollo de las

204

aplicaciones para la Institucin; Apoyar a la unidad de Estadstica e Informtica en la elaboracin del Planeamiento Estratgico Informtico Capacitar al personal usuario en la utilizacin de los nuevos sistemas desarrollados en la Institucin; Configurar, administrar y supervisar las redes locales y/o remotas, equipos perifricos, as como las diferentes bases de datos de la Institucin; Administrar, organizar y operar todos los recursos del Centro de Cmputo y Comunicaciones de la Institucin. Apoyar a la unidad de estadstica e informtica en la elaboracin del Planeamiento Estratgico Realizar las copias de respaldo (Back-up) de la informacin y procesos de cmputo que se realizan en la Direccin, conforme a parmetros preestablecidos. Velar porque el sistema computarizado se mantenga funcionando apropiadamente y estar vigilante para detectar y corregir fallas en el mismo. Elaborar peridicamente informes y estadsticas del sistema de red, software y hardware; El personal se reportar a su Jefe superior Inmediato todos los das a la hora indicada

205

Recursos econmicos

El equipo de trabajo no se responsabiliza por ningn costo que pueda ocurrir en los servicios caso solo negligencia comprobada. La adquisicin de cualquier repuesto ser adquirida por el hospital de Emergencias Peditricas

Recursos materiales

El equipo cuenta con herramientas para los mantenimientos descritos anteriormente y sern distribuidas con cada servicio dado, el servicio se realizar en forma detallada y efectiva con los instrumentos a mencin:

Multmetro digital de amplio rango de medicin. Pistola soldadora calibrable. Utilitarios en general y lo ltimo en diagnosticadotes de hardware.

Taladro de mano, accesorios. Desarmadores de todas las medidas y estndares. Generadores de seales para identificador de cables. Crimpin ponchadores RJ45 RJ11 Dos unidades. Pizarra acrlica para apuntes y trabajos pendientes. Manuales, programas y utilitarios. Se proveer dos (2) computadora PIV en caso de emergencia urgente a los servicios asistenciales.

Radios de comunicacin (local). Software de control remoto de PCs y monitoreo. Equipos para trabajos de taller, montaje, desmontaje, medicin etc.

Equipo de proteccin para el trabajador. Documentacin tcnica consistente en general.

206

12.8 - Planeamiento de contingencia

Seguridad de la informacin

Acceso no autorizado Sin adecuadas medidas de seguridad se puede producir accesos no autorizados a: rea de Sistemas. Computadoras personales y/o Terminales de la red. Informacin confidencial.

Control de acceso al rea de sistemas.

El acceso normal ser dado solamente a la gente que regularmente trabaja en esta rea. Cualquier otra persona, de otro modo puede tener acceso nicamente bajo control. Se implementar: el acceso al rea de soporte informtico y sistemas se identifica en el rea de recepcin institucional, asignndole un letrero

Acceso limitado a los terminales.

Las restricciones que pueden ser aplicadas, la determinacin de los perodos de tiempo para los usuarios o las terminales, la designacin del usuario por terminal o del terminal por usuario, la limitacin del uso de programas para usuario o terminales y lmite de tentativas para la verificacin del usuario. Se establecern en polticas, permisos y derechos del servidor NOVELL, caso sistemas WINDOWS en su Active Directory

Control de acceso a la informacin.

Algunos usuarios o extraos (personal no autorizado) pueden encontrar alguna forma mediante la cual, logren el acceso al sistema o la base de datos y descubrir informacin clasificada o datos no autorizados.

207

Se considera en las rutinas de las polticas seguidas tanto para Windows 2000 y Netware y Linux configuraciones de control. Revelacin o infidencia La informacin, que es de carcter confidencial, es vendida a personas ajenas a la institucin. Para tratar de evitar este tipo de problemas se tendr en cuenta lo siguiente: Control del uso de informacin en paquetes abiertos o cintas y otros datos residuales Mantener datos sensitivos fuera del trayecto de la basura Preparar procedimientos de control para la distribucin de informacin. Cambios peridicos de contraseas de forma forzosa Seguridad en redes

Las funciones de seguridad de red En el intento de proteger una red de computadoras, existen varias funciones comunes a las cuales deben dirigirse. La siguiente es una lista de tres problemas bsicos: La autenticacin de cliente y servidor. La autorizacin de cliente y servidor Contabilidad de cliente y servidor

Esto nos dice que se tendr en cuenta cualquier acceso a un tipo de usuario a los sistemas y bases de datos deber contar con las tres anteriormente mencionadas caractersticas de reglas Proteccin del servidor

Dada la importancia del servidor y la cantidad de datos que pasan por l, es necesario efectuar copias de seguridad, del servidor. Cabe recordar que las copias de seguridad del servidor de archivos son un elemento especialmente valioso, debindose quedar guardados en un lugar cerrado, seguro y con las condiciones ambientales necesarias. Un conjunto de copias de seguridad se debe trasladar regularmente a otro lugar seguro (de preferencia otro local).

208

Protegiendo la red

Una posible solucin para poder impedir la copia de programas y datos fuera de la red en disquetes, y que a travs de los disquetes ingresen virus y otros programas dainos a la red, es dotar a los usuarios vulnerables con estaciones de trabajo sin floppy disk.

Caso de virus, troyanos, spywares, adwares

Dado el caso crtico de que se presente virus en las computadoras se proceder a lo siguiente: Para servidor: Se contar con antivirus para el sistema que aslan el virus que ingresa al sistema llevndolo a un directorio para su pronta investigacin El antivirus muestra el nombre del archivo infectado y quin lo us. Estos archivos (exe, com, ovl, nlm, etc.) sern reemplazados del diskett original de instalacin o del backup. Si los archivos infectados son aislados y an persiste el mensaje de que existe virus en el sistema, lo ms probable es que una de las estaciones es la que caus la infeccin, debiendo retirarla del ingreso al sistema y proceder a su revisin.

Casos de emergencia para los equipos de cmputo

De las emergencia fsicas, error fsico de disco de un servidor (sin raid). Dado el caso crtico de que el disco presenta fallas, tales que no pueden ser reparadas, se debe tomar las acciones siguientes: 1. Ubicar el disco malogrado. 2. Dar alerta a los usuarios que deben salir del sistema, utilizar mensajes por red y telfono a jefes de rea. 3. Deshabilitar la entrada al sistema para que el usuario no reintente su ingreso. 4. Bajar el sistema y apagar el equipo.

209

5. Retirar el disco malo y reponerlo con otro del mismo tipo, formatearlo y darle particin. 6. Restaurar el ltimo backup en el disco, seguidamente restaurar las modificaciones efectuadas desde esa fecha a la actualidad. 7. Recorrer los sistemas que se encuentran en dicho disco y verificar su buen estado. 8. Habilitar las entradas al sistema para los usuarios. Errores de memoria RAM

En este caso se dan los siguientes sntomas: El servidor no responde correctamente, por lentitud de proceso o por no rendir ante el ingreso masivo de usuarios. Ante procesos mayores se congela el proceso. Arroja errores con mapas de direcciones hexadecimales. Es recomendable que el servidor cuente con ECC (error correct checking), por lo tanto si hubiese un error de paridad, el servidor se auto corregir. Todo cambio interno a realizarse en el servidor ser fuera de horario de trabajo fijado por la compaa, a menos que la dificultad apremie, cambiarlo inmediatamente. Se debe tomar en cuenta que ningn proceso debe quedar cortado, y se deben tomar las acciones siguientes, acciones tomadas por nuestro personal:

1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y telfono a jefes de rea. 2. El servidor debe estar apagado, dando un correcto apagado del sistema. 3. Ubicar las memorias malogradas. 4. Retirar las memorias malogradas y reemplazarlas por otras iguales o similares. 5. Retirar la conexin del servidor con el concentrador, sta se ubica

210

detrs del servidor, ello evitar que al encender el sistema, los usuarios ingresen. 6. Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable hacia el concentrador, habilitar entradas para estaciones en las cuales se realizarn las pruebas. 7. Probar los sistemas que estn en red en diferentes estaciones. 8. Finalmente luego de los resultados, habilitar las entradas al sistema para los usuarios.

Para computadoras fuera de la intranet

Se revisar las computadoras que no estn en red con antivirus de disquete. De suceder que una computadora se haya infectado con uno o varios virus ya sea en la memoria o a nivel disco duro, se debe proceder a realizar los siguientes pasos: 1. - Utilizar un disquete o Usb que contenga sistema operativo igual o mayor en versin al instalado en el computador infectado. Reiniciar el computador con dicho disquete. 2. - Retirar el disquete con el que arranc el computador e insertar el disquete antivirus, luego activar el programa de tal forma que revise todos los archivos y no slo los ejecutables. 3. - De encontrar virus, dar la opcin de eliminar el virus. Si es que no puede hacerlo el antivirus, recomendar borrar el archivo, tomar nota de los archivos que se borren. Si stos son varios pertenecientes al mismo programa, reinstalar al trmino del Scaneado. Finalizado el Scaneado, reconstruir el Master Boot del disco duro

Seguridad en redes Novell

Netware ofrece un potente conjunto de mecanismos de seguridad para los administradores de red, conscientes de los aspectos de seguridad, contempla una serie de alternativas de seguridad que se tendr en cuenta al administrarlo:

211

Seguridad a nivel de cuentas. Seguridad a nivel de claves de acceso. Seguridad de directorios. Seguridad de archivos. Seguridad entre redes.

La seguridad en Netware est implementada como una pequea base de datos de propsito especial denominada Bindery (entorno).

Cada servidor de archivos posee una base de entorno y la utiliza para administrar la seguridad de sus recursos locales, servicios y cuentas. Este entorno ofrece las bases sobre las que se basan diversos mecanismos de seguridad, incluyendo:

Seguridad de cuentas Seguridad de claves de acceso Seguridad de directorios Seguridad de archivos y Seguridad entre redes

El objetivo principal de este mecanismo es ofrecer al Hospital de Emergencias Peditricas, la posibilidad de disear un entorno operativo protegido y seguro, basado en los requisitos individuales de cada usuario, grupo de trabajo, departamento y organizacin de una instalacin.

Seguridad en redes Unix-Linux

La administracin del sistema es el conjunto de tareas, cuyo propsito es lograr que el sistema UNIX est disponible para los usuarios, en forma ordenada y segura. Estas tareas incluyen:

212

El registro de usuarios La eliminacin de usuarios La configuracin del Kernel El control del acceso a partes del sistema de archivos El respaldo y la restauracin de archivos y La instalacin de nuevos paquetes de software.

Si se configura por cuenta propia un sistema UNIX-LINUX, ser preciso realizar estas tareas al instalar el sistema y ms adelante, al usuario.

213

12.9 - MEJORAS DEL SERVICIO Inventario tcnico

El inventario tcnico de equipos o simplemente inventario tcnico del hospital de emergencias peditricas ser desarrollado como un registro descriptivo permanente de las principales caractersticas y rutinas de mantenimiento de los equipos, sobre el cual se basa la planeacin, programacin, adquisicin y control de suministros, y la ejecucin de otras acciones operativas propias del servicio de mantenimiento. Se tendr en cuenta las siguientes caractersticas el formato de la ficha tcnica de mantenimiento: CARACTERISTICA DEL COMPONENTE O ARTEFACTO: TECNOLOGIA: MODELO: SERIE: CONSERVACION DEL EQUIPO ESTADO DEL EQUIPO

Toma de pcs a control remoto

Esto se realiza tomando el control del escritorio del computador afectado as acortando los tiempos de atencin al usuario, caso el problema no requiera presencia del tcnico o pueda darse solucin no habiendo necesidad presencial.

Equipos de radio se tendr equipos de radio que faciliten y agilicen el trabajo y localizacin de los tcnicos.

Reingeniera de la sub red

Se presentar a la oficina de Estadstica e Informtica ligeros informes de reestructuracin del sistema de la Sub Red y as optimizar las velocidades de respuestas de las transacciones CLIENTE SERVIDOR as tambin dar seguridad a los Servidores desde la Internet

214

12.10 - FIRMA DE REPORTE DE VISITA Se proceder a finalizar el servicio con una ficha de conformidad con las caractersticas que se indique a fin de justificar y dar conformidad del servicio brindado. En el formato a utilizar es el siguiente:

215

12.11 - CONTROL DE INCIDENCIAS Y REQUERIMIENTOS Se proceder al finalizar cada atencin a llevar un cuadro estadstico de todas las atenciones diariamente en el transcurso de todo el servicio y el jefe de la unidad de Estadstica e Informtica. Supervisar. El formato del cuadro estadstico se muestra a continuacin:
SOPORTE INFORMTICO FECHA HORA INICIO HORA FINAL INC. REQ. USUARIO ESTADO FINAL DEL SERVICIO COD DE CIERRE DURACION

216

12.12 - CONTROL DEL MANTENIMIENTO CORRECTIVO Y PREVENTIVO Se proceder al llevar diariamente el registro del mantenimiento preventivo y correctivo y el jefe de la unidad de Estadstica e Informtica. Supervisar. El formato del cuadro estadstico se muestra a continuacin:
SOPORTE INFORMTICO HORA HORA INICIO FINAL Nr0 INVENTARIO TIPO DE MANTENIMIENTO. DETALLES DEL MANTENIMIENTO ESTADO FINAL COD DE CIERRE

Nro

FECHA

DURACION

217

12.13 - Capacitacin en el manejo de los equipos informticos.

Dicha Capacitacin consistir en el correcto manejo, operacin funcional y conservacin por los equipos de cmputo en general, dirigido a los profesionales, usuarios u otros que designe el cliente (en el lugar de uso). Esta capacitacin se realizar en el transcurso del servicio previa coordinacin, y se realizar en tres (6) clases de 1 horas c/clase.

El programa de capacitacin incluye lo siguiente:

Principios generales de funcionamiento. Partes que comprende el Equipo Informtico Operacin y Funcionamiento apropiados Consideraciones sobre su instalacin Mantenimiento Preventivo, Limpieza y conservacin.

Cronograma de Capacitacin: se coordinar con el jefe de la unidad responsable

218

12.14 - DISCUSIONES GENERALES

Hemos llegado al final de nuestro trabajo, no estoy dando una absoluta seguridad en este documento, y solo es parte de un pequeo mapa de seguridad para una Red. El administrador de una Red de datos debe de recurrir a todas las formas de poder hacer dao una red sea dentro de la Lan que es cuando ms ocurre hasta los insignificantes detalles a fin de salvaguardar su red del peligro, si es que merece tanta seguridad, pero espero que este documento sirva de algn apoyo para quien desee implementar algo similar.

FIN

219

12.15 - BIBLIOGRAFA Y REFERENCIAS En la WEB: http://fedora.redhat.com/docs/release-notes/

http://www.silug.org

http://fedoraproject.org/wiki/Docs/CustomKernel

http://www.pello.info/ (Manual de Firewall)

(En orden, en que fueron utilizados)

En Libros: REDES DE COMPUTADORAS AUTOR: EDICIN: Andrew S. Tanenbaum Tercera.

FIREWALL LINUX AUTOR: EDICIN: Robert L. Ziegler Primera.

MANUAL DE FIREWALL AUTOR: EDICIN: Marcus Goncalves Segunda.

Securing & Optimizing Linux: The Hacking Solution AUTOR: EDICIN: Gerhard Mourani and Open Network Architecture, Inc. Segunda

(En orden, en que fueron utilizados)

220