Professional Documents
Culture Documents
ERCO
AUTORAS:
Daissy Alicia Arias Narvez
Nelly Graciela Heredia Saico
DIRECTOR:
Ing. Vladimir Robles
CUENCA - ECUADOR
2007
1
ERCO
DECLARACIN DE RESPONSABILIDAD
CERTIFICO
ERCO
ERCO
DEDICATORIA
ERCO
NDICE DE CONTENIDOS
INTRODUCCION GENERAL.3
1
ERCO
6
CAPITULO VI:.................................................................................................. 66
DISEO DEL PLAN DE SEGURIDAD .................................................................. 66
6.1
Introduccin ............................................................................................... 66
6.2
Anlisis de los requerimientos de las aplicaciones del negocio.............. 66
6.3
Identificacin de los activos de la empresa .............................................. 67
6.4
Anlisis de los posibles riesgos y amenazas a la red ................................. 68
6.4.1
Lgicos ............................................................................................... 68
6.4.2
Fsicos ................................................................................................ 69
6.5
Diseo de las polticas de seguridad: ........................................................ 70
6.5.1
Seguridad Lgica ............................................................................... 71
6.5.2
Seguridad en la Comunicaciones ....................................................... 74
6.5.3
Seguridad Fsica ................................................................................. 75
6.6
Elaboracin del documento de Polticas de Seguridad .............................. 77
CONCLUSIONES ..................................................................................................... 78
RECOMENDACIONES ............................................................................................ 79
BIBLIOGRAFIA ....................................................................................................... 80
ANEXOS ................................................................................................................... 81
Anexos 1: Fotografas de la empresa ..................................................................... 81
Anexo 2: Cableado estructurado ............................................................................ 84
1. Diseo del cableado estructurado
81
2. Detalles constructivos .................................................................................... 89
3. Dispositivos .................................................................................................... 94
4. Recomendaciones del cableado estructurado ................................................. 96
5. Normas y cdigos del cableado estructurado ................................................. 97
NDICE DE TABLAS
ERCO
INDICE DE FIGURAS
ERCO
INTRODUCCION
ERCO
ERCO
Introduccin
Entre las funciones mas generales de las redes esta el compartir recursos, y uno de
sus objetivos es hacer que todos los programas, datos y equipos estn disponibles
para cualquier usuario de la red que as lo solicite, sin importar la localizacin fsica
del recurso y del usuario. En otras palabras, el hecho de que el usuario se encuentre a
miles de kilmetros de distancia de los datos, no debe evitar que ste los pueda
utilizar como si fueran originados localmente.
Para el diseo de una red LAN se debe contar con informacin como los requisitos
de la empresa, de los usuarios, conocer la infraestructura actual de la empresa, sus
activos y dispositivos que posee para tener una idea de lo que la empresa requiere y
con este poder tener un presupuesto del diseo de la red. Una vez que tenemos toda
la informacin necesaria se procede a realizar un anlisis o estudio de los beneficios
que traer la nueva red a la empresa y con esto ver si es factible o no su diseo.
Local Area Network. Redes de area local (operan en una area geogrfica limitada como un edificio o campus.)
Wide Area Network: Redes de area amplia (Conectan redes de usuarios sobre un area geogrfica grande.)
3
Metropolitan Area Network: Redes de area metropolitana (red que cubre un rea metropolitana como una ciudad)
2
10
1.2
ERCO
Una MAN es una red que se extiende por un rea metropolitana, como una ciudad o
un rea suburbana. Las MAN son redes que conectan LAN separadas por la distancia
y que estn ubicadas dentro de un rea geogrfica comn.
Por ejemplo un Banco con varias sucursales puede utilizar una MAN. Normalmente
un proveedor de servicio conecta dos o ms sitios LAN utilizando lneas de
comunicacin privadas o servicios pticos.
Las siguientes caractersticas diferencian a las redes MAN de las LAN y las WAN:
Las WAN conectan redes en una ciudad formando una solo red grande.
11
1.3
ERCO
Una LAN es una red que cubre una extensin reducida como es el caso de una
empresa, una universidad, un colegio, etc. No habr por lo general dos ordenadores
que disten entre si ms de un kilmetro.
Una configuracin tpica en una red de rea local es tener una computadora llamada
servidor de ficheros en la que se almacena todo el software de control de la red as
como el software que se comparte con los dems ordenadores de la red. Los
ordenadores que no son servidores de ficheros reciben el nombre de estaciones de
trabajo. Estos suelen ser menos potentes y tienen software personalizado por cada
usuario. La mayora de las redes LAN estn conectadas por medio de cables y
tarjetas de red, una en cada equipo.
1.4
Diseo LAN
12
ERCO
Entre los objetivos mas generales a considerar en el diseo de una red tenemos:
13
La segmentacin.
ERCO
Los servidores de los grupos de trabajo deberan estar situados en los IDF (Armario
de distribucin intermedia), cercanas a los usuarios que utilizan las aplicaciones de
dichos servidores, de esta manera el trafico solo debe recorrer el tramo de red hasta
llegar al IDF sin afectar al resto de usuarios.
Dentro de los MDF y los IDF, los Switches LAN de la capa 2 deberan tener
asignados 100 Mbps o ms para estos servidores.
14
ERCO
1.4.2.2 Segmentacin
La segmentacin es le proceso de dividir un nico dominio de colisin en dos o ms
dominios de colisin de ancho de banda. Los dispositivos de capa 2 (capa de enlace
de datos), es decir los puentes o switches pueden utilizarse para segmentar la
topologa de una red y crear dominios de colisin separados, lo que hace que
aumente el ancho de banda disponible en cada estacin.
Figura 2: Segmentacin
Las estaciones incluidas en uno de los dominios compiten por el mismo ancho de
banda. Todo el trfico procedente de cualquier host del dominio de ancho de banda
es visible al resto de hosts. En el caso de un dominio de colisin Ethernet, dos
estaciones pueden transmitir a la vez, lo que da como resultado una colisin.
15
1.5
ERCO
Para un correcto diseo de una LAN y que esta sirva a las necesidades de sus
usuarios, es necesario que est diseada de acuerdo a una serie de pasos sistemticos
planificados:
1.5.1
El primer paso del diseo de una red es la obtencin de los datos sobre la estructura
de la organizacin, se puede incluir informacin sobre la historia y el estado actual
de la empresa, el crecimiento previsto, las normas de funcionamiento, los
procedimientos administrativos, los procedimientos y sistemas de oficina y sobre
todo los puntos de vista de las personas que utilizarn la red, as como las
necesidades de todos los usuarios que estn o no involucrados con el funcionamiento
de la LAN.
16
ERCO
Las empresas cuentan con dos tipos generales de recursos administrativos: los
recursos de hardware/software y los recursos humanos, los mismos que pueden
afectar en la implementacin de un nuevo sistema LAN. Para evitar esto se debe
documentar todo el hardware y software que posee la empresa y el que necesita, se
debe analizar como se encuentran, enlazan, comportan estos recursos y revisar los
recursos financieros que la empresa dispone. La documentacin de toda esta
informacin ayudar a estimar costos y desarrollar un presupuesto para la LAN y
conocer los problemas de actualizacin de la red existente.
17
ERCO
Rendimiento
Tiempo de Respuesta
Acceso a recursos
Considerando las topologas que mas se usan en el mercado nos centraremos en dos
topologas Topologa en Estrella y Topologa en Estrella extendida. Estas topologas
utilizan tecnologa Ethernet 802.3 (CSMA/CD)6.
Las partes ms importantes del diseo de una topologa LAN pueden dividirse en tres
categoras nicas del modelo de referencia OSI: la capa de red, la capa de enlace de
datos y la capa fsica.
Carrier Sense Multiple Access with Collision Detection (mtodo de control al medio)
18
ERCO
Se debe tomar en cuenta el tiempo de vida para el cual se disea la red y segn esto
elegir la calidad del cable. Adems de esto las empresas deben garantizar que los
sistemas estn conforme a las normas industriales definidas, como las
especificaciones TIA/EIA-568-B8.
La norma TIA/EIA-568-B especifica que cada dispositivo conectado a una red debe
estar enlazado a una ubicacin central mediante cableado horizontal
Los MDF incluyen uno o mas patch panels HCC (conexin cruzada horizontal)
7
8
19
ERCO
Y para interconectar los IDF externos con el MDF utiliza una conexin cruzada
vertical (VCC) y como normalmente la longitud de los cables verticales supera los
100m de UTP de categora 5, se utiliza fibra ptica.
La norma Fast Ethernet tiene diferentes normas basadas en el hilo de pares de cobre
(100BASE-TX) y en cable de fibra ptica (100BASE-FX) y se utilizan para conectar
el MDF al IDF.
20
ERCO
21
ERCO
permite as mas ancho de banda para el cableado vertical, los enlaces ascendentes y
los servidores. Adems la conmutacin asimtrica permite conexiones conmutadas
entre puertos de distinto ancho de banda, por ejemplo una combinacin de puertos a
10 Mbps y a 100 Mbps o una combinacin de 100 Mbps y a 1000 Mbps.
Enlace ascendente a
100Mbps hasta el MDF
(cableado vertical)
Servidor
10 Mbps
10 Mbps
Cableado Horizontal
Conmutacin asimtrica
Al permitir los switch LAN asimtricos mezclar en un solo switch puertos a 10 Mbps
y 100 Mbps o puertos a 100 Mbps y 1000Mbps, se debe determinar el nmero de
puertos a 10Mbps, 100Mbps y a 1000 Mbps necesarios en el MDF y en cada IDF.
22
ERCO
23
ERCO
es una solucin aceptable siempre que se asegure que los dominios de colisin sean
pequeos y que los requisitos de ancho de banda al host se cumplan de acuerdo a los
requerimientos obtenidos en la fase de obtencin de informacin del proceso de
diseo de la red.
Dispositivos de capa 2
Los hubs, switch y los puentes estn clasificados como dispositivos de capa 2 en el
modelo OSI
Hub Ethernet: todos los puertos se conectan a un plano trasero comn o conexin
fsica dentro del hub, y todos los dispositivos que estn conectados al hub comparten
el ancho de banda de la red.
Para conmutar tramas de forma eficaz entre las interfaces, el switch mantiene una
tabla de direcciones y cuando una trama entra en el switch, ste asocia la direccin
MAC de la estacin emisora (origen) con la interfaz que la recibi.
24
ERCO
Los switches Ethernet filtran el trfico direccionando los datagramas hacia el puerto
correcto basndose en las direcciones MAC9 de capa 2. La segunda funcin de un
switch es garantizar que cada usuario tiene ms ancho de banda mediante la creacin
de dominios de colisin ms pequeos.
25
ERCO
Los routers tambin se utilizan para la conexin con redes de rea amplia (WAN)
como Internet.
El router determina el flujo de trfico entre los segmentos de red fsicos nicos
basndose en el direccionamiento de la capa 3, como la red y la subred IP. El router
reenva paquetes de datos basndose en las direcciones de destino, por lo que es
considerado el punto de entrada y de salida de un dominio de difusin e impide que
las difusiones alcancen otros segmentos de la LAN.
26
ERCO
Una de las caractersticas de los routers es que proporcionan escalabilidad por que
pueden servir como Firewall para las difusiones. Considerando que las direcciones
de capa 3 normalmente tienen estructura, los routers
27
ERCO
Una vez que las redes se han dividido en subredes, se debe desarrollar y documentar
el esquema de direccionamiento IP que se utilizar en la red.
28
1.6
ERCO
HUBS
El propsito de los hubs es regenerar y retemporizar las seales de red. Esto se
realiza a nivel de los bits para un gran nmero de hosts utilizando un proceso
denominado concentracin. Podr observar que esta definicin es muy similar a la
del repetidor, es por ello que el hub tambin se denomina repetidor multipuerto. La
diferencia es la cantidad de cables que se conectan al dispositivo.
PUENTE
Un puente es un dispositivo de capa 2 (ya pasamos de capa) diseado para conectar
dos segmentos LAN. El propsito de un puente es filtrar el trfico de una LAN, para
que el trfico local siga siendo local, pero permitiendo la conectividad a otras partes
(segmentos) de la LAN para enviar el trfico dirigido a esas otras partes.
SWITCH
Un switch, al igual que un puente, es un dispositivo de capa 2. De hecho, el switch se
denomina puente multipuerto, igual que antes cuando llambamos al hub "repetidor
multipuerto". La diferencia entre el hub y el switch es que los switches toman
decisiones basndose en las direcciones MAC y los hubs no toman ninguna decisin.
Como los switches son capaces de tomar decisiones, hacen que la LAN sea mucho
ms eficiente
29
ERCO
ROUTER
El router es el primer dispositivo con que se trabaja que pertenece a la capa de red
del modelo OSI, o sea la Capa 3. Al trabajar en la Capa 3 el router puede tomar
decisiones basadas en grupos de direcciones de red en contraposicin con las
direcciones MAC de Capa 2 individuales. Los routers tambin pueden conectar
distintas tecnologas de Capa 2, como por ejemplo Ethernet, Token-ring y FDDI
(fibra ptica). Sin embargo, dada su aptitud para enrutar paquetes basndose en la
informacin de Capa 3, los routers se han transformado en el ncleo de Internet,
ejecutando el protocolo IP.
30
ERCO
Introduccin
Hoy en da las redes de comunicaciones son cada vez mas importantes para las
organizaciones ya que depende de ests, para que exista un manejo adecuado de los
activos de la empresa, y por ms pequeo que sea el problema que las afecte, este
puede llegar a comprometer la integridad, disponibilidad y confidencialidad de la
informacin.
Con la elaboracin de este material nos proponemos facilitar cada una de las tareas
de aquellos que se encuentran actualmente involucrados en las decisiones respecto de
las redes de informacin y de sus modos de administracin, a su vez tambin
pretendemos alertar sobre la importancia que se le debe dar a la seguridad debido a
las amenazas cada vez mayores a las que la informacin se encuentra expuesta.
2.2
Conceptos de seguridad
y confiabilidad de la
31
ERCO
En este sentido, las polticas de seguridad informtica (PSI) surgen como una
herramienta organizacional para concienciar a cada uno de los miembros de la
organizacin sobre la importancia y la sensibilidad de la informacin y servicios
crticos que favorecen el desarrollo de la organizacin y su buen funcionamiento.
2.2.1
Es aconsejable que toda empresa cuente con una serie de procesos basadas en normas
como la ISO 17799 para la implantacin y administracin de la seguridad, con el fin
de minimizar los posibles riesgos y llevar un control apropiado de los recursos
tecnolgicos y de la informacin.
32
ERCO
33
ERCO
Calcular el dao
El impacto debe ser cuantificado numricamente para reflejar el perjuicio de una
amenaza exitosa. Este valor permite evaluar en una escala la seriedad de un
determinado riesgo, independientemente de la probabilidad.
Calcular el riesgo
Matemticamente, el riesgo se puede expresar como:
Probabilidad x Dao = Riesgo.
34
ERCO
Paso 8: Auditar
La auditoria revisa la implementacin de la infraestructura de seguridad de la
informacin y el cumplimiento de la misma.
2.3
Seguridad lgica
autorizadas.
Para que un sistema se pueda definir como seguro debemos de dotar de tres
caractersticas al mismo: Integridad, Confidencialidad y Disponibilidad.
Identificacin de usuarios
Deber existir una herramienta para la administracin y el control de acceso a los
datos, para lo cual es necesario la aplicacin de medidas de seguridad que permitan
identificar si los usuarios tienen o no permisos de acceso a las diferentes
aplicaciones.
35
ERCO
Autenticacin de usuarios
Es el proceso de determinar si una persona o una empresa estn autorizadas para
llevar a cabo una accin dada.
Passwords
Los passwords o contraseas son generalmente utilizados para realizar la
autenticacin del usuario y sirven para proteger los datos y aplicaciones,
garantizando que el acceso lgico al equipo este restringido por procedimientos y
polticas de acceso.
2.4
Comunicaciones externas
Es necesario que la empresa cuente con la implementacin de procedimientos
pertinentes para el control de las actividades de usuarios externos del organismo a fin
de garantizar la adecuada proteccin de los bienes de informacin de la organizacin
Antivirus
Con respecto al software malicioso, tal como los virus computacionales o Caballos
de Troya, se deber establecer un marco de referencia de adecuadas medidas de
control preventivas, detectivas y correctivas.
Firewall
La empresa al estar conectada con Internet u otras redes pblicas se debe contar con
la apropiada configuracin de los sistemas Firewall para controlar cualquier acceso
no autorizado a los recursos internos. Adems, se deber controlar en ambos sentidos
cualquier flujo de administracin de infraestructura y de aplicaciones y proteger en
contra de negacin o ataques de servicio.
36
ERCO
Ataques de red
Se considera ataque a la red a cualquier acceso forzado por parte de usuarios no
autorizados que accedan con la intensin de provocar daos a la misma.
2.5
Software
Se debe asegurar que la instalacin del software del sistema no arriesgue la seguridad
de los datos y programas ya almacenados en el mismo. Deber ponerse gran atencin
a la instalacin y mantenimiento de los parmetros del software del sistema.
Determinar las caractersticas del sistema operativo de los servidores
2.6
Seguridad fsica
Dispositivos de soporte
Todos estos dispositivos debern ser evaluados peridicamente por personal
encargado del Mantenimiento, tambin es necesario contar con procedimientos
37
ERCO
2.7
Polticas de seguridad
2.7.1
Las polticas de seguridad informtica son las reglas y procedimientos que regulan la
forma en que una organizacin previene, protege y maneja los riesgos de diferentes
daos. Su auge ha sido estimulado por la explosin de tecnologas de manejo de
informacin, son los directivos, junto con lo expertos en tecnologas de la
informacin, quienes deben definir los requisitos de seguridad, identificando y
priorizando la importancia de los distintos elementos de la actividad realizada,
recibiendo de esta manera una mayor atencin los procesos de mayor importancia
para la empresa.
Por ello, las polticas representan la manera ms definitiva que la gerencia puede
utilizar para demostrar la importancia de la Seguridad Informtica, y que los
trabajadores tienen la obligacin de prestar atencin a la misma.
38
ERCO
Reunirse con los departamentos que manejan los recursos, ya que ellos tienen
la experiencia y son los ms indicados para establecer el alcance de las
polticas y definir las violaciones a estas.
Comunicar a todo el personal involucrado sobre el desarrollo de las polticas,
incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y
sus elementos de seguridad.
Identificar quin tiene la autoridad para tomar decisiones en cada
departamento, pues son ellos los interesados en salvaguardar los activos
crticos de su rea.
Monitorear peridicamente los procedimientos y operaciones de la empresa,
de forma tal, que ante cambios las polticas puedan actualizarse
oportunamente.
Detallar explcita y concretamente el alcance de las polticas con el propsito
de evitar situaciones de tensin al momento de establecer los mecanismos de
seguridad que respondan a las polticas trazadas.
39
ERCO
Introduccin
Misin:
Est enfocada a ofrecer servicios financieros competitivos, oportunos, de calidad y
personalizados para los sectores productivos del rea rural y urbano marginal de las
provincias de Azuay y Caar, contribuyendo as, a su desarrollo socio econmico y
el bienestar de la comunidad.
40
ERCO
Visin:
En el ao 2010 la Cooperativa es una Institucin lder, competitiva y solvente; cuenta
con una cobertura regional, mediante oficinas localizadas en las principales ciudades
de las provincias del Caar y Azuay; est conformada por un personal y equipo
directivo comprometido y motivado; y, cuenta con una tecnologa de punta. Estos
factores le permiten ofrecer diversos servicios financieros con alta satisfaccin y
participacin en el mercado
3.2
Financieros
como
ahorros,
prstamos,
captaciones
exportando de cada
41
3.3
ERCO
Para la conexin de la red se utiliza un hub de ocho puertos y dos switch; uno de
ocho puertos y otro de 16 puertos, el mismo que se encuentra ubicado en el segundo
piso como se muestra en la figura 1:
La conexin de los servidores se la realiza con uno de los switch de 8 puertos, se
debe considerar que la empresa no cuenta con cableado estructurado, ni cuarto de
equipos, por lo que el nivel de seguridad de la informacin, de los dispositivos y
equipos es muy bajo, as se indica en el Anexo 5 los problemas antes descritos.
42
ERCO
43
ERCO
3.4
Entre los activos intangibles que posee la empresa esta la informacin de sus
clientes, socios, prstamos, las sucursales que posee, etc.
1 Servidor de Aplicacin
44
1 Servidor Web
2 Switches
ERCO
Otros:
o D-Link DES-1016D
1 Hub
o 9-Port Ethernet Hub: 10Mbps 8-Port UTP+1- Port BNC
3.5
45
ERCO
4.1
Ubicacin de la red
Cabe sealar que al tener enlazada la matriz con su Agencia en Cumbe, se puede dar
estos servicios a todos los socios que se encuentren ubicados en los alrededores de la
agencia de la Cooperativa ERCO. Adems este enlace nos permite, no solo
comunicarse con la agencia, sino tener un enlace con instituciones externas como
Money Gram y la Empresa Elctrica para realizar actividades como: pago de
servicios de Luz y envi de remesas, respectivamente.
46
4.2
ERCO
47
ERCO
48
ERCO
49
4.3
ERCO
A partir del ltimo trimestre del ao 2006, la Cooperativa ERCO cuenta con el
servicio de Transmisin de Datos Interurbano Dedicado (Fibra ptica), provisto por
la Empresa Telconet TelcoCarrier, la que nos permite comunicarnos con la agencia
de Cumbe. El costo flucta por los $200 mensuales por cada punto.
Por otro lado se cuenta con un Servicio de Transmisin de Datos o Ultima Milla para
Internet (Fibra ptica), provisto por la Empresa Suratel Grupo TVCable, este
servicio se encuentra instalado solo en Matriz y mediante el enlace entre agencias, es
posible distribuir este servicio. El costo es de $200, para el acceso al sistema de
pagos de la empresa Elctrica.
Y por ltimo el servicio de transmisin de datos o ltima milla para la comunicacin
con la Empresa Elctrica conjuntamente con Etapa, provista por Suratel (Satnet+TvCable) Grupo TVCable. Este servicio viene sin costo, incluido en el paquete de
cobro y pago de planillas de servicios bsicos.
Como se mencion en el punto anterior, este servicio nos brinda Telconet, a travs de
Fibra ptica, con la utilizacin de servidores VPN10, instalados y configurados en
cada agencia a enlazar.
Este servicio posee las siguientes caractersticas:
4.4
Up time: 99.6%
Ethernet
El estndar que utiliza en el diseo de la red es Ethernet, utilizando cable UTP
categora 6 (para permitir una escalabilidad posterior de la red), aplicando una
10
50
ERCO
51
DISEO DE LA RED
ERCO
5.1
Estndar de la Red
El estndar que se utilizar en el diseo de la red ser fast Ethernet, utilizando cable
UTP categora 5e (para permitir una escalabilidad posterior de la red), aplicando una
topologa de estrella extendida
52
DISEO DE LA RED
ERCO
EL MDF tiene una salida a Internet la cual es provista por la empresa Telconet
Los IDF_C, IDF_B, IDF_A y el IDF_S; puntos de conexin interna de las agencias
Cumbe, Baos, EL Arenal y Sinincay respectivamente.
53
DISEO DE LA RED
ERCO
Diseo de VLAN
Con la creacin de VLAN se puede limitar el trfico de difusin al interior de una
red, crear dominios de difusin ms pequeos en el interior de la red, y crear grupos
para manejar VLAN segn su funcin, hemos diseado 3 VLAN para la cooperativa:
VLAN2:
Cajas
VLAN3:
Administracin
VLAN4:
Sistemas Informticos
Distribucin de VLAN
Las VLANs han sido diseadas para unir departamentos que manejen la misma
informacin. A continuacin se muestra como estn distribuidas las VLAN con el
nmero de computadoras que tiene cada departamento:
La VLAN2 esta dedicada a enlazar los departamentos de Cajas:
Cajas:
5 computadoras
1 computadora
Contabilidad:
2 computadoras
Auxiliar contable:
2 computadoras
Jefe de Negocios:
1 computadora
Atencin al cliente:
4 computadoras
2 computadoras
54
DISEO DE LA RED
ERCO
55
DISEO DE LA RED
ERCO
Matriz:
132.150.10.0/24
Cumbe:
132.150.50.0/24
Baos:
132.150.40.0/24
El Arenal:
132.150.20.0/24
Sinincay:
132.150.30.0/24
Direccin
de Rangos
Puntos
Subred
Subred
de red
Matriz
132.150.10.0/24
132.150.10.34/27 132.150.10.104/27 22
Cumbe
132.150.50.0/24
132.150.50.34/27 - 132.150.50.104/27 4
Baos
132.150.40.0/24
132.150.40.34/27- 132.150.40.104/27
El Arenal
132.150.20.0/24
132.150.20.34/27, 132.150.20.104/27
Sinincay
132.150.30.0/24
132.150.30.34/27, 132.150.30.104/27
56
DISEO DE LA RED
ERCO
Tienen mascara /27 para no desperdiciar las direcciones IP, ya que cada sede no tiene
mas de 22 computadoras, permitiendo tener un mximo de 32 hosts (2^5=32).
A los Servidores se les ha asignado una direccin IP esttica de modo que las
estaciones de trabajo y otros dispositivos siempre sepan como acceder a los servicios
requeridos.
Servidores
Direccin de Subred
Servidor FTP
132.150.10.98/27
132.150.10.99/27
Servidor Web
132.150.10.100/27
Servidor de Aplicaciones
132.150.10.101/27
Firewall
132.150.10.105/27
Departamento
Direccin IP
VLAN2
Caja 1
132.150.10.34/27
Caja 2
132.150.10.35/27
Caja 3
132.150.10.36/27
Caja 4
132.150.10.37/27
Caja 5
132.150.10.38/27
Atencin al Cliente 1
132.150.10.66/27
Atencin al Cliente 2
132.150.10.67/27
Atencin al Cliente 3
132.150.10.68/27
Atencin al Cliente 4
132.150.10.69/27
Contabilidad
132.150.10.70/27
VLAN3
57
DISEO DE LA RED
ERCO
Contabilidad
132.150.10.71/27
Auxiliar Contable
132.150.10.72/27
Auxiliar Contable
132.150.10.73/27
Jefe de Negocios
132.150.10.74/27
Gerencia
132.150.10.75/27
Servidor FTP
132.150.10.98/27
132.150.10.99/27
Servidor Web
132.150.10.100/27
Servidor de Aplicaciones
132.150.10.101/27
Departamento Sistemas 1
132.150.10.102/27
Departamento Sistemas 2
132.150.10.103/27
Departamento Sistemas 3
132.150.10.104/27
VLAN4
Sucursal Cumbe
VLAN
Departamento
Direccin IP
VLAN1
Caja
132.150.50.34/27
VLAN2
Atencin al Cliente
132.150.50.66/27
Sucursal Baos
VLAN
Departamento
Direccin IP
VLAN1
Caja
132.150.40.34/27
VLAN2
Atencin al Cliente
132.150.40.66/27
58
DISEO DE LA RED
ERCO
Sucursal El Arenal
VLAN
Departamento
Direccin IP
VLAN1
Caja
132.150.20.34/27
VLAN2
Atencin al Cliente
132.150.20.66/27
Sucursal Sinincay
VLAN
Departamento
Direccin IP
VLAN1
Caja
132.150.20.34/27
VLAN2
Atencin al Cliente
132.150.20.66/27
59
DISEO DE LA RED
ERCO
60
DISEO DE LA RED
ERCO
Dado que nuestra empresa maneja informacin privada de los clientes es necesario
que dicha informacin pase de manera encriptada por las redes de Telconet, la mejor
solucin que podramos usar son las VPNs para la conexin entre las matriz y las
distintas sucursales, dicha VPN nos provee de encriptacin y una alta seguridad en el
traspaso de datos desde y hacia las sucursales.
La Figura 30 nos muestra las VPNs en una conexin punto a multipunto, estas unen
las redes de la matriz con las sucursales
Tabla de ruteo:
Teniendo en cuenta que la matriz requiere seguridad interna se ha propuesto la
implementacin de VLANs dentro de la misma como se indico en la Figura 27. La
tabla de ruteo del router de la matriz que incluye VLANs seria la siguiente:
61
DISEO DE LA RED
ERCO
Puerto
Red
eth0.2
132.150.10.33
eth0.3
132.150.10.65
eth0.4
132.150.10.97
Puerto
Red
eth1.1
132.150.20.0/24
eth1.2
132.150.30.0/24
eth1.3
132.150.40.0/24
eth1.4
132.150.50.0/24
5.2
62
DISEO DE LA RED
ERCO
63
DISEO DE LA RED
ERCO
MATRIZ
MDF
TIPO
CONEXIN
ID CABLE
CONEXIN CRUZADA
CABLE
ESTADO
MDF a puerto1
301-1
HCC1/Servidor 1
UTP Cat 5e
Usado
MDF a puerto2
301-2
HCC2/Servidor 2
UTP Cat 5e
Usado
MDF a puerto3
301-3
HCC3/Servidor 3
UTP Cat 5e
Usado
MDF a puerto4
301-4
HCC4/Servidor 4
UTP Cat 5e
Usado
MDF a puerto5
301-5
HCC5/Servidor 5
UTP Cat 5e
Usado
MDF a puerto6
302-6
HCC6/Jefe Sistemas
UTP Cat 5e
Usado
MDF a puerto7
302-7
HCC7/Depart. Sistemas
UTP Cat 5e
Usado
MDF a puerto8
302-8
HCC8/Depart. Sistemas
UTP Cat 5e
Usado
MDF a puerto9
205-9
HCC9/Atencin Cliente 1
UTP Cat 5e
Usado
MDF a puerto10
205-10
HCC10/Atencin Cliente 2
UTP Cat 5e
Usado
MDF a puerto11
205-11
HCC11/Atencin Cliente 3
UTP Cat 5e
Usado
MDF a puerto12
205-12
HCC12/Atencin Cliente 4
UTP Cat 5e
Usado
MDF a puerto13
204-13
HCC13/Contabilidad 1
UTP Cat 5e
Usado
MDF a puerto14
304-14
HCC14/Contabilidad 2
UTP Cat 5e
Usado
MDF a puerto15
203-13
HCC15/Jefe de Negocios
UTP Cat 5e
Usado
MDF a puerto16
202-16
HCC16/Auxiliar Contable
UTP Cat 5e
Usado
MDF a puerto17
202-17
HCC17/Auxiliar Contable
UTP Cat 5e
Usado
MDF a puerto18
101-18
HCC18/Gerencia
UTP Cat 5e
Usado
MDF a puerto19
102-19
HCC19/Caja1
UTP Cat 5e
Usado
MDF a puerto20
102-20
HCC20/Caja2
UTP Cat 5e
Usado
MDF a puerto21
102-21
HCC21/Caja3
UTP Cat 5e
Usado
MDF a puerto22
102-22
HCC22/Caja4
UTP Cat 5e
Usado
MDF a puerto23
102-23
HCC23/Caja5
UTP Cat 5e
Usado
MDF a puerto24
102-24
HCC24/desocupado
UTP Cat 5e
sin usar
64
DISEO DE LA RED
ERCO
5.3
Una vez que se ha realizado el diseo de lo que ser la futura red LAN de la
cooperativa, procedemos ha realizar la documentacin de todos los puntos de este
capitulo para dejar un documento de constancia del diseo de la nueva red.
65
ERCO
6 CAPITULO VI:
DISEO DEL PLAN DE SEGURIDAD
6.1
Introduccin
6.2
del negocio.
Al ser ERCO una empresa joven y en constante crecimiento, no cuenta con una
estructura segura y fiable. Por lo que a continuacin se listan los requerimientos de la
empresa:
Rediseo de la estructura de los departamentos.- la empresa debe contar con un
correcto diseo para cada uno de los departamentos en sus diferentes reas: Atencin
al cliente, Cajas, Contabilidad, Unidad de Informtica, etc., con la finalidad de
66
ERCO
brindar mayor seguridad y comodidad tanto para los usuarios internos como para los
clientes.
Reubicacin de equipos y dispositivos de telecomunicaciones: la empresa debe
contar con una adecuada ubicacin de sus equipos servidores u dispositivos de
telecomunicaciones como switches, hubs, servidores, etc.
Diseo de cableado estructurado: Es necesario que la Cooperativa cuente con el
diseo de cableado estructurado para un adecuado control y optimizacin de la red,
cumpliendo normas y estndares para un mejor desempeo y futura expansin de la
misma. Es necesario contar con un cuarto de equipos el mismo que debe estar en un
lugar seguro y con una adecuada ventilacin, con control de acceso autorizado.
Incrementar el nmero de cajas: para una mejor atencin a los clientes se debe
incrementar el nmero de cajas.
Reubicacin de la Caja Fuerte: se debe procurar una adecuada proteccin y
medidas de seguridad para la ubicacin de la caja fuerte.
Reubicacin del Archivo de Documentos: documentacin en papel que contiene
informacin muy valiosa del estado econmico de los clientes y la empresa, que
actualmente estn a la vista de todos, pudiendo extraviarse, pues se encuentran en el
pasillo de acceso a los departamentos de la empresa.
6.3
Luego del anlisis realizado en el punto 3.4 del capitulo 3 sobre los
activos que la empresa tiene, no se ha detectado activos que favorezcan
polticas de seguridad como por ejemplo firewall, UPS, etc., por lo que
es fundamental contar con un
67
6.4
ERCO
6.4.1 Lgicos
Entre los posibles riesgos y amenazas que se pueden presentar en la red y la empresa
tenemos:
Virus: este posible riesgo que es muy comn ya que al estar conectados a
Internet la posibilidad de adquisicin de virus es mas fcil, tambin el uso
frecuente de dispositivos extrables como memorias flash, disketes, etc., son
medios de contagios mas frecuentes hoy en da.
Ataques a la red por Internet: Los ataques desde el exterior son una de las
amenazas de que mas cuidado se debe tener, ya que estas pueden tener acceso
a la informacin valiosa de la empresa.
Fraudes informticos: Este tipo de ataque se puede dar por usuarios mal
intencionados que pretenden alterar las transacciones bancarias en nuestro
caso, robar informacin, instalar programas maliciosos, borrar informacin,
etc. Con el nico fin de perjudicar a la misma o para su propio beneficio.
68
ERCO
Uso de claves en switch, routers, que viene por defecto. Este riesgo se
puede dar por descuido en los administradores de la red, al momento de la
configuracin de los dispositivos, manejo de contraseas, lo cual facilitara
un ataque.
6.4.2 Fsicos
Mala operacin de los sistemas por parte de los usuarios: esta amenaza
puede alterar la informacin de los clientes y de la empresa.
69
ERCO
6.5
70
ERCO
71
ERCO
Autenticacin:
9 Crear cuentas de usuarios y contraseas de acuerdo a su jerarqua y roles
que desempeen.
9 Es necesario que los usuarios registren en cualquier pantalla de ingreso de
los sistemas informticos los siguientes datos: nombre de usuario y clave.
9 Mostrar los siguientes datos una vez que el usuario a ingresado, para
notificar en caso de violacin de clave:
Nombre de usuario
Fecha y hora de la ultima conexin
Nmero de intentos fallidos en el ingreso de su clave
9 Es necesario mantener encriptada la siguiente informacin:
Listas de control de acceso
Los passwords y cuentas de usuario
Datos de autenticacin.
Password:
9 Crear passwords seguros con las siguientes caractersticas:
Combinacin de letras, nmeros.
Tener una longitud mnima de 6 caracteres y mxima de 20.
9 Cambiar los passwords peridicamente y evitar anotarlos en lugares
visibles.
9 La fecha mxima en que debe expirar el password deber ser de cuatro
meses, una vez cumplido este plazo el sistema pedir automticamente el
cambio del mismo.
72
ERCO
Antivirus
9 Es necesario que la empresa cuente con un servidor de antivirus, el cual debe
estar ejecutndose permanentemente y en continua actualizacin de
definiciones de virus.
9 Se deber utilizar ms de una herramienta antivirus en los servidores para
disminuir los riesgos de infeccin.
9 Las actualizaciones de los antivirus debern realizarse mediante un
procedimiento automtico.
9 Se debe contar con programas de escaneos peridicos de virus en todos los
equipos de la Cooperativa, para que estos sean detectados a tiempo.
9 En caso que se detecte un virus en algn equipo del sistema, se debe seguir
procedimientos formales para tomar las medidas necesarias.
Firewall
9 La empresa debe contar con el uso de un firewall para tener un control seguro
de los accesos a la red.
9 Se recomienda la configuracin del Firewall Screened Host (Dual-homed
bastion Host), por que este ofrece doble nivel de seguridad al simular el
router sobre Fedora.
73
ERCO
74
ERCO
Mail.
9 La gerencia se encargara de determinar que empleado debe contar con una
cuenta de correo electrnico, segn la tarea que el empleado desempee.
9 La empresa deber contar con un sistema de mail interno y externo, para de
esta forma mantener su seguridad en las comunicaciones con el personal, sin
tener que exponer sus mensajes a Internet.
9 Se debe contar con un procedimiento para dar de baja las cuentas de correo
electrnico en caso de que esta no sea utilizada correctamente.
9 Los aplicativos de correo electrnico debern brindar las condiciones de
seguridad necesaria, para impedir que un usuario reciba correos maliciosos o
de remitentes maliciosos que intenten afectar los recursos de la institucin.
9 El administrador de mail no debe ser utilizado para enviar correo basura.
9 El correo electrnico no debe ser utilizado para enviar cadenas de mensajes, o
actividades no relacionadas con los propsitos de la empresa.
75
ERCO
Dispositivos de Soporte.
La Cooperativa debe contar con los siguientes dispositivos de soporte bsicos para
brindar una mayor seguridad para los usuarios y clientes:
76
ERCO
6.6
77
CONCLUSIONES
ERCO
CONCLUSIONES
Luego de haber realizado el proyecto es fundamental tomar en cuenta las siguientes
conclusiones:
Respecto al anlisis de la red:
Actualmente la empresa no cuenta con cableado estructurado, lo que ocasiona
problemas en la expansin de la red, ya que no se encuentran documentados
los puntos de conexin, ni se manejan estndares en lo que refiere a la
localizacin de los dispositivos. Del mismo modo, tampoco se aplican los
estndares en lo referente al cableado elctrico, telefnico y de datos.
Los datos de los clientes en la empresa se encuentran en bases de datos
independientes, lo que podra ocasionar redundancia de datos, as como falta
de integridad entre los mismos.
Para mejorar la seguridad dentro de los usuarios de un mismo edificio se
aconseja la implementacin de VLANs, lo que permitir que el router
empresarial asigne los permisos necesarios a los diferentes grupos de
usuarios.
Respecto al Plan de Seguridad:
La empresa no cuenta con un Plan de Seguridad vigente, lo cual puede
provocar fallas de seguridad en los sistemas, equipos de hardware y afectar a
los datos e informacin que se maneja en la misma.
La falta de cableado estructurado puede ocasionar perdida de datos en la
transmisin de informacin entre los dispositivos de red.
78
RECOMENDACIONES
ERCO
RECOMENDACIONES
Respecto al anlisis de la red:
Aplicar reglas y estndares a toda la empresa, dado que existen algunos
estndares a aplicar en lo que respecta al cableado, escoger el que mejor se
adapte a sus necesidades.
Para eliminar tanto la redundancia de datos as como la falta concordancia, se
aconseja unir por red las sucursales con la matriz, de manera que la base de
datos sea centralizada o en su defecto distribuida, pero que de esta manera no
existan datos errneos.
Actualmente dentro del mismo edificio, todos los usuarios ya sea el gerente
como las cajeras se encuentran en la misma red, es por ello que la seguridad
dentro de la empresa es muy baja.
79
BIBLIOGRAFIA
ERCO
BIBLIOGRAFIA
GIBBS Mark. Redes para todos. Editorial Prentice Hall Hispanoamericana,
S.A. Naucalpan de Juarez, Mxico,1995
COMER Douglas. Redes Globales de Informacin con internet y TCP/IP.
Editorial Prentice Hall Hispanoamericana,S.A Naucalpan de Jurez,
Mxico,1996
TANENBAUM, Andrew C. Redes de Computadores - 3a edio.
Ed.Campus, Rio de Janeiro, 1997.
Cisco System,Inc Academia de Networking de Cisco System:Guia del
Segundo ao CCNA 3 y 4. Tercera Edicin. PEARSON EDUCATION, SA.
Madrid, 2004
GUSTAVUS J. Simmons (Editor), "Contemporary Cryptology. The Science
of Information Integrity", IEEE Press. 1992.
WILEY John & Sons, Security Mechanisms for Computer Networks", Sead
Muftic 1984.
STALLING William, Comunicaciones y redes de Computadoras. Pearson
Educacion, Madrid, 7a edicion 2004, 268p
80
ANEXOS
ERCO
ANEXOS
Anexos 1: Fotografas de la empresa
La figura muestra como se encuentra ubicado el Router en la Empresa
81
ANEXOS
ERCO
Figura 34: Fotografa del Departamento de Sistemas (Switch 8 puertos que conecta
los servidores)
82
ANEXOS
ERCO
83
ANEXOS
ERCO
La TIA/EIA-569-A especifica las normas del espacio para el demarc, las normas de
la estructura y el espacio del demarc estn basadas en el tamao del edificio.
2. Cableado Backbone
Su finalidad es proporcionar interconexiones entre cuartos de entrada de servicios de
edificios, cuartos de equipo y closet de telecomunicaciones. Incluye la conexin
vertical entre pisos en edificios de varios pisos con los medios de transmisin (cable
UTP categora 5e), puntos principales e intermedios de conexin cruzada y
terminaciones mecnicas.
84
ANEXOS
ERCO
Equipo de soldadura
3. Cableado Horizontal
Incorpora el sistema de cableado que se extiende desde la salida del computador
tambin llamada rea de trabajo de telecomunicaciones (Work Area Outlet, WAO)
hasta el cuarto de telecomunicaciones o Closet de Telecomunicaciones.
El cableado horizontal consiste de dos elementos bsicos:
Cable Horizontal y Hardware de Conexin. Proporcionan los medios para
transportar seales entre el computador y el closet de telecomunicaciones. No
se permiten empates en cableados de distribucin horizontal.
Rutas y Espacios Horizontales (tambin llamado "sistemas de distribucin
horizontal") son utilizados para distribuir y soportar el cable horizontal y
conectar hardware entre la salida del rea de trabajo y el closet de
telecomunicaciones.
El cableado horizontal incluye:
Las salidas (cajetines/conectores) en el rea de trabajo.
85
ANEXOS
ERCO
Entre los aspectos que se deben considerar, esta la distancia horizontal mxima del
cable, que es de 90 metros independientemente del cable utilizado. Esta es la
distancia desde el rea de trabajo hasta el closet de telecomunicaciones. Al establecer
la distancia mxima, s prev 10 metros adicionales para la distancia combinada de
Patch Cord (3 metros) y cables utilizados para conectar el equipo en el rea de
trabajo de telecomunicaciones y el closet de telecomunicaciones.
Tipos de Cable
Los tres tipos de cable reconocidos por ANSI/TIA/EIA-568-A para distribucin
horizontal son:
1. Par trenzado, cuatro pares, sin blindaje (UTP) de 100 ohmios, 22/24 AWG
2. Par trenzado, dos pares, con blindaje (STP) de 150 ohmios, 22 AWG
3. Fibra ptica, dos fibras, multimodo 62.5/125 mm.
El cable a utilizar preferiblemente es el par trenzado sin blindaje UTP de cuatro pares
categora 5e. Con relacin al manejo del cable, el destrenzado de los pares en los
86
ANEXOS
ERCO
conectores RJ45 y Patch panel debe ser menor a 1.25 cm para cables UTP categora
5. El radio de doblado del cable no debe ser menor a cuatro veces el dimetro del
cable. Por cada par trenzado de cuatro pares categora 5 el radio mnimo de doblado
es de 2.5 cm.
4. Closet de Telecomunicaciones y Equipos
Es el rea en un edificio, utilizada para el uso exclusivo de los equipos asociados con
el sistema de cableado de telecomunicaciones. El espacio del closet de
comunicaciones no debe ser compartido con instalaciones elctricas que no sean de
telecomunicaciones, este debe ser capaz de albergar equipo de telecomunicaciones,
terminaciones de cable y cableado de interconexin asociado.
87
ANEXOS
ERCO
Puertas: Las puertas de acceso deben ser de apertura completa, con llave y al menos
91 centmetros de ancho y 2 metros de alto.
Paredes: Al menos dos de las paredes del closet deben tener lminas de plywood AC de 20 milmetros de 2.4 metros de alto. Las paredes deben ser pintadas con pintura
resistente al fuego, lavables, mate y de color claro.
88
ANEXOS
ERCO
El cuarto de telecomunicaciones debe contar con una barra de puesta a tierra que a su
vez debe estar conectada mediante un cable de mnimo 6 AWG con aislamiento
verde al sistema de puesta a tierra de telecomunicaciones segn las especificaciones
de ANSI/TIA/EIA-607.
2. Detalles constructivos
Distribucin Principal
La distribucin principal consiste en 1 patch panel para fibra ptica donde llega la
seal externa que provee Telconet, de donde se obtiene las seales que se conectarn
a un patch panel que administra la Red a travs del switch que conectar las
secciones de la red, cubriendo de esta manera la conexin de todos los puntos de
datos.
La distribucin de los sectores en la parte lgica se lleva a cabo por medio del uso de
direcciones IP pblicas clase C.
Direccin
de
SUBRED
Subred
Puntos de red
Matriz
132.150.10.0/24
18
Agencia Cumbe
132.150.50.0/24
Agencia Sinincay
132.150.30.0/24
Agencia Baos
132.150.40.0/24
Agencia El Arenal
132.150.20.0/24
Tienen mscara /26 para no desperdiciar las direcciones IP, ya que cada sede no tiene
ms de 342 computadoras y para futuras expansiones.
Conexin Horizontal
La red Horizontal esta formada por los cables que provienen desde el patch panel de
cada uno de los switchs por piso que distribuyen segn el rea de los puntos de
89
ANEXOS
ERCO
rea de Trabajo
El rea de trabajo est formada por el cajetn, el jack de datos, y los patch cord de 3 o
5 pies.
Especificaciones de canalizaciones para el cableado estructurado
Canalizacin horizontal
La canalizacin horizontal proporciona los espacios, trayectorias que van desde el
distribuidor de cables de piso hasta las salidas/conectores de telecomunicaciones
ubicadas en las reas de trabajo.
90
ANEXOS
ERCO
Tuberas y cable
Con el fin de dar soporte y la proteccin adecuada al cableado se ha dispuesto la
utilizacin de tubo tipo EMT con los accesorios para unin, derivacin, conexin y
soporte.
La tubera tendr el dimetro de acuerdo a lo que exigen las normas como se puede
observar en el plano de diseo, dejando espacio para poder expandir la red a futuro si
fuera necesario. Considerando las ltimas tecnologas de los cables se ha escogido el
cable UTP, categora 6, que cumpla con las normas para este tipo de cableado.
Los elementos de conexin como jacks, cajetines, placas y patch panels sern de
categora 6 de la marca que cumpla con lo que establece la norma.
91
ANEXOS
ERCO
92
ANEXOS
ERCO
93
ANEXOS
ERCO
94
ANEXOS
ERCO
Caractersticas:
95
ANEXOS
ERCO
Extraer un cable adicional para cada estacin de trabajo o desktop para su uso
a futuro. Esto ayuda a proteger contra los pares que puedan fallar durante la
instalacin, y tambin contribuye a la expansin.
Utilizar placas de pared multipuesto sobre los jacks. Use jacks codificados
por color para identificar los tipos de circuito.
Si se utiliza un rack debe dejarse espacio suficiente para futuros patch panels
o dejarse suficiente espacio en el suelo para futuras instalaciones de racks al
hacer la disposicin inicial.
96
ANEXOS
ERCO
La red que se construye segn las normas debe trabajar bien e interoperar con otros
dispositivos de red estndar. Es importante comprender que las normas estn siendo
revisadas constantemente y actualizadas peridicamente para reflejar las nuevas
tecnologas y los requisitos mas recientes de las redes de voz y datos.
a menudo
97
ANEXOS
ERCO
TIA/EIA-569-A:
Norma
de
edificios
comerciales
para
caminos
de
telecomunicaciones y espacios.
TIA/EIA-606:
Norma
de
administracin
para
la
infraestructura
de
98