Propuesta diseño lógico red de la empresa de automatización integral Santiago de Cuba (CEDAI)
Enviado por Randy Verdecia Peña
- Resumen
- Introducción
- Características de la red CEDAI.
- Propuesta del diseño lógico de la red
- Seguridad
- Conclusiones
- Bibliografía
En el presente trabajo realizamos un análisis detallado acerca de la red CEDAI siguiendo los pasos de la Metodología Top Down. En el mismo se exponen la estructura de la red, sus principales deficiencias y se propone un nuevo diseño basándose fundamentalmente en la reestructuración de la red. Para complementar los puntos anteriores se hizo un análisis de riesgo y un balance de costo.
Abstract
In this paper we make a detailed analysis on the network of the Faculty of Mathematics and Computer Science in the footsteps of Top Down Methodology. In the same outlines the structure of the network, its main shortcomings and proposes a new design based primarily on the restructuring of the network in VLANs. To complement the above, an analysis of risk and cost balance.
Con el avance de las redes de computadoras se hace cada vez más necesario el empleo del sistema de cableado y equipamiento de red más avanzados, capaces de soportar todas las exigencias de comunicación. Estos dos aspectos son unos de los principales factores que determinan la necesidad, por parte de las instituciones de contar con estructuras de redes que permitan conseguir los objetivos de confiabilidad, velocidad y calidad en la recepción de la información.
Un sistema de cableado estructurado es físicamente una red de cable única y completa, con combinaciones de alambre de cobre (pares trenzados UTP), cables de fibra óptica, bloques de conexión, cables terminados en diferentes tipos de conectores y adaptadores. Permitiendo la administración sencilla y sistemática de las mudanzas y cambios de ubicación de personas y equipos. El sistema de cableado de telecomunicaciones para edificios soporta una amplia gama de productos de telecomunicaciones sin necesidad de ser modificado.
Utilizando este concepto, resulta posible diseñar el cableado de un edificio con un conocimiento muy escaso de los productos de telecomunicaciones que luego se utilizarán sobre él. La norma garantiza que los sistemas que se ejecuten de acuerdo a ella soportarán todas las aplicaciones de telecomunicaciones presentes y futuras por un lapso de al menos diez años. Esta afirmación puede parecer excesiva, pero no, si se tiene en cuenta que entre los autores de la norma están precisamente los fabricantes de estas aplicaciones.
El presente trabajo investigativo resulta una evaluación del cableado estructurado existente en el edificio del CEDAI, así como de la infraestructura actual de la red, agrupando un conjunto de críticas para una propuesta de rediseño futura de dicha instalación.
Capítulo I
Características de la red CEDAI
1.1 Introducción del capitulo
La Empresa de Automatización Integral (CEDAI) de Santiago de Cuba fue fundada en el año 2005, empresa ubicada en un edificio de 4 planta donde se encuentra situada en el 3er piso del mismo, con 30m de ancho y 50m de largo y su director actual es Oriol Marcheco Rey, centro que brinda servicios de automatización de procesos industriales, automatización de inmuebles, así como automatización de maquinaria industrial, garantizando como plataforma los servicios asociados a los proyectos de electricidad y redes de comunicación.
Figura1.1Empresa CEDAI Santiago de Cuba
1.2 Misión
La empresa de Automatización Integral (CEDAI) es la entidad de Santiago de Cuba encargada de brindar la solución integral de automatización para que incrementen la eficiencia, fomentando la cultura automática en clientes nacionales e internacionales.
1.3 Visión
Es una empresa reconocida por sus soluciones integrales de automática en Cuba, nuestros clientes nos distinguen por el elevado nivel técnico y la fiabilidad en las aplicaciones, avaladas por las normas ISO.
1.4 Servicios que brinda el centro
1.4.1 Automatización de procesos industriales
Comprende la automatización integral de procesos industriales continuos y abarca:
Sistemas supervisores y de adquisición de datos (SCADA), incluido el monitoreo remoto vía web.
Instrumentación de campo.
Sistemas de control y pesaje.
Sistemas de control de movimiento con técnicas electromecánicas, electrónicas, neumáticas, incluidos el diseño de las redes técnicas necesarias.
Control de motores mediante variadores de velocidad.
Aplicación de controladores lógicos programables (PLC) para el control de procesos.
Tiene como objetivo lograr y mantener los parámetros de eficiencia y productividad según el diseño previsto para el diseño productivo, garantizar los parámetros de calidad establecidos para el producto final, así como el mejoramiento de las condiciones de trabajo para el operario.
1.4.2 Automatización de inmuebles
Comprende la automatización integral de inmuebles y edificaciones y abarca:
Sistemas supervisores y de adquisición de datos (SCADA), incluido el monitoreo remoto vía web.
Controladores de habitación.
Sistemas de corrientes débiles para la telefonía, plataformas de comunicación y circuitos cerrados de TV.
Sistemas de control de clima.
Sistemas de control de bombeo ("Bombeo inteligente").
Sistemas de control de acceso, así como mecanismos de seguridad y cierre.
Sistemas de control eléctrico y de iluminación.
Control de cámaras frías.
Sistemas de control de riesgos.
Tiene como objetivo lograr y mantener los parámetros de confort según el diseño previsto, así como controlar y disminuir los índices de consumo energético de la instalación para optimizar los costos de operación.
1.4.3 Automatización de maquinaria industrial.
Comprende la automatización integral de maquinaria destinada a la producción industrial, partes y piezas, envases y embalaje, compresores de aire, etc. Y abarca:
Sistemas de control de movimiento con técnicas electromecánicas, electrónicas, neumáticas, y/u oleo hidráulicas.
Control de sensores.
Control de motores mediante variadores de velocidad.
Aplicación de controladores lógicos programables, para el control de las secuencias de la máquina.
Tiene como objetivo la elevación de los niveles de fiabilidad y productividad de la maquinaria, volviéndolos independientes de los errores humanos de operación, aumentando la vida útil y disminuyendo los costos de mantenimiento.
1.4.4 Proyectos de electricidad y redes de comunicación.
Comprende la instalación, programación y puesta en marcha de:
Proyectos eléctricos, montaje de fuerza y alumbrado.
Diseño, fabricación y montaje de pizarras eléctricas.
Automatización y montaje de bancos de capacitores.
Sistemas integrales de protección contra descargas atmosféricas.
Diseño, montaje y certificación de redes de telecomunicación.
Integración de los sistemas automáticos de detección de incendios, circuitos cerrados de televisión y contra intrusos.
Sistemas de cableado estructurado.
Sistema de audio, telefonía e intercomunicadores.
Estudios energéticos y soluciones eléctricas.
1.5 Utilización de la red.
Los trabajadores del centro hacen un amplio uso del correo electrónico, el cual es de gran importancia para el intercambio de información relacionada con el trabajo que realizan.
Existe una conexión a internet con el objetivo de buscar la información necesaria para la realización de los proyectos en los que se trabaja en el centro.
La red es usada para el intercambio de información entre los trabajadores del centro.
1.6 Análisis de los requerimientos.
Para el análisis de los requerimientos el diseñador de la red se encarga de la entrevista a los usuarios y al personal técnico con el objetivo de conocer los propósitos de la entidad para lograr un mejor sistema, incluyendo un caracterización a fondo de la red existente, las topologías físicas y lógicas, prestando una especial atención al desempeño de la red. Esta fase culmina con el análisis del tráfico de red en los momentos actuales y futuros, analizando el flujo y la carga, el funcionamiento de los protocolos y los requerimientos de la calidad de servicio (QoS), siguiendo la metodología para el diseño de redes descritas en Top – Down.
Todo este análisis de los requerimientos permite caracterizar la infraestructura de la red, para ello se deben delimitar y confeccionar los mapas de red, además de la realización de un levantamiento para el conocimiento a fondo de los dispositivos de interconexión empleados, documentación del nombrado, localización y direcciones, este procedimiento es análogo para los segmentos más importantes dentro de la red. Se identifica el método de nominación y direccionamiento.
En relación al cableado físico empleado se delimitan los tipos y longitudes acorde a la estructura arquitectónica del edificio en análisis, incluyendo las limitantes ambientales que podrían presentarse, todo esto facilita la inclusión de facilidades futuras que ofrezcan soporte al cliente, y la creación de nuevos servicios, como transmisiones inalámbricas.
1.7Características de la red.
Figura 1.2Arquitectura de la Empresa por departamento.
Este centro está constituido por un solo piso subdividido en 8 departamentos con máquinas:
Recursos humanos y transporte: 2 de escritorios y 1 laptop.
Contabilidad y economía: 2 de escritorio y 1 laptop.
Dirección y secretaria: 1 escritorio y 1 laptop.
Nodo: 1 escritorio.
Accionamiento: 3 escritorio y 1 laptop.
Proyecto: 3 escritorio y 1 laptop.
Sistema Avanzados: 3 escritorio y 3 laptop.
Comercial: 3 escritorio.
Posee un total de 35 trabajadores de los cuales solo 2 no tienen acceso a la red, conformada actualmente con un total de 18 PC de escritorio y 8 laptop conectadas físicamente a la red, la cual brinda servicios tales como correo electrónico nacional e internacional, acceso a internet, chat. De todos los trabajadores solo tienen acceso a internet 13 personas como: el director, los 2 comerciales y 10 técnicos.
La red está compuesta por 1 router, 1 switch capa tres en el centro de la estrella, 1 switchen cascada con el anterior y otro está ubicado en un local para extender la red, el router existente en la red tiene conexión con etecsa mediante una línea arrendada a 64k, el mismo contiene conexiones con los restantes elementos de la reden forma de cascada. La red también posee dos servidores uno de correo y un servidor proxy.
Figura 1.3 Estructura de la red actual del CEDAI.
1.8 Caracterización de la arquitectura lógica.
La red WLAN extendida, con topología en estrella con la utilización de 3 switch en cascada, donde presenta una red interna a 100 MB/seg. El acceso a la red externa es mediante una línea arrendada o dedicada, a través de un modem router a 64k de conectividad hacia la WAN, además de poseer una PC como servidor proxy y de correo.Las maquinas van conectadas a dos switch de 16 y 24 puertos respectivamente. Actualmente hay conectadas 26 máquinas.
Figura 1.4 Estructuralógica de la red actual del CEDAI.
1.8.1 Características de los dispositivos de la red.
Modem router Telindus 1421 SHDSL
Figura 1.5Modem Router Telindus 1421 SHDSL. El router Telindus 1421 SHDSL pueden ser usado como CPE en combinación con cualquierTelindus o DSLAM (acceso multiplex a la línea de suscriptores digitales), en combinación con redes de acceso basadas en frame relay o PPP o enlaces punto a punto.Telindus 1421 SHDSLes un dispositivo de acceso ideal para la conexión de usuarios de negocios, ofreciendo servicios de gestión IP a la mayor velocidad posible. El dispositivo posee tecnología avanzada con interfaces de línea SHDSL incorporada, ofrece transmisión bidireccional simétrica a 2.3 mbps sobre un par de cobre y una velocidad de 4.6 mbps usando dos pares de cobre. La unidad soporta interfaces ethernet. 10/100 base-T.La velocidad de la línea puede ser automáticamente adaptada para optimizar el rendimiento específico en función de las características del Bucle local. Susceptible a velocidades más altas (Hasta 4.6mbps) o un alcance más largo. Completamente mantenido por el TDRE (Telindus Dynamic Routing Engine), la unidadaporta características adelantadas como la calidad de servicio, redes IP virtuales privadas y el soporte para las VLANs. Switch Planet MGSW-004 Figura 1.6Switch Planet MGSW-004. El PLANET MGSW-004-24F es diseñado para mejorar el backbone de la red y del grupo de trabajo, se emplean en aplicaciones que necesitan alto rendimiento, larga distancia y alta calidad de transmisión. Ofreciendo hasta 24 puertos de interfaces de 100Base-FX. El MGSW-004-24F puede extenderse a 2km de alcance de distancia y destaca cada dispositivo de la red fácilmente. Las series MGSW-004 tienen un alto rendimientoy soportan hasta 9.6Gbps para la transmisión de paquetes. Estos switchproveen redes de larga distancia Ethernet, permitiendo la conectividad sobre fibra óptica multimodo.Estos Swith pueden ser manejados a través de web, telnet y consola, el SNMP MIB soporta máxima funcionalidad. El switch provee a los usuarios de conexiones de la red de alta velocidad con una arquitectura de almacenamiento y envío para el filtrado de paquete. Además emplea el protocolo IGMP para limitar el flujo de tráfico multicast IP. Switch que soporta VLANs, permiten implementar redes con seguridad y además el mismo puede ser gestionable. 1.9Análisis del direccionamiento de la red existente. La dirección de red asignada al centro es la 172.16.2.0/24, con esta podemos conectar hasta 254 máquinas con Máscara 255.255.255.0. 1.10 Caracterización del cableado y los medios empleados. El cable utilizado es UTPcategoría 5e, donde la mayor distancia que puede recorrer el cableado desde el local del administrador hasta otro es menor de 30m.Por tal razón al no existir grandes distancias en la interconexión disminuye la probabilidad de que la transmisión sea afectada por las atenuaciones. El cableado exterior de la red cumple con las normas de mantener la estética de esta institución ya que se encuentra colocado por el interior del falso techo. Par 1: Blanco/Azul * Azul —————-Contactos: 5 * 4 Par 2: Blanco/Naranja * Naranja——-Contactos: 3 * 6 Par 3: Blanco/Verde * Verde————Contactos: 1 * 2 Par 4: Blanco/Marrón * Marrón——–Contactos: 7 * 8 Ventajas: – Bajo costo en su contratación. – Alto número de estaciones de trabajo por segmento. – Facilidad para el rendimiento y la solución de problemas. – Puede estar previamente cableado en un lugar o en cualquier parte. Desventajas: – Altas tasas de error a altas velocidades. – Ancho de banda limitado. – Baja inmunidad al ruido. – Distancia limitada (100 metros por segmento). Los equipos que se emplean para esta red son los siguientes: 1 Switch Planet MGSW-004 2 Switch Aopen AOW-216 1 Router Telindus 1421 SHDSL 1.11 Características del nodo y servidores. Los servidores es una máquina virtual, esta soportada sobre Windows. Servidor que consta de las siguientes características: 1.12 Seguridad de la red actual. La empresa no tiene ninguna estrategia para brindarle seguridad a la red, por lo tanto estamos presente a una red que es vulnerables a diferentes ataques. 1.13 Tráficos de la red. Para analizar el tráfico en la red es necesario definir primeramente las comunidades de usuario que existen en la misma. Una comunidad de usuarios está constituida por un grupo de personas que utilizan aplicaciones comunes y poseen los mismos privilegios además puede estar incorporada a un departamento o a un grupo de departamentos. Este centro posee 2 comunidades de usuario: Usuarios que utilizan internet, correos, chat: 13 trabajadores (director, 2 comerciales y 10 técnicos). Usuarios que utilizan correo, chat: 20 trabajadores. Nombre del nodo: CEDAI. Figura 1.7 Tráfico de la red. En la gráfica anterior podemos observar que la velocidad máxima es de 95 Kbit/s por tanto la red no llega a saturarse ya que está diseñada para velocidades de 100 Mbit/s. También nos damos cuenta que el mayor tráfico es irregular en ocasiones es mayor en horario de la mañana o en la tarde esto se debe que los trabajadores del centro tiene que realizar tareas fueras del centro por lo que la carga baja en esos instante. 1.14 Dificultades de la red CEDAI No existe un software de gestión instalado para prevenir cualquier posible fallo y por ende alertar al administrador de red acerca de esta situación. Figura 1.8Armario de telecomunicaciones Se incumple con la norma ANSI/EIA/TIA-606 que regula y sugiere los métodos para la administración de los sistemas de telecomunicaciones, ya que existe una incorrecta asignación de colores en el cableado del edificio. Además, existe insuficiencia en la administración debido a la no presencia de etiquetado en las tomas de los puertos de red de los conmutadores. La distribución del cableado, a lo largo de la empresa, presenta varios cruces con cables de corrientes fuertes, como alumbrado y fuerza, incumpliendo con la norma EIA/TIA 568A, ya que es necesario evitar colocar los cables de cobre muy cerca de fuentes potenciales de emisiones electromagnéticas (EMI). Existen cables de red cercanos a tomas de alimentación de aire acondicionado. Figura 1.9Dispositivo fuera del cuarto de telecomunicaciones Existen elementos activos de la red localizados fuera del local de telecomunicaciones, provocando que los usuarios puedan acceder libremente a estos, los cuales no cuentan con ningún tipo de protección en los puertos de conexión, significando una falla en la seguridad de la red. Figura 1.10Cableado aéreo Los cables que se encuentran sobre el falso techo no están protegidos por ductos y son vulnerables a los roedores existentes y a la humedad. Figura 1.11 Ausencia de canaletas. La distribución de cables en los locales no cuenta con canaletas (se realiza por las paredes), están prácticamente sueltos quedando expuestos a una posible desconexión por accidentes y algunos forman dobleces de aproximadamente 90 grados, elemento muy perjudicial para la transmisión de la señal por el medio guiado. Existe ausencia de fuentes alternativas de energía para algunos de los conmutadores, provocando que los equipos sean vulnerables a cambios bruscos de voltaje o fallas eléctricas, pudiendo ocasionar daños severos. No existen enlaces redundantes, por lo que si se cae un enlace dicha parte de la Red se queda sin conexión. No existe aterramiento en dicha empresa. Capítulo II 2.1 Introducción del capítulo. En presente capítulo se realizará el rediseño de la red CEDAI con el objetivo de darle solución a los problemas señalados en el capítulo anterior, para que se pueda lograr una red más segura y que los trabajadores se sientan a gusto con la misma. 2.2 Características de la arquitectura lógica. Para optimizar las inversiones en el rediseño de la red se propone utilizar parte de los equipos con que cuenta el centro. Esta nueva red está compuesta por el switch central de la red de 24 puertos o sea al switch capa 3 ya existente en el mismo que interconecta la red interna con la red externa mediante el modem router. A este switch se le conecta un conmutador de 16 puertos; también se le conectan los servidores y un Punto de Acceso (AP). Las computadoras van conectadas a los conmutadores de 24 y 16 puertos respectivamente. Con esta arquitectura podremos conectar un mayor número de usuarios y así la red tendrá una mayor escalabilidad. Se ha decidido crear un AP al conmutador central debido a la existencia de laptop en la empresa, este no se debe conectar a un puerto del conmutador secundario, es decir estar en cascadas, ya que aumentan el radio de trabajo por lo que aumentan el número de colisiones y la demoras además se eliminó el conmutador de 16 puertos que estaba ubicado en el departamento de sistema avanzado para disminuir el número de estos conectados en cascada ya que la misma influye en la velocidad y eficiencia de la red. En la nueva restructuración de la red todas las máquinas portátiles van conectadas al punto de acceso o AP que empleará el estándar 802.11b/g como se muestra en la siguiente figura. Figura 2.1Estructuralógica de la red propuesta para el CEDAI. Figura 2.2Estructura de la red propuesta del CEDAI. 2.3 Direccionamiento propuesto. Para una buena organización en la red se ha decidido reorganizar las direcciones IP. La dirección de red asignada al centro es la 172.16.2.0/24, con esta podremos conectar hasta 254 máquinas. Se propone en el rediseño ordenar las direcciones IP del centro para de este modo tener bien localizadas cada máquina. Como el CEDAI consta actualmente de 26 máquinas y de estas solo se conectarán físicamente a la red 18 de ellas, la propuesta del nuevo direccionamiento consiste en asignar la primera dirección(172.16.2.1/24) al servidor de proxy y la segunda(172.16.2.2/24) es asignada al punto de acceso inalámbrico. La dirección 192.168.75.193/24 de la red 192.168.75.0/24 se mantiene asigna a la interfaz de salida del centro. Para realizar la distribución de las direcciones IP correspondiente a las máquinas de una manera uniforme a partir de la 172.16.2.3/24 se le asignará de forma consecutiva las direcciones a cada una comenzando por el Departamento de Economía hasta el departamento de Accionamiento. 2.4 Características del cableado y los medios empleados. Para el rediseño de la red se decidió mantener el estándar de red de área local Fast Ethernet 100 Base-Tx y el medio físico empleado para la conexión de los distintos equipos, cable UTP categoría 5e, el cual se emplea para transmitir a velocidades de 100 Mbps y cubrir distancias hasta 100m, el conector empleado para la conexión de la computadora a la red es el RJ – 45, el cual posee 8 pines o conexiones eléctricas, usadas como terminaciones de cable par trenzado. La conexión a cada usuario se realizará desde el nodo que es donde se encuentran todos los equipos activos de la red hasta los diferentes departamentos que estarán conectados a la red. Aunque la escalabilidad se debe tener en cuenta existen locales dentro de este centro como la dirección y la secretaria que no requieren más de una computadora y por tanto tendrán una sola conexión al centro de comunicación. En el resto de los locales si hay que tener en cuenta la escalabilidad ya que en los mismos es mayor la probabilidad de aumentar la cantidad de usuarios en la red. Teniendo en cuenta la arquitectura del CEDAI el tendido de los cables de la red se realizará por el falso techo para no afectar la estética del centro, para alejar los cables de la red de las tuberías que pueden provocar humedad en los mismos así como alejarlos del contacto de las instalaciones eléctricas del centro se propone utilizar ductos, utilizando también canaletas de 40×25 para la conexión de los equipos del falso techo al terminal de conexión. A continuación se mostrará la relación de la distancia en metros de ductos y canaletas del centro de comunicación a cada local. Figura 2.3 Ductos y canaletas. Se instalará UPS, para proteger los dispositivos activos frente a cambios bruscos de voltaje, además del aterramiento de la empresa para proteger los equipos frente a descargas eléctricas. Capítulo III 3.1 Introducción del capítulo. Se entiende por seguridad a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. Confidencialidad Es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados. Grosso modo, la confidencialidad es el acceso a la información únicamente por personas que cuenten con la debida autorización.Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los datos que contiene la banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha producido una violación de la confidencialidad. Integridad Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencialen bases de datos.).La integridad es el mantener con exactitud la información tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados.La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra los datos importantes que son parte de la información, así mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de la integridad: la firma digital Es uno de los pilares fundamentales de la seguridad de la información. Disponibilidad La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. La disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que lo requieran. En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad se ha utilizado para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La alta disponibilidadde los sistemas objetivos debe seguir estando disponible en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del sistema. Garantizar la disponibilidad implica también la prevención de ataque de denegación de servicio. Para poder manejar con mayor facilidad la seguridad de la información, las empresas o negocios se pueden ayudar con un sistema de gestión permita conocer, administrar y minimizar los posibles riesgos que atenten contra la seguridad informativa del negocio. La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera, tales mecanismos se implementan en infraestructura tecnológica, servidores de correo electrónico, de bases de datos, de web etc, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades dependerá de lo que queremos proteger y el nivel de servicio que se quiera proporcionar. 3.1 Estrategias para la seguridad en la empresa. Como parte de la propuesta para la seguridad se insertará doscortafuegos diseñados para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuego, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. Un cortafuego correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. En la figura siguiente se muestra donde se implementará los firewalls en la empresa. Figura 3.1 Esquema que muestra la seguridad de la red del CEDAI. Según lo planteado en el esquema de seguridad de la red del CEDAI pretendemos realizar la seguridad del centro con los equipos previsto para el trabajo. Con la idea de que si un usuario pretendiese acceder al centro por vía internet podremos engañarlo con un cortafuego primario, permitiendo que si se logra entrar confundiremos aquel que logro pasar al cortafuego primario con otro cortafuego. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección.También se hará filtrado de MACsválidas en elconmutador central para la comunicación en la red, en el caso de los usuarios que posean PC portátiles. Para implementar una red inalámbrica en el centro la misma debe ser protegida, podemos decir que existen diferentes métodos o software como estrategia de seguridad de estas redes como WEP (Wired Equivalent Privacy), pero dado que hoy en día esta protección puede ser violada con software fácilmente accesible en pocos minutos, por lo tanto para la protección se propone la nueva corrección de seguridad 802.11i para neutralizar los problemas Wi-Fi Protected Access (WPA) que utiliza una secuencia pseudoaleatoria mucho mayor para la autenticación. 3.2 Análisis de riesgos. El análisis de riesgo, también conocido como evaluación de riesgo o PHA por sus siglas en inglés: Process Hazards Analysis es el estudio de las causas de las posibles amenazas, y los daños y consecuencias que éstas puedan producir.Este tipo de análisis es ampliamente utilizado como herramienta de gestión en estudios financieros y de seguridad para identificar riesgos (métodos cualitativos) y otras para evaluar riesgos (generalmente de naturaleza cuantitativa). El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente. La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso alrededor a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar.Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos. 3.2.1 Identificación de activos informáticos. Importancia Total del Sistema: Wt = W1 + W2+W3+W4+W5+W6=48.64 3.2.3 Identificación de amenazas y estimación de riesgos. Una vez que los activos que requieren protección son identificados y valorados según su importancia es necesario identificar las amenazas sobre estos activos y estimar la pérdida potencial (impacto) que puede producir su materialización. Por su origen las amenazas se clasifican en accidentales e intencionales, a partir de que su ocurrencia sea premeditada o no. Una amenaza intencional, si se materializa se considera una agresión o ataque. Por sus efectos o consecuencias las amenazas se clasifican en pasivas y activas. Las amenazas pasivas son aquellas que de materializarse no implican ninguna modificación a la información contenida en el sistema ni cambios en el estado del mismo, por ejemplo fuga de información. Las amenazas activas implican la alteración de la información contenida en el sistema o cambios en el estado del mismo, por ejemplo modificación no autorizada de una base de datos. En la siguiente tabla se realiza de un análisis cruzado a partir de la identificación de las amenazas que pueden actuar sobre el sistema informático y su incidencia sobre cada uno de los activos que componen el mismo. En cada una de las filas de esta tabla se relacionan las amenazas, numerándolas consecutivamente para su posterior identificación. Se abrirá una columna para cada activo identificado, marcando con una cruz en la fila correspondiente a cada amenaza que incida sobre él. A partir de las amenazas identificadas se cuantifica el riesgo de que cada una de ellas se materialice sobre cada uno de los activos. 3.2.4 Estimación de riesgo sobre los activos. Una vez que se ha determinado qué debe ser protegido y estimados los riesgos sobre los activos informáticos es necesario definir las políticas de seguridad que deben regir el funcionamiento del sistema informático y las medidas y procedimientos que hay que implementar para garantizar el cumplimiento de estas políticas. La definición de las políticas de seguridad y las responsabilidades de cada uno de los participantes en el proceso informático, junto a las medidas y procedimientos que permitan prevenir, detectar y responder a los riesgos reales del sistema informático conforman el Plan de Seguridad Informática y Contingencia, que es el documento básico para la gestión de la seguridad informática en cualquier entidad. 3.2.5 Plan de Seguridad Informática Propuesto. Una política de seguridad es una declaración formal de las reglas a las cuales se debe adherir el personal que tiene acceso a los bienes tecnológicos y de información de una organización. Para elaborar estas políticas hay que saber qué es lo que se quiere proteger, de quién se quiere proteger y cómo se va a proteger; para ello se realiza el análisis de riesgos y la gestión de los mismos. El Plan de Seguridad Informática debe ser de estricto cumplimiento por todos los usuarios de la red. En cuanto a protección interna hemos garantizado que los equipos del área se encuentran en locales protegidos y que se cumplen las normas de seguridad. Políticas de Seguridad Informática: El Responsable de Seguridad Informática deberá notificar inmediatamente a la Dirección del CEDAI cualquier anomalía detectada. En caso de ocurrencia de tormentas eléctricas severas se apagaran y desconectaran todas las tecnologías informáticas. Debe garantizarse la ventilación de las tecnologías informáticas. En todos los casos se debe evitar los efectos de la humedad y el polvo. Las tecnología informáticas fundamentales para la operación de sistemas informáticos, deberán estar conectados a fuentes de respaldo de energía. Con todo software descargado desde Internet, se procederá a la utilización delos productos antivirus para detectar la posible presencia de virus y proceder a su descontaminación en caso de que exista. El responsable de la seguridad Informática deberá chequear sistemáticamentelos discos duros para detectar la presencia de virus, así como la instalación de los programas antivirus de los equipos de su área. El informático deberá realizar salvas sistemáticas de las informaciones que así lo requieran. Las cuentas de usuarios son personales e intransferibles Se cuenta con un Sistema de Registro de Incidencias. En caso de que un usuario sospeche que alguien ha utilizado sus contraseñas para ganar acceso a la red o utilizar servicios de Internet deberá cambiar los mismos de inmediato y comunicarlo al responsable de la Seguridad Informática de la Dirección del CEDAI. Cualquier trabajo, cambio de cables, conexiones, mantenimiento, nuevas instalaciones, etc., que afecten el correcto funcionamiento de la red, debe ser previamente coordinados y autorizados por el director del centro y el administrador de la red. En el local donde se encuentren los medios informáticos permanecerá el personal autorizado. El responsable de Seguridad Informática de la Dirección del centro contará con la preparación técnica y confiabilidad requerida. Revisar el funcionamiento y garantizar que los mecanismos de la Dirección delcentro funcionen adecuadamente. Al concluir la jornada laboral, todos los locales de trabajo deben quedar con todas sus puertas y ventanas cerradas, siendo esto responsabilidad del personal y material de la última persona que sale. La omisión de esta acciónde seguridad será sancionada. La salida de las tecnologías de información será avalada por el responsable de Seguridad Informática, luego de una minuciosa inspección del equipo. A la salida deberá presentar el "acta de salida"" con la correspondiente firma de la administración y el responsable de la Seguridad informática. A su entrada, las tecnologías informáticas (las de nueva adquisición y las que hayan salido temporalmente) serán sometidas a una inspección para determinar si estad técnico y la ausencia de virus informáticos. El local de los equipos, estará protegido por llavines de seguridad entre las puertas (de acceso y después de acceso al local), así con rejas y candados. La llave del local estará en manos de del personal autorizado y una copia se encontrara en poder del director del centro. Si una información ya cumplió su finalidad debe someterse a un proceso de borrado, en caso de necesitar respaldarse debe ser guardada por el máximo responsable de la misma para garantizar su seguridad. Revisar el funcionamiento y garantizar que funcionen adecuadamente los equipos de ventilación y climatización. Las contraseñas poseerán un tamaño mínimo de once caracteres y al menos uno de ellos será un símbolo. La reparación y mantenimiento de los equipos se hará en presencia de personal autorizado, garantizando que durante el mismo no se haga uso de la información contenida en el mismo. Capitulo IV Gestión de Red. 4.1 Introducción del capítulo. Otras de las dificultades que se evidenciaron en la caracterización de la red es la ausencia de un software de gestión de red, lo cual se hace necesario para lograr las metas de disponibilidad, rendimiento y seguridad. Otras de los beneficios de tener este software en la red es que permite medir que tanto se han cumplidos las metas de diseño, así como ajustar los parámetros de red para cumplirlas; facilitando la escalabilidad de la red y ayudando al análisis del comportamiento de la red de la empresa o entidad. Para el desarrollo de la gestión de redes de computadora se debe tener en cuenta los siguientes puntos: Considerar escalabilidad, patrones de tráfico, formatos de datos, balances de costos y beneficios. Determinar que recursos deberían ser monitoreados. Determinar las métricas para medir rendimiento. Determinar qué datos y cuantos recabar. 4.2 Procesos de gestión de redes según ISO Gestión de rendimiento Monitorear rendimiento extremo a extremo. Monitorear también el rendimiento de componentes (enlaces individuales y dispositivos). Probar el nivel de enlace. Medir tiempos de respuesta. Medir flujo de tráfico y volumen. Registrar cambios de rutas. Gestión de fallas. Detectar, aislar, diagnosticar y corregir los problemas. Reportar el estado a los usuarios finales y a la gerencia. Seguir las tendencias relacionadas con los problemas. Gestión de configuración Hacerle seguimientos a los dispositivos de red y sus configuraciones (hacer respaldo de las configuraciones). Mantener un inventario de bienes en la red. Registrar las versiones de los sistemas de operación y las aplicaciones. Gestión de la seguridad Mantener y distribuir la información de riesgo (nombre de usuario y contraseña). Generar, distribuir y almacenar las claves y certificados en encriptación y acceso.
Propuesta del diseño lógico de la red