docDiseño de Redes
download 
Demanda Transcripción
Diseño de Redes
Diseño de Redes Contenido 1 Software específico para diseño y simulación de redes. ....................................................................... 4 1.1 Network Notepad. ............................................................................................................................. 4 1.1.1 Descarga, instalación y configuración. ........................................................................................ 4 1.1.2 Guía básica del usuario de Network Notepad. .............................................................................. 8 1.1.3 Adición de nuevos objetos a una biblioteca. .............................................................................. 11 1.1.4 Propiedades de un Diagrama. .................................................................................................. 11 1.1.5 Archivo de hosts. .................................................................................................................... 12 1.1.6 Botones de función programables. ........................................................................................... 12 1.2 2 Packet Tracer. ................................................................................................................................. 14 Diseño físico........................................................................................................................................ 15 2.1 Infraestructura de red. Topología física y lógica. Cableado estructurado. Norma EIA/TIA 568. ................ 15 2.1.1 Infraestructura de red. ............................................................................................................ 16 2.1.2 Topología física y lógica. ......................................................................................................... 16 2.1.3 Cableado estructurado. ........................................................................................................... 19 2.1.4 Normativa sobre cableado estructurado. La norma ANSI/EIA/TIA-568. ........................................ 25 2.2 Hardware de red y elementos de interconexión: Hub, Switch, Bridge, Concentrador VLAN, Router. ......... 27 2.2.1 Tarjetas de interfaz de red ...................................................................................................... 27 2.2.2 Interconexión de redes locales. ................................................................................................ 27 2.3 Segmentación y micro segmentación. Diseño de VLAN........................................................................ 30 2.3.1 Dominios de colisión y segmentos. Switch de nivel 2. ................................................................. 30 2.3.2 Switch de nivel 3. ................................................................................................................... 31 2.3.3 Diseño de VLAN. Tipos de VLAN ............................................................................................... 31 2.3.4 Capa de Red: ELAN o Redes LAN Emuladas .............................................................................. 33 2.4 Sistema físico de seguridad. Defensa perimetral. Bastión, firewall y proxy. ........................................... 34 2.5 Direccionamiento de red. Subnetting. ................................................................................................ 38 2.5.1 Direccionamiento de red.......................................................................................................... 38 2.5.2 Subnetting: cálculo de máscaras. ............................................................................................. 41 2.5.3 Subnetting: Cálculo de rangos. ................................................................................................ 42 [Escribir texto] Diseño de Redes 2.6 Configuración de equipos, elementos de interconexión y router. .......................................................... 43 2.6.1 Configuración de equipos Windows. ......................................................................................... 43 2.6.2 Configuración de firewall. ........................................................................................................ 48 2.6.3 Configuración de routers. ........................................................................................................ 56 3 Diseño lógico....................................................................................................................................... 60 3.1 Organización de dominios. ............................................................................................................... 60 3.1.1 Dominios ............................................................................................................................... 60 3.1.2 Unidades organizativas ........................................................................................................... 61 3.1.3 Árboles y bosques. ................................................................................................................. 61 3.1.4 El catálogo global ................................................................................................................... 65 3.1.5 Integración con DNS .............................................................................................................. 65 3.1.6 Relaciones de confianza .......................................................................................................... 65 3.2 Organización del sistema de usuarios. ............................................................................................... 70 3.2.1 Grupos de usuarios. ................................................................................................................ 70 3.2.2 Perfiles de usuario .................................................................................................................. 71 3.3 Organización del sistema de archivos. ............................................................................................... 73 3.3.1 Discos dinámicos .................................................................................................................... 73 3.3.2 Volúmenes y particiones .......................................................................................................... 74 3.3.3 Limitaciones de discos dinámicos y volúmenes dinámicos ........................................................... 74 3.3.4 Recursos compartidos especiales ............................................................................................. 75 3.3.5 Permisos de un recurso compartido .......................................................................................... 76 3.3.6 Publicar un directorio desde Equipos y usuarios del Directorio Activo ........................................... 76 3.4 Servicios de red. ............................................................................................................................. 77 3.5 Sistema lógico de seguridad. ............................................................................................................ 80 3.5.1 4 Políticas generales de seguridad............................................................................................... 80 Monitorización y optimización de redes. ............................................... ¡Error! Marcador no definido. 4.1 Gestión de redes.. El protocolo SNMP. ................................................... ¡Error! Marcador no definido. 4.1.1 Componentes básicos ................................................................. ¡Error! Marcador no definido. 4.1.2 Comandos básicos ...................................................................... ¡Error! Marcador no definido. 4.1.3 Base de información de administración SNMP (MIB) ...................... ¡Error! Marcador no definido. [Escribir texto] Diseño de Redes 4.1.4 Mensajes SNMP .......................................................................... ¡Error! Marcador no definido. 4.1.5 GetRequest ................................................................................ ¡Error! Marcador no definido. 4.1.6 GetNextRequest ......................................................................... ¡Error! Marcador no definido. 4.1.7 SetRequest ................................................................................ ¡Error! Marcador no definido. 4.1.8 GetResponse .............................................................................. ¡Error! Marcador no definido. 4.1.9 Trap .......................................................................................... ¡Error! Marcador no definido. 4.1.10 GetBulkRequest .......................................................................... ¡Error! Marcador no definido. 4.1.11 InformRequest ........................................................................... ¡Error! Marcador no definido. 4.2 Auditoría de eventos. Alertas administrativas. Administración remota. ...... ¡Error! Marcador no definido. 4.3 Software específico: Scanners, sniffers, remote-admin, herramientas tipo SATAN.¡Error! Marcador no definido. 4.3.1 Servicios y puertos básicos. ......................................................... ¡Error! Marcador no definido. 4.3.2 Análisis de tráfico: Sniffers. ......................................................... ¡Error! Marcador no definido. 5 ANEXO: Test y ejercicios resueltos. ..................................................... ¡Error! Marcador no definido. 5.1 Test preliminar. ................................................................................... ¡Error! Marcador no definido. 5.2 Test: Diseño físico e interconexión de redes. ......................................... ¡Error! Marcador no definido. 5.3 Test: Diseño lógico, direccionamiento y seguridad perimetral. ................. ¡Error! Marcador no definido. 5.4 Test: Gestión y monitorización de redes. ............................................... ¡Error! Marcador no definido. 5.5 Ejercicios resueltos. ......................................................................................................................... 88 5.5.1 Escenario 1: Red local con proxy perimetral. ............................................................................. 88 5.5.2 Escenario 2: Intranet con DMZ y red interior. ............................................................................ 89 5.5.3 Escenario 3: Redes locales con conexión punto a punto inalámbrica. ........................................... 90 5.5.4 Escenario 4:Semejante al anterior. ........................................................................................... 90 5.5.5 Escenario 5: Edificio de 15 plantas. .......................................................................................... 91 [Escribir texto] Diseño de Redes 1 Software específico para diseño y simulación de redes. 1.1 Network Notepad. Network Notepad se ha convertido en referencia obligada entre los diversos programas que podemos utilizar para “dibujar” redes de datos. Como características destacables podemos citar: Es totalmente gratuito, incluye de serie el idioma español y resulta extremadamente sencillo de instalar, configurar y utilizar. El interfaz de usuario es muy sencillo, a la vez que potente y versátil, permitiéndonos obtener fácilmente diagramas de alta calidad. Es fácil adaptar a nuestras necesidades los símbolos existentes, o crear otros nuevos. Incluso podemos descargar y añadir librerías (también gratuitas) que contienen colecciones completas de nuevos símbolos. 1.1.1 Descarga, instalación y configuración. Desde la web del fabricante ( http://www.networknotepad.com ) podemos descargar, gratuitamente y sin necesidad de registrarnos previamente, la última versión del programa. Allí encontraremos además varias librerías de símbolos adicionales, concretamente las librerías de objetos 2 y 3 (de Cisco Systems) y la librería de hubs y switches (de Martin Kabatnik), entre otras. Descarga e instalación. Visite la web http://www.networknotepad.com y haga clic en Download. Descargue el programa desde alguno de los mirror disponibles. [Escribir texto] Diseño de Redes Cuando finalice la descarga, abra el archivo comprimido y ejecute el programa de instalación: Haga doble clic sobre setup.exe Acepte las condiciones del programa y haga clic en el botón [Escribir texto] en todas las ventanas que aparecen. Diseño de Redes Tras finalizar la instalación, iniciamos el programa y configuramos idioma y otras opciones: Con esto vemos ya los menús y mensajes en castellano, veamos los símbolos de diseño que tenemos disponibles: Clic aquí para abrir la ventana de símbolos Cerramos la ventana de símbolos y a luego cerramos también el programa. [Escribir texto] Diseño de Redes Añadir colecciones de símbolos. Desde la web del fabricante, descargue el paquete que contiene las librerías 2 y 3. Clic para descargar el paquete de librerías Finalizada la descarga, abra el paquete de símbolos y extraiga todo el contenido en C:\Program Files\Network Notepad\objects Cuando aparezca un mensaje preguntando si desea sobreescribir archivos, haga clic en aceptar. Ahora abrimos de nuevo el programa y comprobamos que ya tenemos disponibles los símbolos que hemos añadido: [Escribir texto] Diseño de Redes Repetimos este procedimiento para otras librerías que podemos encontrar en la misma página web. Por ejemplo, la librería de hubs y switchers: Clic aquí y mismo procedimiento para añadir al programa 1.1.2 Guía básica del usuario de Network Notepad. Desafortunadamente el manual de usuario y la ayuda del programa no se han traducido al español. Podrá paliar estas carencias utilizando esta sección. La Barra de Herramientas. La Barra de Herramientas de Network Notepad tiene el siguiente aspecto: A continuación detallamos el uso de los botones propios de Network Notepad, omitiendo aquellos otros que son estándar en los programas Windows (por ejemplo los botones [Escribir texto] y otros). Diseño de Redes Botones Atrás y Adelante. Se utilizan para moverse adelante y atrás a través de diagramas cargado anteriormente. Abre la ventana de objetos, muestra la biblioteca de objetos actual y permite seleccionar cualquiera de las bibliotecas y objetos disponibles. Inserta un cuadro de texto en la posición en donde haga clic. Auto alinear. Cuando se selecciona, los objetos se alinean automáticamente (horizontal o verticalmente), con el objeto previamente pegado. Enviar al fondo y traer al frente. Puntos de conexión. Cambia el estilo de los enlaces a objetos, alternando entre enlace a un solo punto y enlace a cualquier parte del objeto. Botón de enlace. Permite insertar enlaces entre objetos. Lista desplegable de enlaces disponibles. Botón desvincular. Elimina los vínculos entre los objetos seleccionados. Alterna entre visualizar o no las direcciones IP. Botones de función programables. Botón de salida del programa. Navegación. Para desplazarse por el diagrama, mantenga pulsado el botón derecho del ratón y mover el ratón. Para seguir un enlace a otro diagrama , haga clic derecho en el objeto y seleccione "Ir a diagrama siguiente"Los objetos que tienen enlaces a otros diagramas tienen una leyenda azul. Utilice los botones Atrás y Adelante también para saltar al diagrama anterior o siguiente. Agregar objetos. Clic en el botón para mostrar la ventana objetos. A continuación, para insertar objetos en su diagrama: Arrastre y suelte objetos de la biblioteca en el diagrama, o bien Haga clic en un objeto para seleccionarlo o en el botón Pegar para seleccionar el último objeto enviado al portapapeles, vuelva a la ventana del diagrama y haga clic en el lugar donde desea insertar el objeto. Cada vez que haga clic en el diagrama insertará (pegar) una nueva instancia del objeto que se encuentre seleccionado. Haga clic de nuevo en el botón Pegar para terminar de pegar. Para ocultar automáticamente la biblioteca de objetos cada vez que seleccione un nuevo objeto, seleccione "Ocultar automáticamente" en el diálogo de configuración. Cortar y eliminar objetos de un diagrama. Seleccionar los objetos y a continuación pulse Eliminar para eliminar por completo. [Escribir texto] Cortar para colocarlos en el portapapeles, o bien haga clic en Diseño de Redes Alineación de objetos Para alinear objetos, seleccionar y elegir Alinear horizontal o vertical en el menú Formato. Con el botón Auto Alinear seleccionado, los objetos y los enlaces se alinean automáticamente al ser insertados o pegados. Cambiar el tamaño de los objetos Use Shift + y Shift - para ajustar el tamaño del objeto actual. En el menú Formato seleccione Resize Mode para establecer si esta operación cambiará sólo el tamaño horizontal, vertical o ambos. Adicionalmente, los objetos se pueden cambiar de tamaño desde la ventana de propiedades del objeto (que se detalla mas abajo). Mover objetos Para mover un objeto, mantenga pulsada la tecla Mayús y arrastre el objeto a su nueva posición. Para mover varios objetos, seleccionarlos todos y luego mantenga pulsada la tecla Control mientras arrastra uno de los objetos. Enlaces. De forma predeterminada los enlaces se trazan desde el centro de los objetos. Podemos hacer que sean trazados desde cualquier parte del objeto usando la opción de menú Formato > Puntos de conexión o, alternativamente, con el botón Puntos de conexión. Propiedades de los objetos. Haga clic derecho sobre un objeto y seleccione propiedades para ver la ventana de propiedades del objeto, que tiene este aspecto: Nombre del Objeto: El nombre del objeto + posición relativa de la etiqueta. Tipo de objeto: Nombre del objeto tal como se muestra en la biblioteca de objetos. Escala X / Escala Y: Se utiliza para aumentar o reducir el tamaño mapa de bits. Capa: Establece el orden que se dibuja el objeto. Los antecedentes y líneas de la cuadrícula se dibujan primero seguido por los objetos en capas de 5 a 3, luego se dibujan los vínculos y, a continuación los objetos en capas de 2 a 0 hacia arriba. El "Enviar al fondo" y "Traer al frente" botones de la barra de herramientas mueve los objetos seleccionados a través de las diferentes capas. Dirección IP Principal: Especifica la dirección IP que utilizan los botones de función programables. Etiqueta: El texto que aparece cuando el cursor pasa sobre un objeto. [Escribir texto] Diseño de Redes Vinculación a otros diagramas: ¿ Unión ?: Indica si el objeto está vinculado a objetos de otro diagrama. Lugar: Nombre del archivo del diagrama siguiente (incluir la extensión .NDG). Buscar: Texto a buscar cuando se carga el diagrama siguiente. Usar marcador: Botón que aparece habilitado cuando hayamos asignado un marcador al objeto. Tabla de enlaces. Muestra una tabla de todas las conexiones a un objeto. Al hacer clic en cualquier título de la columna ordena la tabla por esa columna en particular. Para cada enlace podemos introducir su dirección IP, nombre de host y comentarios. Estos datos se mostrarán en el diagrama en la posición (Norte, Sur, Este, Oeste o Centro) que seleccionemos en las respectivas columnas . Las columnas son los cuadros desplegables de la que usted elija la posición de visualización del objeto en relación a la dirección IP o nombre de host. Los botones "Añadir a la tabla" / "quitar de la tabla" se utilizan para transferir o eliminar la dirección IP del objeto principal y de equipo a / de la tabla. Para activar este botón, se debe resaltar una de las filas haciendo clic en la columna 0. 1.1.3 Adición de nuevos objetos a una biblioteca. Hay dos métodos para agregar nuevos objetos en una biblioteca. Arrastrar un archivo Ico,. Bmp o. Wmf a una parte en blanco del formulario de la biblioteca de objetos. Para cambiar el nombre de un objeto, haga clic derecho y seleccionar "Cambiar el nombre de objeto" o haga doble clic en la etiqueta del objeto. También tenemos la opción de cambiar el nombre el nombre del archivo de mapa de bits, y cambiar el tamaño del objeto. Otra forma de añadir nuevos objetos es pegar un mapa de bits desde el Portapapeles. Nota: Bmp no soporta fondo transparente, por lo que resultará preferible usar los formatos Ico o Wmf. 1.1.4 Propiedades de un Diagrama. Podemos acceder a las propiedades del diagrama desde el menú Archivo > Propiedades del Diagrama ..., el formulario tiene el siguiente aspecto: [Escribir texto] Diseño de Redes Archivo Hosts: Especifica el archivo que se utiliza para suministrar las direcciones IP. Véase más abajo. El significado del resto de los campos es evidente. 1.1.5 Archivo de hosts. Podemos utilizar un archivo de hosts para suministrar las direcciones IP a todos los objetos de un diagrama con los nombres que coinciden con las entradas en el archivo hosts. La ruta del archivo hosts debe especificarse en las propiedades del diagrama (Menú Archivo > Propiedades del Diagrama …). El formato del archivo es muy sencillo: cada línea es un host y comienza con la dirección IP, después lleva un blanco o un tabulador y finalmente el hostname (el resto de la línea es ignorado). 1.1.6 Botones de función programables. Los botones pueden ser programados para ejecutar aplicaciones externas. La llamada a la aplicación puede pasarle a ésta como parámetro la dirección IP o el nombre de objeto más reciente sobre que se hizo clic. Por ejemplo, F1 está pre-programada para ejecutar Telnet a la dirección IP del objeto más reciente. Se accede a las definiciones de los botones de función programables en la pantalla de instalación. En las definiciones podemos incluir las siguientes palabras clave: $IPADDRESS - es sustituido por la dirección IP más reciente. [Escribir texto] Diseño de Redes $HOSTNAME - es sustituido por el hostname más reciente. $EXPLORE - invoca una instancia de Internet Explorer. $BROWSE - invoca el navegador o aplicación predeterminado. Copy2Clipboard - copia al portapapeles. $FILENAME – es sustituido por el nombre del fichero dng del diagrama. Ejemplos: $EXPLORE $IPADDRESS: Abre en una ventana de Internet Explorer la dirección IP del último objeto sobre el que se hizo clic. $BROWSE $HOSTNAME.doc: Si el último objeto sobre el que se hizo clic es router1, intenta abrir el fichero router1.doc usando la aplicación predeterminada para archivos doc. Usar SSH para conectar a un dispositivo utilizando Putty: "C:\Program Files\putty\putty.exe -ssh $IPADDRESS" Control remoto de un dispositivo usando VNC: "C:\Program Files\ORL\vnc\vncviewer $IPADDRESS" Escritorio remoto: "C:\windows\system32\mstsc.exe /v:$IPADDRESS". Una ventana de comandos que ejecuta tracert y no se cierra automáticamente: Crear un archivo llamado traceroute.bat que contenga @ echo off Tracert –d %1 pause Definir el botón de función como: traceroute.bat $IPADDRESS [Escribir texto] Diseño de Redes 1.2 Packet Tracer. Packet Tracer es un completísimo y sofisticado software para diseño y simulación de redes, creado por Cisco Systems como parte de una iniciativa educativa llamada Cisco Networking Academy. Packet Tracer comienza donde terminan las aplicaciones clásicas de diseño de redes, como Network Notepad o Microsoft Visio, puesto que: Permite crear todo tipo de equipos y dispositivos de red (hubs, switches, routers, concentradores VLAN etc) virtuales. Permite configurar dichos dispositivos virtuales tal como se haría con los dispositivos reales (introduciendo, por ejemplo reglas de enrutamiento en la tabla de rutas de un router, reglas de filtrado en un cortafuegos, etc.). Es capaz de simular también todas las tecnologías y protocolos de enlaces entre dispositivos de red. En consecuencia, podemos utilizarlo para diseñar todo tipo de diagramas de red que, en realidad, son verdaderas redes virtuales que permiten a los usuarios observar los paquetes virtuales en tiempo real mediante el modelado [Escribir texto] Diseño de Redes de tráfico de red y del comportamientos de los paquetes. Ofrece una funcionalidad multiusuario que permite la colaboración y la competencia entre usuarios. Simula esenciales, incluyendo los protocolos HTTP, Telnet, SSH, TFTP, DHCP, TCP, UDP, IPv4, IPv6, ICMPv4, y ICMPv6, RIP, EIGRP, OSPF multi-zona, enrutamiento estático, redistribución de rutas, Ethernet/802.3, 802.11, HDLC , Frame Relay, PPP, ARP, CDP, STP, RSTP, 801.1q, VTP, DTP, y PAgP. Soporta la mayoría de los protocolos y tecnologías de la enseñanza en los programas siguientes: CCNA v3.1, CCNA Discovery y CCNA Exploration. También puede ser utilizado para enseñar conceptos de IT Essentials y CCNP Building Scalable Internetworks. En el modo de simulación y visualización, los estudiantes pueden ver y controlar los intervalos de tiempo, el funcionamiento interno de transferencia de datos, y la propagación de datos a través de una red. El punto de vista físico de los dispositivos como routers, switches y servidores presentan representaciones gráficas de los equipos modulares y tarjetas de expansión. El punto de vista físico también ofrece representaciones geográficas, incluidas varias ciudades, edificios y salas de cableado. El Asistente para la actividad permite a los usuarios crear escenarios con texto, topologías de red básica, y los paquetes predefinidos. Los usuarios pueden crear escenarios de red personalizada y agregar texto de instrucción. El Asistente para la actividad también incluye la clasificación y la capacidad de retroalimentación. El modo de tiempo real proporciona a los estudiantes una alternativa viable a los equipos reales y les permite adquirir la práctica de configuración antes de trabajar con equipos reales. Como contrapartida, hemos de decir que, al contrario que programas clásicos como Network Notepad: No es un software libre ni gratuito. Su manejo es, desde luego, bastante complejo t excede con mucho los límites de este curso monográfico. 2 Diseño físico. 2.1 Infraestructura de red. Topología física y lógica. Cableado [Escribir texto] Diseño de Redes estructurado. Norma EIA/TIA 568. 2.1.1 Infraestructura de red. Las redes LAN permiten que las organizaciones puedan utilizar las tecnologías de la información para compartir ficheros, datos, información, impresoras, capacidad de proceso, dispositivos de almacenamiento, etc. y permitir la existencia de comunicaciones internas, no sólo ligadas al uso directo con intervención humana sino también para la comunicación entre computadores. Las redes de área local están diseñadas para: Funcionar dentro de un ámbito geográfico limitado. Permitir el acceso múltiple a través de un medio compartido con gran ancho de banda. Controlar la red dentro de un ámbito de administración local de una organización. Permitir el acceso a servicios en cualquier momento y desde cualquier lugar de la red. Conectar dispositivos físicamente adyacentes. Intercambio de datos, mediante conmutación de paquetes en modo datagrama. De forma general, puede afirmarse que una LAN está formada por los componentes siguientes:. Ordenadores personales y servidores. Tarjetas de interfaz de red. Dispositivos periféricos. Medios físicos de interconexión: cableado (par trenzado, fibra óptica), conectores, armarios de distribución, etc. Dispositivos de red. 2.1.2 Topología física y lógica. La topología de red define la estructura de una red. Se refiere a la forma en que están interconectados los distintos equipos (nodos) de una red. [Escribir texto] Diseño de Redes Anillo: Tipo de LAN en la que los ordenadores o nodos están enlazados formando un círculo a través de un mismo cable. Las señales circulan en un solo sentido por el círculo, regenerándose en cada nodo, y son retiradas, después de dar una vuelta completa, por la misma estación que las introdujo en el anillo. BUS: Un bus es un único cable con resistencias en los extremos, denominadas terminadores del bus, al que se conectan todas las estaciones. Las señales introducidas por cada estación recorren todo el cable hasta llegar a sus extremos, donde son absorbidas y retiradas por los terminadores del bus. A diferencia del anillo, el bus es pasivo, no se produce regeneración de las señales en cada nodo. Estrella: Todas las estaciones se conectan punto a punto con un nodo central (concentrador), encargado de retransmitir las señales entre estaciones origen y destino. Árbol o topología jerárquica: Es la interconexión de varias subredes en estrella: Topologías mixtas y compuestas: Habitualmente se utilizan topologías mixtas, formadas por interconexión de varias topologías diferentes. El siguiente cuadro resume los tipos más frecuentes: [Escribir texto] Diseño de Redes Topología física y topología lógica. Sin embargo, un cableado conformando como un bus o un anillo real es una instalación frágil y poco flexible y, en la práctica, nunca se hace así. Por ejemplo, una rotura del cable en cualquier punto del bus o del anillo dejaría inutilizada toda la red, y para añadir, quitar o simplemente cambiar de lugar los ordenadores sería necesario recablear. Por estos y otros motivos la disposición real de los cables sigue una topología física (típicamente en estrella o jerárquica) diferente de la topología lógica, que define la forma en que los equipos informáticos acceden a los medios para enviar datos. Sobre la topología física se instalan diversos dispositivos de interconexión activos (Hub, Switch, Mau …) que simulan la topología lógica de cara a los equipos informáticos. Más adelante estudiaremos con detalle todos estos dispositivos, por ahora citaremos tan sólo dos ejemplos: Dispositivo Topología lógica Topología física Bus HUB Estrella Anillo MAU [Escribir texto] Diseño de Redes 2.1.3 Cableado estructurado. 2.1.3.1 Definición. Los sistemas de cableado estructurado definen cableados genéricos integrados en la infraestructura de los edificios, capaces de adaptarse a lo largo de su vida útil (entre 20 y 25 años) a los cambios tecnológicos de hardware y software (cuya vida útil no supera los 5 años). La idea básica subyacente es independizar totalmente una de otra a las topologías física y lógica, creando una única topología física estándar capaz de dar soporte a cualquier topología lógica. Los requisitos básicos son: Sistema de distribución integral de comunicaciones (voz y datos) de un edificio o serie de edificios, basado en la normalización de los cables, conectores y adaptadores. Cuenta con cables, rosetas de conexión, distribuidores de planta, distribuidores de edificio y distribuidores de campus, normalizados e interconectados. Debe cubrir los posibles requisitos durante la vida útil del edificio, sin tener que recablear. Debe ser transparente a los usuarios e independiente de las aplicaciones. La topología física básica es una estrella (o estrella modificada), sobre la cual se instala la topología lógica de la red de datos deseada (anillo, bus, punto a punto, etc.). Área de trabajo y punto de conexión. Los equipos de voz y datos se conectan a rosetas en las que se encuentran alojados conectores hembra para voz y datos, que serán de tipo: Datos: Tipo RJ45 (de ocho contactos para cables UTP) o RJ49 (para cables STP). Voz: Se venía utilizando el tipo RJ11 (de seis contactos), pero éstas deben evitarse en las nuevas instalaciones y ser sustituidas por rosetas RJ45 permitiendo que puedan utilizarse en un momento determinado para datos. [Escribir texto] Diseño de Redes Se denomina Área de trabajo a la zona que comprende todo lo que se conecta a partir de la roseta de conexión hasta los propios dispositivos a conectar (ordenadores e impresoras fundamentalmente). Están también incluidos cualquier filtro, adaptador, balun o splitter etc. que se necesite. Éstos irán siempre conectados en el exterior de la roseta. Si el cable se utiliza para compartir voz, datos u otros servicios, cada uno de ellos deberá de tener un conector diferente en la propia roseta de conexión. Al cable que va desde la roseta hasta el dispositivo a conectar se le llama patch cord o latiguillo, con conectores macho RJ45 en ambos extremos. La longitud máxima del patch cord es de 3 m, excepto cuando se utilizan “puntos de consolidación”, el cable puede tener hasta 20m. Dimensionamiento en torno a una densidad máxima de entre cuatro y seis metros cuadrados por puesto en áreas abiertas. Cables UTP y STP. Aunque las normas de cableado estructurado contemplan diversos cableados (coaxiales, pares trenzados y fibras de diversos tipos y categorías), la práctica ha evolucionado en los últimos años hacia una situación mucho más simple. Dejando aparte la fibra óptica, cuyo estudio sobrepasaría el alcance de esta monografía, el cable elegido será siempre UTP con conectores RJ-45 (cable de 4 pares trenzados, no apantallado, con una impedancia característica de 100 Ohmios), categoría 5 o superior. Sólo en algunos (pocos) edificios antiguos que no hayan sido actualizados podemos encontrar otro tipo de cableado, y aún éste será, con casi total seguridad, UTP categ. 3. [Escribir texto] Diseño de Redes Como alternativa para entornos con fuertes interferencias externas, se utilizará cable STP (Shielded Twisted Pair – Par Trenzado Apantallado). Este cable es semejante al UTP pero se le añade un recubrimiento metálico para que lo hace más protegido, pero menos flexible que UTP. El sistema de trenzado es idéntico al del cable UTP, y su resistencia típica es de 150 ohmios. Para ambos tipos de cable se ha estandarizado un código de colores y un uso asignado a cada par: [Escribir texto] Estándar Mb/seg Categ. mínima Pares Ethernet 10Base-T 10 UTP categ. 3 2,3 Ethernet 100Base-T2 100 UTP categ. 3 2,3 Ethernet 100Base-T4 100 UTP categ. 3 1,2,3,4 Ethernet 100VG-Any LAN 100 UTP categ. 3 1,2,3,4 Ethernet 100Base-TX 100 UTP categ. 5 2,3 Diseño de Redes Voz - - 1 RDSI - UTP categ. 3 1,2 ATM - UTP categ. 5 1,4 El subsistema Horizontal. Desde la roseta de cada uno de las áreas de trabajo irá un cable a un lugar común de centralización llamado panel de parcheo, Cuadro de Distribución de planta o simplemente Armario Repartidor, con las siguientes condiciones: Se utiliza cable UTP (Par trenzado sin apantallar) o STP (Par trenzado apantallado), y no podrá superar los 90 metros. Todo el cableado horizontal debe ir canalizado por conducciones adecuadas en falsos suelos o falsos techos. En su defecto, se utilizarán canaletas. Estas canaletas son de dos tipos: Distribución. Recorren las distintas zonas del edificio y conducen los cables de todas las rosetas. Finales. Llevan tan solo los cables de cada una de las rosetas. [Escribir texto] Diseño de Redes El Cuadro de Distribución de Planta o panel de parcheo (patch panel), al que llegan los cables del cableado horizontal, tendrá en conjunto el siguiente aspecto: Y contiene los siguientes elementos: Bastidores de repartición: Estructura autoportante metálica, que cuenta con uno o dos rafles, sobre los que se efectúa el montaje de distintos tipos de módulos por presión. Estos rafles pueden tener dos tipos de perfiles: el estándar HPLU o en U. Para la distribución y agrupación de los cables deberá contar con canaletas de PVC de gran sección y anillos pasacables. Módulos de repartición: Empleados para realizar la conexión de los cables procedentes de los puestos de trabajo, las conexiones de los locales de repartición y las conexiones de los equipos activos. Estos módulos se insertan en los ralles de los bastidores de repartición, siendo aconsejable formar conjuntos separados de módulos (en función de sus destinos o el equipo al que pertenezcan) con el fin de facilitar su Identificación y utilización. [Escribir texto] Diseño de Redes Bastidor para montaje de equipos activos: Permitirán montar diversos equipos de transmisión de datos (HUB, MAU, SWITCH, Router etc.) que se encuentran adaptados al formato de 19” (pulgadas). De esta forma podemos dar (o quitar) servicio a una roseta simplemente conectando (o desconectando) un patch cord en el patch panel. La longitud máxima del latiguillo en el patch panel es de 6 m. Finalmente, vemos que la longitud máxima del cable horizontal desde el equipo terminal hasta el HUB o SWITCH en el armario es de 99 m: El subsistema Troncal (o Vertical) También denominado backbone ó espina dorsal del edificio, interconecta los Cuadros de Distribución de cada planta con el Armario Principal de Distribución. Usualmente se utiliza fibra óptica o cable UTP, aunque el algunas instalaciones antiguas podemos encontrarnos todavía con cable coaxial. En el cableado vertical están incluidos los cables del "backbone", los mecanismos en los paneles principales e intermedios, los latiguillos usados para el parcheo, los mecanismos que terminan el cableado vertical en los armarios de distribución horizontal. La topología que se usa es en estrella existiendo un panel de distribución central al que se conectan los paneles de distribución horizontal. Entre ellos puede existir un panel intermedio, pero sólo uno, tal como se muestra en la figura: Este cableado vertical puede ser: [Escribir texto] Diseño de Redes Simple extensión física de los cables que llegan a los cuadros de distribución de planta hasta el Armario Principal del edificio (si las distancias lo permiten). En este caso se emplearían cables de pares (100 pares típicamente) que dan continuidad física a los cables del tendido horizontal. Alternativamente puede constituir otra red en si misma, mediante la cual se interconectan los equipos activos situados en los Armarios de Distribución de Planta. En este segundo caso se utilizará el cableado más adecuado en función de la tecnología empleada y las restricciones medioambientales que deba soportar (interferencias, etc.). El subsistema de Campus. Permite interconectar edificios cercanos. La interconexión con el cableado de cada edificio se realiza en el Armario de Distribución del edificio (generalmente situado en la planta baja o sótano del edificio). El cableado de Campus constituye una red local por si mismo. Para ello: Dispone de equipos específicos de transmisión instalados en todos los edificios que interconecta, a los que se deberá conectar la red local del edificio. Dadas las distancias a cubrir y las velocidades a emplear (dado que tienen un elevado número de potenciales usuarios), es habitual instalar redes sobre Fibra Óptica (que alcanzan grandes distancias sin necesidad de repetidores y altas velocidades, incluso multiplexando varias redes). 2.1.4 Normativa sobre cableado estructurado. La norma ANSI/EIA/TIA-568. Norma TIA/EIA 606: Administración del Sistema de Cableado Estructurado. La administración del sistema de cableado incluye la documentación de los cables, terminaciones de los mismos, paneles de parcheo, armarios de telecomunicaciones y otros espacios ocupados por los sistemas. La norma TIA/EIA 606 proporciona una guía que puede ser utilizada para la ejecución de la administración de los sistemas de cableado. Los principales fabricantes de equipos para cableados disponen también de software específico para administración . Para proveer un esquema de información sobre la administración del camino para el cableado de telecomunicación, espacios y medios independientes, marca un código de color de los cables. NARANJA: Terminación central de oficina VERDE: Conexión de red / circuito auxiliar [Escribir texto] Diseño de Redes PURPURA: Conexión mayor / equipo de dato BLANCO: Terminación de cable MC a IC GRIS: Terminación de cable IC a MC AZUL: Terminación de cable horizontal CAFÉ: Terminación del cable del campus AMARILLO: Mantenimiento auxiliar, alarmas y seguridad ROJO: Sistema de teléfono ANSI/EIA/TIA-568-A: Sistemas de Cableado Estructurado para Edificios Comerciales. Esta norma reemplaza a la EIA/TIA 568 publicada en julio de 1991. Su propósito se describe en el documento de la siguiente forma: "Esta norma especifica un sistema de cableado de telecomunicaciones genérico para edificios comerciales que soportará un ambiente multiproducto y multifabricante. También proporciona directivas para el diseño de productos de telecomunicaciones para empresas comerciales. El propósito de esta norma es permitir la planeación e instalación de cableado de edificios comerciales con muy poco conocimiento de los productos de telecomunicaciones que serán instalados con posterioridad. La instalación de sistemas de cableado durante la construcción o renovación de edificios es significativamente menos costosa y desorganizadora que cuando el edificio está ocupado." La norma asume que los edificios tienen las siguientes características: Una distancia entre ellos de hasta 3 km Un espacio de oficinas de hasta 1,000,000 m2 Una población de hasta 50,000 usuarios individuales Las aplicaciones que emplean el sistemas de cableado de telecomunicaciones incluyen, pero no están limitadas a: Voz, datos, texto, video e imágenes. La vida útil de los sistemas de cableado de telecomunicaciones especificados por esta norma debe ser mayor de 10 años. Norma ANSI/TIA/EIA-569 para los ductos, pasos y espacios necesarios para la instalación de Sistemas Estandarizados de Telecomunicaciones Este estándar reconoce tres conceptos fundamentales relacionados con telecomunicaciones y edificios: Los edificios son dinámicos. Durante la existencia de un edificio, las remodelaciones son más la regla que la excepción. Telecomunicaciones es más que datos y voz, también incorpora otros sistemas tales como control ambiental, seguridad, audio, televisión, alarmas y sonido. De hecho, telecomunicaciones incorpora todos los sistemas de bajo voltaje que transportan información en los edificios. El diseño de las telecomunicaciones debe incorporarse durante la fase preliminar de diseño arquitectónico. Boletín TIA/EIA TSB-67: Especificación del desempeño de transmisión en el campo de prueba del sistema de cableado UTP Este boletín especifica las características eléctricas de los equipos de prueba, métodos de prueba y mínimas características de transmisión del UTP en categorías 3, 4 y 5. Boletín TIA/EIA TSB-72: Guía para el cableado de la fibra óptica. Este documento especifica el camino y conexión del hardware requerido para el sistema de cableado de fibra óptica y equipos localizados dentro del cuarto de telecomunicaciones o dentro del cuarto equipos en el área de trabajo. [Escribir texto] Diseño de Redes 2.2 Hardware de red y elementos de interconexión: Hub, Switch, Bridge, Concentrador VLAN, Router. 2.2.1 Tarjetas de interfaz de red Las tarjetas de interfaz de red (NICs - Network Interface Cards) son adaptadores instalados en un dispositivo, conectándolo de esta forma en red. Es el pilar en el que sustenta toda red local, y el único elemento imprescindible para enlazar dos ordenadores a buena velocidad (excepción hecha del cable y el software). Existen tarjetas para distintos tipos de redes. Las principales características de una tarjeta de red son : Operan a nivel físico del modelo OSI : Las normas que rigen las tarjetas determinan sus características , y su circuitería gestiona muchas de las funciones de la comunicación en red como : Especificaciones mecánicas : Tipos de conectores para el cable, por ejemplo. Especificaciones eléctricas : definen los métodos de transmisión de la información y las señales de control para dicha transferencia. Método de acceso al medio : es el tipo de algoritmo que se utiliza para acceder al cable que sostiene la red. Estos métodos están definidos por las normas 802.x del IEEE. La circuitería de la tarjeta de red determina, antes del comienzo de la transmisión de los datos, elementos como velocidad de transmisión, tamaño del paquete, time-out, tamaño de los buffers. Una vez que estos elementos se han establecido, empieza la verdadera transmisión, realizándose una conversión de datos a transmitir a dos niveles En primer lugar se pasa de paralelo a serie para transmitirlos como flujo de bits. Seguidamente se codifican y a veces se comprimen para un mejor rendimiento en la transmisión. La dirección física es un concepto asociado a la tarjeta de red : Cada nodo de una red tiene una dirección asignada que depende de los protocolos de comunicaciones que esté utilizando. La dirección física habitualmente viene definida de fábrica, por lo que no se puede modificar. Sobre esta dirección física se definen otras direcciones, como puede ser la dirección IP para redes que estén funcionando con TCP/IP. 2.2.2 Interconexión de redes locales. La necesidad de interconectar redes locales independientes surge cuando se da alguna de las siguientes circunstancias: Se utilizan aplicaciones de tipos diferentes que requieren diferentes topologías. En este caso es preciso instalar e interconectar redes locales que no se ajustan al mismo estándar del modelo ISO. El tamaño (en cuanto a número de ordenadores o longitud del cableado) supera los límites establecidos para un solo segmento de red local. Es preciso entonces instalar e interconectar varias redes (que pueden tener la misma topología). La alta densidad de tráfico entre algunos equipos degrada el rendimiento de la red. Para resolver esto dividiremos la red en redes más pequeñas (llamadas segmentos) interconectadas entre sí. Este procedimiento se conoce como segmentación. [Escribir texto] Diseño de Redes Repetidores Trabajan en el nivel físico, por tanto interconectan redes que tengan idéntico nivel de enlace y la misma dirección de red. Típicamente se utilizan para regenerar la señal cuando la distancia entre dos host es grande, de esta forma se puede ampliar la longitud del cable que soporta la red. HUBS (concentradores) Dispositivo que interconecta host dentro de una red. Es el dispositivo de interconexión más simple que existe, se limita a simular un bus lógico al que están conectados los ordenadores. Podemos distinguir: Hubs activos: permiten conectar nodos a distancias de hasta 609 metros. Realizan funciones de amplificación y repetición de la señal. Los más complejos además realizan estadísticas. Hubs pasivos: son simples armarios de conexiones. Permiten conectar nodos a distancias de hasta 30 metros. Generalmente suelen tener entre 8 y 12 puertos. Recientemente el uso del hub como concentrador Ethernet ha perdido terreno a favor del switch. BRIDGES (puentes) Trabajan en el nivel de enlace del modelo OSI, por tanto pueden interconectar entre sí redes 802.3, 802.4, 802.5 y 802.6. Trabajan con direcciones físicas y no entienden de direcciones IP. Cuando un puente une redes exactamente iguales, su función se reduce exclusivamente a direccionar el paquete hacia la subred destino. Sobre segmentos Ethernet y wireless son transparentes para las estaciones. Cuando un puente une redes diferentes, debe realizar traducción entre las tramas de una topología a otra. Cada segmento de red, o red interconectada con un puente, tiene una dirección de red diferente. Los puentes Los puentes realizan las siguientes funciones: Filtrado: Mantiene cada segmento como un dominio de colisión separado, además no reenvía las tramas cuyo destinario pertenezca al mismo segmento del remitente. Aprendizaje: Construyen tablas en las que anotan, para cada estación, su dirección física y el segmento en que está ubicado. Reenvío: Utiliza estas tablas para reenviar las tramas al segmento concreto donde está ubicada la estación destinataria. Switch Un switch es un dispositivo de propósito especial diseñado para resolver problemas de rendimiento en la red, debido a anchos de banda pequeños y embotellamientos. El switch puede agregar mayor ancho de banda, acelerar la salida de paquetes, reducir tiempo de espera y bajar el costo por puerto. Opera en la capa 2 del modelo OSI y reenvia los paquetes en base a la dirección MAC. [Escribir texto] Diseño de Redes Sustituye al hub, añadiendo la función de segmentar económicamente la red dentro de pequeños dominios de colisiones, obteniendo un alto porcentaje de ancho de banda para cada estación final, pues ésta no necesita ya competir por el medio. Recientemente su precio ha bajado hasta llegar a competir con el hub, por lo que su uso se ha generalizado, en detrimento de aquel. ROUTER (encaminador) Es un dispositivo de propósito general diseñado para segmentar la red, con la idea de limitar tráfico de broadcast y proporcionar seguridad, control y redundancia entre dominios individuales de broadcast, también puede dar servicio de firewall y un acceso económico a una WAN. Opera en la capa de red del modelo OSI, por tanto puede interconectar protocolos de red diferentes. Tiene más facilidades de software que un switch. Al funcionar en una capa mayor que la del switch, el router distingue entre los diferentes protocolos de red, tales como IP, IPX, AppleTalk o DECnet. Esto le permite hacer una decisión más inteligente que el switch, en el momento de reenviar los paquetes. Básicamente el router realiza dos funciones: Crear y mantener tablas de enrutamiento para cada protocolo de red que soporte. Estas tablas son creadas ya sea estáticamente o dinámicamente. De esta manera el router extrae de la capa de red la dirección destino y realiza una decisión de envío basada en su tabla de rutas. Selecciona la mejor ruta, basándose sobre diversos factores. Estos factores pueden incluir la cuenta de saltos, velocidad de la línea, costo de transmisión, retraso y condiciones de tráfico, etc.. La desventaja es que el proceso adicional puede incrementar el tiempo de espera en comparación con el de un switch. GATEWAYS (pasarelas) Sus características principales son: Se trata de un ordenador u otro dispositivo que interconecta redes radicalmente distintas. Trabaja al nivel de aplicación del modelo OSI. Cuando se habla de gateway a nivel de redes de área local, en realidad se está hablando de routers. Son capaces de traducir información de una aplicación a otra, como por ejemplo las pasarelas de correo electrónico. [Escribir texto] Diseño de Redes 2.3 Segmentación y micro segmentación. Diseño de VLAN. 2.3.1 Dominios de colisión y segmentos. Switch de nivel 2. Puesto que las estaciones de una red de área local comparten el medio de transmisión, dos estaciones que intentan transmitir a la vez mezclan sus señales en el cable, es decir, se produce una colisión que invalida ambas transmisiones y obliga a las dos estaciones a intentarlo de nuevo (tras un tiempo de espera aleatorio). Un dominio de colisión es un área de la red donde las señales transmitidas por las diferentes estaciones de esa área pueden colisionar si se transmiten de forma simultánea o muy próxima en el tiempo. En redes Ethernet, un dominio de colisión coincide con un segmento. Si la red local tiene demasiadas estaciones conectadas el número de colisiones crecerá exponencialmente y el rendimiento de la red cae rápidamente. La solución clásica para este problema consiste en segmentar la red (es decir, dividirla en varios segmentos más pequeños) e interconectar los segmentos mediante puentes, una solución que podía resultar técnicamente complicada y, además, bastante cara. Afortunadamente, en los últimos años se ha abaratado la tecnología del switch, dispositivo que sustituye al hub como concentrador de red y añade además una “inteligencia” que resuelve de forma radical el problema de la segmentación de dominios de colisión. En esencia, un switch se basa en: Llevar a su límite extremo la segmentación (microsegmentación), hasta el punto de que cada estación dispone de un dominio de colisión propio en el que siempre encontrará disponible el medio de transmisión. El switch utiliza su capacidad su memoria para almacenar temporalmente las tramas enviadas por las estaciones y reenviarlas cuando sea posible hacerlo sin provocar colisión. Además, el switch reenvía cada trama sólo por la boca donde esté ubicada la estación destinataria. Las conectadas en otros puertos no las reciben, y esto reduce drásticamente el tráfico que recibe cada estación. Además, mejora en gran medida la seguridad (al evitar que una estación pueda captura tramas de las que no es destinatario). Además de la microsegmentación automática que acabamos de citar, un switch puede ser configurable, en tal caso es el administrador quien establece que estaciones pertenecen a cada segmento virtual (en este caso denominado VLAN) en base a su dirección MAC, por ejemplo. La figura siguiente nos permite comparar una LAN tradicional con una red de VLAN: [Escribir texto] Diseño de Redes Sin embargo, los switch citados hasta ahora (denominados switch de nivel 2) no leen las direcciones IP, que pertenecen al nivel 3. Todas las estaciones pertenecen a la misma subred IP y, en consecuencia, el tráfico de broadcast IP las alcanza a todas. La solución de este problema se estudia en el apartado siguiente. 2.3.2 Switch de nivel 3. Como hemos visto, la segmentación (y micro segmentación) divide un dominio de la capa de enlace (dominio de colisión) en otros más pequeños, pero no puede hacer lo mismo con los dominios de nivel 3 (dominios de broadcast). Se denomina switch de nivel 3 a un switch al que se añade la capacidad de procesar las cabeceras de la capa de red (en una intranet, éstas serán las direcciones IP). No actúa como router, sino para hacer un mapeo de direcciones IP que permite al administrador crear subredes IP virtuales con dominios de broadcast separados. Así, los paquetes broadcast enviados por una estación son reenviados sólo por aquellos puertos configurados como pertenecientes a la misma subred IP. 2.3.3 Diseño de VLAN. Tipos de VLAN Una VLAN se encuentra conformada por un conjunto de dispositivos de red interconectados (hubs, bridges, switches o estaciones de trabajo) la definimos como una subred definida por software y es considerada como un dominio de Broadcast que pueden estar en el mismo medio físico o bien puede estar sus integrantes ubicados en distintos sectores de la corporación. La tecnología de las VLANs se basa en el empleo de Switches (de nivel 2 o de nivel 3), en lugar de hubs, de tal manera que esto permite un control mas inteligente del tráfico de la red, ya que este dispositivo trabaja a nivel de la capa 2 del modelo OSI y es capaz de aislar el tráfico, para que de esta manera la eficiencia de la red entera se incremente. Por otro lado, al distribuir a los usuarios de un mismo grupo lógico a través de diferentes segmentos, se logra el incremento del ancho de banda en dicho grupo de usuarios. El tipo de VLAN puede ser: VLAN de puerto central: En la que todos los nodos de una VLAN se conectan al mismo puerto del switch. VLAN Estáticas: Los puertos del switch están ya preasignados a las estaciones de trabajo. Por puerto: Se configura por una cantidad “n” de puertos en el cual podemos indicar que puertos pertenecen a cada VLAN. Como ventajas tenemos: Facilidad de movimientos y cambios. Microsegmentación y reducción del dominio de Broadcast. Multiprotocolo: La definición de la VLAN es independiente del o los protocolos utilizados, no existen limitaciones en cuanto a los protocolos utilizados, incluso permitiendo el uso de protocolos dinámicos. Como desventajas: Administración: Un movimiento en las estaciones de trabajo hace necesaria la reconfiguración del puerto del switch al que esta conectado el usuario. Esto se puede facilitar combinando con mecanismos de LAN Dinámicas. Por dirección MAC: Los miembros de la VLAN están especificados en una tabla por su dirección MAC. Ventajas: Facilidad de movimientos: No es necesario en caso de que una terminal de trabajo cambie de lugar la reconfiguración del switch. Multiprotocolo. Se pueden tener miembros en múltiples VLANs. Desventajas: Problemas de rendimiento y control de Broadcast: el tráfico de paquetes de tipo Multicast y Broadcast se [Escribir texto] Diseño de Redes propagan por todas las VLANs. Complejidad en la administración: En un principio deben configurar de forma manual las direcciones MAC de cada una de las estaciones de trabajo. También se puede emplear soluciones de DVLAN. Por protocolo: Asigna a un protocolo una VLAN. El switch se encarga de dependiendo el protocolo por el cual venga la trama derivarlo a la VLAN correspondiente. Por ejemplo: Protocolo VLAN IP 1 IPX 2 IPX 2 IPX 2 IP 1 Ventajas: Segmentación por protocolo. Asignación dinámica. Desventajas Problemas de rendimiento y control de Broadcast: Por las búsquedas en tablas de pertenencia se pierde rendimiento en la VLAN. No soporta protocolos de nivel 2 ni dinámicos. Por direcciones IP: Esta basado en el encabezado de la capa 3 del modelo OSI. Las direcciones IP a los servidores de VLAN configurados. No actúa como router sino para hacer un mapeo de que direcciones IP están autorizadas a entrar en la red VLAN. No realiza otros procesos con la dirección IP. Ventajas: Facilidad en los cambios de estaciones de trabajo: Cada estación de trabajo al tener asignada una dirección IP en forma estática no es necesario reconfigurar el switch. Desventajas: El tamaño de los paquetes enviados es menor que en el caso de utilizar direcciones MAC. Perdida de tiempo en la lectura de las tablas. Complejidad en la administración: En un principio se deben configurar de forma manual las direcciones IP de cada una de las estaciones de trabajo. Por nombre de usuario: Se basan en la autenticación del usuario y no por las direcciones MAC de los dispositivos. Ventajas: Facilidad de movimiento de los integrantes de la VLAN. Multiprotocolo. Desventajas: En corporaciones muy dinámicas la administración de las tablas de usuarios. [Escribir texto] Diseño de Redes VLAN Dinámicas (DVLAN) Las VLAN dinámicas son puertos del switch que automáticamente determinan a que VLAN pertenece cada puesto de trabajo. El funcionamiento de estas VLANs se basa en las direcciones MAC, direcciones lógicas o protocolos utilizados. Cuando un puesto de trabajo pide autorización para conectarse a la VLAN el switch chequea la dirección MAC ingresada previamente por el administrador en la base de datos de las mismas y automáticamente se configura el puerto al cual corresponde por la configuración de la VLAN. El mayor beneficio de las DVLAN es el menor trabajo de administración dentro del armario de comunicaciones cuando se cambian de lugar las estaciones de trabajo o se agregan y también notificación centralizada cuando un usuario desconocido pretende ingresar en la red. 2.3.4 Capa de Red: ELAN o Redes LAN Emuladas Si bien el concepto de VLAN se creo para las redes LAN, la necesidad llevo a ampliar los horizontes con el crecimiento de las redes ATM. Para los administradores de las VLAN se crearon una serie de estándares para simular en una red ATM una VLAN. Por un lado una tecnología orientada a no conexión, qué es el caso de las LANS y por el otro una orientada a conexión como en el caso de ATM. En el caso de las LANS se trabaja con direcciones MAC, mientras en ATM se usan direcciones ATM y se establecen circuitos virtuales permanentes, por esta razón se requiere hacer cambios de direcciones MAC a ATM. Ventajas: Facilidad de administración. Facilidad de movimientos y cambios. Multiprotocolo. Desventajas: Aplicable solo a Ethernet y Token Ring. No explota la calidad de Calidad de servicio (QoS) de ATM. [Escribir texto] Diseño de Redes 2.4 Sistema físico de seguridad. Defensa perimetral. Bastión, firewall y proxy. La defensa perimetral de una red local es la combinación de diferentes componentes: dispositivos físicos (hardware), programas (software) y actividades de administración, cuyo objetivo es protegerla de cualquier acción hostil proveniente de un host externo a la red. Para asegurar una red privada, se debe definir qué idea se tiene del “perímetro” de red. En base a éstas y otras consideraciones se define una política de seguridad y se establecen los mecanismos para aplicar la política y los métodos que se van a emplear. Su componente principal es siempre un firewall, que constituye una barrera tal que todo el tráfico de entrada y salida de la red privada debe pasar a través de él; el tráfico permitido por el firewall es autorizado mediante su evaluación en base a la política de seguridad. Existe una variedad de mecanismos para la implementación de firewalls que pueden incrementar en gran medida el nivel de seguridad. Antes de definir qué tipo de firewall se ajusta a las necesidades de la red, se necesitará analizar la topología de la red para determinar si los componentes tales como hubs, routers y cableado son apropiados para un modelo de firewall especifico. La red debe ser analizada en base a las diferentes capas del modelo de red. Un firewall pasa a través de todas estas capas y actúa en aquellas responsables del envió de paquetes, establecimiento y control de la conexión y del procesamiento de las aplicaciones. Por eso, con un firewall podemos controlar el flujo de información durante el establecimiento de sesiones, inclusive determinando que operaciones serán o no permitidas. Funciones principales de un Firewall El firewall inspecciona todo el tráfico entre la red local y la red externa (habitualmente Internet) Internet. De esta forma se intenta detectar y rechazar todo el tráfico potencialmente peligroso antes de que alcance otras partes de la red interna, en algunos casos también se guarda registro de tales actividades. La protección que provee un firewall es de diferentes tipos, por ejemplo: Bloquea tráfico no deseado; Redirecciona tráfico de entrada a sistemas internos de más confianza; Oculta sistemas vulnerables, que pueden ser fácilmente asegurados, de Internet; Puede registrar el tráfico desde y hacia la red privada; Puede ocultar información como ser nombres de sistemas, topología de la red, tipos de dispositivos de red, e identificadores de usuarios internos, de Internet; Puede proveer autenticación más robusta que las aplicaciones estándares; La idea básica es permitir a los usuarios de una red protegida acceder a una red pública y al mismo tiempo hacer disponibles a la red pública los servicios y productos de la compañía, ofrecidos por esta red protegida. Así, algunos servidores pueden hacerse disponibles desde la red externa, mientras otros puedan ser cerrados. Bastión. La defensa perimetral puede contener varios firewall (normalmente uno sobre cada línea de comunicación con el exterior). Sin embargo, a veces es preferible concentrar las defensas en un sólo punto, para posible reducir la sobrecarga de seguridad del sistema interno y limitar el esfuerzo a unos pocos dispositivos de toda la red (los que forman parte del firewall). Una defensa perimetral organizada de este modo suele denominarse bastión. De esta forma, un bastión centraliza el control de acceso. Los usuarios remotos pueden acceder a la red interna de forma controlada y segura, pasando a través del mismo. Un bastión será transparente a los usuarios si no advierten su existencia para poder acceder a la red. Los [Escribir texto] Diseño de Redes firewalls generalmente son configurados para ser transparentes para los usuarios de la red interna, pero no para los usuarios de la red externa. En el caso de una red local directamente conectada a Internet sin un firewall, la red entera está sujeta a ataques. La experiencia práctica muestra que es muy difícil asegurar que todo host de la red esté protegido. Una contraseña mal elegida puede comprometer la seguridad de toda la red. Si la red local está protegida por un firewall, solo existe acceso directo para un conjunto seleccionado de hosts y la zona de riesgo es reducida al firewall en sí mismo o a un conjunto seleccionado de hosts de la red interna. Limitaciones de los firewalls Un firewall no puede ofrecer protección contra conexiones que no pasen a través de él, por lo que el firewall no puede proteger la red contra atacantes internos. Adicionalmente un firewall restringirá el acceso a ciertos dispositivos o funcionalidades, si existen conexiones no protegidas que pueden comunicar los sistemas de la red interna con la externa, es posible que algún usuario no autorizado intente saltear el firewall para obtener acceso a esas funcionalidades. Ventajas y Desventajas de los firewalls Obviamente, la principal ventaja de un firewall es que permite la interconexión segura de una red privada con una red pública para aprovechar los beneficios que ésta ofrece. Un firewall puede resultar en una reducción de costos si todo el software de seguridad puede ser situado en un único sistema firewall, en lugar de ser distribuido en cada servidor o máquina de la red privada. Existen algunas desventajas de los firewalls: cosas de las cuales los firewalls no puede proteger, como ser amenazas de puntos de acceso alternativos no previstos (backdoors) y ataques originados en el interior de la red. El problema de los firewalls es que limitan el acceso desde y hacia Internet, pero es un precio que se debe pagar y es una cuestión de análisis de costo / beneficio al desarrollar una implementación de seguridad. Los firewalls pueden ser configurados de diferentes formas, utilizando diferentes componentes, logrando varios niveles de seguridad a diferentes costos de instalación y mantenimiento. Esta decisión dependerá de las necesidades y de la evaluación de costo/beneficio de llevar a cabo tal implementación. Tecnologías de firewall. Ya se ha dicho que todo el tráfico que entra o sale de la red interna pasa por el firewall y es analizado. Dependiendo del tipo y profundidad de este análisis del tráfico, podemos clasificar las tecnologías de firewall en tres grupos principales: Firewall de filtrado de paquetes. Gateway a nivel de circuito. Gateway a nivel de aplicación. Firewall de filtrado de paquetes. Examinan únicamente la información de direccionamiento (origen y destino del paquete) y tipo de protocolo. Más [Escribir texto] Diseño de Redes concretamente: Dirección IP origen y destino: Basándose en las direcciones IP, el router es capaz de bloquear el acceso desde o hacia algún sitio o hosts no confiable. Tipo de protocolo: indica si los datos encapsulados corresponden a TCP, UDP o ICMP Puerto TCP o UDP de origen y destino: el router hace uso de los puertos “bien conocidos” de TCP para permitir, denegar o rutear el acceso a servicios de Internet particulares. Por ejemplo, es posible bloquear todo el tráfico de entrada excepto para correo electrónico, rechazando todos los paquetes cuyo puerto de origen sea diferente a 25, el puerto por defecto para SMTP. También podría rutear todo el tráfico Web (puerto 80) a un host en particular (por ejemplo, un servidor web). Bit ACK: que indica si el paquete es una confirmación de un paquete TCP recibido El filtrado de paquete permite controlar de forma eficiente y transparente el tráfico de una red. El impacto que produce su introducción en una arquitectura de red es mínimo, ya que no requiere grandes cambios en la configuración de los dispositivos de la red. Ofrecen protección a nivel de transporte y red. La mayoría de los routers actuales incluyen ya un firewall de al menos este nivel (son denominados Screening Router o routers de filtrado de paquetes). Un firewall de este tipo es una buena configuración para una primer línea de defensa perimetral, pero no es una solución completa, debido a que: La seguridad de toda la red depende por completo de las reglas definidas en el router. Si un atacante logra atravesar este sistema, tendrá acceso a toda la red interna. No examina el contenido de los paquetes, que podrían contener virus u otro tipo de ataque. Las capacidades de monitoreo y registro no son muy buenas. Los hosts protegidos por un screening router son llamados screened hosts. De forma similar una subred protegida es llamada screened subnet o “zona desmilitarizada”. Gateways y Proxies Los gateways a nivel de aplicación y circuitos amplían la protección de los filtros de paquetes ya que tienen conocimiento de los protocolos que trabajan sobre la capa de transporte por lo que pueden implementar mecanismos a un nivel más detallado. Un gateway o puerta de enlace es un sistema que actúa como intermediario o compuerta entre una red privada y una red a la cual está conectada (generalmente Internet), es decir que todo el tráfico existente entre ambas redes pasa por esta compuerta (ver Figura 3). Está encargado de capturar y redirigir todos los mensajes y solicitudes de conexión provenientes de la red pública, destinados a servicios ofrecidos por sistemas finales (servidores de aplicación, por Ej. Web, FTP, HTTP, etc) dentro de la red privada y vise versa. Este servicio es implementado en el gateway mediante el uso de aplicaciones de software llamadas proxies. Un servidor proxy es una aplicación situada entre una aplicación cliente y un servidor real (por Ej. un servidor Web), actuando como cliente de éste último. Intercepta todas las solicitudes al servidor real; si él puede responder la [Escribir texto] Diseño de Redes solicitud lo hace (con información previamente obtenida del servidor), sino redirecciona la solicitud al mismo. Arquitectura Screened Host La arquitectura Screened Host posee un firewall compuesto por un router para el filtrado de paquetes y un host bastión para el filtrado de conexiones a nivel de circuito y aplicación. La primer línea de protección corresponde al router con filtrado de paquetes, el host bastión se encuentra conectado a la red interna como un host más. El router está configurado para dirigir todo el trafico proveniente de la red externa al host bastión por lo que es el único que puede ser accedido directamente desde fuera de la red local, por esto, el bastión debe estar altamente protegido. Así mismo, éste último dirige todo el tráfico proveniente de la red interna al router por lo que es el único que puede establecer una conexión con el exterior. Adicionalmente, el bastión solo permite ciertos tipos de conexiones y protocolos. Arquitectura Screened Subnet El riesgo presente en las arquitecturas anteriores de que el host bastión sea comprometido puede ser reducido configurando una red de perímetro a la cual se conecte el mismo. Esta red suele ser llamada Zona Desmilitarizada. Para lograr esta arquitectura se introduce un router de filtrado de paquetes entre el host bastión y la red interna, por lo que el host bastión se encontrará entre los dos routers (interno y externo, uno se encuentra entre la red perimetral y la red externa y el otro entre la red perimetral y la red interna) y estará conectado a un segmento de red diferente al que están conectados los hosts de la red privada. Con esta configuración no existe un único punto vulnerable que ponga en riesgo toda la red interna. Con esta arquitectura se agrega una nueva capa de seguridad a la arquitectura anterior que aísla la red local de Internet. Aislando al host bastión en una red de perímetro, es posible reducir el impacto de que el bastión sea [Escribir texto] Diseño de Redes vulnerado por algún ataque. Si un atacante logra vencer la protección del host bastión, solo podrá acceder a la red perimetral ya que la red interna sigue protegida por el router interno. De esta forma el atacante solo tendrá acceso a la red perimetral, ocultando todo el trafico de la red local. Esta arquitectura es la más segura de las presentadas hasta ahora ya que la red perimetral soporta aspectos de seguridad a nivel de red y de aplicación y provee un sitio seguro para conectar servidores públicos. Ésta red establece una capa de seguridad adicional, entre la red externa y la red interna protegida. Si un atacante penetra el host bastión de la red perimetral, solo será capaz de ver el tráfico en dicha red. Todo el tráfico en esta red deberá ser desde o hacia el host bastión, o desde y hacia la red externa. Ya que el tráfico de la red interna no pasa por la red perimetral, estará a salvo de ser “escuchado” por un intruso, inclusive si el host bastión es vulnerado. El router externo ofrece protección contra ataques provenientes de la red externa y administra el acceso de Internet a la red perimetral. De esta forma, protege tanto a la red perimetral como a la red interna En la practica, estos routers permiten casi todo el tráfico que provenga de la red perimetral y realizan pocas tareas de filtrado de paquetes. Las reglas más importantes de este router son aquellas que protegen a los dispositivos situados en la red perimetral, aunque estos estén protegidos a sí mismos pero la redundancia es importante al momento de proteger un sistema. Una de las tareas mas importantes del router externo es bloquear todo paquete que provenga de la red externa “diciendo” que proviene de la red interna. Para soportar servicios proxy el router externo permitirá el paso de los protocolos si provienen del host bastión. Estas reglas proveen un nivel extra de seguridad, aunque en situaciones normales, estos paquetes ya habrán sido bloqueados por el router interno. 2.5 Direccionamiento de red. Subnetting. 2.5.1 Direccionamiento de red. Direcciones IPv4 Una dirección IP consta de 32 bits que suelen escribirse como cuatro números decimales de 8 bits (es decir, cada uno de esos números se mueve en un rango de 0 a 255) separados por puntos. Por ejemplo: 164.12.123.65 Hay tres clases de direcciones IP que una organización puede recibir de parte de la Internet Corporation for Assigned Names and Numbers (ICANN): clase A, clase B y clase C. En la actualidad, ICANN reserva las direcciones de clase A para los gobiernos de todo el mundo (aunque en el pasado se le hayan otorgado a empresas de gran envergadura como, por ejemplo, Hewlett Packard) y las direcciones de clase B para las medianas empresas. Se otorgan direcciones de clase C para todos los demás solicitantes. Cada clase de red permite una cantidad fija de equipos (hosts). [Escribir texto] Diseño de Redes En una red de clase A, se asigna el primer octeto para identificar la red, reservando los tres últimos octetos (24 bits) para que sean asignados a los hosts, de modo que la cantidad máxima de hosts es 224 - 2 (las direcciones reservadas de broadcast [últimos octetos a 255] y de red [últimos octetos a 0]), es decir, 16 777 214 hosts. En una red de clase B, se asignan los dos primeros octetos para identificar la red, reservando los dos octetos finales (16 bits) para que sean asignados a los hosts, de modo que la cantidad máxima de hosts es 216 - 2, o 65 534 hosts. En una red de clase C, se asignan los tres primeros octetos para identificar la red, reservando el octeto final (8 bits) para que sea asignado a los hosts, de modo que la cantidad máxima de hosts es 28 - 2, ó 254 hosts. Clase Desde Hasta Nº Redes N° hosts Máscara Broadcast A 1.0.0.0 127.255.255.255 126 16.777.214 255.0.0.0 x.255.255.255 B 128.0.0.0 191.255.255.255 16.384 65.534 255.255.0.0 x.x.255.255 C 192.0.0.0 223.255.255.255 2.097.152 254 255.255.255.0 x.x.x.255 D 224.0.0.0 239.255.255.255 E 240.0.0.0 255.255.255.255 La dirección 0.0.0.0 es utilizada por las máquinas cuando están arrancando o no se les ha asignado dirección. La dirección que tiene su parte de host a cero sirve para definir la red en la que se ubica. Se denomina dirección de red. La dirección que tiene su parte de host a unos sirve para comunicar con todos los hosts de la red en la que se ubica. Se denomina dirección de broadcast. Las direcciones 127.x.x.x se reservan para pruebas de retroalimentación. Se denomina dirección de bucle local o loopback. Hay ciertas direcciones en cada clase de dirección IP que no están asignadas y que se denominan direcciones privadas. Las direcciones privadas pueden ser utilizadas por los hosts que usan traducción de dirección de red (NAT) para conectarse a una red pública o por los hosts que no se conectan a Internet. En una misma red no puede existir dos direcciones iguales, pero sí se pueden repetir en dos redes privadas que no tengan conexión entre sí o que se sea a través de NAT. Las direcciones privadas son: Clase A: 10.0.0.0 a 10.255.255.255 (8 bits red, 24 bits hosts)\\Uso VIP EJ:La red militar norte-americana Clase B: 172.16.0.0 a 172.31.255.255 (12 bits red, 20 bits hosts)\\Uso universidades y grandes compañias Clase C: 192.168.0.0 a 192.168.255.255 (16 bits red, 16 bits hosts)\\Uso de compañias medias y pequeñas ademas pequeños proveedores de internet(ISP) A partir de 1993, ante la previsible futura escasez de direcciones IPv4 debido al crecimiento exponencial de hosts en Internet, se empezó a introducir el sistema CIDR, que pretende en líneas generales establecer una distribución de direcciones más fina y granulada, calculando las direcciones necesarias y "desperdiciando" las mínimas posibles, para rodear el problema que las distribución por clases había estado gestando. Este sistema es, de hecho, el empleado actualmente para la delegación de direcciones. Muchas aplicaciones requieren conectividad dentro de una sola red, y no necesitan conectividad externa. En las redes de gran tamaño a menudo se usa TCP/IP. Por ejemplo, los bancos pueden utilizar TCP/IP para conectar los cajeros automáticos que no se conectan a la red pública, de manera que las direcciones privadas son ideales para ellas. Las direcciones privadas también se pueden utilizar en una red en la que no hay suficientes direcciones públicas disponibles. Las direcciones privadas se pueden utilizar junto con un servidor de traducción de direcciones de red (NAT) para suministrar conectividad a todos los hosts de una red que tiene relativamente pocas direcciones públicas disponibles. Según lo acordado, cualquier tráfico que posea una dirección destino dentro de uno de los intervalos de direcciones privadas no se enrutará a través de Internet. [Escribir texto] Diseño de Redes Máscara de SubRed La máscara permite distinguir los bits que identifican la red y los que identifican el host de una dirección IP. Dada la dirección de clase A 10.2.1.2 sabemos que pertenece a la red 10.0.0.0 y el host al que se refiere es el 2.1.2 dentro de la misma. La máscara se forma poniendo a 1 los bits que identifican la red y a 0 los bits que identifican el host. De esta forma una dirección de clase A tendrá como máscara 255.0.0.0, una de clase B 255.255.0.0 y una de clase C 255.255.255.0. Los dispositivos de red realizan un AND entre la dirección IP y la máscara para obtener la dirección de red a la que pertenece el host identificado por la dirección IP dada. Por ejemplo un router necesita saber cuál es la red a la que pertenece la dirección IP del datagrama destino para poder consultar la tabla de encaminamiento y poder enviar el datagrama por la interfaz de salida. Creación de subredes El espacio de direcciones de una red puede ser subdividido a su vez creando subredes autónomas separadas. Un ejemplo de uso es cuando necesitamos agrupar todos los empleados pertenecientes a un departamento de una empresa. En este caso crearíamos una subred que englobara las direcciones IP de éstos. Para conseguirlo hay que reservar bits del campo host para identificar la subred estableciendo a uno los bits de red-subred en la máscara. Por ejemplo la dirección 172.16.1.1 con máscara 255.255.0.0 nos indica que los dos primeros bytes identifican la red (por ser una dirección de clase B), el tercer byte identifica la subred (a 1 los bits en la máscara) y el tercero identifica el host (a 0 los bits correspondientes dentro de la máscara). Hay dos direcciones de cada subred quedan reservadas: aquella que identifica la subred (campo host a 0) y la dirección para realizar broadcast en la subred (campo host a 1). IP dinámica Una dirección IP dinámica es una IP asignada mediante un servidor DHCP (Dynamic Host Configuration Protocol) al usuario. La IP que se obtiene tiene una duración máxima determinada. El servidor DHCP provee parámetros de configuración específicos para cada cliente que desee participar en la red IP. Entre estos parámetros se encuentra la dirección IP del cliente. DHCP apareció como protocolo estándar en octubre de 1993. El estándar RFC 2131 especifica la última definición de DHCP (marzo de 1997). DHCP sustituye al protocolo BOOTP, que es más antiguo. Debido a la compatibilidad retroactiva de DHCP, muy pocas redes continúan usando BOOTP puro. Las IP dinámicas son las que actualmente ofrecen la mayoría de operadores. Éstas suelen cambiar cada vez que el usuario reconecta por cualquier causa. Ventajas Reduce los costos de operación a los proveedores de servicios internet (ISP). Reduce la cantidad de IP´s asignadas (de forma fija) inactivas. Desventajas Obliga a depender de servicios que redirigen un host a una IP. Asignación de direcciones IP Dependiendo de la implementación concreta, el servidor DHCP tiene tres métodos para asignar las direcciones IP: Manualmente, cuando el servidor tiene a su disposición una tabla que empareja direcciones MAC con direcciones IP, creada manualmente por el administrador de la red. Sólo clientes con una dirección MAC válida recibirán una dirección IP del servidor. Automáticamente, donde el servidor DHCP asigna permanentemente una dirección IP libre, tomada de un rango prefijado por el administrador, a cualquier cliente que solicite una. Dinámicamente, el único método que permite la reutilización de direcciones IP. El administrador de la red asigna un rango de direcciones IP para el DHCP y cada ordenador cliente de la LAN tiene su software de comunicación TCP/IP configurado para solicitar una dirección IP del servidor DHCP cuando su tarjeta de interfaz de red se inicie. El proceso es transparente para el usuario y tiene un periodo de validez limitado. Una IP puede ser Privada ya sea dinámica o fija como puede ser IP Pública Dinámica o Fija. Una IP Pública se utiliza generalmente para montar servidores en internet y necesariamente se desea que la IP [Escribir texto] Diseño de Redes no cambie por eso siempre la IP Pública se la configura de manera Fija y no Dinámica, aunque si se podría. En el caso de la IP Privada generalmente es dinámica asignada por un servidor DHCP, pero en algunos casos se configura IP Privada Fija para poder controlar el acceso a internet o a la red local, otorgando ciertos privilegios dependiendo del número de IP que tenemos, si esta cambiara (fuera dinámica) seria más complicado controlar estos privilegios (pero no imposible). Las IP Públicas fijas actualmente en el mercado de acceso a Internet tienen un coste adicional mensual. Estas IP son asignadas por el usuario después de haber recibido la información del proveedor o bien asignadas por el proveedor en el momento de la primera conexión. Esto permite al usuario montar servidores web, correo, FTP, etc. y dirigir un nombre de dominio a esta IP sin tener que mantener actualizado el servidor DNS cada vez que cambie la IP como ocurre con las IP Públicas dinámicas. Direcciones IPv6 La función de la dirección IPv6 es exactamente la misma a su predecesor IPv4, pero dentro del protocolo IPv6. Está compuesta por 128 bits y se expresa en una notación hexadecimal de 32 dígitos. IPv6 permite actualmente que cada persona en la tierra tenga asignada varios millones de IPs, ya que puede implementarse con 2128 (3.4x1038 hosts direccionables). La ventaja con respecto a la dirección IPv4 es obvia en cuanto a su capacidad de direccionamiento. Su representación suele ser hexadecimal y para la separación de cada par de octetos se emplea el símbolo ":". Un bloque abarca desde 0000 hasta FFFF. Algunas reglas de notación acerca de la representación de direcciones IPv6 son: Los ceros iniciales, como en IPv4, se pueden obviar. Ejemplo: 2001:0123:0004:00ab:0cde:3403:0001:0063 -> 2001:123:4:ab:cde:3403:1:63 Los bloques contiguos de ceros se pueden comprimir empleando "::". Esta operación sólo se puede hacer una vez. Ejemplo: 2001:0:0:0:0:0:0:4 -> 2001::4. Ejemplo no válido: 2001:0:0:0:2:0:0:1 -> 2001::2::1 (debería ser 2001::2:0:0:1 ó 2001:0:0:0:2::1). 2.5.2 Subnetting: cálculo de máscaras. Crear una SubRed con un número mínimo de 10 Hosts por IP. Se eleva números a la potencia de dos, donde la cantidad mínima requerida es 10. 2^3 = 8 < 10 -->No es suficiente. 2^4 = 16 > 10 -->Bien Ahora se coloca los últimos 4 bits de la SubMáscara en 0: 11111111.11111111.11111111.11110000 Convertimos a decimal, obteniendo: 255.255.255.240. Con esa SubMáscara se tiene un mínimo de 10 Hosts. Crear una SubMáscara con mínimo 70 hosts por IP Probar sucesivas potencias de dos: 2^6 = 64 < 70 -->No es suficiente 2^7 = 128 > 70 -->Bien Ahora se coloca los últimos 7 bits de la subMáscara en 0. 11111111.11111111.11111111.10000000 [Escribir texto] Diseño de Redes Que equivale al número decimal: 255.255.255.128. Con esta SubMáscara se tiene más de 70 Hosts por Subred. 2.5.3 Subnetting: Cálculo de rangos. Para esta subred 172.16.64.0/20, cual es la dirección IP del Broadcast? Primer paso: /20 (SubMáscara) significa 255.255.240.0 (veinte unos seguidos de 12 ceros). Segundo paso: La subMáscara esta en el tercer octeto el cuál es: 11110000 El último de los 1 corresponde al 16, donde se establece los saltos de la subred, de 16 en 16. Escribimos las distintas subredes partiendo de la que nos dan, con saltos de 16 en 16. 172.16.64.0 172.16.79.255 172.16.80.0 172.16.95.255 172.16.96.0 172.16.111.255 172.16.112.0 172.16.127.255 Hallar el rango IP para 192.168.20.32 /27 /27 significa 255.255.255.224 224 significa 11100000 -->128 64 32 16 8 4 2 1 Por tanto el último 1 se encuentra en el valor 32, estableciendo los saltos en 32 para la siguiente subred. [Escribir texto] 192.168.20.0 172.168.20.31 192.168.20.32 172.168.20.63 192.168.20.64 172.168.20.91 Diseño de Redes 2.6 Configuración de equipos, elementos de interconexión y router. 2.6.1 Configuración de equipos Windows. La siguiente lista muestra los principales aspectos que podemos configurar para minimizar el tráfico y mejorar el rendimiento en equipos con S.O. Windows Controlar y desactivar programas de inicio innecesarios y/o peligrosos (con la Utilidad de Configuración del Sistema) Comando MSCONFIG > Ficha Inicio Controlar y desactivar Servicios no Microsoft que resulten innecesarios y/o peligrosos (con la Utilidad de Configuración del Sistema) Comando MSCONFIG > Ficha Servicios > Check-box Ocultar todos los servicios de Microsoft Desactivar Adaptadores de Red innecesarios y/o peligrosos, incluyendo dispositivos ocultos (en el Administrador de Dispositivos). [Escribir texto] Diseño de Redes Clic Derecho en Mi PC > Opción Propiedades > Ficha Hardware > Botón Administrador de Dispositivos > Menú Ver > Opción Mostrar Dispositivos Ocultos Configurar cada conexión de red no desactivada: Desinstalar Compartir Impresoras y archivos para redes Microsoft (si no se va a utilizar). Deshabilitar Netbios y búsqueda de LMHOSTS (si no se va a utilizar). Panel de Control > Icono Conexiones de Red > Clic Derecho en la Conexión > Opción Propiedades [Escribir texto] Diseño de Redes Optimice la velocidad de su conexión. En los anexos incluimos un excelente programa para esto, el TCPOptimizer.exe, que es sencillo, ligero, gratuito y ni siquiera necesita instalación. Además nos informa de todos los cambios que va a realizar y guarda copia de seguridad de la configuración original, por si necesitamos volver atrás. Controlar búsqueda de PC´s en la red, ocultar PC en la red (si procede) y desactivar permisos administrativos. Comunicación > Red > Ficha Entorno de Red > General Desactivar UPNP (Universal Plug and Play) y controlar ancho de banda del QOS. Comunicación > Red > Ficha Entorno de Red > Ampliadas [Escribir texto] Diseño de Redes Control de almacenamiento y transmisión encriptada de contraseñas. Desactivar sincronización horaria. [Escribir texto] Diseño de Redes Preguntar por las conexiones abiertas durante el cierre de sesión. Máxima seguridad (y mínimo tráfico) en Media Player. Comunicación > Esfera privada > Ficha Media Placer [Escribir texto] Diseño de Redes 2.6.2 Configuración de firewall. Servicios y puertos básicos. Como base mínima común para todas las herramientas, necesitaremos familiarizarnos al menos con los puertos y servicios que se resumen a continuación: Descrip Protoc Sal / Ent Local Proc.local Remo Zona DHCP UDP Todas (*) 67-68 svchost.exe 67-68 Subred DHCP(2) UDP Todas 67-68 services.exe 67-68 Subred DNS TCPUDP Sal svchost.exe 53 Servid. DNS DNS UDP Resp entr svchost.exe 53 Servid. DNS NTPSincroniz horaria UDP Todas svchost.exe 123 Servid. hora Kerberos TCPUDP Sal lsass.exe 88 Servid. Kerberos Kerberos UDP Resp entr lsass.exe 88 Servid. Kerberos LDAP TCPUDP Sal lsass.exe (389);3268 Servid. Ldap UDP Resp entr 389 Servid. Ldap LDAP 123 Winlogon.exe lsass.exe Winlogon.exe RPC TCP Sal lsass.exe 1025-1026 Dominio RPC-epmap TCPUDP Sal lsass.exe 135 Dominio RPC-epmap TCPUDP Entr 135 SLP-Service Location Protocol UDP Todas 427 SSDP (UPNP) TCPUDP Sal SSDP (UPNP) TCPUDP Entrantes ICSLAP (UPNP) TCPUDP Salientes ICSLAP (UPNP) TCPUDP Entrantes Todo IGMP IGMP Todas Todo [Escribir texto] Todo system 427 Todo 1900 Todo 1900 Todo 2869 Todo Diseño de Redes NETBIOS Servicio de nombres Acceso impr arch remotos TCPUDP Salientes dgm(138) TCPUDP Entrantes ds(445);138139 UDP Entrantes 137-138 UDP Salientes UDP Resp entrantes 137-138 TCPUDP Todas ns(137) TCP Salida Todo Todo system system Subred 137-138 system Subred Subred Subred system ssn(139);ds(445) Subred ICMP Esta tabla contiene prácticamente toda la información de detalle necesaria para configurar a medida un firewall de filtrado, o un juego de filtros para un sniffer. Partiremos de un PC (bajo Windows) configurado de modo que: No intente iniciar ninguna comunicación con el exterior (esto no es fácil de conseguir, o al menos no lo es sin desactivar todos los dispositivos de red) Nos informe de cualquier comunicación entrante que reciba a la vez que la rechace sin responder. Tenga habilitadas todas las opciones de detección y registro de intrusiones. Ahora debemos instalar un cortafuegos que nos permita configurar reglas de filtrado detalladas. La elección de un buen cortafuegos es siempre un asunto discutible, claro está. Nosotros hemos elegido (manteniendo alguna reserva) el que viene integrado en ESET SMART SECURITY, debido a que: Es un software muy difundido en el ámbito popular, totalmente en castellano y para el que podemos encontrar suficiente documentación. Es flexible y potente manteniendo a la vez un uso sencillo y amigable. Subredes, zonas y reglas. Protección restrictiva para nuestra subred. Configuración de las Zonas: Seguimos con la filosofía de confianza mínima. En particular nos conviene simplificar quitando de la Zona de Confianza al bucle loopback de IPV6 (::1). [Escribir texto] Diseño de Redes Configuración de reglas: Pedimos edición de Todas las reglas (incluidas las de sistema): Por fin, daremos a la lista de reglas el siguiente tratamiento: Desactivamos todas las reglas permisivas (flechas en verde) o neutras (flechas naranja) que podamos. Observe que algunas no pueden desactivarse aquí, pero es posible desactivar el protocolo asociado en otra parte del programa, mientras que otras son absolutamente inamovibles, para el funcionamiento del propio servicio de cortafuegos ESET. [Escribir texto] Diseño de Redes Para cada tipo de tráfico crearemos una regla que lo bloquea y lo registra. Es decir, una regla por cada uno de la siguiente lista Como ejemplo veamos una de estas reglas: Activamos todas las opciones de detección de ataques de gusanos. Desactivamos todas las opciones que se refieren a compartir recursos o permitir accesos. Primer análisis: [Escribir texto] Diseño de Redes Anuncios del router. Ya podemos comenzar la inspección del tráfico (en Herramientas > Archivos de registro > Registros del cortafuegos), y vemos anuncios que cada 30 segundos hace el router RIP, dirigidos a toda la subred: Primera travesía con el navegador. Tras intentar acceder a alguna página, veamos lo que ha registrado el firewall: se trata de consultas al servidor DNS, lanzada por svchost.exe. Control de protocolos con Proxy interno. Observe que podemos pedir al Proxy que analice: [Escribir texto] Diseño de Redes Puertos http y pop3. Aplicaciones consideradas navegadores y clientes de correo. Ambas cosas: puertos y aplicaciones. Nosotros elegimos analizar tanto puertos como aplicaciones. Por último, es preciso añadir una regla que permita operar al propio Proxy, de lo contrario este no podrá redireccionar el tráfico para su análisis. En efecto, con las reglas que tenemos ahora obtenemos: [Escribir texto] Diseño de Redes Así que añadimos la siguiente: [Escribir texto] Diseño de Redes Y comprobamos que ahora el Proxy ya puede hacer su trabajo: Importar y exportar la configuración. Finalmente nuestro cortafuegos esta listo, lo hemos convertido en una sencilla (pero potente) herramienta de análisis y diagnostico para nuestra red. Puesto que extrema las medidas de inspección y desconfianza podemos llamarle configuración paranoica. Vamos a exportar esta configuración, de modo que podamos importarla y usarla cuando la necesitemos: [Escribir texto] Diseño de Redes 2.6.3 Configuración de routers. A continuación le mostramos un tutorial detallado para un modelo concreto (Zyxel 650 HW-31 / 660 HW), que es quizá el mas popular. Para otros modelos, los siguientes enlaces le conducirán directamente a los tutoriales correspondientes (publicados en adslzone) Configuración Multipuesto IP dinámica Obtener la IP de nuestro router: Ejecutar el comando IPCONFIG Datos de configuración WAN: Mode seleccionamos Routing. Ecapsulation seleccionamos PPPoE. Multiplex seleccionamos LLC. VPI 8 VCI 32 username: ponemos el usuario de telefónica que nos ha sido asignado Password: ponemos adslppp [Escribir texto] Diseño de Redes IP Address podemos poner Obtain an IP Address Automatically si no disponemos de IP pública estática. Connection: seleccionamos Nailed-Up Connection. Network Address Translation seleccionamos SUA Only Configuración de un punto de acceso inalámbrico Configuración básica Marcamos las opciones Enable Wireless Lan para activarla. Nombre de ESSID que queramos. Ocultación de ESSID: Para ocultar el ESSID, en el mismo menú de antes, cambiamos el valor Hide ESSID de No a Yes y puslamos Apply. El ESSID de la red quedará oculto y tendremos que configurarlo en el adaptador de red manualmente para poder conectar. Comprobamos que la red sigue conectando sin problemas. Filtrado MAC: Para el filtrado MAC, en el menú Wireless Lan pinchamos en MAC Filter. Nos aparece esta ventana, Ponemos Active en Yes, la segunda opción la dejamos en Allow Asociation y en las casillas de debajo [Escribir texto] Diseño de Redes ponemos las macs de nuestros adaptadores de red. De esta forma solamente se podrá conectar usando uno de ellos y no se podrá con adaptadores ajenos. Las MAC deben ponerse separando cada dos dígitos por : tal y como aparece en la captura con los 00:00:00:00:00:00 Encriptación WEP: Las opciones son claras. Encriptación TKIP con WPA-PSK Este es el sistema más recomendable porque mejora la seguridad de la red muchos enteros respecto a WEP. Con este sistema, hay una autentificación por password del usuario que entra ,la encriptación es dinámica (cambia cada cierto tiempo) y cada conexión tiene su clave propia. Windows XP viene con su propia utilidad de configuración de redes inalámbricas. Esta utilidad tiene un fallo desde el SP1, ampliamente documentado, que se produce cuando se utiliza WPA-PSK y encriptación TKIP, aunque a día de hoy la ha solucionado. El fallo consiste en que la red conecta y desconecta continuamente. La solución es no usar la utilidad de Windows e instalar la que traen los dispositivos inalámbricos en el cd de drivers. Solamente hay que desmarcar la casilla "Usar Windows para establecer ni configuración de red inalámbrica", instalarla utilidad del cd y utilizarla para la configuración. En cualquier caso es bastante recomendable no utilizar la aplicación de Windows, ya que es bastante liosa y poco clara además de sus bugs. Para activarla, si teníamos activado WEP pondremos la opción en Disabled. Después entramos en el menú Wireless Lan - 802.1 x/WPA y cambiamos la opción No Authentication Required por Authentication Required, ponemos Key Management protocol, introducimos una clave aleatoria en Pre-Shared Key y le damos a Apply.La clave tendremos que ponerla en la configuración del adaptador inalámbrico. Este router también admite un modo mixto con autentificación WPA y encriptación WEP, pero no lo explicaremos ya que es más inseguro que TKIP y por tanto es absurdo utilizarlo. Abrir puertos en el router. [Escribir texto] Diseño de Redes Debemos seleccionar la opción NAT > SUA only > Edit Details Llegamos a la pantalla en la que gestionaremos los puertos (NAT-edit SUA/NAT Server set) donde tenemos diversas opciones: Mapear un único puerto: Pondremos el puerto en las casillas Start Port Nº y End Port Nº. En la casilla IP Address la ip privada del pc al cual queremos abrir el puerto. (En este ejemplo sería 192.168.1.33) Mapear un rango de puertos: Si queremos abrir desde el puerto 4500 hasta el 4504, pondremos en Start Port Nº el valor 4500 y en End Port Nº el valor 4504. En la casilla IP Address la ip privada del pc que queramos que haga de servidor para la aplicación que estemos configurando. (En este ejemplo sería 192.168.1.33) Mapear todos los puertos a un único pc: lo que se conoce como 'default'. Se supone que se abrirán todos los puertos hacia el PC (Pero no se comportará como si estuviera en monopuesto con todos los puertos abiertos). Para ello, en la fila nº 1 al lado de all ports colocaremos la ip privada del pc en cuestión. Si queremos abrir algún puerto en concreto para otro PC de la red podremos usar las 11 filas siguientes mapeándolo hacia la IP privada del PC en cuestión. Para finalizar pulsamos en SAVE y ya podemos cerrar la web de configuración . Manuales de los principales Routers 3Com 812 3Com 11 G Wireless 3Com 3CRWDR100Y72 Alcatel Speed Touch Belkin 802.11B Belkin 802.11G Benq ESG 103 Cisco 827 CNet CAR-854 CNet CWR-854 Comtrend 500 Comtrend 535 Comtrend 536+ Comtrend 561 Comtrend 5071 Conceptronic C54APRA Conceptronic CADSLR4 Conceptronic C54BRS4 Concept. C54APRA2+ Conexant CX82310 N&C RWGD45 D-Link 500 D-Link 504G D-Link 504T D-Link 524T D-Link G604T D-Link 614 D-Link 624 D-Link G624T Huawei SmartAX MT882 Huawei HG520 H. Echolife HG520V Huawei HG553 Inventel DW-B-200 Linksys BEFSR41 Linksys WAG54G Linksys WAG354G Linksys WRT54G Linksys AG241 Netgear DG834G Nokia M1112 Ovislink DR-WG4S SMC 7204 BRA SMC 7804 WBRA SMC 7401 BRA SMC 7904W BRA [Escribir texto] Diseño de Redes Sagem Fast 1200 Sagem 1500 Speedstream 5200 Speedstream 5660 Supergrass DYN04+ Telsey CPVA500 Thomson 510 Thomson ST580i Thomson 530 Thomson 545 Thomson 546 Thomson TcW 720 US Robotics 9003 US Robotics 9105 US Robotics 9110 DrayTek Vigor 2600 Webstar 2320 Xavi x7028r Wireless Xavi x7768r Wireless Xavi x7868r Wireless Xavi x8121r Wireless Zaapa ZW BR11NT Zoom X5 Zoom X5 5554A Zoom X6 Zyxel P623-41 Zyxel P643 Zyxel P645R-A1 Zyxel P650HW Zyxel P660HW Zyxel P660H-D1 Zyxel P660HW-D1 ZyXEL P2302 ZyAir G-2000 3 Diseño lógico. 3.1 Organización de dominios. 3.1.1 Dominios Un dominio constituye un límite de seguridad. El directorio incluye uno o más dominios, cada uno de los cuales tiene sus propias directivas de seguridad y relaciones de confianza con otros dominios. Los dominios ofrecen varias ventajas: Las directivas y la configuración de seguridad (como los derechos administrativos y las listas de control de accesos) no pueden pasar de un dominio a otro. Al delegar la autoridad administrativa en dominios o unidades organizativas desaparece la necesidad de tener varios administradores con autoridad administrativa global. Los dominios ayudan a estructurar la red de forma que refleje mejor la organización. Cada dominio almacena solamente la información acerca de los objetos que se encuentran ubicados en ese dominio. Al crear particiones en el directorio, Directorio Activo puede ampliarse y llegar a contener una gran cantidad de objetos. Los dominios son las unidades de replicación. Todos los controladores de dominio de un dominio determinado pueden recibir cambios y replicarlos a los demás controladores del dominio. Un único dominio puede abarcar varias ubicaciones físicas distintas o sitios Al utilizar un solo dominio se simplifican mucho las tareas administrativas. Para crear un dominio, debe promover uno o más equipos que ejecuten Windows Server a controladores de dominio. Un controlador de dominio proporciona servicios de directorio de Directorio Activo a usuarios y equipos de la red, almacena datos del directorio y administra las operaciones entre usuarios y dominios, incluidos los procesos de inicio de sesión, la autenticación y las búsquedas en e l directorio. Cada dominio debe tener al menos un controlador de dominio. [Escribir texto] Diseño de Redes 3.1.2 Unidades organizativas Un tipo de objeto de directorio especialmente útil, contenido en los dominios, es la unidad organizativa. Las unidades organizativas son contenedores del Directorio Activo en los que puede colocar usuarios, grupos, equipos y otras unidades organizativas. Una unidad organizativa no puede contener objetos de otros dominios. Una unidad organizativa es el ámbito o unidad más pequeña a la que se pueden asignar configuraciones de Directiva de grupo o en la que se puede delegar la autoridad administrativa. Con las unidades organizativas, puede crear contenedores dentro de un dominio que representan las estructuras lógicas y jerárquicas existentes dentro de una organización. Esto permite administrar la configuración y el uso de cuentas y recursos en función de su modelo organizativo. Unidades organizativas dentro de un dominio Como se muestra en la figura, las unidades organizativas pueden contener otras unidades organizativas. La jerarquía de contenedores se puede extender tanto como sea necesario para modelar la jerarquía de la organización dentro de un dominio. Las unidades organizativas le ayudarán a disminuir el número de dominios requeridos para una red. Puede utilizar unidades organizativas para crear un modelo administrativo que se puede ampliar a cualquier tamaño. A un usuario se le puede conceder autoridad administrativa sobre todas las unidades organizativas de un dominio o sobre una sola de ellas. El administrador de una unidad organiza tiva no necesita tener autoridad administrativa sobre cualquier otra unidad organizativa del dominio. 3.1.3 Árboles y bosques. Todos los dominios que comparten el mismo dominio raíz forman un espacio de nombres contiguo llamado árbol. El primer dominio de un árbol de dominio se denomina dominio raíz, los demás son dominios secundarios. Un dominio que se encuentra inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario. Esto significa que el nombre de un dominio secundario consta del nombre de ese dominio secundario más el nombre del dominio principal. [Escribir texto] Diseño de Redes Los dominios que forman parte de un árbol están unidos entre sí mediante relaciones de confianza transitivas y bidireccionales. Estas relaciones de confianza permiten que un único proceso de inicio de sesión sirva para autenticar a un usuario en todos los dominios del bosque o del árbol de dominio. Sin embargo, esto no significa que el usuario, una vez autenticado, tenga permisos y derechos en todos los dominios del árbol de dominio. Dado que un dominio es un límite de seguridad, los derechos y permisos deben asignarse para cada dominio. Bosques Un bosque está formado por varios árboles de dominio. Los árboles de dominio de un bosque no constituyen un espacio de nombres contiguo. Un bosque no tiene ningún dominio raíz propiamente dicho. El dominio raíz del bosque es el primer dominio que se creó en el bosque. Los dominios raíz de todos los árboles de dominio del bosque establecen relaciones de confianza transitivas con el dominio raíz del bosque. Estas relaciones de confianza son necesarias para poder establecer otras entre todos los árboles de dominio del bosque. Al utilizar bosques y árboles de dominio se obtiene la flexibilidad que ofrecen los sistemas de espacios de nombres contiguos y no contiguos. Esto puede ser útil, por ejemplo, en el caso de compañías que tienen divisiones independientes que necesitan conservar sus propios nombres DNS. Estructura física En el Directorio Activo, la estructura lógica está separada de la estructura física. La estructura lógica se usa para organizar los recursos de la red. La estructura física para configurar y administrar el tráfico de red. La estructura física del Directorio Activo está compuesta por sites y controladores de dominio. Sitio Un sitio es la combinación de una o más subredes IP conectadas en enlaces de alta velocidad. Esta definición permite configurar el acceso al Directorio Activo y la topología de replicación para que Windows utilice los enlaces más eficientes y sincronice el tráfico de replicación y de logon. Se crean Sitios por dos razones importantes: Optimizar el tráfico de replicación. [Escribir texto] Diseño de Redes Posibilitar a los usuarios conectarse con controladores de dominio usando una posible conexión de alta velocidad. Los Sitios mapean la estructura física de la red al igual que los dominios mapean la estructura lógica de la correlación. La estructura física y lógica del Directorio Activo son independientes una de la otra lo cual tiene las siguientes consecuencias: No hay correlación entre la estructura física de la red y su estructura de dominio. El Directorio Activo permite múltiples dominios en un solo sitio al igual que múltiples Sitios en un solo dominio. Ejemplo de Sitio dentro de dominios Solicitudes de servicio Cuando un cliente solicita un servicio a un controlador de dominio, éste la dirige a un controlador de dominio del mismo sitio, si hay alguno disponible. La selección de un controlador de dominio que esté conectado correctamente con el cliente que formuló la solicitud facilita su tratamiento. Replicación Los sitios optimizan la replicación de información del directorio. La información de configuración y de esquema del directorio se distribuye por todo el bosque y los datos del dominio se distribuyen entre todos los controladores de dominio del dominio. Al reducir la replicación de forma estratégica, igualmente se puede reducir el uso de la red. El Directorio Activo replica información del directorio dentro de un sitio con mayor frecuencia que entre sitios. De esta forma, los controladores de dominio mejor conectados, es decir, aquellos que con más probabilidad necesitarán información especial del directorio, son los que primero reciben las replicaciones. Los controladores de dominio de otros sitios reciben todos los cambios efectuados en el directorio, pero con menor frecuencia, con lo que se reduce el consumo de ancho de banda de red. Si una implementación no se organiza en sitios, el intercambio de información entre controladores de dominio y clientes puede ser caótico. Los sitios mejoran la eficacia del uso de la red. Controladores de Dominio Los controladores del dominio son equipos donde se almacena una copia del directorio, administran el proceso de logon de los usuarios, autentificación y búsquedas del directorio. Un dominio puede tener uno o más controladores de dominio. Una organización pequeña que utilice una red de área local (LAN) puede necesitar nada mas que un solo dominio con dos controladores de dominio para proporcionar la adecuada disponibilidad y tolerancia a fallos mientras que una compañía grande con muchas localizaciones geográficas necesitará uno o más controladores de dominio en cada localización para proporcionar también una adecuada disponibilidad y tolerancia a fallos requerido. [Escribir texto] Diseño de Redes Ningún controlador de dominio es el controlador de dominio maestro. En lugar de eso, todos los controladores de dominio contienen una copia del directorio y realizan sincronización de los cambios. Para iniciar una sesión, un cliente debe encontrar primero un controlador de dominio para su dominio, para envía una consulta de nombre DNS a sus servidores DNS, recibiendo una lista de controladores. El primer controlador de dominio que responde es el que se utiliza para el proceso de inicio de sesión. Datos del dominio Los datos del dominio contienen información acerca de los objetos de un dominio. Se trata de información como contactos de correo electrónico, atributos de cuentas de usuarios y equipos, así como recursos publicados que son de interés para administradores y usuarios. Por ejemplo, cuando una cuenta de usuario se agrega a la red, un objeto de la cuenta de usuario y sus atributos se almacenan en los datos de dominio. Cuando se producen cambios en los objetos de directorio de la organización, como puede ser la creación de un objeto, su eliminación o la modificación de los atributos, estos datos se almacenan en los datos de dominio. Datos de configuración Los datos de configuración describen la topología del directorio. Estos datos de configuración incluyen una lista de todos los dominios, árboles y bosques, así como las ubicaciones de los controladores de dominio y los catálogos globales . Datos de esquema El esquema es la definición formal de todos los datos de objetos y atributos que se pueden almacenar en el directorio. Los controladores de dominio que ejecutan Windows Server 2003 incluyen un esquema predeterminado que define muchos tipos de objetos, como cuentas de usuarios y equipos, grupos, dominios, unidades organizativas y directivas de seguridad. Los administradores y los programadores pueden ampliar este esquema mediante la definición de nuevos tipos de objetos y atributos o bien con la adición de atributos nuevos para los objetos existentes. Los objetos del esquema están protegidos por listas de control de acceso, lo que asegura que sólo los usuarios autorizados puedan modificar el esquema. Datos de aplicación Los datos almacenados en la partición de directorio de aplicaciones son de utilidad en aquellos casos en los que se necesita replicar la información, pero no forzosamente a escala global. De manera predeterminada, las particiones de directorio de aplicaciones no forman parte del almacén de datos del directorio. El administrador es el encargado de crearlas, configurarlas y administrarlas. Las cuotas, una nueva característica de los controladores de dominio que ejecutan Windows Server 2003, determinan el número de objetos que un principal de seguridad puede poseer en una partición de directorio determinada. (El propietario del objeto suele ser su creador, pero esto no siempre es así). Las cuotas ayudan a evitar la denegación de servicio que puede ocurrir si un principal de seguridad crea objetos, accidental o intencionalmente, hasta que el controlador de dominio afectado ya no tiene más espacio para el almacenamiento. Las cuotas se especifican y se administran independientemente para cada partición de directorio. Sin embargo, la partición de esquema no tiene cuotas. En una partición de directorio determinada, puede asignar cuotas para cualquier principal de seguridad, incluidos los usuarios, los equipos y los grupos. Las cuotas no se aplican a los miembros de los grupos Administradores del dominio y Administradores de organización. En algunos casos, un principal de seguridad puede estar cubierto por múltiples cuotas. Por ejemplo, a un usuario puede asignársele una cuota individual y al mismo tiempo este usuario puede pertenecer a uno o a varios grupos de seguridad que también tengan cuotas asignadas. En estos casos, la cuota efectiva es el número máximo de cuotas asignadas al principal de seguridad. Si un principal de seguridad no está asignado a una cuota directamente o mediante una pertenencia a grupos, una cuota predeterminada de la partición controla el principal de seguridad. Si no establece explícitamente la cuota predeterminada en una partición concreta, la cuota predeterminada de dicha partición no tiene límite (por ejemplo, no hay límite). [Escribir texto] Diseño de Redes 3.1.4 El catálogo global Un catálogo global es un controlador de dominio que almacena una copia de todos los objetos del Directorio Activo de un bosque. En el catálogo global se almacena una copia completa de todos los objeto s del directorio para su dominio host y una copia parcial de todos los objetos de los demás dominios del bosque, según se muestra figura Figura: Ejemplo de Catálogo Global Las copias parciales de todos los objetos de dominio incluidas en el catálogo global son las más utilizadas en las operaciones de búsqueda de los usuarios. Estos atributos se marcan para su inclusión en el catálogo global como parte de s u definición de esquema. El almacenamiento de los atributos más buscados de todos los objetos de dominio en el catálogo global ofrece a los usuarios búsquedas más efectivas sin afectar al rendimiento de la red con referencias innecesarias a controladores d e dominio. 3.1.5 Integración con DNS El Directorio Activo se integra con DNS de las siguientes formas: El Directorio Activo y el Sistema de nombres de dominio (DNS) presentan la misma estructura jerárquica. Las zonas DNS se pueden almacenar en el Directorio Activo. Si utiliza el servicio de servidor DNS de Windows Server 2003, los archivos de la zona primaria se pueden almacenar en el Directorio Activo para su replicación en otros controladores de dominio del Directorio Activo. El Directorio Activo utiliza DNS como un servicio localizador, que resuelve nombres de dominios, sitios y servicios del Directorio Activo en una dirección IP. 3.1.6 Relaciones de confianza Una confianza entre dominios es una relación que se establece entre dominios y que permite a los us uarios de un dominio ser autenticados por un controlador de dominio de otro dominio. Todas las relaciones de confianza entre dominios tienen lugar entre dos dominios: el dominio que confía y el dominio en el que se confía. [Escribir texto] Diseño de Redes Las solicitudes de autenticación siguen una ruta de confianza. Una ruta de confianza es la serie de relaciones de confianza que deben seguir las solicitudes de autenticación entre dominios. En la figura, las rutas de confianza aparecen indicadas mediante flechas que muestran la dirección de la confianza. Figura: Rutas de confianza entre dominios En la figura, las confianzas se indican mediante una flecha, que señala al dominio en el que se confía. En versiones anteriores de Windows, las confianzas se limitaban a los dos dominios implicados en la confianza y la relación de confianza era de un solo sentido. En versiones de Windows 2000 y Windows Server 2003, todas las confianzas son transitivas y de dos sentidos Los dominios de una relación de confianza confían el uno en el otro de forma automática. Figura: Relaciones de confianza entre dominios Como se muestra en la ilustración, esto supone que si el dominio A confía en el dominio B y éste confía en el dominio C, los usuarios del dominio C, cuando se les concedan los permisos correspondientes, podrán tener acceso a los recursos del dominio A. Cuando un controlador de dominio autentica a un usuario, no implica el acceso a ningún recurso de ese dominio. Esto sólo viene determinado por los derechos y permisos que el administrador del dominio concede a la cuenta de usuario para el dominio que confía. Confianza unidireccional Una confianza unidireccional es una sola relación de confianza, en la que el dominio A confía en el dominio B. Todas las relaciones unidireccionales son intransitivas y todas las intransitivas son unidireccionales. Las solicitudes de autenticación sólo se pueden transmitir desde el dominio que confía al dominio en el que se confía. Esto significa que si el dominio A tiene una confianza unidireccional con el dominio B y éste la tiene con el dominio C, el dominio A no tiene una relación de confianza con el dominio C. Confianza bidireccional Todas las confianzas entre dominios de un bosque de Windows son confianzas transitivas bidireccionales. [Escribir texto] Diseño de Redes Cuando se crea un nuevo dominio secundario, automáticamente se crea una confianza transitiva bidireccional entre el nuevo dominio secundario y el dominio principal. En una confianza bidireccional, el dominio A confía en el dominio B y el dominio B confía en el A. Esto significa que las solicitudes de autenticación se pueden transmitir entre dos dominios en ambas direcciones. Para crear una confianza bidireccional intransitiva, debe crear dos confianzas unidireccionales entre los dominios implicados. Confianza transitiva Todas las confianzas entre dominios de un bosque de Windows 2000 y/o Windows Server 2003 son transitivas. Las relaciones de confianza transitiva son siempre bidireccionales. Ambos dominios de la relación confían el uno en el otro. Una relación de confianza transitiva no está limitada por los dos dominios de la relación. Siempre que se crea un nuevo dominio secundario, implícitamente (es decir, automáticamente) se crea una relación de confianza transitiva bidireccional entre el dominio principal y el nuevo dominio secundario. De esta forma, las relaciones de confianza transitivas fluyen hacia arriba a través del árbol de dominios a medida que éste se forma, con lo que se crean relaciones de confianza transitivas entre todos los dominios del árbol de dominios. Cada vez que se crea un árbol de dominios en un bosque, se forma una relación de confianza transitiva bidireccional entre el dominio raíz del bosque y el nuevo dominio (la raíz del nuevo árbol de dominios). Si no se agrega ningún dominio secundario al dominio nuevo, la ruta de confianza está entre este nuevo dominio raíz y el dominio raíz del bosque. Si se agregan dominios secundarios al dominio nuevo, con lo que se crea un árbol de dominios, la confianza fluye hacia arriba a través del árbol de dominios hasta el dominio raíz del árbol de dominios y, de este modo, se extiende la ruta de confianza inicial creada entre la raíz del dominio y el dominio raíz del bosque. Si el nuevo dominio agregado al bosque es un solo dominio raíz, es decir, no tiene dominios secundarios, o un árbol de dominios, la ruta de confianza se extiende desde el dominio raíz del bosque hasta cualquier otro dominio raíz del bosque. De esta forma, las relaciones de confianza transitivas fluyen a través de todos los dominios del bosque. Las solicitudes de autenticación siguen estas rutas de confianza y de este modo las cuentas de cualquier dominio del bosque se pueden autenticar en cualquier otro. Con un solo proceso de inicio de sesión, las cuentas que poseen los permisos adecuados pueden tener acceso a los recursos en cualquier dominio del bosque. La figura muestra cómo las relaciones de confianza transitivas fluyen a través de todos los dominios del bosque. Figura: Relaciones de confianza transitiva en un bosque de dominios Puesto que el dominio 1 tiene una relación de confianza transitiva con el dominio 2 y éste la tiene con el dominio 3, los usuarios del dominio 3 (una vez obtenidos los permisos necesarios) pueden tener acceso a los recursos del dominio Y, puesto que el dominio 1 tiene una relación de confianza transitiva con el dominio A y los otros dominios del árbol de dominios del dominio A la tienen con el dominio A, los usuarios del dominio B (una vez obtenidos los permisos necesarios) pueden tener acceso a los recursos del dominio 3. Igualmente, puede crear de forma explícita (manualmente) confianzas transitivas entre los dominios de Windows 2000 y/o Windows Server 2003 del mismo árbol o bosque de dominios. Estas relaciones de confianza de acceso directo se pueden utilizar para acortar la ruta de confianza en árboles o bosques de dominios grandes y complejos. [Escribir texto] Diseño de Redes Las confianzas trans itivas sólo pueden existir entre dominios de Windows 2000 y/o Windows Server 2003 del mismo bosque. Debido a la necesidad de este flujo de confianzas, no es posible tener relaciones intransitivas entre dominios del mismo bosque. Confianza intransitiva Una confianza intransitiva está limitada por los dos dominios de la relación y no fluye a cualquier otro dominio del bosque. En la mayor parte de los casos, debe crear las confianzas intransitivas explícitamente. Todas las relaciones de confianza e ntre los dominios de Windows 2000, Windows Server 2003 y los de Windows NT son intransitivas. Al actualizar Windows NT con Windows 2000 o Windows Server 2003, todas las confianzas existentes en Windows NT permanecen intactas. En un entorno en modo mixto, todas las confianzas de Windows NT son intransitivas. De forma predeterminada, las confianzas intransitivas son unidireccionales, aunque también se puede crear una relación bidireccional si se crean dos unidireccionales. Todas las relaciones de confianza establecidas entre dominios de Windows 2000 y/o Windows Server 2003 que no pertenecen al mismo bosque son intransitivas. En resumen, las confianzas intransitivas son la única forma de relación de confianza posible entre: Un dominio de Windows 2000 y un dominio de Windows NT. Un dominio de Windows 2000 y/o Windows Server 2003 de un bosque y un dominio de Windows 2000 y/o Windows Server 2003 de otro. Tipos de relaciones de confianza Los dos tipos de relaciones de confianza predeterminada se d escriben en la tabla Tipo de confianza Transitividad Dirección Descripción Dominio Transitiva principal y dominio secundario Bidireccional De manera predeterminada, cuando se agrega un dominio secundario a un árbol de dominios existente, se establece una nueva confianza entre el dominio principal y el dominio secundario. Las solicitudes de autenticación realizadas desde los dominios subordinados fluyen hacia arriba por su dominio principal al dominio en que confían.. Raíz árbol Bidireccional De manera predeterminada, cuando se crea un nuevo árbol de dominios en un bosque existente, se establece una nueva confianza raíz de árbol. del Transitiva Relaciones de confianza predeterminadas Además de las relaciones de confianza predeterminada, se pueden establecer otros cuatro tipos de confianza con el Asistente para nueva confianza, tal y como se muestran en la tabla Tipo de confianz a Externa Transitivida d Dirección Descripción Intransitiva Unidireccional o bidireccional Utilice confianzas ex ternas para proporcionar acceso a recursos ubicados en un dominio de Windows NT 4.0 o en un dominio ubicado en un bosque separado que no está unido por una confianza de bosque. Territorio Transitiva o intransitiva Unidireccional o bidireccional Las confianzas de territorio se utilizan para establecer una relación de confianza entre un territorio Kerberos que no es de Windows y un dominio de Windows Server 2003.. [Escribir texto] Diseño de Redes Bosque Acceso directo Transitiva Unidireccional o bidireccional Transitiva Unidireccional o bidireccional Utilice confianzas de bosque para compartir recursos entre bosques. Si una confianza de bosque es una confianza bidireccional, las solicitudes de autenticación realizadas en cualquiera de los bosques podrán llegar al otro bosque. Las confianzas de acceso directo se utilizan para mejorar el tiempo de inicio de sesión de los usuarios cuando éste se realiza entre dos dominios de un bosque de Windows Server 200 Esto resulta útil cuando dos dominios están separados por dos árboles de dominios. Otros tipos de Relaciones de confianza Relaciones de confianza de acceso directo en un bosque de dominios Como se muestra en la figura, puede crear una confianza de acceso directo entre dominios del nivel medio de dos árboles de dominio para acortar la ruta de confianza entre dos dominios de Windows 2000 y/o Windows Server 2003 de un bosque y optimizar el proceso de autenticación de Windows 2000 y/o Windows Server 2003. [Escribir texto] Diseño de Redes 3.2 Organización del sistema de usuarios. 3.2.1 Grupos de usuarios. Los grupos simplifican la administración ya que permiten dar permisos a grupos de usuarios en vez de uno a uno. Antes de comenzar a utilizar los grupos hay que entender su función y los tipos de grupos que se pueden crear. El Directorio Activo proporciona soporte para varios tipos de grupos, así como ofrece las opciones que tienen los grupos, esto es, si están en múltiples dominios o sólo en uno. Tipos de grupos El Directorio Activo proporciona, para una mayor flexibilidad, dos tipos de grupos diferentes: de seguridad y de distribución. Cada uno de ellos soporta los grupos internos universales, globales o locales del dominio. Los grupos de seguridad se usan para dar o quita r derechos a grupos de usuarios y de equipos. También se utilizan para enviar mensajes de e-mail. Un e-mail que se envíe a un grupo de seguridad será enviado a todos los miembros de dicho grupo. Los grupos de distribución se utilizan para el envío de mensajes de e-mail con aplicaciones activas de correo como Microsoft Exchange Server. Estos grupos no pueden ser utilizados para propósitos de seguridad. Alcance de los grupos Los grupos de seguridad y de distribución tienen unos atributos, que nos indican quién puede ser miembro de un grupo y dónde se puede utilizar a ese grupo en la red. Grupos locales del dominio: estos grupos, en un modelo de dominio nativo, pueden contener cuentas de usuario, grupos globales y grupos universales de cualquier dominio del bosque. En un modelo de dominio mixto podrán contener cuentas de usuario y grupos globales de cualquier dominio. Se pueden dar permisos a grupos locales del dominio sólo para objetos que estén en el dominio en el que el grupo local exista. Grupos Globales: estos grupos, en un modelo de dominio nativo, pueden contener cuentas de usuario y grupos globales del dominio en el que el grupo exista. En un modelo mixto, podrán contener sólo cuentas de usuario del dominio en el que el grupo exista. Se pueden dar permisos a grupos globales de todos los dominios del bosque sin tener en cuenta la localización del grupo global. Grupos Universales: estos grupos pueden contener cuentas de usuario, grupos globales y otros grupos universales de cualquier dominio Windows Server 2003 del bosque. El dominio debe operar en modo nativo para poder crear grupos de seguridad del tipo universal. Se pueden dar permisos a grupos universales de todos los dominios del bosque sin tener en cuenta la localización del grupo universal. Atributos de una cuenta de usuario Cada cuenta de usuario que se crea se asocia con una serie de atributos por defecto. Los atributos se usan para la búsqueda en el Directorio Activo. Por esta razón se debería de proporcionar detalladamente los atributos para cada cuenta de usuario que se cree. Después de crear la cuenta de usuario en el dominio, se podrán configurar los atributos de cuenta personales, opciones de logon y configuración de llamada. [Escribir texto] Diseño de Redes Figura: Propiedades de una cuenta de usuario 3.2.2 Perfiles de usuario Un perfil define el entorno personalizado del un usuario. El perfil contiene la configuración del escritorio y de los programas de usuario y se crea automáticamente para cada usuario cuando inicia sesión en un equipo. Un perfil ofrece muchas ventajas como: Múltiples usuarios pueden utilizar el mismo equipo, con la configuración de cada uno recuperada al iniciar sesión al mismo estado en que estaba cuando cerró sesión. Los cambios hechos por un usuario en el escritorio no afectan a otro usuario. Si los perfiles de usuario se almacenan en un servidor pueden seguir a los usuarios a cualquier equipo de la red que ejecute Windows Server 2003, Windows XP Professional, Windows 2000 o Windows NT 4. Se definen tres tipos de perfiles: Perfiles locales Son los perfiles creados en un equipo cuando un usuario inicia sesión. El perfil es específico de un usuario, local al equipo y se almacena en el disco duro del equipo local. El perfil de usuario se almacena en la carpeta c:\Documents and Settings. Perfiles móviles Son perfiles creados por el administrador y almacenados en un servidor. Estos perfiles siguen al usuario a cualquier máquina de la red Windows Server 2003, Windows XP Professional, Windows 2000 o Windows NT4. Perfiles obligatorios [Escribir texto] Diseño de Redes Son perfiles móviles que sólo pueden ser modificados por el administrador. Creación de perfiles móviles de usuario Para definir perfiles móviles, hay que asignar una ubicación en un servidor y completar los siguientes pasos: En primer lugar tiene que abrir Administración de equipos y para ello, haga clic en Inicio, seleccione Configuración y, a continuación, haga clic en Panel de control. Haga doble clic en Herramientas administrativas y, a continuación, doble clic en Equipos y usuarios del Directorio Activo. Cree una carpeta compartida en el servidor para los perfiles. En la pestaña Perfil de la ventana Propiedades de la cuenta de usuario hay que proporcionar una ruta de acceso a la carpeta compartida, como \\nombre_del_servidor\carpeta_de_perfiles_compartida \%username%, tal y como puede apreciarse en la figura Perfil de la cuenta de un usuario Creación de perfiles obligatorios de usuario Para convertir un perfil en un perfil obligatorio se debe renombrar el archivo oculto c:\Documents and Settings\carpeta_del_perfil\Ntuser.dat Poniendo c:\Documents and Settings\carpeta_del_perfil\Ntuser.man [Escribir texto] Diseño de Redes 3.3 Organización del sistema de archivos. 3.3.1 Discos dinámicos Administración de discos es una utilidad del sistema para administrar los discos duros y los volúmenes o particiones que contienen. Con Administración de discos, puede crear volúmenes, formatearlos con los sistemas de archivos, inicializar discos y crear sistemas de discos tolerantes a errores. Administración de discos, ofrece muchas características, entre las que se incluyen: Discos dinámicos: Con los discos dinámicos, puede realizar tareas administrativas sin apagar el sistema ni interrumpir a los usuarios. Por ejemplo, puede crear, extender o reflejar un volumen sin reiniciar el sistema. También puede agregar un disco nuevo sin reiniciar. La mayor parte de los cambios de la configuración surten efecto de forma inmediata. Administración de unidad de red y local: Desde cualquier equipo de Windows Server 2003 de la red, puede administrar otros equipos de red que ejecuten Windows 2000, Windows XP y Windows Server 2003 y en los que sea administrador. También puede administrar discos de manera remota en otro equipo de la red Un disco dinámico es un disco físico que contiene volúmenes dinámicos creados con Administración de discos. No pueden contener particiones ni unidades lógicas, y no se puede tener acceso a los mismos desde MS -DOS. Un disco duro puede ser o básico o dinámico, no pudiéndose combinar los dos tipos de almacenamiento en un disco. Se puede combinar el tipo de almacenamiento en discos diferentes. El almacenamiento dinámico tiene ventajas importantes: Los volúmenes se pueden ampliar para incluir espacios no contiguos de discos disponibles. No hay límites en el número de volúmenes que se pueden crear por disco. La información de la configuración del disco se almacena en el disco. Esta información se replica al resto de discos dinámicos para que si un disco falla no obstruya en el acceso a datos de los otros discos. Hay cinco tipos de volúmenes dinámicos: simple, distribuido, seccionado, reflejado y RAID. volumen simple. Un volumen simple contiene el espacio de disco de un sólo disco dinámico. Puede abarcar una sola región o varias regiones del mismo disco vinculadas entre sí. Si no es un volumen del sistema ni un volumen de inicio, se puede extender en el mismo disco o en discos adicionales. Si lo extiende en varios discos se convierte en un volumen distribuido. volumen distribuido Los volúmenes distribuidos contienen espacio en disco en más de un disco físico. Se puede aumentar el tamaño de un volumen distribuido si se extiende en discos dinámicos adicionales. No son tolerantes a fallos pero se pueden reflejar. Volumen seccionado Almacena datos en bandas de dos o más discos físicos. Los datos de un volumen seccionado son asignados de forma alternativa y equitativa (en bandas) en los discos. Estos volúmenes ofrecen mejor rendimiento de todos los disponibles en Windows, pero no son tolerantes a fallos. No se pueden reflejar ni ampliar. Son similares al conjunto de bandas sin paridad de Windows NT Volumen reflejado. [Escribir texto] Diseño de Redes Los volúmenes en espejo o reflejado son dos copias idénticas de un volumen simple, cada una en un disco duro diferente. Proporcionan tolerancia a fallos. Sólo se pueden crear volúmenes en discos dinámicos que ejecutan sistemas operativos Windows 2000 Server o Windows Server 200No pueden extenderse. RAID-5. Es un volumen de paridades distribuida con tolerancia a fallos, comparable al conjunto de bandas con paridad de Windows NT. Windows Server 2003 añade una banda de paridad a cada disco del volumen. La información de esta banda se usa para reconstruir los datos cuando un disco falla. RAID -5 requiere un mínimo de 3 discos duros y sólo se pueden crear en discos dinámicos de equipos que ejecutan las familias de sistemas operativos Windows 2000 Server o Windows Server 2003. 3.3.2 Volúmenes y particiones El número de particiones que puede crear en un disco básico depende del estilo de partición del disco: En los discos de registro de inicio maestro (MBR), puede crear hasta cuatro particiones primarias por disco, o bien puede crear hasta tres particiones primarias y una partición extendida. Dentro de la partición extendida, puede crear un número ilimitado de unidades lógicas. En los discos con tabla de particiones GUID (GPT) puede crear hasta 128 particiones primarias. Con GPT no existe la limitación a cuatro particiones, por lo que no es necesario crear particiones extendidas ni unidades lógicas. Cuando se crean particiones, se debería dejar un mínimo de 1 Megabyte de espacio no localizado en el disco en caso de que se decida mas tarde convertir el disco de básico a dinámico. El proceso de conversión crea una región de 1 MB en el final del disco dinámico en el que se almacena una base de datos que informa de la configuración del resto de discos dinámicos del equipo. Las siguientes tareas sólo se pueden realizar en un disco dinámico: Crear y eliminar volúmenes simples, distribuidos, seccionados, reflejados y RAID -Extender un volumen simple o distribuido. Quitar un espejo de un volumen reflejado o dividir el volumen en dos volúmenes. Reparar volúmenes reflejados o volúmenes RAID -5. Volver a activar un disco que falta o sin conexión Las siguientes tareas sólo se pueden realizar en un disco básico: Crear y eliminar particiones principales y particiones extendidas. Crear y eliminar unidades lógicas pertenecientes a una partición extendida. Formatear una partición y marcarla como activa. Eliminar conjuntos de volúmenes, conjuntos de bandas, conjuntos de espejos y conjuntos de bandas con paridad. Romper un espejo de un conjunto de espejos. Reparar un conjunto de espejos o un conjunto de bandas con paridad. 3.3.3 Limitaciones de discos dinámicos y volúmenes dinámicos Los discos dinámicos no son compatibles con equipos portátiles. Si va a utilizar un equipo portátil y haga clic con el botón secundario del ratón en un disco, en la vista gráfica o en la vista de lista de Administración de discos, no verá la opción para actualizar el disco a dinámico. Las limitaciones de volúmenes dinámicos se producen en las siguientes situaciones: [Escribir texto] Diseño de Redes Cuando se instala Windows Server 2003 Si se crea un volumen dinámico de espacio sin asignar en un disco dinámico, Windows Server 2003 no se puede instalar en e se volumen. Sin embargo, se puede extender el volumen (si es un volumen simple o distribuido). Esto se debe porque los discos de instalación de Windows Server 2003 sólo reconocen los volúmenes dinámicos que contienen tablas de partición. Las tablas de partición aparecerán en volúmenes básicos y en volúmenes dinámicos que se actualizaron de básicos a dinámicos. Si se crea un volumen dinámico nuevo en un disco dinámico, el volumen dinámico nuevo no contendrá la tabla de partición. Cuando se amplía un volumen Si se actualiza un volumen básico a dinámico (mediante la actualización de un disco básico a dinámico) se puede instalar Windows Server 2003 en ese volumen pero no puede ampliar el volumen. La limitación en la ampliación de volúmenes se debe a que el vo lumen de inicio, que contiene los archivos de Windows Server 2003, no puede ser parte de un volumen distribuido. Si se amplía un volumen simple con una tabla de partición (esto es, un volumen que se actualizó de básico a dinámico), el programa de instalación de Windows Server 2003 reconocerá el volumen distribuido pero no podrá instalarlo en él porque el volumen de inicio no puede ser parte de un volumen distribuido. Los únicos volúmenes dinámicos en los que se pueden instalar Windows Server 2003 son volúmenes simples y reflejados. Equipos portátiles y medios extraíbles Los discos dinámicos no se admiten en equipos portátiles, discos extraíbles, discos separables que utilizan la interfaz Bus serie universal (USB) o IEEE 1394 (también llamada FireWire), o en discos conectados a buses SCSI compartidos. 3.3.4 Recursos compartidos especiales Además de los recursos compartidos creados por los usuarios o por los administradores, el sistema crea varios recursos compartidos especiales para uso administrativo y del sistema que no se deben modificar ni eliminar. Estos recursos compartidos no se pueden ver en Mi PC, pero se pueden ver mediante Carpetas compartidas. Puede ocultar otros recursos compartidos a los usuarios si escribe $ como último carácter del nombre del recurso compartido (el signo $ pasa a formar parte del nombre del recurso. Los recursos compartidos especiales e xisten como parte de la instalación del sistema operativo. Dichos recursos son los siguientes: letra de unidad$ : Recurso compartido que permite a los administradores conectar al directorio raíz de una unidad. ADMIN$: Recurso que se utiliza durante la administración remota de un equipo. La ruta de acceso a este recurso es siempre la raíz del sistema (el directorio en el que está instalado el sistema operativo, por ejemplo, C:\Windows). IPC$: Recurso que comparte canalizaciones con nombre fundamentales para la comunicación entre programas. IPC$ se utiliza durante la administración remota de un equipo y al ver sus recursos compartidos. Este recurso no se puede eliminar. NETLOGON: Recurso necesario que se utiliza en los controladores de dom inio. Si se elimina este recurso compartido, se produce una pérdida de funcionalidad en todos los equipos cliente a los que da servicio el controlador de dominio. SYSVOL: Recurso necesario que se utiliza en los controladores de dominio. Si se elimina este recurso compartido, se produce una pérdida de funcionalidad en todos los equipos cliente a los que da servicio el controlador de dominio. PRINT$: Recurso que se utiliza para la administración remota de impresoras. FAX$: Carpeta compartida en un servidor utilizada por los clientes de fax durante el proceso de envío de fax. La carpeta compartida se utiliza para almacenar archivos en caché temporalmente y tener acceso a las portadas [Escribir texto] Diseño de Redes almacenadas en el servidor. 3.3.5 Permisos de un recurso compartido Los permisos de los recursos compartidos establecen el máximo acceso disponible. La tabla 7.2 resume los tres tipos de acceso, desde el más restrictivo al menos restrictivo. Permiso del recurso compartido Lectura Tipo de acceso Permite ver los nombres de archivos y de subcarpetas, ver los datos de los archivos y ejecutar archivos de programa. Modificar Permite el mismo acceso que Lectura y, además, agregar archivos y subcarpetas, cambiar datos en archivos, eliminar subcarpetas y archivos. Control total Permite el mismo acceso que Modificar y, además, modificar permisos (sólo en volúmenes NTFS) y tomar posesión (sólo en volúmenes NTFS). Tabla: Permisos sobre recursos compartidos 3.3.6 Publicar un directorio desde Equipos y usuarios del Directorio Activo Una de las claves de la administración de la red es cómo proporcionar publicación de seguridad de recursos de red a los usuarios de la red. Otro cambio es el de hacer más fácil el encontrar la información de la red. El Directorio Activo se diseñó para ello ya que guarda objetos y la información de ellos para ofrecer un mecanismo de control rápido y eficaz de acceso. Los recursos que se pueden publicar son objetos como usuarios, equipos, impresoras, archivos, directorios y servicios de red. La publicación de esta información hace más fácil a los usuarios encontrar a los recursos por la red. En Windows Server 2003 se puede publicar información sobre impresoras y directorios compartidos en el Directorio Activo desde la consola de Usuarios y equipos del Directorio Activo. Para publicar un directorio, siga los siguientes pasos: 1. Abra Usuarios y equipos del Directorio Activo desde las Herramientas Administrativas. 2. En el árbol de consola de esta herramienta, haga clic con el botón derecho del ratón en el dominio en el que se quiere publicar el directorio, marque Nuevo y después haga clic en Directorio Compartido. 3. Escriba el nombre que quiera que aparezca como recurso compartido en el Directorio Activo. 4. En la ruta de red escriba la ruta hacia el recurso compartido y después haga clic en OK. El directorio compartido aparecerá en el dominio. [Escribir texto] Diseño de Redes 3.4 Servicios de red. Directorio Activo Las mejoras en versatilidad, fiabilidad y facilidad de gestión que aporta Windows Server 2003 hacen que la planificación del Directorio Activo se vuelva más fácil y más flexible. Destaca la nueva capacidad de renombrar dominios, la posibilidad de redefinir el esquema, la selección múltiple de objetos sobre los cuales realizar cambios simultáneamente. Interoperatividad. Las redes de las empresas son heterogéneas, por lo que la interoperatividad de los diferentes sistemas operativos es imprescindible. Para ello, Windows Server 2003 puede comunicarse de forma nativa con los sistemas operativos UNIX y NetWare de Novell mediante el protocolo TCP/IP. Ofrece servicios para compartir archivos e impresoras con sistemas UNIX, NetWare y Macintosh. Windows Server 2003 soporta los estándares abiertos, como el Protocolo Ligtweight para acceso a directorios (Ligtweight Directory y Access Protocol, LDAP) y la seguridad del Protocolo de Internet de Microsoft (Microsoft Internet Protocol Security, IPSec), tiene una interoperatividad completa con los sistemas heredados que implementan esos estándares. Administración. A través de la Consola de Gestión de Políticas de Grupo (GPMC) se mejora y facilita la administración, integrándose aún más con los servicios del Directorio Activo, con el consiguiente ahorro de costes. Se mejora en los servicios de IntelliMirror y la nueva tecnología de Instalación Remota (RIS), con cuya implementación los usuarios pueden disponer de sus aplicaciones y datos sin importar desde donde se conecten a la red corporativa. Se ha potenciado la gestión a través de comandos, a dmitiendo scripting y facilitando la administración remota. Con Windows Server 2003 se amplían los servicios Windows Update, mediante los servicios de aceptación de drivers certificados, los servicios Secure Software Update, la actualización dinámica, y el catálogo de actualizaciones, que los administradores pueden controlar y distribuir mediante Systems Management Server u otras herramientas similares. Seguridad. Mantener los sistemas informáticos conectados de forma eficiente y segura es hoy en día más importante que nunca para garantizar la competitividad empresarial. La seguridad se ha convertido en norma fundamental para el desarrollo de nuevos productos y tecnologías de Microsoft. Así pues, a día de hoy es la mejor plataforma para establecer infraes tructuras de claves públicas (PKI, mediante Servicios de Certificados y herramientas de gestión de los mismos), que permite extender de forma segura la actividad de las empresas hacia Internet, con sus empleados, proveedores, clientes y socios en general. A ello contribuye el Internet Authentication Service (IAS) -un servidor y proxy RADIUS que gestiona la autenticación y autorización de usuarios -, el soporte del protocolo Kerberos V5, las mejoras en la autenticación de clientes SSL, la gestión de credenciales (incluyendo claves y certificados X.509), el Internet Connection Firewall y la seguridad mejorada del servidor Web. Con Windows Server 2003 ahora es más fácil encriptar la información para mantenerla segura dentro y fuera de la organización (gracias a los Servicios de Gestión de Derechos Digitales), y mediante políticas de restricción en el uso de software (con soporte de firma digital en Windows Installer) se pueden paliar los daños causados por virus y troyanos. Servicios de ficheros e impresión. Construidos sobre la base de Windows 2000 Server, en la nueva generación de Windows Server 2003 se han mejorado los servicios de ficheros e impresión, contribuyendo a la reducción del TCO (Costes) al incrementar la fiabilidad, productividad y la conectividad en los sistemas. Al mejorar la infraestructura del sistema de archivos (destacando las tecnologías DFS, EFS y el nuevo soporte de tecnologías Antivirus) ahora es más fácil utilizar, asegurar y almacenar tanto archivos como otros recursos esenciales, y acceder a la información con herramientas de indexación [Escribir texto] Diseño de Redes de contenidos más rápidas. En lo que respecta a la impresión, además de contar con soporte a más de 3.800 periféricos, los servicios disponen de tecnología tolerante a fallos en cluster, aceptando tareas de otras plataformas como Macintosh, UNIX, Linux o Novell, así como Wireless LAN y Bluetooth. El monitor de estado aporta un mayor rendimiento y más información sobre la situación de los dispositivos, cuyas características (ubicación, color, velocidad, etc) se pueden publicar en el Directorio Activo para un mayor aprovechamiento de estos recursos. Internet Information Services 6.0 . Totalmente rediseñado con el objetivo de mejorar la seguridad, fiabilidad y rendimiento, se instala completamente bloqueado por defecto. Basado en una nueva arquitectura, las aplicaciones Web en ejecución están aisladas una de la otra, permitiéndose la monitorización y administración proactiva de aplicaciones así como cambios de configuración en línea, reduciendo el tiempo que precisan los administradores para reiniciar servicios con el fin de mantener las aplicaciones operativas. Además con el nuevo IIS 6.0 la replicación de configuraciones de servicio web en diferentes servidores se convierte en una tarea totalmente automatizada permitiendo a los administradores reducir el tiempo de implementación al mínimo. Clustering. Los servicios de Clustering son cada vez más importantes en las organizaciones con aplicaciones críticas de negocio, hosting y de comercio electrónico, agrupando con ellos diversas máquinas que funcionan coordinadas y que son vistas por los usuarios y las aplicaciones como una única entidad. Con características avanzadas de recuperación ante fallos y balanceo de carga, ofrecen la máxima disponibilidad 7x24. Del Clustering cabe destacar la mayor facilidad de configuración (con pre- configuraciones y administración remota) y de administración de sus recursos (entre ellos el gestor de Balanceo de Carga), las métricas para análisis de disponibilidad, las capacidades mejoradas en seguridad (soporte de Kerberos, EFS e integración con Seguridad IP). Comunicaciones y servicios de red. Windows Server 2003 proporciona a las organizaciones los últimos estándares en tecnología de redes de comunicaciones, aportando entornos d e gestión simplificados y toda la versatilidad que demandan las empresas. Mejorando la gestión de políticas de grupo el administrador puede controlar los escritorios de los usuarios, sus configuraciones (hasta 200 nuevos parámetros), niveles de seguridad, restricciones de software, perfiles itinerantes, opciones del menú de Inicio, redirección de carpetas personales y mucho más. Mediante los servicios de Instalación Remota, las herramientas para migración de configuraciones de usuarios, el nuevo Windows In staller (con soporte de aplicaciones de 64 bit, así como de firmas digitales y CLR), los Software Update Services (SUS) para testear las actualizaciones de Windows Update antes de ser aplicadas en la organización y muchas otras nuevas características de Wi ndows Server 2003, se logra una mejor gestión centralizada de recursos y servicios, contribuyendo así a la reducción del TCO y el aumento de la productividad de los usuarios. Servicios de Terminal. Permiten disponer de aplicaciones Windows e incluso de los propios escritorios Windows en prácticamente cualquier dispositivo, incluyendo aquellos que ni siquiera funcionan bajo sistemas operativos Windows. Los nuevos Terminal Services, construidos sobre la base y la experiencia de los existentes en Windows 2000 Server, ofrecen nuevas opciones para la implementación de aplicaciones, un acceso más eficiente a los datos con conexiones de menor ancho de banda, mayor número de usuarios concurrentes. Administración de Almacenamiento. Añade nuevas y mejoradas funcionalidades para la gestión del almacenamiento, haciendo más fácil y fiable la manipulación de discos y volúmenes, copias de seguridad y procesos de restauración, así como la conexión a redes SAN (Storage Area Networks). DFS (Distributed File System) permite a los administradores asignar un único namespace, proporcionando a los usuarios un único acceso virtual a elementos agrupados de forma lógica, aunque estén almacenados en diferentes localizaciones físicas. La encriptación de datos de los usuarios (EFS, Encrypting File Systems) es ahora más sencilla. [Escribir texto] Diseño de Redes Windows Media Services. Los Windows Media Services ofrecen nuevas oportunidades de comunicación (eLearning y broadcasting, tanto comercial como corporativo). A esto contribuye también el Audio Accelerati on, que da prioridad, a la carta, al tráfico multimedia sobre otros flujos de datos en servidores de acceso remoto, lo que proporciona un mejor rendimiento, beneficiando especialmente a las redes de baja velocidad. [Escribir texto] Diseño de Redes 3.5 Sistema lógico de seguridad. 3.5.1 Políticas generales de seguridad Una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos, importantes de la organización. No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el por qué de ello. Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía. Elementos de una política de seguridad informática Como mencionábamos en el apartado anterior, una PSI debe orientar las decisiones que se toman en relación con la seguridad. Por tanto, requiere de una disposición por parte de cada uno de los miembros de la empresa para lograr una visión conjunta de lo que se considera importante. Las PSI deben considerar entre otros, los siguientes elementos: Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Invitación que debe concluir en una posición. Objetivos de la política y descripción clara de los elementos involucrados en su definición. Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización. Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija el alcance de la política. Definición de violaciones y de las consecuencias del no cumplimiento de la política. Responsabilidades de los usuarios con respecto a la información a la que ella tiene acceso. Las PSI deben ofrecer explicaciones comprensibles acerca de por qué deben tomarse ciertas decisiones, transmitir por qué son importantes estos u otros recursos o servicios. De igual forma, las PSI establecen las expectativas de la organización en relación con la seguridad y lo que ella puede esperar de las acciones que la materializan en la compañía. Deben mantener un lenguaje común libre de tecnicismos y términos legales que impidan una comprensión clara de las mismas, sin sacrificar su precisión y formalidad dentro de la empresa. Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. No debe especificar con exactitud qué pasara o cuándo algo sucederá; no es una sentencia obligatoria de la ley. Finalmente, las PSI como documentos dinámicos de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de negocios entre otros. [Escribir texto] Diseño de Redes Algunos parámetros para establecer políticas de seguridad Si bien las características de la PSI que hemos mencionado hasta el momento, nos muestran una perspectiva de las implicaciones en la formulación de estas directrices, revisaremos a continuación, algunos aspectos generales recomendados para la formulación de las mismas. Considere efectuar un ejercicio de análisis de riesgos informático, a través del cual valore sus activos, el cual le permitirá afinar las PSI de su organización. Involucre a las áreas propietarias de los recursos o servicios, pues ellos poseen la experiencia y son fuente principal para establecer el alcance y las definiciones de violaciones a la PSI. Comunique a todo el personal involucrado en el desarrollo de las PSI, los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. Recuerde que es necesario identificar quién tiene la autoridad para tomar decisiones, pues son ellos los responsables de salvaguardar los activos críticos de la funcionalidad de su área u organización. Desarrolle un proceso de monitoreo periódico de las directrices en el hacer de la organización, que permita una actualización oportuna de las mismas. Un último consejo: no dé por hecho algo que es obvio. Haga explícito y concreto los alcances y propuestas de seguridad, con el propósito de evitar sorpresas y malos entendidos en el momento de establecer los mecanismos de seguridad que respondan a las PSI trazadas. Análisis de riesgos. Tal como puede visualizarse, en el gráfico están plasmados todos los elementos que intervienen para el estudio de una política de seguridad. Se comienza realizando una evaluación del factor humano interviniente - teniendo en cuenta que éste es el punto más vulnerable en toda la cadena de seguridad -, de los mecanismos con que se cuentan para llevar a cabo los procesos necesarios ( mecanismos técnicos, físicos ó lógicos), luego, el medio ambiente en que se desempeña el sistema, las consecuencias que puede traer aparejado defectos en la seguridad (pérdidas físicas, pérdidas económicas, [Escribir texto] Diseño de Redes en la imagen de la organización, etc.), y cuáles son las amenazas posibles. Una vez evaluado todo lo anterior, se origina un programa de seguridad, que involucra los pasos a tomar para poder asegurar el umbral de seguridad que se desea. Luego, se pasa al plan de acción, que es cómo se va a llevar a cabo el programa de seguridad. Finalmente, se redactan los procedimientos y normas que permiten llegar a buen destino. Con el propósito de asegurar el cumplimiento de todo lo anterior, se realizan los controles y la vigilancia que aseguran el fiel cumplimiento de los tres puntos antepuestos. Para asegurar un marco efectivo, se realizan auditorías a los controles y a los archivos logísticos que se generen en los procesos implementados (de nada vale tener archivos logísticos si nunca se los analizan o se los analizan cuando ya ha ocurrido un problema). Con el objeto de confirmar el buen funcionamiento de lo creado, se procede a simular eventos que atenten contra la seguridad del sistema. Como el proceso de seguridad es un proceso dinámico, es necesario realizar revisiones al programa de seguridad, al plan de acción y a los procedimientos y normas. Estas revisiones, tendrán efecto sobre los puntos tratados en el primer párrafo y, de esta manera, el proceso se vuelve a repetir. Es claro que el establecimiento de políticas de seguridad es un proceso dinámico sobre el que hay que estar actuando permanentemente, de manera tal que no quede desactualizado; que, cuando se le descubran debilidades, éstas sean subsanadas y, finalmente, que su práctica por los integrantes de la organización no caiga en desuso. Implantación de políticas de seguridad informática. Muchas veces, las organizaciones realizan grandes esfuerzos para definir sus directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, con relativo éxito. Según algunos estudios [5] resulta una labor ardua convencer a los altos ejecutivos de la necesidad de buenas políticas y practicas de seguridad informática. Muchos de los inconvenientes se inician por los tecnicismos informáticos y por la falta de una estrategia de mercadeo de los especialistas en seguridad que, llevan a los altos directivos a pensamientos como: "más dinero para los juguetes de los ingenieros". Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad que, en muchos de los casos, lleva a comprometer su información sensible y por ende su imagen corporativa. Ante esta encrucijada, los encargados de la seguridad deben asegurarse de que las personas relevantes entienden los asuntos importantes de la seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación con esos asuntos. En particular, la gente debe conocer las consecuencias de sus decisiones, incluyendo lo mejor y lo peor que podría ocurrir. [3, pág.394] Una intrusión o una travesura puede convertir a las personas que no entendieron, en blanco de las políticas o en señuelos de los verdaderos vándalos. Luego, para que las PSI logren abrirse espacio en el interior de una organización deben integrarse a las estrategias del negocio, a su misión y visión, con el propósito de que los que toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la compañía. De igual forma, las PSI deben ir acompañadas de una visión de negocio que promueva actividades que involucren a las personas en su hacer diario, donde se identifiquen las necesidades y acciones que materializan las políticas. En este contexto, entender la organización, sus elementos culturales y comportamientos nos debe llevar a reconocer las pautas de seguridad necesarias y suficientes que aseguren confiabilidad en las operaciones y funcionalidad de la compañía. A continuación, mencionamos algunas recomendaciones para concientizar sobre la seguridad informática: Desarrolle ejemplos organizacionales relacionados con fallas de seguridad que capten la atención de sus interlocutores. Asocie el punto anterior a las estrategias de la organización y a la imagen que se tiene de la organización en el desarrollo de sus actividades. Articule las estrategias de seguridad informática con el proceso de toma de decisiones y los principios de integridad, confidencialidad y disponibilidad de la información. Muestre una valoración costo-beneficio, ante una falla de seguridad. [Escribir texto] Diseño de Redes Justifique la importancia de la seguridad informática en función de hechos y preguntas concretas, que muestren el impacto, limitaciones y beneficios sobre los activos claves de la organización. Las políticas de seguridad informática como base de la administración de la seguridad integral. Las políticas de seguridad informática conforman el conjunto de lineamientos que una organización debe seguir para asegurar la confiabilidad de sus sistemas. En razón de lo anterior, son parte del engranaje del sistema de seguridad que la organización posee para salvaguardar sus activos. Las PSI constituyen las alarmas y compromisos compartidos en la organización, que le permiten actuar proactivamente ante situaciones que comprometan su integridad. Por tanto, deben constituir un proceso continuo y retroalimentado que observe la concientización, los métodos de acceso a la información, el monitoreo de cumplimiento y la renovación, aceptación de las directrices y estrategia de implantación, que lleven a una formulación de directivas institucionales que logren aceptación general. Las políticas por sí mismas no constituyen una garantía para la seguridad de la organización. Ellas deben responder a intereses y necesidades organizacionales basados en la visión de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos y a reconocer en los mecanismos de seguridad informática factores que facilitan la normalización y materialización de los compromisos adquiridos con la organización. La seguridad tiene varios estratos: El marco jurídico adecuado. Medidas técnico-administrativas, como la existencia de políticas y procedimientos o la creación de funciones, como administración de la seguridad o auditoría de sistemas de información interna. Ambas funciones han de ser independientes y nunca una misma persona podrá realizar las dos ni existir dependencia jerárquica de una función respecto de otra. En cuanto a la administración de seguridad pueden existir, además, coordinadores en las diferentes áreas funcionales y geográficas de cada entidad, especialmente si la dispersión, la complejidad organizativa o el volumen de la entidad así lo demandan. En todo caso, debe existir una definición de funciones y una separación suficiente de tareas. No tiene sentido que una misma persona autorice una transacción, la introduzca, y revise después los resultados (un diario de operaciones, por ejemplo), porque podría planificar un fraude o encubrir cualquier anomalía; por ello deben intervenir funciones / personas diferentes y existir controles suficientes. La seguridad física, como la ubicación de los centros de procesos, las protecciones físicas, el control físico de accesos, los vigilantes, las medidas contra el fuego y el agua, y otras similares. La llamada seguridad lógica, como el control de accesos a la información exige la identificación y autenticación del usuario, o el cifrado de soportes magnéticos intercambiados entre entidades o de respaldo interno, o de información transmitida por línea. Puede haber cifrado de la información por dispositivos físicos o a través de programas, y en casos más críticos existen los dos niveles. Riesgos La autenticación suele realizarse mediante una contraseña, aún cuando sería más lógico - si bien los costes resultan todavía altos para la mayoría de sistemas - que se pudiera combinar con características biométricas del usuario para impedir la suplantación. Entre éstas pueden estar: la realización de la firma con reconocimiento automático por ordenador, el análisis del fondo de ojo, la huella digital u otras. Al margen de la seguridad, nos parece que el mayor riesgo, aún teniendo un entorno muy seguro, es que la Informática y la Tecnología de la Información en general no cubran las necesidades de la entidad; o que no estén alineadas con las finalidades de la organización. Limitándonos a la seguridad propiamente dicha, los riesgos pueden ser múltiples. El primer paso es conocerlos y el segundo es tomar decisiones al respecto; conocerlos y no tomar decisiones no tiene sentido y debiera crearnos una situación de desasosiego. Dado que las medidas tienen un costo, a veces, los funcionarios se preguntan cuál es el riesgo máximo que podría soportar su organización. La respuesta no es fácil porque depende de la criticidad del sector y de la entidad misma, de su dependencia respecto de la información, y del impacto que su no disponibilidad pudiera tener en la entidad. Si nos basamos en el impacto nunca debería aceptarse un riesgo que pudiera llegar a poner en peligro la [Escribir texto] Diseño de Redes propia continuidad de la entidad, pero este listón es demasiado alto. Por debajo de ello hay daños de menores consecuencias, siendo los errores y omisiones la causa más frecuente normalmente de poco impacto pero frecuencia muy alta - y otros, como por ejemplo: el acceso indebido a los datos (a veces a través de redes), la cesión no autorizada de soportes magnéticos con información crítica (algunos dicen "sensible"), los daños por fuego, por agua (del exterior como puede ser una inundación, o por una tubería interior), la variación no autorizada de programas, su copia indebida, y tantos otros, persiguiendo el propio beneficio o causar un daño, a veces por venganza. Otra figura es la del “hacker”, que intenta acceder a los sistemas sobre todo para demostrar (a veces, para demostrarse a sí mismo/a) qué es capaz de hacer, al superar las barreras de protección que se hayan establecido. Alguien podría preguntarse por qué no se citan los virus, cuando han tenido tanta incidencia. Afortunadamente, este riesgo es menor en la actualidad comparando con años atrás. Existe, de todas maneras, un riesgo constante porque de forma continua aparecen nuevas modalidades, que no son detectadas por los programas antivirus hasta que las nuevas versiones los contemplan. Un riesgo adicional es que los virus pueden llegar a afectar a los grandes sistemas, sobre todo a través de las redes, pero esto es realmente difícil - no nos atrevemos a decir que imposible- por las características y la complejidad de los grandes equipos y debido a las características de diseño de sus sistemas operativos. En definitiva, las amenazas hechas realidad pueden llegar a afectar los datos, en las personas, en los programas, en los equipos, en la red y algunas veces, simultáneamente en varios de ellos, como puede ser un incendio. Podríamos hacernos una pregunta realmente difícil: ¿qué es lo más crítico que debería protegerse? La respuesta de la mayoría, probablemente, sería que las personas resultan el punto más crítico y el valor de una vida humana no se puede comparar con las computadoras, las aplicaciones o los datos de cualquier entidad. Ahora bien, por otra parte, podemos determinar que los datos son aún más críticos si nos centramos en la continuidad de la entidad. Como consecuencia de cualquier incidencia, se pueden producir unas pérdidas que pueden ser no sólo directas (comúnmente que son cubiertas por los seguros)más facilmente, sino también indirectas, como la no recuperación de deudas al perder los datos, o no poder tomar las decisiones adecuadas en el momento oportuno por carecer de información. Sabemos que se producen casos similares en gran parte de entidades, pero en general no conocemos a cuáles han afectado (o lo sabemos pero no podemos difundirlo), porque por imagen estos no se hacen públicos y el hecho de que se conozcan muchos más referidos a Estados Unidos y a otros puntos lejanos que respecto de nuestros países no significa que estemos a salvo, sino que nuestro pudor es mayor y los ocultamos siempre que podemos. Subestados de Seguridad de la información. Niveles de trabajo Confidencialidad Integridad Autenticidad No Repudio Disponibilidad de los recursos y de la información Consistencia Control de Acceso Auditoría Confidencialidad Consiste en proteger la información contra la lectura no autorizada explícitamente. Incluye no sólo la protección de la información en su totalidad, sino también las piezas individuales que pueden ser utilizadas para inferir otros elementos de información confidencial. Integridad Es necesario proteger la información contra la modificación sin el permiso del dueño. La información a ser protegida incluye no sólo la que está almacenada directamente en los sistemas de cómputo sino que también se deben [Escribir texto] Diseño de Redes considerar elementos menos obvios como respaldos, documentación, registros de contabilidad del sistema, tránsito en una red, etc. Esto comprende cualquier tipo de modificaciones: Causadas por errores de hardware y/o software. Causadas de forma intencional. Causadas de forma accidental Cuando se trabaja con una red, se debe comprobar que los datos no fueron modificados durante su transferencia. Autenticidad En cuanto a telecomunicaciones se refiere, la autenticidad garantiza que quien dice ser "X" es realmente "X". Es decir, se deben implementar mecanismos para verificar quién está enviando la información. No repudio Ni el origen ni el destino en un mensaje deben poder negar la transmisión. Quien envía el mensaje puede probar que, en efecto, el mensaje fue enviado y viceversa. Disponibilidad de los recursos y de la información De nada sirve la información si se encuentra intacta en el sistema pero los usuarios no pueden acceder a ella. Por tanto, se deben proteger los servicios de cómputo de manera que no se degraden o dejen de estar disponibles a los usuarios de forma no autorizada. La disponibilidad también se entiende como la capacidad de un sistema para recuperarse rápidamente en caso de algún problema. Consistencia Se trata de asegurar que el sistema siempre se comporte de la forma esperada, de tal manera que los usuarios no encuentren variantes inesperadas. Control de acceso a los recursos Consiste en controlar quién utiliza el sistema o cualquiera de los recursos que ofrece y cómo lo hace. Auditoría Consiste en contar con los mecanismos para poder determinar qué es lo que sucede en el sistema, qué es lo que hace cada uno de los usuarios y los tiempos y fechas de dichas acciones. En cuanto a los dos últimos puntos resulta de extrema importancia, cuando se trata de los derechos de los usuarios, diferenciar entre “espiar” y “monitorear” a los mismos. La ética es algo que todo buen administrador debe conocer y poseer. Finalmente, todos estos servicios de seguridad deben ser tomados en cuenta en el momento de elaborar las políticas y procedimientos de una organización para evitar pasar por alto cuestiones importantes como las que señalan dichos servicios. De esta manera, es posible sentar de forma concreta y clara los derechos y límites de usuarios y administradores. Sin embargo antes de realizar cualquier acción para lograr garantizar estos servicios, es necesario asegurarnos de que los usuarios conozcan sus derechos y obligaciones (es decir, las políticas), de tal forma que no se sientan agredidos por los procedimientos organizacionales. Algoritmo Cuando se piensa establecer una estrategia de seguridad, la pregunta que se realiza, en primera instancia, es: ¿en qué baso mi estrategia?. La respuesta a esta pregunta es bien simple. El algoritmo Productor/Consumidor. En este algoritmo, hay dos grandes entidades: una que es la encargada de producir la información; la otra entidad es el consumidor de esta información y otra, llamada precisamente “otros”. Entre el productor y el consumidor, se define una relación que tiene como objetivo una transferencia de “algo” entre ambos, sin otra cosa [Escribir texto] Diseño de Redes que intervenga en el proceso. Si esto se logra llevar a cabo y se mantiene a lo largo del tiempo, se estará en presencia de un sistema seguro. En la realidad, existen entidades y/o eventos que provocan alteraciones a este modelo. El estudio de la seguridad, en pocas palabras, se basa en la determinación, análisis y soluciones de las alteraciones a este modelo. En una observación y planteo del modelo, determinamos que sólo existen cuatro tipos de alteraciones en la relación producción-consumidor (ver el gráfico del algoritmo) Antes de pasar a explicar estos casos, habrá que definir el concepto de “recurso”. Recurso, está definido en el diccionario Espasa Calpe como “bienes, medios de subsistencia”. Esta es una definición muy general. De todas maneras, resulta conveniente para nuestra tarea. Podemos mencionar como recurso a cualquier cosa, ya sean bienes específicos o que permitan la subsistencia de la organización como tal. Debido a ello, es que podemos diferenciar claramente tres tipos de recursos: Físicos Lógicos Servicios. Los recursos físicos son, por ejemplo, las impresoras, los servidores de archivos, los routers, etc. Los recursos lógicos son, por ejemplo, las bases de datos de las cuales sacamos la información que permite trabajar en la organización. Los servicios son, por ejemplo, el servicio de correo electrónico, de página WEB, etc. Todas las acciones correctivas que se lleven a cabo con el fin de respetar el modelo estarán orientadas a atacar uno de los cuatro casos. Explicaremos y daremos ejemplos de cada uno de ellos. [Escribir texto] Diseño de Redes El caso número uno es el de Interrupción. Este caso afecta la disponibilidad del recurso (tener en cuenta la definición de recurso: físico, lógico y servicio). Por ejemplo: Recurso afectado Nombre Causa Efecto Servicio Correo electrónico Alguien dio de baja el servidor (por algún método) No poder enviar mail Físico Impresora Falta de alimentación eléctrica. No imprime El segundo caso es el de Intercepción, en el cual se pone en riesgo la privacidad de los datos. Recurso afectado Nombre Causa Efecto Lógico Datos sobre cuentas en el banco Se ha puesto un dispositivo que permite monitorear los paquetes en la red y sacar información de ellos. Conseguir datos privados sobre montos de cuentas corrientes Servicio Correo electrónico Se ha implantado un programa que duplica los mensajes (mails) que salen de una sección y los envía a una dirección. Leer información El tercer caso, Modificación afecta directamente la integridad de los datos que le llegan al consumidor. Recurso afectado Nombre Causa Efecto Lógico Base de datos de pagos en cuentas corrientes Se ha implantado un programa que redondea en menos los pagos y carga éstos redondeos a una cuenta corriente Incrementar el crédito de una cuenta corriente en base al redondeo realizado en los pagos Servicio Servidor WEB. Alguien logró ingresar como WEBMASTER y ha cambiado los contenidos de la página Los datos mostrados en la página no son los reales de página El cuarto y último caso es el de la producción impropia de información. En éste, la información que recibe el consumidor es directamente falaz. [Escribir texto] Diseño de Redes Recurso afectado Nombre Lógico Datos deudores Servicio Servidor WEB Causa de Efecto Se ha generado una base de datos falsa, la que ante el pedido de informes, responde ella con sus datos Hacer pasar a los deudores como que no lo son Alguien se ha apropiado del password del WEBMASTER y, modificando el direccionamiento, logra que se cargue otra página WEB Redireccionar la página WEB hacia otro sitio Una vez que estamos enterados de que hay sólo cuatro posibles casos de causas posibles de problemas, ¿que se hace?. Hay que identificar los recursos dentro de la organización. 3.6 Ejercicios resueltos. 3.6.1 Escenario 1: Red local con proxy perimetral. [Escribir texto] Diseño de Redes 3.6.2 Escenario 2: Intranet con DMZ y red interior. [Escribir texto] Diseño de Redes 3.6.3 Escenario 3: Redes locales con conexión punto a punto inalámbrica. 3.6.4 Escenario 4:Semejante al anterior. [Escribir texto] Diseño de Redes 3.6.5 Escenario 5: Edificio de 15 plantas. Este diseño se realizo siguiendo unos requisitos muy específicos en cuanto a densidades de tráfico y seguridad. [Escribir texto]