Tesis seguridad red.pdf
-
Upload
guido-reyes -
Category
Documents
-
view
34 -
download
1
Transcript of Tesis seguridad red.pdf
ANÁLISIS, DISEÑO DE LA RED Y PLAN DE SEGURIDAD “ERCO”
1
UNIVERSIDAD POLITECNICA SALESIANA SEDE
CUENCA
FACULTAD DE INGENIERIAS
ESCUELA DE INGENIERIA DE SISTEMAS
Tesis previa a la obtención del Título de
Ingeniero de Sistemas
ANÁLISIS, DISEÑO DE LA RED Y ELABORACIÓN
DEL PLAN DE SEGURIDAD DE LA COOPERATIVA
DE AHORRO Y CRÉDITO “ERCO”.
AUTORAS:
Daissy Alicia Arias Narváez
Nelly Graciela Heredia Saico
DIRECTOR:
Ing. Vladimir Robles
CUENCA - ECUADOR
2007
ANÁLISIS, DISEÑO DE LA RED Y PLAN DE SEGURIDAD “ERCO”
2
DECLARACIÓN DE RESPONSABILIDAD
Los conceptos desarrollados, análisis realizados y las conclusiones del presente trabajo, son de exclusiva responsabilidad de las autoras.
Cuenca, febrero del 2007
----------------------------------------- Daissy Arias Narváez
ANÁLISIS, DISEÑO DE LA RED Y PLAN DE SEGURIDAD “ERCO”
3
CERTIFICO
Que bajo mi dirección la presente tesis fue realizada
por las señoritas:
Daissy Alicia Arias Narváez Nelly Graciela Heredia Saico
----------------------------------------- Ing. Vladimir Robles
----------------------------------------- Nelly Heredia Saico
ANÁLISIS, DISEÑO DE LA RED Y PLAN DE SEGURIDAD “ERCO”
4
DEDICATORIA
Agradecemos a Dios por permitirnos llegar a culminar nuestros estudios.
A nuestros padres y familiares por el apoyo incondicional que siempre nos han brindado y por acompañarnos en los momentos más difíciles, ya que sin ellos no
hubiésemos podido terminar esta tesis.
A nuestros profesores por los conocimientos que han compartido con nosotras.
ANÁLISIS, DISEÑO DE LA RED Y PLAN DE SEGURIDAD “ERCO”
5
ÍNDICE DE CONTENIDOS
INTRODUCCION GENERAL…………………………………………………….3
1 CAPITULO 1: CONCEPTOS GENERALES DE REDES LAN Y MAN ........ 10 1.1 Introducción ............................................................................................... 10 1.2 Redes MAN (Redes de Área Metropolitana) ............................................. 11 1.3 Red LAN (LOCAL AREA NETWORK) .................................................. 12 1.4 Diseño LAN ............................................................................................... 12
1.4.1 Objetivos del diseño de una red ......................................................... 12 1.4.2 Consideraciones en el diseño de una LAN ........................................ 13
1.5 METODOLOGÍA DE DISEÑO DE UNA LAN ....................................... 16 1.5.1 Obtención de los requisitos y expectativa de los usuarios ................. 16 1.5.2 Análisis de los requisitos. ................................................................... 17 1.5.3 Diseño de la estructura LAN en las capas 1,2 y 3 (topología). .......... 18
1.6 Dispositivos de una LAN ........................................................................... 29 2 CAPITULO II: CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMÁTICA. ....................................................................................................... 31
2.1 Introducción ............................................................................................... 31 2.2 Conceptos de seguridad.............................................................................. 31
2.2.1 Proceso para aplicar seguridad informática ...................................... 32 2.2.2 Impacto de la seguridad informática en la organización ................... 35
2.3 Seguridad lógica ......................................................................................... 35 2.4 Seguridad en las comunicaciones............................................................... 36 2.5 Seguridad de las aplicaciones..................................................................... 37 2.6 Seguridad física .......................................................................................... 37 2.7 Políticas de seguridad ................................................................................. 38
2.7.1 Que son las políticas de Seguridad informática. ................................ 38 2.7.2 Parámetros para Establecer Políticas de Seguridad ........................... 38
3 CAPITULO 3: DIAGNÓSTICO INICIAL DE LA EMPRESA........................ 40 3.1 Introducción ............................................................................................... 40 3.2 Estado actual de la empresa. ...................................................................... 41 3.3 Análisis de la red existente. ........................................................................ 42 3.4 Identificación de los activos de la empresa ................................................ 44 3.5 Elaboración del Documento ....................................................................... 45
4 CAPITULO IV: ANALISIS Y LEVANTAMIENTO DE LA INFORMACION DE LA RED ............................................................................................................... 46
4.1 Ubicación de la red..................................................................................... 46 4.2 Análisis del tráfico ..................................................................................... 47 4.3 Revisión del Ancho de Banda ................................................................... 50 4.4 Revisión de la Tecnología existente .......................................................... 50
5 CAPITULOV: DISEÑO DE LA RED ............................................................... 52 5.1 Diseño mapa lógico de la red ..................................................................... 52
5.1.1 Diseño de la Topología de la red........................................................ 52 5.1.2 Diseño del mapa de direccionamiento ............................................... 56 5.1.3 Elaboración tabla de ruteo .................................................................. 61
5.2 Diseño mapa físico de la LAN ................................................................... 62 5.2.1 Planes de distribución de conexiones ................................................. 63 5.2.2 Ubicación de Cuartos de Telecomunicaciones y Equipos ................. 64
5.3 Elaboración del Documento ....................................................................... 65
ANÁLISIS, DISEÑO DE LA RED Y PLAN DE SEGURIDAD “ERCO”
6
6 CAPITULO VI: .................................................................................................. 66 DISEÑO DEL PLAN DE SEGURIDAD .................................................................. 66
6.1 Introducción ............................................................................................... 66 6.2 Análisis de los requerimientos de las aplicaciones del negocio. ............. 66 6.3 Identificación de los activos de la empresa .............................................. 67 6.4 Análisis de los posibles riesgos y amenazas a la red ................................. 68
6.4.1 Lógicos ............................................................................................... 68 6.4.2 Físicos ................................................................................................ 69
6.5 Diseño de las políticas de seguridad: ........................................................ 70 6.5.1 Seguridad Lógica ............................................................................... 71 6.5.2 Seguridad en la Comunicaciones ....................................................... 74 6.5.3 Seguridad Física ................................................................................. 75
6.6 Elaboración del documento de Políticas de Seguridad .............................. 77 CONCLUSIONES ..................................................................................................... 78 RECOMENDACIONES ............................................................................................ 79 BIBLIOGRAFIA ....................................................................................................... 80 ANEXOS ................................................................................................................... 81
Anexos 1: Fotografías de la empresa ..................................................................... 81 Anexo 2: Cableado estructurado ............................................................................ 84
1. Diseño del cableado estructurado 81 2. Detalles constructivos .................................................................................... 89 3. Dispositivos .................................................................................................... 94 4. Recomendaciones del cableado estructurado ................................................. 96 5. Normas y códigos del cableado estructurado ................................................. 97
ÍNDICE DE TABLAS
Tabla 1: Direccionamiento lógico asignado a una red física ..................................... 28 Tabla 2: Tabla de direcciones de la matriz y sucursales de “ERCO” ........................ 56 Tabla 3: Tabla de direcciones de los Servidores de la empresa “ERCO” .................. 57 Tabla 4: Tabla de direcciones IP de las VLANs Matriz ............................................ 58 Tabla 5: Tabla de direcciones IP de la VLAN de la agencia Cumbe ......................... 58 Tabla 6: Tabla de direcciones IP de la VLAN de la agencia Baños .......................... 58 Tabla 7: Tabla de direcciones IP de la VLAN de la agencia Cumbe ......................... 59 Tabla 8: Tabla de direcciones IP de la VLAN de la agencia Cumbe ......................... 59 Tabla 9: Tabla de ruteo de matriz .............................................................................. 62 Tabla 10: Tabla de ruteo de las VPNs ........................................................................ 62 Tabla 11: Distribución de conexiones ........................................................................ 64 Tabla 12: Tabla de direcciones IP y puntos de red de las agencias de “ERCO” ....... 89
ANÁLISIS, DISEÑO DE LA RED Y PLAN DE SEGURIDAD “ERCO”
7
INDICE DE FIGURAS
Figura 1: Diagrama de una red MAN ........................................................................ 11 Figura 2: Segmentación ............................................................................................. 15 Figura 3: MDF típico en una topología estrella ......................................................... 19 Figura 4: Topología en estrella extendida en un campus con varios edificios........... 20 Figura 5: Diagrama lógico de una red ........................................................................ 21 Figura 6: Conmutación asimétrica ............................................................................. 22 Figura 7: Conmutación Capa 2 .................................................................................. 23 Figura 8: Dominios de colisión de capa 2 .................................................................. 23 Figura 9: Migración a un ancho de banda mayor ....................................................... 25 Figura 10: Implementación de un Router de capa 3 .................................................. 26 Figura 11: Implementación VLAN ............................................................................ 27 Figura 12: Los Routers generan estructura lógica...................................................... 27 Figura 13: Hub ........................................................................................................... 29 Figura 14: Puente ....................................................................................................... 29 Figura 15: Switch ....................................................................................................... 29 Figura 16: Router ....................................................................................................... 30 Figura 17: Detalle del proceso según el ISO 17799 ................................................... 32 Figura 18: Distribución de conexiones en la red actual (Matriz) ............................... 42 Figura 19: Planta Baja Cooperativa de Ahorro y Crédito “ERCO” ........................... 43 Figura 20: Primera Planta .......................................................................................... 43 Figura 21: Segunda Plana .......................................................................................... 44 Figura 22: Diagrama general de la red ....................................................................... 46 Figura 23: Análisis de tráfico de red IP: 132.150.10.16 ............................................ 48 Figura 24: Análisis de tráfico de la red IP: 132.150.10.45 ........................................ 49 Figura 25: Tecnología que utiliza “ERCO” ............................................................... 51 Figura 26: Topología en Estrella extendida de “ERCO” ........................................... 53 Figura 27: Diagrama de VLAN.................................................................................. 55 Figura 28: Direccionamiento General de toda la Red ................................................ 56 Figura 29: Diagrama de Direccionamiento de la cooperativa “ERCO” .................... 60 Figura 30: VPNs ......................................................................................................... 61 Figura 31: Diagrama general de la red ....................................................................... 62 Figura 32: Fotografía de la ubicación física del Router y la centralilla ..................... 81 Figura 33: Fotografía del acceso al router y la centralilla .......................................... 81 Figura 34: Fotografía del Departamento de Sistemas (Switch 8 puertos que conecta los servidores) ............................................................................................................ 82 Figura 35: Fotografía de la ubicación física de los Servidores .................................. 82 Figura 36: Fotografía del cableado que tienen en el Departamento de sistemas ....... 83 Figura 37: Fotografía del Departamento de Sistemas ................................................ 83 Figura 38: Diseño físico Planta Baja .......................................................................... 92 Figura 39: Diseño físico Primera Planta .................................................................... 93 Figura 40: Diseño Físico Segunda Planta .................................................................. 93 Figura 41: Diseño físico de Cableado Backbone ....................................................... 94
ANÁLISIS, DISEÑO DE LA RED Y PLAN DE SEGURIDAD “ERCO”
8
INTRODUCCION
Al ser la información uno de los activos más importantes de las organizaciones es
muy importante que sea manejada y empleada con mucho criterio, ya que de ello
podría depender el éxito o fracaso de la empresa. La información puede ser de
origen público o privado.
Considerando la importancia de la información se debe emplear herramientas que
faciliten el manejo y acceso al recurso informático, una de las herramientas que
permite utilizar la información de manera más eficiente, rápida y confiable son las
redes de computadoras, las mismas que se encuentran en un constante avance
tecnológico.
Una red es un conjunto de computadoras o dispositivos de procesamiento conectados
entre sí en forma lógica y física con la finalidad de optimizar sus recursos y emular el
proceso de un sistema de cómputo único.
Al ser los Bancos y Cooperativas de Ahorro y Crédito instituciones muy importantes
en nuestro medio, es necesario que tengan sucursales por la ciudad para comodidad
de acceso y atención a sus clientes, y para obtener un ahorro en sus recursos
tecnológicos estas utilizan las redes locales para dar servicio de conectividad y
compartición de recursos en los edificios de cada sucursal. Y al ser varias sucursales
es importante que se encuentren comunicadas entre si, y para lograrlo utilizan los
conceptos y tecnologías de redes MAN, que no es mas que la interconexión de dos o
mas redes LAN.
La Cooperativa de Ahorro y Crédito “ERCO” Ltda., es una institución que cuenta a
mas de su Matriz con cuatro Sucursales ubicadas en Sinincay, El Arenal, Baños y
Cumbe, y en la actualidad no existe una comunicación directa de las sucursales con
su matiz lo que dificulta la atención al cliente quienes solo podrán realizar sus
transacciones en la sucursal en la que abrieron sus cuentas.
ANÁLISIS, DISEÑO DE LA RED Y PLAN DE SEGURIDAD “ERCO”
9
Con el objetivo de superar estos inconvenientes y considerando que la empresa no
cuenta con una documentación detallada y actualizada de la red, sea considerado
necesario e importante realizar el análisis de la red existente y un diseño de la red en
las sucursales faltantes para una conexión con su Matriz, lo que se llama diseño de
una red MAN.
Considerando que la empresa maneja información muy importante tanto para la
institución como para sus clientes es necesario desarrollar un plan de seguridad.
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
10
1 CAPITULO 1: CONCEPTOS GENERALES DE REDES LAN Y MAN
1.1 Introducción
Las redes de Computadoras son sistemas de elementos interrelacionados que se
conectan mediante un vínculo dedicado o conmutado para proporcionar una
comunicación local o remota sea de voz, vídeo o datos, y para facilitar el intercambio
de información entre usuarios con intereses comunes.
Entre las funciones mas generales de las redes esta el compartir recursos, y uno de
sus objetivos es hacer que todos los programas, datos y equipos estén disponibles
para cualquier usuario de la red que así lo solicite, sin importar la localización física
del recurso y del usuario. En otras palabras, el hecho de que el usuario se encuentre a
miles de kilómetros de distancia de los datos, no debe evitar que éste los pueda
utilizar como si fueran originados localmente.
Al concepto de redes con varias computadoras en el mismo edificio se le denomina
LAN1, en contraste con lo extenso de una red que cubre grandes distancias que se le
llama WAN2, y un tipo de red que cubre mayor distancia que una LAN pero menor
que de una WAN es la red MAN3 que es utilizada para interconectar dos o mas redes
LAN.
Para el diseño de una red LAN se debe contar con información como los requisitos
de la empresa, de los usuarios, conocer la infraestructura actual de la empresa, sus
activos y dispositivos que posee para tener una idea de lo que la empresa requiere y
con este poder tener un presupuesto del diseño de la red. Una vez que tenemos toda
la información necesaria se procede a realizar un análisis o estudio de los beneficios
que traerá la nueva red a la empresa y con esto ver si es factible o no su diseño.
1 Local Area Network. Redes de area local (operan en una area geográfica limitada como un edificio o campus.) 2 Wide Area Network: Redes de area amplia (Conectan redes de usuarios sobre un area geográfica grande.) 3 Metropolitan Area Network: Redes de area metropolitana (red que cubre un área metropolitana como una ciudad)
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
11
1.2 Redes MAN (Redes de Área Metropolitana)
Una MAN es una red que se extiende por un área metropolitana, como una ciudad o
un área suburbana. Las MAN son redes que conectan LAN separadas por la distancia
y que están ubicadas dentro de un área geográfica común.
Por ejemplo un Banco con varias sucursales puede utilizar una MAN. Normalmente
un proveedor de servicio conecta dos o más sitios LAN utilizando líneas de
comunicación privadas o servicios ópticos.
Las siguientes características diferencian a las redes MAN de las LAN y las WAN:
Las MAN interconectan usuarios en un área o región geográfica más grande
que la cubierta por una LAN, pero más pequeña que las cubiertas por una
WAN.
Las WAN conectan redes en una ciudad formando una solo red grande.
Las MAN también se utilizan para interconectar varias LAN puenteándolas
con líneas Backbone.
Figura 1: Diagrama de una red MAN
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
12
1.3 Red LAN (LOCAL AREA NETWORK)
Una LAN es una red que cubre una extensión reducida como es el caso de una
empresa, una universidad, un colegio, etc. No habrá por lo general dos ordenadores
que disten entre si más de un kilómetro.
Una configuración típica en una red de área local es tener una computadora llamada
servidor de ficheros en la que se almacena todo el software de control de la red así
como el software que se comparte con los demás ordenadores de la red. Los
ordenadores que no son servidores de ficheros reciben el nombre de estaciones de
trabajo. Estos suelen ser menos potentes y tienen software personalizado por cada
usuario. La mayoría de las redes LAN están conectadas por medio de cables y
tarjetas de red, una en cada equipo.
1.4 Diseño LAN
El diseño de una red sigue siendo un tema complicado a pesar de la mejora en el
rendimiento de los equipos y en la capacidad del medio, ya que existe una tendencia
hacia entornos complejos de red compuestos por tipos distintos de medios de
transmisión y de interconexión con redes externas a la propia LAN de la empresa. Y
para realizar un correcto diseño de la red se debe tener presente todos estos
conceptos, y sobre todo tratar de reducir las complicaciones que se pueden presentar
con el crecimiento de la red.
Entre los puntos mas importantes a considerar en el diseño de la red es el de asegurar
velocidad y estabilidad adecuadas. Los problemas que se presentan si una red no este
bien diseñada serán inconvenientes que afectan el crecimiento de la misma.
1.4.1 Objetivos del diseño de una red
Una red debe tener características que la hagan fiable, manejable y escalable y para
cumplirlas se debe conseguir que los componentes principales de la red tengan
requerimientos de diseño diferentes para poder cumplir con el funcionamiento
correcto de la red.
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
13
Establecer los objetivos que nos llevan al diseño de la red y documentarlos es el
primer paso, los mismos que serán exclusivos a cada organización o institución y
para su obtención se realizará la recopilación de información y requerimientos de la
empresa y lo que esta espera de la red.
Entre los objetivos mas generales a considerar en el diseño de una red tenemos:
Funcionalidad: se espera que la red funcione adecuadamente y permita
conocer a los usuarios sus requerimientos de trabajo, además deberá
proporcionar conectividad entre usuarios y usuario-aplicación a una
velocidad y fiabilidad razonable.
Escalabilidad: pensando en su futuro crecimiento el diseño inicial deberá
estar realizado de manera que este no afecte mucho su estructura inicial.
Adaptabilidad: Su diseño debe considerar las etnologías presentes y futuras,
y no debería incluir ningún elemento que pudiera limitar la implementación
de las tecnologías que pudieren aparecer.
Manejabilidad: La red debe ser diseñada de forma que sea fácil de
monitorizar y gestionar para asegurar una estabilidad optima en su
funcionamiento.
1.4.2 Consideraciones en el diseño de una LAN
Con el surgimiento de nuevas tecnologías de alta velocidad como Gigabit Ethernet y
arquitecturas LAN más complejas que usan conmutación y VLAN4, las
organizaciones se han visto obligadas ha actualizar sus redes, ya sea en la
planificación, el diseño y la implementación de estas nuevas estructuras, para no
verse afectadas por este avance tecnológico.
Para maximizar el ancho de banda disponible de una LAN y su rendimiento, se debe
considerar los siguientes puntos a la hora de diseñar: 4 Virtual Local Area Network
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
14
La ubicación y función de los servidores.
La segmentación.
Los dominios de difusión o Ancho de banda.
1.4.2.1 Función y ubicación de los Servidores
Los Servidores son dispositivos que ofrecen servicios necesarios a los usuarios como
compartición de ficheros, impresión, comunicación y servicios de aplicación.
Además estos ejecutan sistemas operativos especializados como: Netware, Windows
NT/2000/XP, UNIX y Linux. Y cada servidor suele estar dedicado a una función
específica como correo electrónico, compartición de archivos, etc.
Los servidores pueden ser clasificados en dos categorías; servidores de empresa y
servidores de grupos de trabajo.
Un Servidor de empresa ofrece servicios correo electrónico o de DNS (Sistema de
Nominación de Dominio) al ser funciones centralizadas, estos son servicios que
podrían ser necesarios para cualquier empleado de la organización.
Un servidor de grupo de trabajo soporta a un conjunto específico de usuarios
ofreciéndoles solo los servicios que estos pudieran necesitar.
La ubicación de los servidores de la empresa deberá ser en el MDF (Armario de
Distribución Principal), de esta manera se evitará trafico innecesario ya que tiene que
viajar hacia el MDF y no recorrer otras redes.
Los servidores de los grupos de trabajo deberían estar situados en los IDF (Armario
de distribución intermedia), cercanas a los usuarios que utilizan las aplicaciones de
dichos servidores, de esta manera el trafico solo debe recorrer el tramo de red hasta
llegar al IDF sin afectar al resto de usuarios.
Dentro de los MDF y los IDF, los Switches LAN de la capa 2 deberían tener
asignados 100 Mbps o más para estos servidores.
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
15
1.4.2.2 Segmentación
La segmentación es le proceso de dividir un único dominio de colisión en dos o más
dominios de colisión de ancho de banda. Los dispositivos de capa 2 (capa de enlace
de datos), es decir los puentes o switches pueden utilizarse para segmentar la
topología de una red y crear dominios de colisión separados, lo que hace que
aumente el ancho de banda disponible en cada estación.
Figura 2: Segmentación
La escalabilidad de un dominio de ancho de banda depende de la cantidad total de
tráfico. Es importante recordar que los puentes y switches reenvían tráfico de
difusión, mientras que los routers no lo hacen de manera habitual.
1.4.2.3 Dominios de Difusión (Ancho de Banda)
Un dominio de ancho de banda es todo aquello asociado con un puerto de un puente
o switch. En el caso de un switch Ethernet, estos dominios también reciben el
nombre de dominios de colisión. Un switch puede crear un dominio de ancho de
banda por puerto.
Las estaciones incluidas en uno de los dominios compiten por el mismo ancho de
banda. Todo el tráfico procedente de cualquier host del dominio de ancho de banda
es visible al resto de hosts. En el caso de un dominio de colisión Ethernet, dos
estaciones pueden transmitir a la vez, lo que da como resultado una colisión.
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
16
1.5 METODOLOGÍA DE DISEÑO DE UNA LAN
Para un correcto diseño de una LAN y que esta sirva a las necesidades de sus
usuarios, es necesario que esté diseñada de acuerdo a una serie de pasos sistemáticos
planificados:
1 Obtención de los requisitos y expectativas de los usuarios.
2 Análisis de los requisitos.
3 Diseño de la estructura LAN en las capas 1,2 y 3 (topología).
4 Documentación de la implementación lógica y física de la red.
1.5.1 Obtención de los requisitos y expectativa de los usuarios
El primer paso del diseño de una red es la obtención de los datos sobre la estructura
de la organización, se puede incluir información sobre la historia y el estado actual
de la empresa, el crecimiento previsto, las normas de funcionamiento, los
procedimientos administrativos, los procedimientos y sistemas de oficina y sobre
todo los puntos de vista de las personas que utilizarán la red, así como las
necesidades de todos los usuarios que estén o no involucrados con el funcionamiento
de la LAN.
Se debe tener presente las siguientes cuestiones:
¿Quiénes utilizarán la red?
¿Cuál es su nivel de experiencia?
¿Cuales son sus aptitudes hacia las computadoras y las aplicaciones?
Estas preguntas ayudarán a saber cual es el nivel de conocimiento del personal de la
empresa y así determinar el tipo de capacitación que se les deberá dar a los usuarios
que manejaran la red. El proceso de obtención de información ayudará a identificar
los problemas que tiene la empresa. Se debe identificar los datos y operaciones
críticos, ya que estos son considerados como información clave y el acceso a ellos es
crítico en el desarrollo diario de la misma.
Lo que sigue es determinar quien tendrá autoridad sobre el direccionamiento, la
denominación, el diseño de la topología y la configuración.
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
17
Dependiendo de la empresa estas podrán tener un Departamento de Sistemas de
Información de Administración (MIS) Central o Departamentos MIS5 pequeños que
deben delegar autoridad a otros departamentos.
Algunas empresas tienen un departamento de sistemas de información de
administración (MIS) central que controla todo.
Otras empresas tienen departamentos MIS pequeños que deben delegar autoridad a
otros departamentos.
Las empresas cuentan con dos tipos generales de recursos administrativos: los
recursos de hardware/software y los recursos humanos, los mismos que pueden
afectar en la implementación de un nuevo sistema LAN. Para evitar esto se debe
documentar todo el hardware y software que posee la empresa y el que necesita, se
debe analizar como se encuentran, enlazan, comportan estos recursos y revisar los
recursos financieros que la empresa dispone. La documentación de toda esta
información ayudará a estimar costos y desarrollar un presupuesto para la LAN y
conocer los problemas de actualización de la red existente.
1.5.2 Análisis de los requisitos.
El siguiente paso en el diseño de una red consiste en analizar los requisitos de la red
y de sus usuarios obtenidos en el paso anterior, se debe considerar que las
necesidades de los usuarios van cambiando continuamente ya que el avance de la
tecnología crece en forma exponencial.
La evaluación de los requisitos de los usuarios es un componente muy importante en
la fase de diseño ya que una LAN que no ofrece a sus usuarios información puntual y
precisa es de poca utilidad, por tanto es indispensable asegurarse de conocer todos
los requisitos y necesidades de la empresa y sus trabajadores para evitar diseñar redes
obsoletas.
5 Management Information System (Sistema de Información Gerencial)
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
18
Factores que afectan a la disponibilidad de la Red
Teniendo en cuenta que la disponibilidad es uno de los factores que mide la utilidad
de la red debemos considerar las cosas que la afectan:
Rendimiento
Tiempo de Respuesta
Acceso a recursos
Existen diferentes definiciones de disponibilidad, y estas dependerán de los que los
clientes buscan, así por ejemplo si se requiere transportar voz y video por la red,
estos servicios necesitan mayor ancho de banda del que posee la red, la solución sería
añadir mas recursos, pero esta actividad conlleva más costos. El diseño de la red
busca ofrecer la mayor disponibilidad al menor coste.
1.5.3 Diseño de la estructura LAN en las capas 1,2 y 3 (topología).
Diseño de la Topología física de la red
Una vez que tenemos los requisitos globales de la red, el siguiente paso es decidir la
topología general de la red, la misma que debe satisfacer los requisitos de los
usuarios.
Considerando las topologías que mas se usan en el mercado nos centraremos en dos
topologías Topología en Estrella y Topología en Estrella extendida. Estas topologías
utilizan tecnología Ethernet 802.3 (CSMA/CD)6.
Las partes más importantes del diseño de una topología LAN pueden dividirse en tres
categorías únicas del modelo de referencia OSI: la capa de red, la capa de enlace de
datos y la capa física.
1.5.3.1 Diseño de Capa 1
En este punto se examinará las topologías en estrella y estrella extendida de la capa
1. Se analizará los componentes más importantes que se deben considerar al diseñar
una red como son:
6 Carrier Sense Multiple Access with Collision Detection (método de control al medio)
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
19
El cableado físico: se debe analizar el tipo de cableado a utilizar (UTP7, cobre o
Fibra óptica) y la estructura global del cableado. Si se esta diseñando una red nueva o
recableado una existente se debe utilizar cable de Fibra Óptica en el Backbone y
como mínimo cable UTP categoría 5 en los tendidos horizontales. Se debe
considerar las normas mas recientes sobre UTP de categoría 5e y 6.
Se debe tomar en cuenta el tiempo de vida para el cual se diseña la red y según esto
elegir la calidad del cable. Además de esto las empresas deben garantizar que los
sistemas están conforme a las normas industriales definidas, como las
especificaciones TIA/EIA-568-B8.
La norma TIA/EIA-568-B especifica que cada dispositivo conectado a una red debe
estar enlazado a una ubicación central mediante cableado horizontal
Para la identificación de los MDF e IDF se debe determinar cuantos recintos de
cableado se va ha necesitar; se requiere mas de uno cuando las grandes redes se
encuentran fuera del limite de los 100 metros del UTP de categoría 5. Al haber varios
recintos se crean varias áreas de captación.
Los MDF incluyen uno o mas patch panels HCC (conexión cruzada horizontal)
Figura 3: MDF típico en una topología estrella
7 Par trenzado sin apantallar 8 Norma de cableado
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
20
Los recintos de cableado principal se conocen como MDF y los secundarios
como IDF, la conexión de los IDFs al MDF es mediante cableado vertical
denominado cableado Backbone, como se indica en la figura 4.
Figura 4: Topología en estrella extendida en un campus con varios edificios
Y para interconectar los IDF externos con el MDF utiliza una conexión cruzada
vertical (VCC) y como normalmente la longitud de los cables verticales supera los
100m de UTP de categoría 5, se utiliza fibra óptica.
La norma Fast Ethernet tiene diferentes normas basadas en el hilo de pares de cobre
(100BASE-TX) y en cable de fibra óptica (100BASE-FX) y se utilizan para conectar
el MDF al IDF.
Ethernet conmutada 10BASE-TX Ethernet de escritorio y los backbone Fast Ethernet
son probablemente muy adecuadas para los requisitos de ancho de banda de muchas
redes. Pero las redes más nueva podrían optar por Gigabit Ethernet con fibra para el
cableado vertical y por Fast Ethernet con categoría 5e en los enlaces horizontales.
A continuación se muestra el Diagrama lógico que es el de topología de red sin los
detalles de la trayectoria de la instalación del cableado. Este es el mapa básico de la
LAN.
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
21
Figura 5: Diagrama lógico de una red
Los elementos del diagrama lógico incluyen:
Las localizaciones exactas de los recintos de cableado MDF e IDF.
El tipo y la cantidad de cableado utilizado para interconectar los IDFs con el
MDF.
La documentación detallada de todos los tendidos de cable (figura 5.37), los
números de identificación y en que puerto de la HCC termina el tendido.
1.5.3.2 Diseño de la capa 2
Entre los dispositivos de la capa 2 tenemos al Switch LAN, estos dispositivos
determinan el tamaño de los dominios de colisión y de difusión. En este punto se
verá la implementación de la conmutación LAN en capa 2.
Con la Conmutación LAN se puede microsegmentar la red, eliminando las colisiones
y reduciendo el tamaño de los dominios de colisión.
La microsegmentación significa utilizar switches para mejorar el rendimiento de un
grupo de trabajo o de un backbone.
Entre las características importantes del Switch LAN tenemos la conmutación
asimétrica es decir que puede asignar ancho de banda sobre una base por puerto que
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
22
permite así mas ancho de banda para el cableado vertical, los enlaces ascendentes y
los servidores. Además la conmutación asimétrica permite conexiones conmutadas
entre puertos de distinto ancho de banda, por ejemplo una combinación de puertos a
10 Mbps y a 100 Mbps o una combinación de 100 Mbps y a 1000 Mbps.
Servidor
10 Mbps
10 Mbps
Enlace ascendente a 100Mbps hasta el MDF
(cableado vertical)
Cableado Horizontal
Conmutación asimétrica Figura 6: Conmutación asimétrica
Si se instala conmutación LAN en el MDF y los IDF, y el cableado vertical entre el
MDF y los IDF, el cableado vertical transportará todo el tráfico de datos entre el
MDF y los IDF y al ser cableado backbone tendrá mayor capacidad que la de los
tendidos entre los IDF y las estaciones de trabajo.
En los tendidos de cableado horizontal se utiliza UTP de categoría 5 o superior,
teniendo en cuenta que ninguna derivación de cable debe superar los 100 metros, que
permiten enlaces a 10, 100 o 1000 Mbps.
Al permitir los switch LAN asimétricos mezclar en un solo switch puertos a 10 Mbps
y 100 Mbps o puertos a 100 Mbps y 1000Mbps, se debe determinar el número de
puertos a 10Mbps, 100Mbps y a 1000 Mbps necesarios en el MDF y en cada IDF.
La determinación del número de puertos de Switch LAN dependerá de los requisitos
de los usuarios, los mismos que serán referentes al número de derivaciones de cable
horizontal por sala y al número de derivaciones en cualquier área de captación, junto
con el número de tendidos de cable vertical.
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
23
Figura 7: Conmutación Capa 2
Tamaño de un Dominio de Colisión
Para determinar el tamaño de un dominio de Colisión se debe determinar el número
de hosts conectados físicamente a cualquier puerto de un switch.
Otra forma de implementar la conmutación LAN es instalar hubs LAN compartidos
en los puertos del switch y conectar varios hosts a un solo puerto del switch como se
muestra en la figura.
Figura 8: Dominios de colisión de capa 2
Los hubs de medio compartido se utilizan normalmente en un entorno de switch
LAN para crear más punto de conexión final de los tendidos de cable horizontal, esta
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
24
es una solución aceptable siempre que se asegure que los dominios de colisión sean
pequeños y que los requisitos de ancho de banda al host se cumplan de acuerdo a los
requerimientos obtenidos en la fase de obtención de información del proceso de
diseño de la red.
Dispositivos de capa 2
Los hubs, switch y los puentes están clasificados como dispositivos de capa 2 en el
modelo OSI
La segmentación es una técnica que ayuda a garantizar que no se degrade el
rendimiento de una red al crecer.
Los usuarios se impacientan cuando una aplicación no se ejecuta rápidamente, y una
de las formas más eficaces de solucionar este problema de la congestión es dividir la
red en segmentos más pequeños, y esto lo pueden hacer los segmentos físicamente,
utilizando un puente o un switch para limitar el número de dispositivos en el
segmento de red.
Switch: concentra la conectividad, mientras consigue que la transmisión de datos sea
más eficaz.
Hub Ethernet: todos los puertos se conectan a un plano trasero común o conexión
física dentro del hub, y todos los dispositivos que están conectados al hub comparten
el ancho de banda de la red.
Para conmutar tramas de forma eficaz entre las interfaces, el switch mantiene una
tabla de direcciones y cuando una trama entra en el switch, éste asocia la dirección
MAC de la estación emisora (origen) con la interfaz que la recibió.
Las principales funciones de los Switches Ethernet son:
Asistir el tráfico entre segmentos
Conseguir mas ancho de banda por usuario creando dominios de colisión mas
pequeños.
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
25
Los switches Ethernet filtran el tráfico direccionando los datagramas hacia el puerto
correcto basándose en las direcciones MAC9 de capa 2. La segunda función de un
switch es garantizar que cada usuario tiene más ancho de banda mediante la creación
de dominios de colisión más pequeños.
Un Switch Fast Ethernet permite la segmentación de una LAN, dotando a cada
segmento de un enlace de red dedicado de hasta 1000 Mbps. Con frecuencia en las
redes actuales los switch Fast Ethernet o Giga Ethernet actúan como Backbone de la
LAN.
En la actualidad las empresas se encuentra en constante crecimiento, y a medida que
la red crece, la necesidad de ancho de banda también. En el cableado vertical entre el
MDF y los IDF, las fibras ópticas no utilizadas se pueden conectar desde la VCC
hasta los puertos a 100 Mbps del switch. A continuación la red que se muestra
duplica la capacidad del cableado vertical de la red al haber otro enlace.
Figura 9: Migración a un ancho de banda mayor
9 MAC: Control de Acceso al Medio
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
26
1.5.3.3 Diseño de la capa 3
Los routers son dispositivos de capa 3 (capa de red) se pueden utilizar para crear
segmentos LAN únicos y permitir la comunicación entre segmentos basándose en el
direccionamiento de la capa 3, como el direccionamiento IP. La implementación de
estos dispositivos permite la segmentación de la LAN en redes físicas y lógicas
únicas.
Los routers también se utilizan para la conexión con redes de área amplia (WAN)
como Internet.
Figura 10: Implementación de un Router de capa 3
El router determina el flujo de tráfico entre los segmentos de red físicos únicos
basándose en el direccionamiento de la capa 3, como la red y la subred IP. El router
reenvía paquetes de datos basándose en las direcciones de destino, por lo que es
considerado el punto de entrada y de salida de un dominio de difusión e impide que
las difusiones alcancen otros segmentos de la LAN.
Conocer el número total de difusiones, como las peticiones de ARP (protocolo de
resolución de direcciones) es muy importante en la red y mediante VLAN (LAN
Virtuales) se puede limitar el tráfico de difusión al interior de una red y crear
dominios de difusión más pequeños. Las VLAN se pueden utilizar también para
proporcionar seguridad a la red al crear grupos VLAN según su función.
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
27
Figura 11: Implementación VLAN
Una de las características de los routers es que proporcionan escalabilidad por que
pueden servir como Firewall para las difusiones. Considerando que las direcciones
de capa 3 normalmente tienen estructura, los routers pueden ofrecer mayor
escalabilidad dividiendo las redes y subredes, añadiendo así estructura a dichas
direcciones.
Figura 12: Los Routers generan estructura lógica
En el grafico se muestra como se puede producir una mayor estructura y
escalabilidad en las redes.
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
28
Tabla 1: Direccionamiento lógico asignado a una red física
Una vez que las redes se han dividido en subredes, se debe desarrollar y documentar
el esquema de direccionamiento IP que se utilizará en la red.
El direccionamiento y el enrutamiento del protocolo de red proporcionan
escalabilidad integrada.
Cuando se esta decidiendo en utilizar routers o switch se debe considerar cual es el
problema que se espera solucionar con la implementación de uno de ellos. Así si e el
problema esta relacionado con el protocolo y no con la contención lo más adecuado
son los routers.
Características de los Routers.- Estos dispositivos solucionan problemas relacionados
con:
Difusiones excesivas
Los protocolos que no escalan bien
Se pueden utilizar para crear subredes IP a fin de añadir estructura a las
direcciones
Temas de seguridad y
El direccionamiento de la capa de red.
Sin embargo se debe considerar que son más caros y difíciles de configurar.
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
29
1.6 Dispositivos de una LAN
HUBS
El propósito de los hubs es regenerar y retemporizar las señales de red. Esto se
realiza a nivel de los bits para un gran número de hosts utilizando un proceso
denominado concentración. Podrá observar que esta definición es muy similar a la
del repetidor, es por ello que el hub también se denomina repetidor multipuerto. La
diferencia es la cantidad de cables que se conectan al dispositivo.
Figura 13: Hub
PUENTE
Un puente es un dispositivo de capa 2 (ya pasamos de capa) diseñado para conectar
dos segmentos LAN. El propósito de un puente es filtrar el tráfico de una LAN, para
que el tráfico local siga siendo local, pero permitiendo la conectividad a otras partes
(segmentos) de la LAN para enviar el tráfico dirigido a esas otras partes.
Figura 14: Puente
SWITCH
Un switch, al igual que un puente, es un dispositivo de capa 2. De hecho, el switch se
denomina puente multipuerto, igual que antes cuando llamábamos al hub "repetidor
multipuerto". La diferencia entre el hub y el switch es que los switches toman
decisiones basándose en las direcciones MAC y los hubs no toman ninguna decisión.
Como los switches son capaces de tomar decisiones, hacen que la LAN sea mucho
más eficiente
Figura 15: Switch
CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”
30
ROUTER
El router es el primer dispositivo con que se trabaja que pertenece a la capa de red
del modelo OSI, o sea la Capa 3. Al trabajar en la Capa 3 el router puede tomar
decisiones basadas en grupos de direcciones de red en contraposición con las
direcciones MAC de Capa 2 individuales. Los routers también pueden conectar
distintas tecnologías de Capa 2, como por ejemplo Ethernet, Token-ring y FDDI
(fibra óptica). Sin embargo, dada su aptitud para enrutar paquetes basándose en la
información de Capa 3, los routers se han transformado en el núcleo de Internet,
ejecutando el protocolo IP.
Figura 16: Router
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA “ERCO”
31
2 CAPITULO II: CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMÁTICA.
2.1 Introducción
Hoy en día las redes de comunicaciones son cada vez mas importantes para las
organizaciones ya que depende de estás, para que exista un manejo adecuado de los
activos de la empresa, y por más pequeño que sea el problema que las afecte, este
puede llegar a comprometer la integridad, disponibilidad y confidencialidad de la
información.
Se debe considerar las técnicas y herramientas de seguridad existentes ya que
representan un componente muy importante para la protección de los sistemas, que
sirve a los responsables de la red para llevar una vigilancia continua y sistemática de
los sistemas de redes.
Con la elaboración de este material nos proponemos facilitar cada una de las tareas
de aquellos que se encuentran actualmente involucrados en las decisiones respecto de
las redes de información y de sus modos de administración, a su vez también
pretendemos alertar sobre la importancia que se le debe dar a la seguridad debido a
las amenazas cada vez mayores a las que la información se encuentra expuesta.
En el presente capítulo cubriremos temas como la importancia de la seguridad en las
organizaciones, seguridad física, seguridad lógica, planes y políticas de seguridad,
etc.
2.2 Conceptos de seguridad
La seguridad informática ha adquirido una mayor atención en las organizaciones con
la finalidad de mantener la confidencialidad, integridad y confiabilidad de la
información debido a las cambiantes condiciones y las nuevas plataformas de
computación disponibles. Además comprende aspectos relacionados con políticas,
estándares, controles, valoración de riesgos, capacitación y otros elementos
necesarios para la adecuada administración de los recursos tecnológicos y de la
información que se maneja por esos medios.
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA “ERCO”
32
En este sentido, las políticas de seguridad informática (PSI) surgen como una
herramienta organizacional para concienciar a cada uno de los miembros de la
organización sobre la importancia y la sensibilidad de la información y servicios
críticos que favorecen el desarrollo de la organización y su buen funcionamiento.
2.2.1 Proceso para aplicar seguridad informática
Es aconsejable que toda empresa cuente con una serie de procesos basadas en normas
como la ISO 17799 para la implantación y administración de la seguridad, con el fin
de minimizar los posibles riesgos y llevar un control apropiado de los recursos
tecnológicos y de la información.
Los procesos basados en la norma ISO 17799 son los siguientes:
Figura 17: Detalle del proceso según el ISO 17799
Paso 1: Obtener apoyo de Administración Superior
Se debe contar con el apoyo de alta dirección para la implementación de normas,
políticas y procedimientos de seguridad (ISO 17799) con el fin de proteger la
confidencialidad, integridad y disponibilidad de la información escrita, almacenada,
y transferida.
Paso 2: Definir perímetro de seguridad
Es necesario definir el perímetro o dominio de seguridad, el mismo que no siempre
cubre toda su área. Sin embargo, éste debe estar bajo el control de la organización.
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA “ERCO”
33
Paso 3: Crear Políticas de Seguridad de Información
Se debe crear políticas de seguridad que denote el compromiso de la gerencia con la
seguridad de la información. Este documento contiene la definición de la seguridad
bajo el punto de vista de cierta entidad.
Paso 4: Crear Sistema de Administración para la Seguridad de Información
(ISMS)
El ISMS define el perímetro de seguridad y provee una guía que detalla las
estrategias de seguridad de información para cada una de las 10 áreas de control
definidas por el ISO 17799, las cuales se mencionan a continuación:
1. Políticas de Seguridad. Orientadas al apoyo, compromiso y dirección en el
cumplimiento de las metas de seguridad de la administración.
2. Seguridad organizacional. Dirigido a la necesidad de la administración de
enmarcar, crear mantener y administrar la infraestructura de seguridad.
3. Control y clasificación de recursos
4. Seguridad del personal
5. Seguridad física y ambiental
6. Administración de la comunicación y operación
7. Controles de acceso
8. Desarrollo y mantenimiento de sistemas
9. Administración de la continuidad del negocio
10. Cumplimiento
Paso 5: Realizar Matriz de riesgo
La creación de esta matriz ayuda a evaluar los riesgos y vulnerabilidades, además, las
identifica y cuantifica. Adicionalmente, se pueden seleccionar controles para evitar,
transferir o reducir el riesgo a un nivel aceptable. Los caminos para la evaluación del
riesgo son:
• Identificar los recursos dentro del perímetro de seguridad
Los recursos tienen que ser identificados y establecer un responsable. Un valor
relativo debe ser acordado de tal forma que se pueda establecer la importancia y
permita determinar el riesgo.
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA “ERCO”
34
• Identificar las amenazas a los recursos
Las amenazas de cada recurso deben ser identificadas y el riesgo debe ser realista.
Solo las amenazas que tienen una probabilidad significativa de un daño exagerado
deben ser consideradas.
• Identificar vulnerabilidades a los recursos
Vulnerabilidades son deficiencias en los recursos que pueden ser explotadas por
las amenazas para crear un riesgo. Un recurso puede tener múltiples
vulnerabilidades.
• Determinar una probabilidad realista
La probabilidad para cada combinación de amenaza y vulnerabilidad debe ser
determinada, y las probabilidades estadísticas insignificantes deben ser ignoradas.
• Calcular el daño
El impacto debe ser cuantificado numéricamente para reflejar el perjuicio de una
amenaza exitosa. Este valor permite evaluar en una escala la seriedad de un
determinado riesgo, independientemente de la probabilidad.
• Calcular el riesgo
Matemáticamente, el riesgo se puede expresar como:
Probabilidad x Daño = Riesgo.
Los resultados de este cálculo permitirán valorar el riesgo de un determinado
recurso para un número dado de amenazas y vulnerabilidades. Esta numeración
permite priorizar los recursos finitos para la mitigación del riesgo.
Paso 6: Seleccionar e implementar controles
La selección de controles dependerá de la disponibilidad de recursos y la habilidad
de la administración para aceptar ciertos riesgos en vez de implementar controles.
Paso 7: Crear Declaración de Aplicabilidad
Una Declaración de Aplicabilidad es una porción del documento ISMS y documenta
como los riesgos identificados en la matriz de riesgos de seguridad son mitigados por
la sección de control.
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA “ERCO”
35
Paso 8: Auditar
La auditoria revisa la implementación de la infraestructura de seguridad de la
información y el cumplimiento de la misma.
2.2.2 Impacto de la seguridad informática en la organización
Hoy en día uno de los mayores retos que tienen las organizaciones, y en especial los
Departamentos de Sistemas e Informática, es garantizar la seguridad de la
información y de los recursos informáticos. Por tanto, la implementación de sistemas
de seguridad conlleva a incrementar la complejidad en las operaciones de la
organización tanto a nivel técnico como administrativo.
Además cabe recalcar que la mayoría de usuarios particulares y de empresas poseen
la percepción de que la seguridad de la información es una tarea difícil de aplicar,
que exige gran cantidad de dinero y de tiempo. En realidad, con muy poco esfuerzo
se puede alcanzar un nivel de seguridad razonable, capaz de satisfacer las
expectativas de seguridad de particulares, de pequeñas y medianas empresas.
2.3 Seguridad lógica
La seguridad lógica consiste en la aplicación de defensas y procedimientos para
proteger el acceso a los datos y que sólo les permita acceder a las personas
autorizadas.
Para que un sistema se pueda definir como seguro debemos de dotar de tres
características al mismo: Integridad, Confidencialidad y Disponibilidad.
Identificación de usuarios
Deberá existir una herramienta para la administración y el control de acceso a los
datos, para lo cual es necesario la aplicación de medidas de seguridad que permitan
identificar si los usuarios tienen o no permisos de acceso a las diferentes
aplicaciones.
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA “ERCO”
36
Autenticación de usuarios
Es el proceso de determinar si una persona o una empresa están autorizadas para
llevar a cabo una acción dada.
Passwords
Los passwords o contraseñas son generalmente utilizados para realizar la
autenticación del usuario y sirven para proteger los datos y aplicaciones,
garantizando que el acceso lógico al equipo este restringido por procedimientos y
políticas de acceso.
2.4 Seguridad en las comunicaciones
Comunicaciones externas
Es necesario que la empresa cuente con la implementación de procedimientos
pertinentes para el control de las actividades de usuarios externos del organismo a fin
de garantizar la adecuada protección de los bienes de información de la organización
Configuración lógica de red
El riesgo aumenta con el número de conexiones a redes externas; por lo tanto, la
conectividad debe ser la mínima necesaria para cumplir con los objetivos de la
empresa.
Antivirus
Con respecto al software malicioso, tal como los virus computacionales o Caballos
de Troya, se deberá establecer un marco de referencia de adecuadas medidas de
control preventivas, detectivas y correctivas.
Firewall
La empresa al estar conectada con Internet u otras redes públicas se debe contar con
la apropiada configuración de los sistemas Firewall para controlar cualquier acceso
no autorizado a los recursos internos. Además, se deberá controlar en ambos sentidos
cualquier flujo de administración de infraestructura y de aplicaciones y proteger en
contra de negación o ataques de servicio.
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA “ERCO”
37
Ataques de red
Se considera ataque a la red a cualquier acceso forzado por parte de usuarios no
autorizados que accedan con la intensión de provocar daños a la misma.
2.5 Seguridad de las aplicaciones
Software
Se debe asegurar que la instalación del software del sistema no arriesgue la seguridad
de los datos y programas ya almacenados en el mismo. Deberá ponerse gran atención
a la instalación y mantenimiento de los parámetros del software del sistema.
Determinar las características del sistema operativo de los servidores
Seguridad de bases de datos
Es la capacidad que tienen los usuarios para acceder y cambiar los datos de acuerdo a
las políticas del negocio, o de acuerdo las decisiones de los encargados de la
seguridad.
2.6 Seguridad física
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un
sistema informático, para lo cual se considera necesario la aplicación de barreras
físicas y procedimientos de control, como medidas de prevención y contramedidas
ante amenazas a los recursos e información confidencial.
Control de acceso a equipos
Se debe llevar un control de acceso a los equipos, a usuarios no autorizados que
puedan acceder a estos con intensiones de ocasionar daños, tales como robo, daño
físico y acceso a información no autorizada.
Dispositivos de soporte
Todos estos dispositivos deberán ser evaluados periódicamente por personal
encargado del Mantenimiento, también es necesario contar con procedimientos
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA “ERCO”
38
detallados a seguir en caso de emergencias, indicando responsables, quiénes deben
estar adecuadamente capacitados.
Estructura del edificio
La estructura del edificio de la empresa debe contar con medidas de seguridad que
protejan a los activos de la empresa de daños físicos y lógicos que puedan atentar
contra la integridad de los dispositivos que forman parte del Sistema de Información.
2.7 Políticas de seguridad
2.7.1 Que son las políticas de Seguridad informática.
Las políticas de seguridad informática son las reglas y procedimientos que regulan la
forma en que una organización previene, protege y maneja los riesgos de diferentes
daños. Su auge ha sido estimulado por la explosión de tecnologías de manejo de
información, son los directivos, junto con lo expertos en tecnologías de la
información, quienes deben definir los requisitos de seguridad, identificando y
priorizando la importancia de los distintos elementos de la actividad realizada,
recibiendo de esta manera una mayor atención los procesos de mayor importancia
para la empresa.
Por ello, las políticas representan la manera más definitiva que la gerencia puede
utilizar para demostrar la importancia de la Seguridad Informática, y que los
trabajadores tienen la obligación de prestar atención a la misma.
2.7.2 Parámetros para Establecer Políticas de Seguridad
Es importante que al momento de formular las políticas de seguridad informática, se
consideren por lo menos los siguientes aspectos:
Efectuar un análisis de riesgos informáticos, para valorar los activos y así
adecuar las políticas a la realidad de la empresa.
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA “ERCO”
39
Reunirse con los departamentos que manejan los recursos, ya que ellos tienen
la experiencia y son los más indicados para establecer el alcance de las
políticas y definir las violaciones a estas.
Comunicar a todo el personal involucrado sobre el desarrollo de las políticas,
incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y
sus elementos de seguridad.
Identificar quién tiene la autoridad para tomar decisiones en cada
departamento, pues son ellos los interesados en salvaguardar los activos
críticos de su área.
Monitorear periódicamente los procedimientos y operaciones de la empresa,
de forma tal, que ante cambios las políticas puedan actualizarse
oportunamente.
Detallar explícita y concretamente el alcance de las políticas con el propósito
de evitar situaciones de tensión al momento de establecer los mecanismos de
seguridad que respondan a las políticas trazadas.
DIAGNOSTICO INICIAL DE LA EMRESA “ERCO”
40
3 CAPITULO 3: DIAGNÓSTICO INICIAL DE LA
EMPRESA
3.1 Introducción
Para el análisis y diseño de la LAN de la empresa de Ahorro y crédito “ERCO” se
realizo un diagnostico inicial de cómo se encuentra la empresa, se menciona su
historia, misión, visión, el crecimiento a futuro, sus normas de funcionamiento,
procesos administrativos, procedimientos y sistemas de oficina y sobre todo los
puntos de vista de las personas que utilizan la red, así como las necesidades de todos
los usuarios que estén o no involucrados con el funcionamiento de la actual LAN.
Toda la información que se obtenga del estado actual de la empresa tanto
administrativa como de su red nos será de gran ayuda para conocer las deficiencias
de la red y las nuevas necesidades de los usuarios.
Historia, Misión y Visión de la empresa
Historia La Cooperativa de Ahorro y Crédito “Erco” Ltda. –COOPERCO- , es una Institución
de economía solidaria, creada el 15 de noviembre de 1965, bajo la organización de
los trabajadores de una empresa de mucha tradición y seriedad, Compañía
Ecuatoriana de Caucho y, para un mejor servicio a nuestros socios desde el año 2001
abrimos nuestros servicios al público, apoyados en una estructura organizativa de
profesionales que velan por los intereses de cada uno de nuestros socios, para ello
contamos con la oficina matriz ubicada en la Elia Liut y Calle Vieja y, oficinas en las
parroquias de Baños, Arenal, Sinincay y Cumbe, lo cual demuestra nuestro constante
crecimiento.
Misión:
Está enfocada a ofrecer servicios financieros competitivos, oportunos, de calidad y
personalizados para los sectores productivos del área rural y urbano marginal de las
provincias de Azuay y Cañar, contribuyendo así, a su desarrollo socio económico y
el bienestar de la comunidad.
DIAGNOSTICO INICIAL DE LA EMRESA “ERCO”
41
Visión:
En el año 2010 la Cooperativa es una Institución líder, competitiva y solvente; cuenta
con una cobertura regional, mediante oficinas localizadas en las principales ciudades
de las provincias del Cañar y Azuay; está conformada por un personal y equipo
directivo comprometido y motivado; y, cuenta con una tecnología de punta. Estos
factores le permiten ofrecer diversos servicios financieros con alta satisfacción y
participación en el mercado
3.2 Estado actual de la empresa.
En la actualidad como ya se ha mencionado la Cooperativa cuenta a más de su
matriz con 4 sucursales, ubicadas en Cumbe, Sinincay, Baños y El Arenal.
Entre los servicios que actualmente brinda la empresa tenemos:
Servicios Financieros como ahorros, préstamos, captaciones y
colocaciones de dinero (Money Gram), entre otros;
Servicios de Pago y Envío de Remesas (Money Gram).
Cobro de planillas de Servicios Básicos (luz, agua, teléfono).
En cuanto a sus funciones financieras desde sus inicios, al no tener enlazadas todas
las agencias con su matriz, era necesario instalar nuevos servidores, nueva base de
datos y nuevos programas de aplicación que permitían la manipulación de la
información en forma local. Esto requería que la información se consolide, de forma
periódica semanal, ya sea semanal, quincenal o mensual, exportando de cada
agencia la información e importartandole dentro de la base de datos de Matriz, en
especial la referente a la Contabilidad.
La información referente a Clientes, Ahorros, Préstamos se maneja internamente en
cada agencia, por ejemplo: reportes de clientes, préstamos concedidos, socios
ingresados, entre otros; se debe recurrir al departamento de Sistemas con el fin de
movilizarse a cada agencia y recopilar la información solicitada. Por estos
inconvenientes es necesario enlazar puntualmente cada agencia con la matriz.
DIAGNOSTICO INICIAL DE LA EMRESA “ERCO”
42
3.3 Análisis de la red existente.
Para la conexión de la red se utiliza un hub de ocho puertos y dos switch; uno de
ocho puertos y otro de 16 puertos, el mismo que se encuentra ubicado en el segundo
piso como se muestra en la figura 1:
La conexión de los servidores se la realiza con uno de los switch de 8 puertos, se
debe considerar que la empresa no cuenta con cableado estructurado, ni cuarto de
equipos, por lo que el nivel de seguridad de la información, de los dispositivos y
equipos es muy bajo, así se indica en el Anexo 5 los problemas antes descritos.
Figura 18: Distribución de conexiones en la red actual (Matriz)
A continuación se muestra la ubicación de las instalaciones con los respectivos
departamentos que posee la empresa. Se ha realizado el análisis acerca de la forma de
cómo se encuentran las conexiones para poder proponer las mejoras y diseñar el
Cableado Estructurado que le hace falta a la cooperativa.
DIAGNOSTICO INICIAL DE LA EMRESA “ERCO”
43
Figura 19: Planta Baja Cooperativa de Ahorro y Crédito “ERCO”
Figura 20: Primera Planta
DIAGNOSTICO INICIAL DE LA EMRESA “ERCO”
44
Figura 21: Segunda Plana
3.4 Identificación de los activos de la empresa
Entre los activos intangibles que posee la empresa esta la información de sus
clientes, socios, préstamos, las sucursales que posee, etc.
La información de la empresa se encuentra almacenada en una base de datos
centralizada, con acceso a esta solo por su sucursal en Cumbe, y en las demás la
información se encuentra en una base de datos en cada entidad.
En cuanto a los activos tangibles están los siguientes:
Servidores:
2 Servidores de base de Datos: el gestor de base de datos y el
front-end utilizado en las agencias es Informix 4gl, y Oracle 10g
conjuntamente con Visual Basic 6.0 en lo que se refiere a Matriz
1 Servidor de Aplicación
DIAGNOSTICO INICIAL DE LA EMRESA “ERCO”
45
1 Servidor Web
Otros:
2 Switches
o D-Link DES-1016D
1 Hub
o 9-Port Ethernet Hub: 10Mbps 8-Port UTP+1- Port BNC
Patch panel Cat.5e E203713
Conversor Fast Fibra
3.5 Elaboración del Documento
Una vez que se ha visitado la matriz y agencias de la Cooperativa y se ha recogido la
información necesaria sobre el estado actual de la empresa y de la red se procede a
realizar el documento que dejará en constancia como se encentra la empresa en el
momento del análisis antes de la etapa de desarrollo de la nueva red.
ANALISIS Y LEVANTAMIENTO DE LA INFORMACION DE LA RED “ERCO”
46
4 CAPITULO IV: ANALISIS Y LEVANTAMIENTO DE LA
INFORMACION DE LA RED
En este capitulo se realizara el análisis del estado actual de la red de la cooperativa
“ERCO”, se revisara la red física, la topología, la tecnología, el proveedor de servicio
de conexión y el ancho de banda que les da para la conexión con su agencia Cumbe.
4.1 Ubicación de la red
La cooperativa cuenta a más de sus 4 agencias con dos enlaces uno a la Empresa
Eléctrica para los pagos de Luz y otro a Mony Gram para envió y recibo de remesas.
Cabe señalar que al tener enlazada la matriz con su Agencia en Cumbe, se puede dar
estos servicios a todos los socios que se encuentren ubicados en los alrededores de la
agencia de la Cooperativa “ERCO”. Además este enlace nos permite, no solo
comunicarse con la agencia, sino tener un enlace con instituciones externas como
Money Gram y la Empresa Eléctrica para realizar actividades como: pago de
servicios de Luz y envió de remesas, respectivamente.
Figura 22: Diagrama general de la red
ANALISIS Y LEVANTAMIENTO DE LA INFORMACION DE LA RED “ERCO”
47
4.2 Análisis del tráfico
Al contar con 5 servidores y diferentes departamentos como Contabilidad, Servicio
al cliente, etc., hemos considerado necesario realizar el análisis de tráfico de la red
para tener un conocimiento del manejo de la red y de cómo se están usando los
recursos de la misma.
Para el análisis hemos utilizado la herramienta IRIS™ Network Traffic Analyzer,
cuyas características principales son:
• Funciona con Windows 95/98/NT/2000/XP.
• Herramienta de captura instantánea de datos de red que permite descodificar
el tráfico en tiempo real.
• Graba y reproduce el tráfico con el fin de obtener un registro completo de
actividades sospechosas en la red.
• Identifica los problemas de rendimiento antes de que generen períodos de
inactividad en la red.
• Potentes funciones de programación, alertas y elaboración de informes
estadísticos
Creado por eEye Digital Security, uno de los principales desarrolladores de
productos de seguridad de red, Iris es un analizador de tráfico de red muy sofisticado
y fácil de utilizar. Iris permite examinar el funcionamiento interno de la red,
realizando el trabajo de investigación necesario para detectar las violaciones de
seguridad y resolver los problemas de rendimiento de forma rápida y sin esfuerzo.
Luego de generar informes estadísticos, se muestra un ejemplo del análisis realizado,
donde se puede visualizar los protocolos revisados y los puertos utilizados en la red:
ANALISI Y LEVANTAMIENTO DE LA INFORMACION DE LA RED ……“ERCO”
48
Figura 23: Análisis de tráfico de red IP: 132.150.10.16
ANALISI Y LEVANTAMIENTO DE LA INFORMACION DE LA RED ……“ERCO”
49
Figura 24: Análisis de tráfico de la red IP: 132.150.10.45
ANALISIS Y LEVANTAMIENTO DE LA INFORMACION DE LA RED “ERCO”
50
4.3 Revisión del Ancho de Banda
A partir del último trimestre del año 2006, la Cooperativa “ERCO” cuenta con el
servicio de Transmisión de Datos Interurbano Dedicado (Fibra óptica), provisto por
la Empresa Telconet – TelcoCarrier, la que nos permite comunicarnos con la agencia
de Cumbe. El costo fluctúa por los $200 mensuales por cada punto.
Por otro lado se cuenta con un Servicio de Transmisión de Datos o Ultima Milla para
Internet (Fibra óptica), provisto por la Empresa Suratel – Grupo TVCable, este
servicio se encuentra instalado solo en Matriz y mediante el enlace entre agencias, es
posible distribuir este servicio. El costo es de $200, para el acceso al sistema de
pagos de la empresa Eléctrica.
Y por último el servicio de transmisión de datos o última milla para la comunicación
con la Empresa Eléctrica conjuntamente con Etapa, provista por Suratel (Satnet+Tv-
Cable)– Grupo TVCable. Este servicio viene sin costo, incluido en el paquete de
cobro y pago de planillas de servicios básicos.
Como se mencionó en el punto anterior, este servicio nos brinda Telconet, a través de
Fibra Óptica, con la utilización de servidores VPN10, instalados y configurados en
cada agencia a enlazar.
Este servicio posee las siguientes características:
Ancho de Banda Simétrico de 128 Kbps
Ultima milla: Microonda de 5.8 GHz
Up time: 99.6%
4.4 Revisión de la Tecnología existente
Ethernet
El estándar que utiliza en el diseño de la red es Ethernet, utilizando cable UTP
categoría 6 (para permitir una escalabilidad posterior de la red), aplicando una
10 VPN (Red Privada Virtual)
ANALISIS Y LEVANTAMIENTO DE LA INFORMACION DE LA RED “ERCO”
51
topología de estrella extendida
Figura 25: Tecnología que utiliza “ERCO”
Ethernet es el nombre de una tecnología de redes de computadoras de área local
(LANs) basada en tramas de datos. El nombre viene del concepto físico de ether.
Ethernet define las características de cableado y señalización de nivel físico y los
formatos de trama del nivel de enlace de datos del modelo OSI.
DISEÑO DE LA RED “ERCO”
52
5 CAPITULOV: DISEÑO DE LA RED
El presente proyecto constituye un diseño completo de la red empresarial para la
cooperativa de Ahorro y crédito “ERCO” Ltda., por lo que se pretende dar la mejor
solución tecnológica.
La empresa actualmente tiene conectada la agencia cumbe con la matriz, y el
presente diseño pretende enlazar todas las sucursales a la matriz para llegar a tener
una base de datos centralizada, evitar redundancia de datos y dar una mejor atención
a los clientes.
5.1 Diseño mapa lógico de la red
Al tener la cooperativa 4 sucursales y dar servicios de pago de luz y Money Gram,
toda la información de sus clientes debe estar centralizada y para ello se realizará la
conexión con las demás sucursales mediante su proveedor de conexión Telconet.
Estándar de la Red
El estándar que se utilizará en el diseño de la red será fast Ethernet, utilizando cable
UTP categoría 5e (para permitir una escalabilidad posterior de la red), aplicando una
topología de estrella extendida
5.1.1 Diseño de la Topología de la red
La topología que se utiliza es la de Estrella Extendida. La figura 26 muestra la
topología que diseñada para la cooperativa.
DISEÑO DE LA RED “ERCO”
53
Figura 26: Topología en Estrella extendida de “ERCO”
En la matriz se encuentra el MDF y el Punto de Presencia. En el MDF tenemos
creadas VLANs para los diferentes departamentos, la empresa actualmente tiene 10
computadoras y el nuevo diseño de la red permite un crecimiento de hasta 32
computadoras, la VLAN2 tiene 5 computadoras para Cajas, la VLAN3 tiene 1
computadora para Gerencia, 2 para Contabilidad, 2 para Auxiliar Contable, 1 Jefe de
Negocios y 4 para Atención al cliente. La VLAN4 tiene 3 computadoras para el
Departamento de sistemas.
EL MDF tiene una salida a Internet la cual es provista por la empresa Telconet
La empresa tendrá todas las agencias conectadas a su matriz mediante su proveedor
de servicio Telconet, con sus servicios tanto de fibra óptica y a través de fibra óptica
dentro de la provincia.
Los IDF_C, IDF_B, IDF_A y el IDF_S; puntos de conexión interna de las agencias
Cumbe, Baños, EL Arenal y Sinincay respectivamente.
DISEÑO DE LA RED “ERCO”
54
Diseño de VLAN
Con la creación de VLAN se puede limitar el tráfico de difusión al interior de una
red, crear dominios de difusión más pequeños en el interior de la red, y crear grupos
para manejar VLAN según su función, hemos diseñado 3 VLAN para la cooperativa:
VLAN2: Cajas
VLAN3: Administración
VLAN4: Sistemas Informáticos
Distribución de VLAN
Las VLANs han sido diseñadas para unir departamentos que manejen la misma
información. A continuación se muestra como están distribuidas las VLAN con el
número de computadoras que tiene cada departamento:
La VLAN2 esta dedicada a enlazar los departamentos de Cajas:
Cajas: 5 computadoras
La VLAN3 enlaza los departamentos de Gerencia, Contabilidad, Auxiliar
Contable, Jefe de Negocios y Atención al cliente.
Gerencia: 1 computadora
Contabilidad: 2 computadoras
Auxiliar contable: 2 computadoras
Jefe de Negocios: 1 computadora
Atención al cliente: 4 computadoras
La VLAN4 para el departamento de Sistemas y enlaza todos los servidores.
Jefe de Departamento de Sistemas: 1 computadora
Desarrollo Tecnológico: 2 computadoras
DISEÑO DE LA RED “ERCO”
55
Figura 27: Diagrama de VLAN
DISEÑO DE LA RED “ERCO”
56
5.1.2 Diseño del mapa de direccionamiento
La red esta divida en 5 subredes con direcciones IP públicas de clase B. A
continuación se presentan las direcciones de las diferentes agencias:
Matriz: 132.150.10.0/24
Cumbe: 132.150.50.0/24
Baños: 132.150.40.0/24
El Arenal: 132.150.20.0/24
Sinincay: 132.150.30.0/24
Figura 28: Direccionamiento General de toda la Red
Subred
Dirección de
Subred
Rangos Puntos
de red
Matriz 132.150.10.0/24 132.150.10.34/27 – 132.150.10.104/27 22
Cumbe 132.150.50.0/24 132.150.50.34/27 - 132.150.50.104/27 4
Baños 132.150.40.0/24 132.150.40.34/27- 132.150.40.104/27 4
El Arenal 132.150.20.0/24 132.150.20.34/27, 132.150.20.104/27 4
Sinincay 132.150.30.0/24 132.150.30.34/27, 132.150.30.104/27 4
Tabla 2: Tabla de direcciones de la matriz y sucursales de “ERCO”
DISEÑO DE LA RED “ERCO”
57
Tienen mascara /27 para no desperdiciar las direcciones IP, ya que cada sede no tiene
mas de 22 computadoras, permitiendo tener un máximo de 32 hosts (2^5=32).
A los Servidores se les ha asignado una dirección IP estática de modo que las
estaciones de trabajo y otros dispositivos siempre sepan como acceder a los servicios
requeridos.
Las direcciones de los Servidores se muestra en la siguiente tabla:
Servidores Dirección de Subred
Servidor FTP 132.150.10.98/27
Servidor de Base de Datos 132.150.10.99/27
Servidor Web 132.150.10.100/27
Servidor de Aplicaciones 132.150.10.101/27
Firewall 132.150.10.105/27
Tabla 3: Tabla de direcciones de los Servidores de la empresa “ERCO”
La red contará con un servidor de Aplicaciones en la cual se manejara la
información de todas las agencias.
5.1.2.1 Rango de direcciones IP para cada VLAN: Matriz
VLAN Departamento Dirección IP
VLAN2 Caja 1 132.150.10.34/27
Caja 2 132.150.10.35/27
Caja 3 132.150.10.36/27
Caja 4 132.150.10.37/27
Caja 5 132.150.10.38/27
VLAN3
Atención al Cliente 1 132.150.10.66/27
Atención al Cliente 2 132.150.10.67/27
Atención al Cliente 3 132.150.10.68/27
Atención al Cliente 4 132.150.10.69/27
Contabilidad 132.150.10.70/27
DISEÑO DE LA RED “ERCO”
58
Contabilidad 132.150.10.71/27
Auxiliar Contable 132.150.10.72/27
Auxiliar Contable 132.150.10.73/27
Jefe de Negocios 132.150.10.74/27
Gerencia 132.150.10.75/27
VLAN4
Servidor FTP 132.150.10.98/27
Servidor de Base de Datos 132.150.10.99/27
Servidor Web 132.150.10.100/27
Servidor de Aplicaciones 132.150.10.101/27
Departamento Sistemas 1 132.150.10.102/27
Departamento Sistemas 2 132.150.10.103/27
Departamento Sistemas 3 132.150.10.104/27
Tabla 4: Tabla de direcciones IP de las VLANs Matriz Sucursal Cumbe
VLAN Departamento Dirección IP
VLAN1 Caja 132.150.50.34/27
VLAN2 Atención al Cliente 132.150.50.66/27
Tabla 5: Tabla de direcciones IP de la VLAN de la agencia Cumbe Sucursal Baños
VLAN Departamento Dirección IP
VLAN1 Caja 132.150.40.34/27
VLAN2 Atención al Cliente 132.150.40.66/27
Tabla 6: Tabla de direcciones IP de la VLAN de la agencia Baños
DISEÑO DE LA RED “ERCO”
59
Sucursal El Arenal
VLAN Departamento Dirección IP
VLAN1 Caja 132.150.20.34/27
VLAN2 Atención al Cliente 132.150.20.66/27
Tabla 7: Tabla de direcciones IP de la VLAN de la agencia Cumbe Sucursal Sinincay
VLAN Departamento Dirección IP
VLAN1 Caja 132.150.20.34/27
VLAN2 Atención al Cliente 132.150.20.66/27
Tabla 8: Tabla de direcciones IP de la VLAN de la agencia Cumbe
DISEÑO DE LA RED “ERCO”
60
Figura 29: Diagrama de Direccionamiento de la cooperativa “ERCO”
DISEÑO DE LA RED “ERCO”
61
5.1.3 Elaboración tabla de ruteo
Figura 30: VPNs
Dado que nuestra empresa maneja información privada de los clientes es necesario
que dicha información pase de manera encriptada por las redes de Telconet, la mejor
solución que podríamos usar son las VPNs para la conexión entre las matriz y las
distintas sucursales, dicha VPN nos provee de encriptación y una alta seguridad en el
traspaso de datos desde y hacia las sucursales.
La Figura 30 nos muestra las VPNs en una conexión punto a multipunto, estas unen
las redes de la matriz con las sucursales
Tabla de ruteo:
Teniendo en cuenta que la matriz requiere seguridad interna se ha propuesto la
implementación de VLANs dentro de la misma como se indico en la Figura 27. La
tabla de ruteo del router de la matriz que incluye VLANs seria la siguiente:
DISEÑO DE LA RED “ERCO”
62
Puerto Red
eth0.2 132.150.10.33
eth0.3 132.150.10.65
eth0.4 132.150.10.97
Tabla 9: Tabla de ruteo de matriz
A continuación se indica la Tabla de enrutamiento de la conexión de VPNs entre la
matriz y sus sucursales
Puerto Red
eth1.1 132.150.20.0/24
eth1.2 132.150.30.0/24
eth1.3 132.150.40.0/24
eth1.4 132.150.50.0/24
Tabla 10: Tabla de ruteo de las VPNs
5.2 Diseño mapa físico de la LAN
Figura 31: Diagrama general de la red
DISEÑO DE LA RED “ERCO”
63
El modelo de la figura 31 es un diseño punto a multipunto, la conexión será provista
por Telconet, es decir todas las sucursales se conectarán a la matriz, pero para la
conexión entre sucursales deberán pasar obligatoriamente por la matriz, de esta
manera la matriz controla el flujo de los datos, desde y hasta las distintas sucursales.
Además de esto, con este diseño la seguridad estará centralizada en la matriz, dado
que esta tiene el servicio de Internet con el proveedor Satnet, la matriz compartirá y
controlara el servicio de Internet a las sucursales por medio de Telconet
Teniendo en cuenta que la información esta centralizada en la matriz, el acceso a los
servicios para las agencias de Cumbe, Baños, El Arenal y Sinincay lo realizarán a
través de su proveedor de conexión Telconet, quienes accederán a través de ésta para
tener acceso a la información de todos sus clientes, los mismos que podrán realizar
sus transacciones desde cualquier agencia de la Cooperativa. Además podrán realizar
sus pagos de Luz y envió y recepción de giros a través de Money Gram.
5.2.1 Planes de distribución de conexiones
Los planes de distribución de los cables del MDF de la matriz que se utilizarán en la
matriz de la cooperativa serán los que se indican en la tabla. El switch que se
utilizará será un Switch administrables de 24 puertas que permita VLANs.
DISEÑO DE LA RED “ERCO”
64
MATRIZ
MDF
CONEXIÓN ID CABLE CONEXIÓN CRUZADA
TIPO
CABLE ESTADO
MDF a puerto1 301-1 HCC1/Servidor 1 UTP Cat 5e Usado
MDF a puerto2 301-2 HCC2/Servidor 2 UTP Cat 5e Usado
MDF a puerto3 301-3 HCC3/Servidor 3 UTP Cat 5e Usado
MDF a puerto4 301-4 HCC4/Servidor 4 UTP Cat 5e Usado
MDF a puerto5 301-5 HCC5/Servidor 5 UTP Cat 5e Usado
MDF a puerto6 302-6 HCC6/Jefe Sistemas UTP Cat 5e Usado
MDF a puerto7 302-7 HCC7/Depart. Sistemas UTP Cat 5e Usado
MDF a puerto8 302-8 HCC8/Depart. Sistemas UTP Cat 5e Usado
MDF a puerto9 205-9 HCC9/Atención Cliente 1 UTP Cat 5e Usado
MDF a puerto10 205-10 HCC10/Atención Cliente 2 UTP Cat 5e Usado
MDF a puerto11 205-11 HCC11/Atención Cliente 3 UTP Cat 5e Usado
MDF a puerto12 205-12 HCC12/Atención Cliente 4 UTP Cat 5e Usado
MDF a puerto13 204-13 HCC13/Contabilidad 1 UTP Cat 5e Usado
MDF a puerto14 304-14 HCC14/Contabilidad 2 UTP Cat 5e Usado
MDF a puerto15 203-13 HCC15/Jefe de Negocios UTP Cat 5e Usado
MDF a puerto16 202-16 HCC16/Auxiliar Contable UTP Cat 5e Usado
MDF a puerto17 202-17 HCC17/Auxiliar Contable UTP Cat 5e Usado
MDF a puerto18 101-18 HCC18/Gerencia UTP Cat 5e Usado
MDF a puerto19 102-19 HCC19/Caja1 UTP Cat 5e Usado
MDF a puerto20 102-20 HCC20/Caja2 UTP Cat 5e Usado
MDF a puerto21 102-21 HCC21/Caja3 UTP Cat 5e Usado
MDF a puerto22 102-22 HCC22/Caja4 UTP Cat 5e Usado
MDF a puerto23 102-23 HCC23/Caja5 UTP Cat 5e Usado
MDF a puerto24 102-24 HCC24/desocupado UTP Cat 5e sin usar
Tabla 11: Distribución de conexiones
5.2.2 Ubicación de Cuartos de Telecomunicaciones y Equipos
Dado que la computadora más lejana esta a menos de 100m de distancia, la
tecnología que utilizaremos será Ethernet la cual si nos permite llegar hasta el último
computador del edificio sin necesidad de usar repetidores, si no es factible usar
Ethernet se manejará fibra óptica.
DISEÑO DE LA RED “ERCO”
65
En el edificio de la matriz existirá un solo Cuarto de Telecomunicaciones donde se
albergara también los servidores de la empresa que servirán también para las
sucursales, ya que la arquitectura será centralizada.
El cuarto de telecomunicaciones se encuentra ubicado en la segunda planta de la
matriz.
5.3 Elaboración del Documento
Una vez que se ha realizado el diseño de lo que será la futura red LAN de la
cooperativa, procedemos ha realizar la documentación de todos los puntos de este
capitulo para dejar un documento de constancia del diseño de la nueva red.
DISEÑO DEL PLAN DE SEGURIDAD “ERCO”
66
6 CAPITULO VI:
DISEÑO DEL PLAN DE SEGURIDAD
6.1 Introducción
La seguridad en las Empresas e instituciones hoy en día es muy importante, es por
esto que el tema de seguridad más que una recomendación es un requisito que toda
empresa debe cumplir. La seguridad de las tecnologías de información, y por ende la
informática, se convierte en un tema de crucial importancia para el continuo y
creciente progreso de nuestra sociedad, e incluso para la propia supervivencia de la
empresa.
Desde el momento en que las empresas acceden al servicio de Internet, se abren ante
ellas toda una serie de posibilidades, sin embargo éstas traen consigo nuevos y en
ocasiones complejos tipos de ataque que pueden afectar el correcto funcionamiento
de la red y pérdidas considerables a la institución.
En base a los puntos anteriores, fue necesario realizar un análisis y revisión de todas
las debilidades y amenazas tanto físicas como lógicas que existieran en la
Cooperativa de Ahorro y Crédito, y solventarlos a través de la generación de un
documento de Políticas de Seguridad para prevenirlas.
6.2 Análisis de los requerimientos de las aplicaciones
del negocio.
Al ser “ERCO” una empresa joven y en constante crecimiento, no cuenta con una
estructura segura y fiable. Por lo que a continuación se listan los requerimientos de la
empresa:
Rediseño de la estructura de los departamentos.- la empresa debe contar con un
correcto diseño para cada uno de los departamentos en sus diferentes áreas: Atención
al cliente, Cajas, Contabilidad, Unidad de Informática, etc., con la finalidad de
DISEÑO DEL PLAN DE SEGURIDAD “ERCO”
67
brindar mayor seguridad y comodidad tanto para los usuarios internos como para los
clientes.
Reubicación de equipos y dispositivos de telecomunicaciones: la empresa debe
contar con una adecuada ubicación de sus equipos servidores u dispositivos de
telecomunicaciones como switches, hubs, servidores, etc.
Diseño de cableado estructurado: Es necesario que la Cooperativa cuente con el
diseño de cableado estructurado para un adecuado control y optimización de la red,
cumpliendo normas y estándares para un mejor desempeño y futura expansión de la
misma. Es necesario contar con un cuarto de equipos el mismo que debe estar en un
lugar seguro y con una adecuada ventilación, con control de acceso autorizado.
Incrementar el número de cajas: para una mejor atención a los clientes se debe
incrementar el número de cajas.
Reubicación de la Caja Fuerte: se debe procurar una adecuada protección y
medidas de seguridad para la ubicación de la caja fuerte.
Reubicación del Archivo de Documentos: documentación en papel que contiene
información muy valiosa del estado económico de los clientes y la empresa, que
actualmente están a la vista de todos, pudiendo extraviarse, pues se encuentran en el
pasillo de acceso a los departamentos de la empresa.
6.3 Identificación de los activos de la empresa
Luego del análisis realizado en el punto 3.4 del capitulo 3 sobre los
activos que la empresa tiene, no se ha detectado activos que favorezcan
políticas de seguridad como por ejemplo firewall, UPS, etc., por lo que
es fundamental contar con un documento que indique y aclare las
normas, requerimientos y procedimientos para solucionar inconvenientes
que se puedan presentar.
DISEÑO DEL PLAN DE SEGURIDAD “ERCO”
68
6.4 Análisis de los posibles riesgos y amenazas a la red
6.4.1 Lógicos
Entre los posibles riesgos y amenazas que se pueden presentar en la red y la empresa
tenemos:
• Virus: este posible riesgo que es muy común ya que al estar conectados a
Internet la posibilidad de adquisición de virus es mas fácil, también el uso
frecuente de dispositivos extraíbles como memorias flash, disketes, etc., son
medios de contagios mas frecuentes hoy en día.
• Ataques a la red por Internet: Los ataques desde el exterior son una de las
amenazas de que mas cuidado se debe tener, ya que estas pueden tener acceso
a la información valiosa de la empresa.
• Denegación de servicios: conocido como DoS (Denial of Service), es un
tipo de ataque que provoca la pérdida de la conectividad de la red por el alto
consumo del ancho de banda, se genera mediante la saturación de los puertos
con flujo de información, haciendo que el servidor se sobrecargue y no pueda
seguir prestando servicios.
• Fraudes informáticos: Este tipo de ataque se puede dar por usuarios mal
intencionados que pretenden alterar las transacciones bancarias en nuestro
caso, robar información, instalar programas maliciosos, borrar información,
etc. Con el único fin de perjudicar a la misma o para su propio beneficio.
• Acceso no autorizado a las aplicaciones: el sistema de la empresa debe
contar con un adecuado control para el acceso a las aplicaciones es decir, se
debe pedir su identificación (usuario y clave) para acceder a realizar cualquier
tipo de transacción, donde solo el personal autorizado tenga este privilegio de
acceso.
• Acceso no autorizado a las bases de datos: esta se puede dar al existir
usuarios mal intencionado o ingenuos que accedan a la misma con el único
DISEÑO DEL PLAN DE SEGURIDAD “ERCO”
69
fin de alterar o borrar la información, lo cual perjudicaría a la organización y
a sus clientes.
• Divulgación de la información no autorizada. La empresa debe
concienciar a sus empleados de la importancia de la privacidad de la
información con el fin de proteger a la empresa y a sus clientes.
• Uso de claves en switch, routers, que viene por defecto. Este riesgo se
puede dar por descuido en los administradores de la red, al momento de la
configuración de los dispositivos, manejo de contraseñas, lo cual facilitaría
un ataque.
6.4.2 Físicos
• Daños de equipos: Estos se dan debido a la falta de sistemas de ventilación,
mala ubicación del cuarto de servidores, ocasionando el daño de los mismos.
• Riesgos energía eléctrica: Estos riesgos pueden ocasionar pérdidas a la
empresa al no contar con un generador propio de energía y la falta de UPS.
• Falencias en el diseño de la infraestructura de la red: Las conexiones
existentes presentan muchas deficiencias, sobre todo por la falta de cableado
estructurado.
• Robo de equipos informáticos: Estos se pueden ocasionar debido a que los
equipos se encuentran en lugares inseguros y de fácil acceso para cualquier
persona de la cooperativa.
• Desastres naturales: por ejemplo inundaciones, debido a que no cuenta con un
diseño de cableado estructurado, que por ejemplo separe instalaciones de cables
eléctricos con las tuberías de agua.
• Mala operación de los sistemas por parte de los usuarios: esta amenaza
puede alterar la información de los clientes y de la empresa.
DISEÑO DEL PLAN DE SEGURIDAD “ERCO”
70
• Pérdida de claves esta se da por descuido de los usuarios, quienes pueden
provocar que la información no sea integra y puede dejar de estar disponible.
6.5 Diseño de las políticas de seguridad:
Antes de empezar a diseñar las políticas de seguridad, se tomaron en cuenta los
parámetros definidos en el punto 2.7.2, del capitulo 2.
En primer lugar consideraron los posibles riesgos y amenazas identificados en el
punto anterior, se trabajó con el personal involucrado de cada departamento (quienes
identificaron las vulnerabilidades más frecuentes).
Luego los usuarios internos fueron informados sobre el desarrollo de las políticas de
seguridad a implementarse constatando los beneficios que conllevan. Para esto es
necesario que exista un monitoreo constante de las operaciones diarias, siguiendo los
manuales de procedimientos establecidos y en caso de ver alguna anormalidad se
notifique inmediatamente a la persona encargada de cada departamento.
El propósito de desarrollar este documento de las Políticas de Seguridad informática
para La Cooperativa de Ahorro y Crédito “ERCO” es proteger su información y los
activos de la misma, tratando de conseguir confidencialidad, integridad y
disponibilidad de los datos, así mismo identificar las responsabilidades de cada uno
de los empleados de la cooperativa, para concienciarlos de la importancia y
sensibilidad de la información.
Desarrollo
Se creará un documento con las Políticas de Seguridad Informática donde se
establecerán normas y procedimientos, que se deberán acatar en la Cooperativa de
Ahorro y Crédito “ERCO” respecto a las actividades relacionadas con la seguridad
informática y las tecnologías de información.
Este documento deberá ser aprobado inicialmente por los directivos de la
Cooperativa para su implementación, las mismas que serán revisadas periódicamente
para analizar nuevas necesidades en caso de ser necesarias.
DISEÑO DEL PLAN DE SEGURIDAD “ERCO”
71
6.5.1 Seguridad Lógica
Identificación de usuarios
Debe existir una política formal de control de acceso a datos donde se detalle
como mínimo:
El nivel de confidencialidad de los datos y su sensibilidad,
Los procedimientos de otorgamiento de claves de usuarios para el
ingreso a los sistemas,
Los estándares fijados para la identificación y la autenticación de
usuarios.
Para dar de alta un usuario al sistema debe existir un procedimiento formal,
por escrito, que regule y exija el ingreso de los siguientes datos:
Identificación del usuario, deberá ser única e irrepetible,
Password, debe ser personal e ingresado por el usuario,
Nombre y apellido completo,
Sucursal de la empresa donde trabaja,
Grupo de usuarios al que pertenece,
Fecha de expiración del password,
Fecha de anulación de la cuenta,
Contador de intentos fallidos,
Autorización de imprimir,
Deben asignarse los permisos mínimos y necesarios para que cada usuario
desempeñe su tarea.
Deberá restringirse el acceso al sistema o la utilización de recursos en un
rango de horario definido.
El administrador del sistema deberá realizar un chequeo mensual de los
usuarios del sistema, comprobando que existan solo los usuarios que son
necesarios y que sus permisos sean los correctos.
Las PC´s deben tener instalado un protector de pantalla con contraseña.
DISEÑO DEL PLAN DE SEGURIDAD “ERCO”
72
Periódicamente el administrador del sistema deberá chequear las acciones
desempeñadas con las cuentas de administradores y de mantenimiento.
Autenticación:
Crear cuentas de usuarios y contraseñas de acuerdo a su jerarquía y roles
que desempeñen.
Es necesario que los usuarios registren en cualquier pantalla de ingreso de
los sistemas informáticos los siguientes datos: nombre de usuario y clave.
Mostrar los siguientes datos una vez que el usuario a ingresado, para
notificar en caso de violación de clave:
Nombre de usuario
Fecha y hora de la ultima conexión
Número de intentos fallidos en el ingreso de su clave
Es necesario mantener encriptada la siguiente información:
Listas de control de acceso
Los passwords y cuentas de usuario
Datos de autenticación.
Password:
Crear passwords seguros con las siguientes características:
Combinación de letras, números.
Tener una longitud mínima de 6 caracteres y máxima de 20.
Cambiar los passwords periódicamente y evitar anotarlos en lugares
visibles.
La fecha máxima en que debe expirar el password deberá ser de cuatro
meses, una vez cumplido este plazo el sistema pedirá automáticamente el
cambio del mismo.
DISEÑO DEL PLAN DE SEGURIDAD “ERCO”
73
Bloquear la interfaz de ingreso de password en caso de tener más de tres
intentos fallidos.
Evitar usar como password el nombre del usuario, el nombre de la
empresa, fechas de nacimiento, etc.
El sistema debe dar facilidad para que los usuarios modifiquen sus
passwords cuantas veces se considere necesario.
Antivirus
Es necesario que la empresa cuente con un servidor de antivirus, el cual debe
estar ejecutándose permanentemente y en continua actualización de
definiciones de virus.
Se deberá utilizar más de una herramienta antivirus en los servidores para
disminuir los riesgos de infección.
Las actualizaciones de los antivirus deberán realizarse mediante un
procedimiento automático.
Se debe contar con programas de escaneos periódicos de virus en todos los
equipos de la Cooperativa, para que estos sean detectados a tiempo.
En caso que se detecte un virus en algún equipo del sistema, se debe seguir
procedimientos formales para tomar las medidas necesarias.
Firewall
La empresa debe contar con el uso de un firewall para tener un control seguro
de los accesos a la red.
Se recomienda la configuración del Firewall Screened Host (Dual-homed
bastion Host), por que este ofrece doble nivel de seguridad al simular el
router sobre Fedora.
DISEÑO DEL PLAN DE SEGURIDAD “ERCO”
74
Deshabilitar los servicios y protocolos que no son necesarios para el
funcionamiento del sistema, para evitar la probabilidad de ataques o
intrusiones.
Debe ser controlado periódicamente la configuración del firewall y los
servicios de red por el personal encargado del mantenimiento. Todos los
resultados de las pruebas deben estar documentados.
Al detectarse una falla en el firewall es necesario que todos los accesos al
servidor de Internet se bloqueen.
6.5.2 Seguridad en la Comunicaciones
Dar capacitación a los usuarios de la Cooperativa con respecto a los riesgos y
medidas de seguridad que se debe tomar al momento de conectarse a Internet.
El acceso a Internet será otorgado únicamente para propósitos relacionados
con la institución y con previa autorización de la Gerencia. Y los usuarios no
autorizados no podrán acceder a este servicio.
Se deben utilizar un firewall para el control del tráfico entrante y saliente de
la red interna, para restringir el acceso no autorizado.
Fijar mecanismos de transmisión y responsabilidades con terceros (personal
de mantenimiento de equipos, personal de limpieza, proveedores de servicios
de Internet, etc.)
Monitorear periódicamente el uso de Internet en caso de que exista alguna
razón para creer que la seguridad esta siendo violada.
La gerencia tiene pleno derecho de examinar cualquier información, sin
previo consentimiento o notificación del empleado, en caso que se considere
que está utilizando inadecuadamente el equipamiento de la Cooperativa.
Se debe utilizar protocolos y servicios de comunicación que garanticen la
DISEÑO DEL PLAN DE SEGURIDAD “ERCO”
75
seguridad de los datos que se transmiten a través de la red.
Se deberá documentar cada una de las actividades que personal externo
realice sobre los equipos de hardware.
Se debe restringir el uso de herramientas que no ayuden con el cumplimiento
de los objetivos de la Cooperativa, tales como: herramientas de Chat, juegos,
etc
Mail.
La gerencia se encargara de determinar que empleado debe contar con una
cuenta de correo electrónico, según la tarea que el empleado desempeñe.
La empresa deberá contar con un sistema de mail interno y externo, para de
esta forma mantener su seguridad en las comunicaciones con el personal, sin
tener que exponer sus mensajes a Internet.
Se debe contar con un procedimiento para dar de baja las cuentas de correo
electrónico en caso de que esta no sea utilizada correctamente.
Los aplicativos de correo electrónico deberán brindar las condiciones de
seguridad necesaria, para impedir que un usuario reciba correos maliciosos o
de remitentes maliciosos que intenten afectar los recursos de la institución.
El administrador de mail no debe ser utilizado para enviar correo basura.
El correo electrónico no debe ser utilizado para enviar cadenas de mensajes, o
actividades no relacionadas con los propósitos de la empresa.
6.5.3 Seguridad Física
Control de acceso a equipos
Los equipos de la empresa deben contar con un password de administrador de
tal forma que solo el tenga acceso para administrar el sistema.
DISEÑO DEL PLAN DE SEGURIDAD “ERCO”
76
Se debe deshabilitar las disqueteras lectoras de CD y puertos USB, en
aquellas maquinas que no se necesiten.
Los servidores, rotures, etc., deberán estar en el cuarto de equipos y bajo llave
para evitar que estos sufran daños o robo.
Los gabinetes donde se ubican los switches y hub de cada una de las
sucursales, deberán permanecer guardados bajo llave, y fuera del alcance del
personal no autorizado.
El administrador de la red deberá encargarse de realizar chequeos periódicos
para comprobar la correcta instalación de los dispositivos.
Los servidores deberán apagarse automáticamente una vez que se haya
cumplido la hora laboral.
Dispositivos de Soporte.
La Cooperativa debe contar con los siguientes dispositivos de soporte básicos para
brindar una mayor seguridad para los usuarios y clientes:
Aire acondicionado: Es necesario que el cuarto de equipos cuente con aire
acondicionado para evitar el recalentamiento de los equipos y que estos se
deterioren.
Extintores: estos deben cumplir las especificaciones necesarias para
extinguir incendios en equipos eléctricos de computación. Deberán estar
instalados en lugares estratégicos de la empresa, además el cuarto de equipos
deberá contar con uno propio que estará ubicado junto a los servidores.
Alarmas: la Cooperativa a más de contar con personal de seguridad es
necesario que cuente con alarmas que se activen automáticamente ante una
emergencia en los diferentes departamentos.
DISEÑO DEL PLAN DE SEGURIDAD “ERCO”
77
Generador de energía: Es necesario que la Cooperativa cuente con un
generador de energía propio que se ponga en marcha cuando haya problemas
con el suministro de energía eléctrica o avisos de cortes de luz.
UPS: (Uninterruptible power supply) es necesario que exista al menos un
UPS en el cuarto de equipos para que atiendan a los servidores, para tener
tiempo de apagarlos de forma segura.
Evaluar periódicamente los dispositivos de soporte por el personal de
mantenimiento para que en caso de emergencia se encuentren disponibles.
Estructura del Edificio.
El centro de computo (Departamento de Sistemas) deberá estar ubicado en el
piso superior del edifico, para que no se encuentre afecte en caso de
inundaciones o robo, además debe contar con protecciones contra ruidos e
interferencias electromagnéticas y visuales.
La Cooperativa deberá contar con un cuarto telecomunicaciones y equipos
para una mejor administración y control de seguridad.
El diseño del Departamento de Sistemas debe considerar el futuro
crecimiento de la empresa, para que permita la expansión y predisposición a
nuevas instalaciones.
6.6 Elaboración del documento de Políticas de Seguridad
Una vez analizadas las debilidades y amenazas de la red y de la empresa,
tanto físicas como lógicas, procedemos a realizar la documentación de
las políticas diseñadas en el punto anterior.
CONCLUSIONES “ERCO”
78
CONCLUSIONES
Luego de haber realizado el proyecto es fundamental tomar en cuenta las siguientes conclusiones:
Respecto al análisis de la red:
Actualmente la empresa no cuenta con cableado estructurado, lo que ocasiona problemas en la expansión de la red, ya que no se encuentran documentados los puntos de conexión, ni se manejan estándares en lo que refiere a la localización de los dispositivos. Del mismo modo, tampoco se aplican los estándares en lo referente al cableado eléctrico, telefónico y de datos.
Los datos de los clientes en la empresa se encuentran en bases de datos independientes, lo que podría ocasionar redundancia de datos, así como falta de integridad entre los mismos.
Para mejorar la seguridad dentro de los usuarios de un mismo edificio se aconseja la implementación de VLANs, lo que permitirá que el router empresarial asigne los permisos necesarios a los diferentes grupos de usuarios.
Respecto al Plan de Seguridad:
La empresa no cuenta con un Plan de Seguridad vigente, lo cual puede provocar fallas de seguridad en los sistemas, equipos de hardware y afectar a los datos e información que se maneja en la misma.
La falta de cableado estructurado puede ocasionar perdida de datos en la
transmisión de información entre los dispositivos de red.
RECOMENDACIONES “ERCO”
79
RECOMENDACIONES Respecto al análisis de la red:
Aplicar reglas y estándares a toda la empresa, dado que existen algunos estándares a aplicar en lo que respecta al cableado, escoger el que mejor se adapte a sus necesidades.
Para eliminar tanto la redundancia de datos así como la falta concordancia, se aconseja unir por red las sucursales con la matriz, de manera que la base de datos sea centralizada o en su defecto distribuida, pero que de esta manera no existan datos erróneos.
Actualmente dentro del mismo edificio, todos los usuarios ya sea el gerente como las cajeras se encuentran en la misma red, es por ello que la seguridad dentro de la empresa es muy baja.
Respecto al Plan de Seguridad:
La Gerencia debe tomar en consideración la publicación de un documento con las políticas presentadas y que éste sea dado a conocer a nivel corporativo, es decir a todos los funcionarios, con la finalidad de disminuir errores de seguridad.
Seria fundamental contar con un presupuesto dentro de la empresa para implementar este proyecto y darle una alta prioridad con la finalidad de garantizar la información de la cooperativa, y el servicio a sus clientes.
BIBLIOGRAFIA “ERCO”
80
BIBLIOGRAFIA
GIBBS Mark. Redes para todos. Editorial Prentice Hall Hispanoamericana,
S.A. Naucalpan de Juarez, México,1995
COMER Douglas. Redes Globales de Información con internet y TCP/IP.
Editorial Prentice Hall Hispanoamericana,S.A Naucalpan de Juárez,
México,1996
TANENBAUM, Andrew C. Redes de Computadores - 3a edição.
Ed.Campus, Rio de Janeiro, 1997.
Cisco System,Inc Academia de Networking de Cisco System:Guia del
Segundo año CCNA 3 y 4. Tercera Edición. PEARSON EDUCATION, SA.
Madrid, 2004
GUSTAVUS J. Simmons (Editor), "Contemporary Cryptology. The Science
of Information Integrity", IEEE Press. 1992.
WILEY John & Sons, “Security Mechanisms for Computer Networks", Sead
Muftic 1984.
STALLING William, Comunicaciones y redes de Computadoras. Pearson
Educacion, Madrid, 7a edicion 2004, 268p
ANEXOS “ERCO”
81
ANEXOS
Anexos 1: Fotografías de la empresa
La figura muestra como se encuentra ubicado el Router en la Empresa
Figura 32: Fotografía de la ubicación física del Router y la centralilla
El acceso a la ubicación del Router y la Centralilla no es restringido y cualquier empleado puede ingresar a este ya que se encuentra en cuarto de equipos que es donde se debería encontrar.
Figura 33: Fotografía del acceso al router y la centralilla
ANEXOS “ERCO”
82
En la siguiente figura se puede observar la Oficina o departamento de Sistemas donde se encuentra el HUB que une los diferentes Servidores que tiene la empresa.
Figura 34: Fotografía del Departamento de Sistemas (Switch 8 puertos que conecta los servidores)
En la siguiente figura se puede observar como se encuentran ubicados los servidores de la empresa.
Figura 35: Fotografía de la ubicación física de los Servidores
ANEXOS “ERCO”
83
En la siguiente foto se puede observar como manejan el cableado en el Departamento de Sistemas.
Figura 36: Fotografía del cableado que tienen en el Departamento de sistemas La siguiente fotografía muestra como se encuentra el Departamento de Sistemas de la cooperativa de ahorro y crédito “ERCO”
Figura 37: Fotografía del Departamento de Sistemas
ANEXOS “ERCO”
84
Anexo 2: Cableado estructurado
Dentro del diseño de las redes LAN el cableado Estructurado es una de las partes
más importantes, y el fallo o buen funcionamiento de las redes en general depende de
la implementación de cableado que dispongan.
Considerando que la Cooperativa de Ahorro y Crédito “ERCO” no tiene cableado
estructurado hemos realizado el análisis y diseño del mismo.
1. Diseño de cableado estructurado
Para su diseño nos hemos basado en las normas y estándares que existen de cableado
estructurado para realizar un diseño óptimo de la red.
Se ha realizado el diseño del cableado en la matriz de la empresa basándose en los
subsistemas principales:
1. Punto de demarcación (demarc)
Proporciona el punto en el que el cable exterior conecta con el cableado backbone
del interior del edificio, representa el límite entre la responsabilidad del proveedor
del servicio y la del cliente.
La TIA (Asociación de Industrias de las Telecomunicaciones) y la EIA (Asociación
de Industrias Electrónicas) desarrollan y publican normas para muchas industrias,
incluyendo la industria del cableado.
La TIA/EIA-569-A especifica las normas del espacio para el demarc, las normas de
la estructura y el espacio del demarc están basadas en el tamaño del edificio.
2. Cableado Backbone
Su finalidad es proporcionar interconexiones entre cuartos de entrada de servicios de
edificios, cuartos de equipo y closet de telecomunicaciones. Incluye la conexión
vertical entre pisos en edificios de varios pisos con los medios de transmisión (cable
UTP categoría 5e), puntos principales e intermedios de conexión cruzada y
terminaciones mecánicas.
ANEXOS “ERCO”
85
A la hora de establecer la ruta del cableado de los closets de telecomunicaciones a los
nodos, es una consideración primordial evitar el paso del cable por los siguientes
dispositivos:
Motores eléctricos grandes o transformadores (mínimo 1.2 metros).
Cables de corriente alterna
Mínimo 13 cm. para cables con 2KVA o menos
Mínimo 30 cm. para cables de 2KVA a 5KVA
Mínimo 91cm. para cables con mas de 5KVA
Luces fluorescentes y balastros (mínimo 12 centímetros). El ducto debe ir
perpendicular a las luces fluorescentes y cables o ductos eléctricos.
Intercomunicadores (mínimo 12 cm.)
Equipo de soldadura
Aires acondicionados, ventiladores, calentadores (mínimo 1.2 metros).
Otras fuentes de interferencia electromagnética y de radio frecuencia.
3. Cableado Horizontal
Incorpora el sistema de cableado que se extiende desde la salida del computador
también llamada área de trabajo de telecomunicaciones (Work Area Outlet, WAO)
hasta el cuarto de telecomunicaciones o Closet de Telecomunicaciones.
El cableado horizontal consiste de dos elementos básicos:
Cable Horizontal y Hardware de Conexión. Proporcionan los medios para
transportar señales entre el computador y el closet de telecomunicaciones. No
se permiten empates en cableados de distribución horizontal.
Rutas y Espacios Horizontales (también llamado "sistemas de distribución
horizontal") son utilizados para distribuir y soportar el cable horizontal y
conectar hardware entre la salida del área de trabajo y el closet de
telecomunicaciones.
El cableado horizontal incluye:
Las salidas (cajetines/conectores) en el área de trabajo.
Cables y conectores de transición instalados entre las salidas del área de
trabajo y el cuarto de telecomunicaciones.
ANEXOS “ERCO”
86
Patch Panel (paneles de empate) y Patch Cord (cables de empate) utilizados
para configurar las conexiones de cableado horizontal en el closet de
telecomunicaciones.
Los costos en materiales, mano de obra e interrupción de labores al hacer cambios en
el cableado horizontal pueden ser muy altos. Para evitar estos costos, el cableado
horizontal debe ser capaz de manejar una amplia gama de aplicaciones de usuario.
La distribución horizontal es necesaria que sea diseñada para facilitar el
mantenimiento y la relocalización de áreas de trabajo.
El cableado horizontal debe estar en capacidad de manejar diversas aplicaciones de
usuario incluyendo, comunicaciones de voz (teléfono), comunicaciones de datos y
redes de área local.
El cableado horizontal se debe implementar en una topología de estrella. Cada
salida del área de trabajo debe estar conectada directamente al closet de
telecomunicaciones.
Entre los aspectos que se deben considerar, esta la distancia horizontal máxima del
cable, que es de 90 metros independientemente del cable utilizado. Esta es la
distancia desde el área de trabajo hasta el closet de telecomunicaciones. Al establecer
la distancia máxima, sé prevé 10 metros adicionales para la distancia combinada de
Patch Cord (3 metros) y cables utilizados para conectar el equipo en el área de
trabajo de telecomunicaciones y el closet de telecomunicaciones.
Tipos de Cable
Los tres tipos de cable reconocidos por ANSI/TIA/EIA-568-A para distribución
horizontal son:
1. Par trenzado, cuatro pares, sin blindaje (UTP) de 100 ohmios, 22/24 AWG
2. Par trenzado, dos pares, con blindaje (STP) de 150 ohmios, 22 AWG
3. Fibra óptica, dos fibras, multimodo 62.5/125 mm.
El cable a utilizar preferiblemente es el par trenzado sin blindaje UTP de cuatro pares
categoría 5e. Con relación al manejo del cable, el destrenzado de los pares en los
ANEXOS “ERCO”
87
conectores RJ45 y Patch panel debe ser menor a 1.25 cm para cables UTP categoría
5. El radio de doblado del cable no debe ser menor a cuatro veces el diámetro del
cable. Por cada par trenzado de cuatro pares categoría 5 el radio mínimo de doblado
es de 2.5 cm.
4. Closet de Telecomunicaciones y Equipos
Es el área en un edificio, utilizada para el uso exclusivo de los equipos asociados con
el sistema de cableado de telecomunicaciones. El espacio del closet de
comunicaciones no debe ser compartido con instalaciones eléctricas que no sean de
telecomunicaciones, este debe ser capaz de albergar equipo de telecomunicaciones,
terminaciones de cable y cableado de interconexión asociado.
Considerando que la distancia que existe entre la ultima computadora y el MDF no
supera los 100 metros se ha decidido utilizar el Cuarto de Telecomunicaciones y el
Cuarto de Equipos como uno solo que se llamaría “Cuarto de Telecomunicaciones y
Equipos”, también por que la magnitud de la Estructura del Edificio y de la Empresa
no es muy grande. Esto nos ayudará a tener una mejor organización de los
dispositivos y ayudará a mantener la seguridad de los mismos.
En el Cuarto de Telecomunicaciones y Equipos irán todos los servidores:
Servidor de Aplicaciones
Servidor de Base de Datos
Servidor Web
Firewall
Consideraciones en el Diseño del Closet de Telecomunicaciones
Localización: Con el propósito de mantener la distancia horizontal de cable
promedio en 46 metros o menos (con un máximo de 90 metros), se recomienda
localizar el closet de telecomunicaciones lo más cerca posible del centro del área a
servir.
ANEXOS “ERCO”
88
En el caso de cada piso del edificio hemos colocado el closet de telecomunicaciones
en una de las esquinas de cada planta, exactamente en la esquina izquierda al fondo,
como se muestra en las Figuras 5,6 y 7.
Altura: La altura mínima recomendada del cielo raso es de 2.6 metros.
Control Ambiental: Para los closets que no poseen equipos electrónicos, la
temperatura debe mantenerse entre 10 a 35 grados centígrados. La humedad relativa
debe mantenerse menor a 85%.
Ductos: El número y tamaño de los ductos utilizados para acceder al closet de
telecomunicaciones varía con respecto a la cantidad de áreas de trabajo, sin embargo
se recomienda por lo menos tres ductos de 100 milímetros (4 pulgadas) para la
distribución del cable del backbone.
Puertas: Las puertas de acceso deben ser de apertura completa, con llave y al menos
91 centímetros de ancho y 2 metros de alto.
Paredes: Al menos dos de las paredes del closet deben tener láminas de plywood A-
C de 20 milímetros de 2.4 metros de alto. Las paredes deben ser pintadas con pintura
resistente al fuego, lavables, mate y de color claro.
Tamaño: Debe haber al menos un closet de telecomunicaciones o cuarto de equipo
por piso y por áreas que no excedan los 1000 metros cuadrados. Instalaciones
pequeñas podrán utilizar un solo closet de telecomunicaciones si la distancia máxima
de 90 metros no se excede.
Prevención de Inundaciones: Los closets de telecomunicaciones deben estar libres de
cualquier amenaza de inundación. No debe haber tubería de agua pasando por el
closet de telecomunicaciones.
ANEXOS “ERCO”
89
El cuarto de telecomunicaciones debe contar con una barra de puesta a tierra que a su
vez debe estar conectada mediante un cable de mínimo 6 AWG con aislamiento
verde al sistema de puesta a tierra de telecomunicaciones según las especificaciones
de ANSI/TIA/EIA-607.
2. Detalles constructivos
Distribución Principal
La distribución principal consiste en 1 patch panel para fibra óptica donde llega la
señal externa que provee Telconet, de donde se obtiene las señales que se conectarán
a un patch panel que administra la Red a través del switch que conectará las
secciones de la red, cubriendo de esta manera la conexión de todos los puntos de
datos.
La distribución de los sectores en la parte lógica se lleva a cabo por medio del uso de
direcciones IP públicas clase C.
Distribuyéndose de la siguiente forma:
SUBRED
Dirección de
Subred Puntos de red
Matriz 132.150.10.0/24 18
Agencia Cumbe 132.150.50.0/24 4
Agencia Sinincay 132.150.30.0/24 4
Agencia Baños 132.150.40.0/24 4
Agencia El Arenal 132.150.20.0/24 4
Tabla 12: Tabla de direcciones IP y puntos de red de las agencias de “ERCO” Tienen máscara /26 para no desperdiciar las direcciones IP, ya que cada sede no tiene
más de 342 computadoras y para futuras expansiones.
Conexión Horizontal
La red Horizontal esta formada por los cables que provienen desde el patch panel de
cada uno de los switchs por piso que distribuyen según el área de los puntos de
ANEXOS “ERCO”
90
conexión en la topología en estrella.
Distribución de cable horizontal
La instalación del cableado horizontal debe realizarse una vez que se ha instalado el
cableado Backbone.
Es el cable que va desde el área de trabajo hasta el closet de telecomunicaciones,
deberá ir horizontalmente. Ees importante seguir los siguientes puntos:
Los cables deben ir paralelos a las paredes.
Los cables nunca deben situarse diagonalmente a través del techo.
Al seleccionar el recorrido del cableado, elija el camino más directo, con el
menor numero de vueltas
No permita que los cables toquen directamente la cubierta del tejado.
Área de Trabajo
El área de trabajo está formada por el cajetín, el jack de datos, y los patch cord de 3 o
5 pies.
Especificaciones de canalizaciones para el cableado estructurado
En este punto se especifican las diferentes canalizaciones recomendadas para el
diseño y construcción de redes de cableado estructurado. Por protección y seguridad,
todas las canalizaciones metálicas se deben poner a tierra.
Canalización horizontal
La canalización horizontal proporciona los espacios, trayectorias que van desde el
distribuidor de cables de piso hasta las salidas/conectores de telecomunicaciones
ubicadas en las áreas de trabajo.
La canalización horizontal en el interior del edificio debe ser instalada en lugares
secos que protejan a los cables de niveles de humedad que puedan dañarlos.
Las canalizaciones deben tener:
ANEXOS “ERCO”
91
Puesta a tierra: Toda canalización metálica que se utilice debe instalarse a
tierra.
Separación de canalizaciones eléctricas: debe existir una separación adecuada
con respecto a las trayectorias de instalaciones eléctricas.
Tuberías y cable
Con el fin de dar soporte y la protección adecuada al cableado se ha dispuesto la
utilización de tubo tipo EMT con los accesorios para unión, derivación, conexión y
soporte.
La tubería tendrá el diámetro de acuerdo a lo que exigen las normas como se puede
observar en el plano de diseño, dejando espacio para poder expandir la red a futuro si
fuera necesario. Considerando las últimas tecnologías de los cables se ha escogido el
cable UTP, categoría 6, que cumpla con las normas para este tipo de cableado.
Los elementos de conexión como jacks, cajetines, placas y patch panels serán de
categoría 6 de la marca que cumpla con lo que establece la norma.
Canalización principal de edificio
La canalización principal de edificio proporciona los espacios, trayectorias y soporte
para cables que van desde el distribuidor de cables de edificio hasta los distribuidores
de cables de piso, ubicados en cada nivel de un edificio. Esta canalización puede
estar conformada por varios componentes tales como: escaleras, portacables, tubería
(conduit) y soportes. Estos cables deben instalarse entre los siguientes puntos:
Cuarto de equipos a espacio o cuarto de acometida
Cuarto de equipos a cuarto de telecomunicaciones
Para la construcciones de edificios, y con el objeto de facilitar la instalación de la
canalización principal de edificio, hemos ubicado los cuartos de telecomunicaciones
en la misma posición en cada piso, alineados uno arriba del otro, e intercomunicados
a través de pasos de tubería o ranuras en el piso de concreto armado.
ANEXOS “ERCO”
92
Para nuestro diseño hemos optado colocar en el Cuarto de Equipos el Espacio o
cuarto de acometida, esta área estará destinada también para la instalación de cables
de telecomunicaciones y equipos de los proveedores de servicios externos en nuestro
caso Empresa Telconet.
Figura 38: Diseño físico Planta Baja
ANEXOS “ERCO”
93
Figura 39: Diseño físico Primera Planta
Figura 40: Diseño Físico Segunda Planta
ANEXOS “ERCO”
94
Figura 41: Diseño físico de Cableado Backbone
3. Dispositivos
Un Switch de 24 puertos, se utilizan de 24 puertos debido a que para VLANs
no existen Switch de menos puertos, aun cuando de momento no se
utilizarían todos los puertos, a futuro se pueden utilizar, es decir con esto
ganamos escalabilidad.
Cable UTP cat-5e para datos
Cable UTP cat-5e para voz
Canaletas 20x12
Cajetines sobrepuestos Dexon
Conectores Cat-5e p/ patch cords
Jacks cat-5e Siemon
Patch Panels Siemon x 16 pts Cat-5e
Organizadores horizontales
Patch Cords 90 cm Cat-5e
Racks de Piso Formato de 482 mm (19'') QFR1907-45
Bandeja Fija de 482,6mm (19'') QES0319-0110
Switch TRENDnet’s TEG-160WS
Switch TRENDnet’s TEG-160WS
TRENDnet’s TEG-160WS es el Switch ideal para segmentación de la red. Este tiene
ANEXOS “ERCO”
95
16 puertos de 10/100/1000Mbps, Auto-Sensing y Auto-MDIX de fácil instalación.
El TEG-160WS soporta las configuraciones del navegador de Internet, el
administrador de la red puede usar el navegador para configurar puertos Fast-
Ethernet, puertos para VLAN y QoS y monitorear el estado de cada puerto, todo esto
provee una migración sencilla, escalabilidad y flexibilidad para soportar nuevas
aplicaciones y tipos de datos.
TEG-160WS es poderoso y fácil de usar en cuanto a reducir el tráfico de broadcast
innecesario y permite seguridad en la red.
Características:
1. 24 puertos 10/100/1000Mbps Auto-negociación, y puertos de Auto-
MDIX Gigabit
2. Modo de transferencia Full/Half-Duplex para cada puerto (1000Mbps
Full-Duplex solamente)
3. Full Wire-Speed Non-Blocking Recepción y Transmisión
4. Método de almacenamiento y provisión de Switching
5. 272K bytes de RAM data buffer and 4K para la tabla de direcciones
MAC
6. IEEE 802.3x control de flujo para modo full-duplex; presiona el
respaldo de control de flujo para modo half-duplex.
7. Propietario Windows Basado utilidad administración/ controlar (similar
to SNMP Trap)
8. Puertos para VLAN y Puerto para IEEE 802.1p QoS (High/Normal)
9. Suporta Trunking y tiene un Puerto para Respaldos
10. Fácil configuración vía Navegador Web
11. Diseño estándar de 19 Rack-mount
12. 5 años de garantía
ANEXOS “ERCO”
96
4. Recomendaciones del cableado estructurado
Es importante planificar con anticipación al estimar el número de recorridos de
cables extra y derivaciones de cable en un área de trabajo. Siempre es más fácil
ignorar los cables extra instalados que no tenerlos cuando se los necesita.
Sacar cables extra en el área de backbone para el crecimiento futuro.
Extraer un cable adicional para cada estación de trabajo o desktop para su uso
a futuro. Esto ayuda a proteger contra los pares que puedan fallar durante la
instalación, y también contribuye a la expansión.
Para determinar cuanto de cableado extra de cobre extraer, hay que
determinar antes el número de recorridos necesarios, y luego añadir algunos
más, alrededor del 20%.
Utilizar placas de pared multipuesto sobre los jacks. Use jacks codificados
por color para identificar los tipos de circuito.
Para acomodar las necesidades cambiantes de los usuarios de las oficinas, se
recomienda proporcionar al menos un cable libre para la toma del área de
trabajo. Las oficinas pueden cambiar de un solo usuario a espacios de
multiusuario.
Si el hub o patch panel de un Recinto de telecomunicaciones pueden ubicarse
en una cabina de equipo completo o un rack de distribución
Si el patch panel, el hub y otro equipo están montados en una cabina de
equipo completo, se requiere al menos 76.2 cm de espacio libre por delante
para que pueda abrirse la puerta. Generalmente estas cabinas miden 1.8m de
alto, 0.74 m ancho y 0.66 m de fondo.
Si se utiliza un rack debe dejarse espacio suficiente para futuros patch panels
o dejarse suficiente espacio en el suelo para futuras instalaciones de racks al
hacer la disposición inicial.
ANEXOS “ERCO”
97
Una instalación correcta de racks y patch panels permite futuros cambios y
modificaciones en la instalación del cableado con facilidad. Esto es
importante al considerar el diseño y la disposición de las áreas de trabajo.
5. Normas y códigos del cableado estructurado
Las normas son conjuntos de reglas o procedimientos que están oficialmente
especificadas, y que sirven de indicador o modelo de excelencia. Las normas pueden
ser especificaciones de n solo distribuidor, o pueden ser normas de la industria que
soporte la interoperabilidad de muchos distribuidores.
Hay compañías, organizaciones e incluso departamentos del gobierno que regulan y
especifican los cables a usar.
La red que se construye según las normas debe trabajar bien e interoperar con otros
dispositivos de red estándar. Es importante comprender que las normas están siendo
revisadas constantemente y actualizadas periódicamente para reflejar las nuevas
tecnologías y los requisitos mas recientes de las redes de voz y datos.
Las normas se desarrollan en dirección de las organizaciones internacionales para
alcanzar una forma de estancar universal. Organizaciones como IEEE, ISO e IEC son
ejemplos de cuerpos internacionales de normalización.
La Asociación de la industria de telecomunicaciones (TIA) y la asociación de
industrias electrónicas (EIA) son asociaciones comerciales que desarrollan y
publican conjuntamente una serie de normas que abarcan áreas de cableado
estructurado de voz y datos para LAN. Tanto la EIA como la TIA están acreditadas
por el Instituto Nacional Americano de Normalización (ANSI) para desarrollar las
normas voluntarias de la industria para una variedad de productos de
telecomunicaciones. Esto significa que muchas normas se etiquetan a menudo
ANSI/TIA/EIA. Los distintos comites y subcomités de la TIA/EIA desarrollan
normas de fibras ópticas, equipo local del usuario, equipo de red, comunicaciones
inalámbricas y comunicaciones por satelite.
ANEXOS “ERCO”
98
Algunas normas del TIA/EIA del cableado estructurado son:
TIA/EIA-568-A: Norma de cableado de telecomunicaciones para edificios
comerciales
TIA/EIA-568-B: Norma de cableado
TIA/EIA-569-A: Norma de edificios comerciales para caminos de
telecomunicaciones y espacios.
TIA/EIA-570-A: Norma de cableado de telecomunicaciones para edificios
residenciales y comerciales ligeros.
TIA/EIA-606: Norma de administración para la infraestructura de
telecomunicaciones de edificios comerciales.
TIA/EIA-607: Requisitos de toma de tierra y límites de edificios comerciales para las
telecomunicaciones.