Diseño orientado a elevar la seguridad en la red troncal de ETECSA Cienfuegos

Texto completo

(1)Universidad Central “Marta Abreu” de Las Villas Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones y Electrónica. TRABAJO DE DIPLOMA Titulo: “Diseño orientado a elevar la seguridad en la red troncal de ETECSA Cienfuegos”.. Autor: Ricardo Fernández Cañizares Tutores: MSc. Denis Morejón López MSc. Alexis Gómez Domínguez. Santa Clara, 2008 “Año 50 de la Revolución”.

(2) Universidad Central “Marta Abreu” de Las Villas Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones y Electrónica. TRABAJO DE DIPLOMA Titulo: “Diseño orientado a elevar la seguridad en la red troncal de ETECSA Cienfuegos” Autor: Ricardo Fernández Cañizares ([email protected]). Tutores: MSc. Denis Morejón López ([email protected]). MSc. Alexis Gómez Domínguez ([email protected]). Santa Clara, 2008 “Año 50 de la Revolución”.

(3) Dedicatoria. A mi mamá, papá y hermano..

(4) Agradecimientos A mi mamá, Irma, que espera con anhelo este momento. A mi papá, P.Ricardo y mi hermano, Ariel, que con su “peculiar” forma de darme animo me apoyaron desde el principio. A mi tutor Denis, por haberme dado la posibilidad de participar con él en este proyecto de gran importancia para su empresa (ETECSA Cienfuegos) y transmitirme el conocimiento y la experiencia que sobre este campo tiene. A mi tutor Alexis, por su dedicación y preocupación porque todo saliera lo mejor posible e inyectarle al trabajo sus conocimientos en el campo de las investigaciones científico – técnicas. A Annia, que desea este momento tanto como yo y siempre me apoyó con las búsquedas en Internet cada vez que lo necesité para algún seminario o trabajo práctico durante estos años. A mis compañeros de trabajo que no dejaron de apoyarme. A Mónica, por su valiosa y oportuna ayuda. Al MSc. Enrique Bernal, por lo mucho que me enseñó los primeros años. Al claustro de profesores de la facultad de Eléctrica de la UCLV. A Orlandito, Hectico, Dania y Yasser por compartir estos 6 largos años conmigo. A todos mis amigos que siempre estuvieron pendientes de cómo me iba. A todos los que de una forma u otra me ayudaron en algún momento de mi carrera..

(5) Resumen El tema de la seguridad en las redes telemáticas se ha convertido en la preocupación número uno para los directivos y administradores de empresas, su perfeccionamiento, supervisión y control están siempre presentes en los análisis periódicos. Es por ello que en estudios realizados de la red de ETECSA Cienfuegos, así como en la mayoría del resto de las redes locales territoriales de la empresa, se conoce que debido a su topología actual presentan problemas de seguridad, escalabilidad, falta de supervisión, falta de privilegios y vulnerabilidad ante los fallos físicos. En el siguiente trabajo se realiza un análisis de las tecnologías y modelos empleados en los diseños de redes de Campus, haciendo énfasis en la seguridad de la red troncal, además se propone un nuevo diseño de red troncal para la Dirección Territorial de ETECSA Cienfuegos que incluye acciones como: Inserción de un Conmutador Capa 3, creación de subredes para distintas funciones, creación de listas de control de acceso para el control del tráfico, mejorar el mecanismo de almacenamiento de trazas, extensión de las subredes creadas hacia las áreas principales de la empresa que se encuentran geográficamente dispersas, implementación de protocolos para automatizar el manejo de enlaces red redundantes y mecanismos de supervisión y control del tráfico en la red troncal..

(6) Índice Introducción........................................................................................................................... 1 Capítulo 1: Infraestructuras de Redes Troncales................................................................... 6 1. 1 Introducción del capítulo................................................................................................ 6 1.2 Redes troncales y Redes de Campus. .............................................................................. 6 1.2.1 Diseño Jerárquico de Red. ........................................................................................ 6 1.2.2 Diseño Modular de Red............................................................................................ 8 1.3 Elementos de seguridad en los diseños de redes troncales............................................. 9 1.4 Implementaciones de redes troncales: Red Troncal de la Dirección Territorial de ETECSA en Camagüey. ...................................................................................................... 10 1.5 Selección y propuesta de modelo a emplear.................................................................. 13 1.6 Conclusiones del capítulo.............................................................................................. 14 Capítulo 2: Modelo y tecnologías para la red troncal: Selección del modelo y las tecnologías para la red troncal. ............................................................................................ 15 2.1 Introducción del capítulo............................................................................................... 15 2.2 Red troncal de la Dirección Territorial ETECSA Cienfuegos. ..................................... 15 2.2.1 Análisis de la red de la Dirección Territorial de ETECSA Cienfuegos. ................ 15 2.3 Definición del modelo de diseño a desarrollar y las tecnologías vinculadas. ............... 18 2.3.1 Bloque de conmutadores. ....................................................................................... 19 2.3.2 Bloque de núcleo. .................................................................................................. 22 2.3.3 Otros tipos de bloques. ........................................................................................... 26 2.3.3.1 Granja de Servidores. ...................................................................................... 27 2.3.3.2 Bloque de administración de Red.................................................................... 28 2.3.3.3 Bloque de frontera de la Empresa................................................................... 28 2.3.3.4 Bloque proveedor de servicios de frontera. .................................................... 29 2.4 Otros elementos del diseño............................................................................................ 31 2.4.1 Red perimetral o zona desmilitarizada (DMZ)....................................................... 31 2.4.2 Listas de control de acceso (ACL). ........................................................................ 31 2.4.3 Redes Virtuales (VLAN). ....................................................................................... 36 2.4.4 Transporte de las VLAN a través de backbones..................................................... 38 2.4.4.1 ISL (Inter-Link Switch). .................................................................................. 39 2.4.4.2 IEEE 802.1Q.................................................................................................... 39 2.4.5 Relación entre puertos, VLAN y broadcasts. ......................................................... 40 2.4.6 VLANs y la seguridad de red. ............................................................................... 41 2.4.7 IEEE 802.1D (Spanning Tree Protocol). ................................................................ 42 2.4.8 Puertos espejos: Analizador de Puerto Conmutado (SPAN).................................. 43 Para mayor información acerca de puertos espejo ver referencia [17]........................ 46 2.4.9 Sistema de detección de Intrusos (IDS).................................................................. 46 2.4.10 Sistema de recopilación de trazas (Syslog). ......................................................... 47 2.4.11 Sniffers. ................................................................................................................ 48 2.4.12 Analizadores de tráfico......................................................................................... 49 2.5 Algunos conceptos de seguridad informática necesarios. ............................................. 49 2.5.1 Definición de Seguridad Informática. .................................................................... 49 2.5.2 Confidencialidad..................................................................................................... 50 2.5.3 Integridad................................................................................................................ 51 2.5.4 Disponibilidad. ....................................................................................................... 51 2.5.5 Otros aspectos relacionados.................................................................................... 52 2.6 Consideraciones para la propuesta de diseño. ............................................................... 53.

(7) 2.7 Conclusiones del capítulo.............................................................................................. 54 Capítulo 3: Diseño e implementación de la red troncal para la Dirección Territorial de ETECSA Cienfuegos........................................................................................................... 56 3.1 Introducción del capítulo............................................................................................... 56 3.2 Descripción detallada del diseño propuesto y sus etapas de ejecución. ........................ 56 3.3 Descripción de la primera etapa de ejecución del diseño.............................................. 61 3.4 Descripción de la segunda etapa de ejecución............................................................... 70 3.5 Pruebas, simulaciones y validaciones realizadas........................................................... 73 3.6 Conclusiones del capítulo............................................................................................ 78 Conclusiones........................................................................................................................ 79 Recomendaciones. ............................................................................................................... 80 Referencias bibliográficas. .................................................................................................. 81 Bibliografía.......................................................................................................................... 83 Anexo1. ............................................................................................................................... 85 Anexo 2: Estrategia modular para el diseño de una red de campus. ................................... 86 Anexo 3: Red Territorial ETECSA Camagüey. .................................................................. 87 Anexo 4: Red LAN ETECSA Cienfuegos (Diseño anterior). ............................................ 88 Anexo 5: Diagrama de flujo de las ACL. ............................................................................ 89 Anexo 6: Las VLAN y los límites físicos. .................................................................... 90 Anexo 7: 2da Etapa del diseño. ..................................................................................... 91 Anexo 8: Esquema topológico-físico de la 2da Etapa................................................... 92 Anexo 9: 1ra Etapa del diseño....................................................................................... 93 Anexo 10: Ejemplo de ACL........................................................................................... 94 Anexo 11. ............................................................................................................................ 95 Anexo 12: Escenario 1 para pruebas virtuales..................................................................... 96 Anexo 13: Escenario 2 para pruebas virtuales..................................................................... 97 Anexo 14: Escenario 3 para pruebas virtuales..................................................................... 98.

(8) Introducción Las redes troncales constituyen el núcleo fundamental de la red telemática o red de campus de cualquier empresa o institución, su diseño repercute directamente en muchos aspectos que pueden afectar o elevar el desempeño, rendimiento, fiabilidad, estabilidad y la seguridad de la misma. Este último elemento se ha convertido en uno de los principales objetivos de la mayoría de las empresas e instituciones. Según Gartner Group [1], en el año 2004 el tema de seguridad de la red pasó a ser la preocupación número uno, aún por encima de la optimización de los costos operativos y el crecimiento en ventas. Cada vez más las empresas están usando aplicaciones que son determinantes para el funcionamiento y productividad de sus negocios. El éxito de las compañías, y su supervivencia, dependen de estas aplicaciones y de la productividad que pueden obtener implementándolas. De esta manera, la disponibilidad, la confiabilidad y la integridad de los datos, son fundamentales para el negocio [2]. Por otra parte las aplicaciones y sistemas operativos desarrollados tienden cada vez más al uso de los servicios de redes;. elevándose el empleo de sistemas distribuidos, aplicaciones. remotas, servidores centralizados, etc.; moviendo significativamente el protagonismo desde las estaciones y redes locales a las redes troncales. En función de esta situación actual, los modelos empleados en el diseño de redes y las tecnologías empleadas en los mismos han evolucionado rápidamente, convirtiendo a la red en el soporte de las estrategias de seguridad y gestión de la empresa [3]. En la red troncal de la Dirección Territorial de ETECSA Cienfuegos el diseño actual no cumple con varios de los requisitos de diseño empleados hoy en día, frenando en gran medida las posibilidades de operación y comprometiendo la seguridad de la misma. El presente trabajo pretende desarrollar una investigación sobre los modelos de diseño y tecnologías empleadas en las infraestructuras de redes troncales, orientado fundamentalmente a elevar los niveles de seguridad, estabilidad, confiabilidad, no repudio y escalabilidad de la misma, garantizando además minimizar las afectaciones ante errores humanos y brindándole a los administradores de sistemas un mayor control y supervisión de los eventos que puedan. 1.

(9) ocurrir así como una mayor independencia en la configuración de los dispositivos y servicios de red local. Por otra parte contar con una infraestructura de red troncal acorde a los requerimientos actuales, que abarque el nivel físico, topológico y funcional, garantiza en gran medida el cumplimiento de los objetivos de las empresas e instituciones con una dependencia elevada de la red telemática. Ejemplo de esto son sin dudas las empresas proveedoras de servicios de telecomunicaciones (como ETECSA), las cuales generalmente cuentan con una red denominada “Corporativa” orientada fundamentalmente al intercambio de información, comunicación y soporte de muchas aplicaciones utilizadas en el trabajo de oficina, facturación, atención a clientes, etc. Por otra parte este tipo de empresa cuenta con una red denominada “Red de Gestión” que se ocupa de la configuración y monitoreo de los servicios de telecomunicaciones, interconectando elementos tecnológicos como las centrales telefónicas, equipos de transmisión,. equipos de acceso, así como las estaciones encargadas de. controlarlos. Estas dos redes por sus características deben estar separadas pero a la vez deben permitir algunos flujos de información en determinado sentido y solo para determinados usuarios. En el caso de la red de la Dirección Territorial de ETECSA Cienfuegos el diseño actual presenta serios problemas de seguridad y operatividad, dados fundamentalmente por: •. Problemas de seguridad debido a la no existencia de un mecanismo que filtre o limite los tráficos que provienen de las redes externas, o los generados internamente.. •. Los sistemas detectores de intrusos existentes no abarcan todos los segmentos de red.. •. Imposibilidad de tener un monitoreo y control sobre todos los flujos de información en la red.. •. Vulnerabilidad ante fallos físicos en los enlaces por falta de redundancia.. •. Imposibilidad de expansión de la red Territorial con el equipamiento existente, manteniendo un adecuado ancho de banda.. 2.

(10) •. La falta de privilegios administrativos sobre el enrutador existente obstaculiza la gestión dinámica de cualquier cambio en la red.. •. Imposibilidad de una administración y gestión centralizada de toda la red.. Definiendo que el principal problema encontrado es la carencia de un diseño de la red troncal que contemple elementos de seguridad y garantice la realización de las operaciones de supervisión y control además de brindar posibilidades de configuración, adaptación y expansión de la red de acuerdo a las necesidades de la empresa. Por estas razones nos planteamos las siguientes interrogantes: ¿Cuáles son las diferentes tecnologías que pueden utilizarse para elevar el nivel de seguridad en la red troncal de la Dirección Territorial de ETECSA Cienfuegos? ¿Qué diseño desarrollar e implementar para elevar el nivel de seguridad en la red troncal de la Dirección Territorial de ETECSA Cienfuegos? ¿Cómo validar la implementación final del diseño de la red troncal de la Dirección Territorial de ETECSA Cienfuegos? Debido a ello se decidió realizar un nuevo diseño de la red troncal de la Dirección Territorial de ETECSA Cienfuegos encaminado a eliminar las deficiencias del modelo actual, capaz de elevar los niveles de seguridad, estabilidad, confiabilidad, no repudio y escalabilidad de la misma, garantizando además minimizar las afectaciones ante errores humanos, objeto del presente trabajo. Objetivo general: Implementar una nueva infraestructura de red troncal para la Dirección Territorial de ETECSA Cienfuegos, empleando modelos y tecnologías, que garanticen elevar los niveles de seguridad de la misma. Metodología de trabajo: Para el desarrollo de la investigación se utilizarán diferentes métodos y técnicas que nos permitirán enfrentar el problema. Estos métodos y técnicas favorecerán el cumplimiento de las siguientes tareas:. 3.

(11) -. Se realizará una revisión de la bibliografía técnico-especializada para la construcción del marco teórico que nos permitirá conocer el estado del arte referente a las tecnologías empleadas en las redes troncales, principio de funcionamiento, ventajas y desventajas asociadas.. -. Se seleccionarán las tecnologías de interconexión de redes y los modelos de diseños más efectivos que permitan alcanzar los niveles de seguridad esperados.. -. Se realizarán pruebas prácticas y se utilizarán aplicaciones que nos permitirán reunir elementos para la definición de las técnicas y mecanismos de seguridad a emplear, así como la simulación de situaciones reales en aplicaciones virtuales y en escenarios de pruebas.. -. Se validará la implementación final mediante el empleo de herramientas de software y el análisis del comportamiento del sistema.. Estructura del trabajo: Capítulo 1: Infraestructuras de Redes Troncales. Se determinan los antecedentes y el estado actual de las tecnologías empleadas en las redes troncales, enfocándose en los elementos de seguridad que poseen las mismas, se analizan los diferentes diseños y modelos y se evalúa su utilización en diferentes casos de estudio, a partir de los cuales se seleccionará la variante a desarrollar. Capítulo 2: Modelo y tecnologías para la red troncal. (Selección del modelo y las tecnologías para la red troncal.) Se realiza el análisis de la red troncal de la Dirección Territorial ETECSA Cienfuegos, destacando sus principales insuficiencias en cuanto a seguridad, operatividad y escalabilidad de la misma. Se selecciona el modelo a desarrollar y se describen las metodologías y tecnologías a emplear a partir de la selección realizada en el Capítulo 1, exponiéndose además los aspectos teóricos y conceptos asociados al dominio del problema. Capítulo 3: Diseño e implementación de la red troncal para la Dirección Territorial de ETECSA Cienfuegos.. 4.

(12) Se realiza una descripción del diseño propuesto, para ello se emplean los esquemas físico y topológicos, así como los diagramas funcionales y las relaciones entre las partes funcionales del diseño. También se expone la implementación real del diseño y las etapas previstas para su completa realización. Además, se describen las pruebas y simulaciones desarrolladas en escenarios virtuales y reales y finalmente se exponen los resultados de las validaciones realizadas.. 5.

(13) Capítulo 1: Infraestructuras de Redes Troncales. 1. 1 Introducción del capítulo. En este capítulo se determinan los antecedentes y el estado actual de las tecnologías empleadas en las redes troncales, enfocándose en los elementos de seguridad que poseen las mismas, se analizan los diferentes diseños y modelos y se evalúa su utilización en diferentes casos de estudio, a partir de los cuales se seleccionará la variante a desarrollar. 1.2 Redes troncales y Redes de Campus. Definición de red de campus Una red de campus es una red de empresa que se compone de muchas Redes de Área Local (LANs) en uno o más edificios, todos conectados y usualmente en la misma área geográfica. Una compañía típicamente posee una red de campus entera, así como también el cableado físico, estas redes comúnmente consisten en Ethernet, Redes Inalámbricas (802.11), Fast Ethernet, Fast Ether Channel y las redes Gigabits Ethernet [4]. Las siguientes secciones presentan varios modelos de redes que pueden ser empleados para clasificar y diseñar redes de campus. Definición de Redes Troncales Así mismo una red troncal se refiere al recorrido principal del cable y los dispositivos de red que enlazan las partes fundamentales de la red de campus, siendo esta el núcleo de la red, en el cual se toman decisiones de encaminamiento y control de los paquetes que circulan en la misma. 1.2.1 Diseño Jerárquico de Red. Se puede estructurar la red de campus a fin de que cada uno de los 3 tipos de flujo de tráfico o servicios esbozados en la tabla 1-3 estén mejor apoyados. Cisco tiene clasificado un acercamiento jerárquico para el diseño de redes que permite a los diseñadores de red crear lógicamente una red definiendo y usando Capas de Servicios. La red resultante es eficiente, inteligente, escalable, y fácilmente administrable. El modelo Jerárquico fracciona una red de campus en 3 capas de servicio diferentes, como se ilustra en el anexo 1, figura 1. 6.

(14) Estas capas son: Acceso, Distribución, y Núcleo. Cada una de ellas tiene atributos que suministran tanto funciones de red físicas como lógica en el punto apropiado en la red de campus. La compresión de cada capa y sus funciones o limitaciones es importante para aplicar correctamente la capa en el proceso de diseño. Capa de Acceso Esta capa está presente donde los usuarios finales están conectados a la red. Los dispositivos en esta capa deben tener las siguientes prestaciones: •. Bajo costo por puerto del conmutador. •. Alta densidad de puerto. •. Enlaces escalables (uplinks) hacia capas superiores.. •. Funciones de acceso de usuario tales como: agrupación VLAN, filtros de tráfico y protocolos, y QoS.. •. Flexibilidad a través de múltiples enlaces escalables (uplinks).. Capa de Distribución Esta capa provee la interconexión entre la capa de red de acceso de campus y la capa de núcleo. Los dispositivos en esta capa, deben tener las siguientes capacidades: •. Alto rendimiento de la capa 3 por paquete manejado. •. Funciones de seguridad y política basada en la conectividad a través de Listas de Control de Acceso (ACLs, por sus siglas en Inglés)1 o filtrado de paquetes. •. Características de Calidad de Servicio (QoS, por sus siglas en Inglés)2. •. Enlaces flexibles y escalables de alta velocidad hacia la capa de núcleo y la capa de acceso. 1. ACL: Access Control List (Lista de Control de Acceso), utilizadas para crear filtros de paquetes basadas en las direcciones IP, protocolos y puertos de nivel de transporte de origen y destino. 2 QoS: Quality of Service, (Calidad de Servicio), posibilidad de diferenciar tipos de tráficos según los protocolos o aplicaciones y establecer prioridades o regular ancho de banda.. 7.

(15) Capa de Núcleo Esta capa de la red de campus provee conectividad a todos los dispositivos de la capa de distribución. El núcleo, a veces referido como backbone (red troncal), debe ser capaz de conmutar el tráfico tan eficientemente como le sea posible. Los dispositivos del núcleo, a veces llamados conmutadores del backbone de campus , debe tener los siguientes características: •. Un alto rendimiento en las capas 2 ó 3.. •. No muy costoso o manipulación innecesaria de paquetes. (ACLs, filtrado de paquetes). •. Redundancia y flexibilidad para una alta disponibilidad.. •. Funciones avanzadas de QoS.. 1.2.2 Diseño Modular de Red. Es posible diseñar una red de campus de una manera lógica, usando un Método Modular. En este método cada capa de un modelo jerárquico de red puede ser descompuesta en unidades funcionales básicas. Estas unidades o módulos pueden ser dimensionados apropiadamente y ser conectados juntos dejándole un margen para futuro crecimiento y expansión [4]. Una red de campus de empresa se puede dividir en los siguientes elementos básicos, ver anexo 2. •. Bloque de conmutadores, (Switching Block): Es un grupo de conmutadores de capa de acceso junto con sus conmutadores de distribución.. •. Bloque de Núcleo, (Core Block): Es el backbone (red troncal) de la red de campus.. Pueden existir otros elementos relacionados a este diseño, ellos pueden ser designados por separado y añadidos al diseño de red. Estos elementos son los siguientes: •. Granja de servidores, (Server Farm Block): Un grupo con sus servidores de empresa junto con sus conmutadores (capa) de distribución y acceso.. 8.

(16) •. Bloque de Administración, (Management Block): Un grupo de recursos de administración de red junto con sus conmutadores de acceso y distribución.. •. Bloque de frontera de la empresa, (Enterprice Edge Block): Es una colección de servicios relacionados al acceso externo de la red, junto con sus conmutadores de acceso y distribución.. •. Bloque de frontera con el proveedor de servicio, (Service Provider Edge block): Son servicios externos de red contratados o usados por la red de la empresa, donde estos son los servicios con los cuales el bloque de frontera de la empresa hace de interfase.. 1.3 Elementos de seguridad en los diseños de redes troncales. La seguridad es otro de los elementos críticos a tener en cuenta en el diseño de las redes en general. Los elementos claves de la seguridad de las redes son: identidad e integridad. •. La identidad se refiere a conocer quien es un usuario; los métodos de identidad incluyen autenticación y autorización.. •. La integridad se refiere a mantener los datos seguros a medida que viajan por la red.. En una aproximación un poco más detallada sobre los problemas de seguridad en la redes, podemos decir que en términos generales se puede dividir en tres conjuntos. El primer conjunto se enfoca a los problemas de autorización, autenticación e integridad, el segundo se enfoca al problema de la privacía y el tercero se orienta hacia el problema de la disponibilidad mediante el control de acceso [5]. Cuando se piensa en la seguridad de la red hay que partir de tres preguntas: 1. ¿Qué usuarios tendrán acceso? 2. ¿A qué recursos accederá cada usuario? 3. Una vez permitido el acceso, ¿es segura la transferencia de información sobre la red? Además de todo lo relacionado con la seguridad de la red desde el punto de vista de autenticación, autorización, integridad, monitoreo, etc y que requieren un análisis bien 9.

(17) detallado, hay que tener en cuenta un aspecto muy importante desde el punto de vista de la conexión física: La conexión con redes externas, y el acceso a la red por vía telefónica a través de la PSTN3. En este aspecto hay que prestar especial interés en cuanto a la ubicación y tipo de cortafuegos, su configuración y la no autorización de puertas traseras. Una solución habitual en las redes de campus es sin dudas el uso de redes perimetrales DMZ4que aíslan completamente la red interna de la red externa que por definición se considera generalmente como una red pública insegura. 1.4 Implementaciones de redes troncales: Red Troncal de la Dirección Territorial de ETECSA en Camagüey. La red de ETECSA en Camagüey constituye el primer antecedente de diseño de red local orientado a la seguridad en la empresa a nivel nacional. Sus subredes enfocadas a funciones específicas y ACLs que regulan el flujo de información entre ellas, garantizan una compartimentación capaz de evitar accesos no autorizados a recursos importantes en la red. En el anexo 3 se muestra un diagrama lógico de dicha red que será explicado con más detalle a continuación. Descripción: Primero es necesario aclarar la ubicación física de los equipos y subredes: •. La red WAN es la única que se ubica fuera de la provincia.. •. Los 4 enrutadores se encuentran en el mismo local. •. Las redes “Accesos Remotos”, “Localidad X”, y “Municipios” están como se infiere fuera del edificio donde se concentran los equipos anteriores.. La red LAN es conectada a la red WAN a través de dos enrutadores (r-corp, r-corp2) que emplean distintos enlaces, empleando distintas tecnologías, hacia esta última. Ellos realizan prácticamente la misma función de encaminar paquetes hacia y desde la WAN de manera que garantizan una redundancia en ese nivel. Uno de los enlaces puede sufrir avería y la comunicación se mantiene a través del otro enrutador. Si uno de los enrutadores se avería, el otro pudiera asumir sus funciones de manera provisional. Esa fue una decisión de los 3 4. PSTN (RTPC) Red de telefonía pública conmutada. DMZ, zona desmilitarizada o red perimetral, se explicara en el capítulo 2.. 10.

(18) especialistas y directivos de la WAN para reforzar la disponibilidad de algunos territorios del país que constituirían centros regionales. Es importante aclarar que cada subred de este diseño se aísla físicamente mediante el uso de la tecnología VLAN [6] En toda la empresa existen dos categorías o tipos de redes: •. Red Gesnet. •. Red Corporativa. La red Gesnet es una red de gestión que engloba a los equipos de telecomunicaciones y las estaciones con acceso a ellos. La red Corporativa abarca al resto de las estaciones y servidores, y posee servicios como el correo electrónico, sitios web, sistemas contables y de facturación, etc. Sobre esa red trabaja todo el personal que no está involucrado con la operación de los equipos de telecomunicaciones. Estas redes deben estar por norma aisladas con un punto común de contacto que sería la red DMZ donde se ubica toda la información necesaria para el trabajo de ambas redes. Por tanto en el enrutador r-corp existen reglas que impiden el acceso directo entre a la red Gesnet y a la red corporativa. La red Externa, que es de tipo corporativa, se ideó para situar allí a las personas de la empresa que vienen a visitar al territorio, con la idea de que accedan con mayor facilidad a los servicios empresariales (de la WAN) que a los internos (de la LAN). Esta facilidad se refiere al hecho de que existen reglas configuradas en el enrutador r-backb que regulan el tráfico de información entre las distintas subredes. El cortafuegos que se divisa en el anexo 3 entre la red Externa y el enrutador r-backb es una representación gráfica de estas reglas, no un equipo independiente. Entonces el resto de las redes podrían clasificarse como redes internas. La red Granja de Servidores, como su nombre lo indica, es donde están situados los servidores Territoriales. Existen también, como se ha dicho, un grupo de reglas en r-backb que determinan cuales puertos pueden ser accedidos o cuáles subredes pueden acceder allí.. 11.

(19) La red Estaciones Dirección es la de tipo corporativa que yace en el edificio principal. A ésta se conectan la mayoría de los usuarios. La red Administración se compone de los elementos de red como conmutadores, enrutadores, etc. que garantizan la gestión de la LAN por parte, y sólo por parte, de los administradores de la red. Para ello las interfaces de red de los mismos tienen configuradas sub-interfaces dentro de la red Administración y sub-interfaces dentro de la red Estaciones Dirección porque necesitan comunicación con las redes externas. Las redes: “Accesos Remotos” “Localidad X” “Municipios” Son de tipo corporativas y se conectan mediante el enrutador r-backb2 que posee las interfaces necesarias para comunicarlas. Valoraciones del diseño: Las redes locales de la mayoría de las provincias poseen un diseño en extremo sencillo. Cuentan con apenas un enrutador sin la posibilidad de administrarlo en el territorio. Eso limita la capacidad de respuesta del territorio en plazos prudenciales ante las necesidades cambiantes de requisitos de seguridad y cambios topológicos que no dependan del nivel corporativo. Lo único que se ha estandarizado es la presencia del segmento de red DMZ que posibilita la comunicación entre la redes aisladas de gestión y corporativa. Dentro de este escenario los técnicos camagüeyanos tienen la idea de introducir elementos de capa 3, administrados localmente, para poder configurarles reglas y dar un vuelco a la forma en la que se concebía la función de los administradores en las redes Territoriales cada vez más complejas, y haciendo más difícil a un trabajador o persona mal intencionada acceder a elementos o servicios vitales para el funcionamiento de la red. Aspectos positivos del diseño: •. La red posee dos enlaces redundantes de salida hacia la WAN.. 12.

(20) •. Se define una subred para los equipos de interconexión Administración con reglas que la aíslan del resto de las redes.. •. Se define una subred para los servidores “Granja de Servidores” que posibilita, en lo fundamental, diferenciar las reglas del filtrado de puertos respecto al resto de las redes que no proveen servicios a los usuarios.. •. Se define una subred para los invitados Externa.. •. Se mantiene el estándar de la empresa Gesnet-DMZ-Corporativa para la comunicación entre las redes de Gesnet y Corporativa.. Observaciones: •. Se estructuran las redes de tipo corporativa y no se hace en la red de Gesnet que por su importancia lo merita quedando mezclados, por ejemplo, los equipos de telecomunicaciones con sus estaciones gestoras, aún cuando no todos los gestores tienen que acceder a todos los equipos.. •. Los administradores de red deben crearse sub-interfaces en sus estaciones para poder acceder a la red Administración. Si luego se pretende que los administradores puedan tener libre acceso a otras subredes, habría que adicionarles una sub-interfaz en cada una de sus máquinas por cada una de las subredes a las que necesiten acceder sin restricciones. Una forma más flexible y escalable pudiera ser la de crear una pequeña subred aparte para los administradores a la que se le establezcan las reglas que necesitan.. 1.5 Selección y propuesta de modelo a emplear. Una vez analizados los diferentes modelos de redes existentes y determinados los beneficios que ofrecen los mismos, además del análisis de la red de la Dirección Territorial de ETECSA en Camagüey y teniendo en cuenta su similitud a la red de la Dirección Territorial de ETECSA Cienfuegos se decide seleccionar como modelo a desarrollar el “Diseño Modular de Red”, adaptándolo a las características propias de la misma.. 13.

(21) 1.6 Conclusiones del capítulo El estudio realizado en este capítulo se exponen diferentes modelos empleados en el diseño de redes de campus, explicando las deficiencias y beneficios asociados a cada uno de ellos. Además se analiza la implementación de la red de campus de la Dirección Territorial de ETECSA en Camagüey y se describen sus partes funcionales y el diagrama topológico de la red y finalmente se analizan críticamente los modelos, determinando el modelo a emplear en el desarrollo de la solución propuesta.. 14.

(22) Capítulo 2: Modelo y tecnologías para la red troncal: Selección del modelo y las tecnologías para la red troncal. 2.1 Introducción del capítulo. En este capítulo se realiza el análisis de la red troncal de la Dirección Territorial ETECSA Cienfuegos, destacando sus principales insuficiencias en cuanto a seguridad, operatividad y escalabilidad de la misma. Se selecciona el modelo a desarrollar y se describen las metodologías y tecnologías a emplear a partir de la selección realizada en el Capítulo 1, exponiéndose además los aspectos teóricos y conceptos asociados al dominio del problema. 2.2 Red troncal de la Dirección Territorial ETECSA Cienfuegos. 2.2.1 Análisis de la red de la Dirección Territorial de ETECSA Cienfuegos. A continuación se describirá la topología de la red troncal anterior al diseño propuesto, sus elementos de interconexión, subredes, etc. Luego se hará un análisis crítico de la misma, resaltando sus principales deficiencias. Descripción de la red troncal existente Actualmente existen tres tipos de subredes en el entorno local [ver anexo 4]: 1. Red Corporativa 2. Red de Gesnet 3. DMZ Las subredes Subred-1, Subred-2, Subred-Municipios, son de tipo corporativa. La subred 3 es de tipo DMZ y la subred 4 de tipo Gesnet. Éstas se conectan a la WAN por medio de un enrutador CISCO 3640. El enrutador posee cuatro interfaces Ethernet (10Mbps), tres de ellas para conectar las subredes locales y la cuarta para conectar la red WAN. Las subredes 1 y 2 se conectan a la misma interfaz física definiéndose en ellas dos sub-interfaces lógicas. Cada subinterfaz lógica fue concebida para servir de gateway5 a su subred correspondiente. Por ejemplo, si las subredes tienen la siguiente numeración IP: Subred-1: 192.168.12.0/24 5. Gateway, se refiere a la puerta de enlace para la subred correspondiente.. 15.

(23) Subred-2: 192.168.105.0/24 Las sub-interfaces configuradas para cada subred pudieran ser: Subinterfaz-1: 192.168.12.1 Subinterfaz-2: 192.168.105.1 Como se observa en el anexo 4, la red WAN se compone de subredes de tipo Corporativa y de tipo Gesnet que yacen en las otras provincias. Estas subredes se conectan a una misma interfaz física del enrutador del mismo modo en que lo hacen las subredes 1 y 2. Las subredes 3 y 4 se conectan a las dos interfaces Ethernet restantes. La subred Municipios se conecta a través del nodo de transmisión de datos con una interfaz serial del enrutador usando el protocolo frame-relay. Como es de suponer esta subred se compone de las subredes que existen en los municipios. Existen sistemas de seguridad que se ejecutan sobre una PC con el objetivo de supervisar el tráfico entre la red LAN y la WAN (Snort, ARPWatch, Ntop)6. Éstos intentan ofrecer a los administradores información sobre los eventos que ocurren en la periferia de la red local. Esta PC se conecta a un puerto espejo del conmutador de las subredes 1 y 2 como se observa en el anexo 4. El conmutador fue configurado de forma tal que dirige hacia ese puerto los tráficos que pasan a través de la interfaz que se conecta al enrutador, de manera que puedan ser supervisadas ambas subredes. En el enrutador están configuradas las ACLs que garantizan el aislamiento entre las redes de tipo Gesnet y Corporativa. Análisis de la red troncal existente La red troncal actual presenta las siguientes insuficiencias: 1- Los técnicos del territorio carecen de privilegios administrativos sobre el enrutador. Este enrutador es administrado de forma centralizada por los técnicos de la empresa en Ciudad Habana. Esta es la causa fundamental por la que no se realizan un grupo de tareas que pudieran mejorar la gestión de seguridad en la red. 6. Estas aplicaciones de software son de libre distribución y se puede encontrar una amplia documentación en Internet.. 16.

(24) 2- No existe un mecanismo que permita supervisar el tráfico entre la red WAN y todas las subredes locales. Es cierto que existen los sistemas de seguridad perimetral, pero no logran abarcar todas las subredes locales. La subred municipios, la subred DMZ, y principalmente la subred de Gesnet, como se puede observar en el anexo 4, no desvían sus tráficos hacia la PC donde corren dichos sistemas, quedando una parte importante de nuestra red sin supervisión perimetral. Por ejemplo, si un técnico con conocimiento de algunos controles de acceso, accediera a algún módulo de la planta digital situada en la red local de Gesnet y por error o de manera intencional desconfigurara o inhabilitara alguna funcionalidad en ésta, no quedarían trazas disponibles de su conexión a través de los elementos de red. Es necesario aclarar que existen en la planta, tanto controles de acceso por usuarios como sistemas de bitácora para archivar dichos accesos, pero son insuficientes para alcanzar los niveles de seguridad que este caso requiere. 3- No existen reglas de control de acceso que regulen el tráfico entre las subredes o hacia determinadas estaciones individuales del territorio. Ejemplo 1: La red DMZ local, de gran importancia estratégica por poder comunicarse directamente con la red de Gesnet, puede ser accedida desde cualquier punto de ETECSA en el territorio nacional. Esta es una situación no deseada debido a que los servicios que yacen en ella solo son para pasar información entre la red Gesnet local y la red Corporativa local. Ejemplo 2: Una estación de trabajo local pudiera estar brindando servicios no autorizados de páginas web o de mensajería electrónica por sus puertos habituales a algunos usuarios de la WAN. De este caso se pueden derivar dos problemas: El de tramitar o difundir información ajena a los intereses de la empresa y la vulnerabilidad asociada a mantener servicios sin la debida configuración de seguridad que rigen los administradores de una red y los responsables de seguridad informática. La inexistencia de ACLs impide establecer los servidores oficiales de estos servicios. De manera general sin el empleo de ACLs es difícil compartimentar un escenario de red local. Ejemplo 3: 17.

(25) Si aparece un nuevo gusano7 en Internet que se propague a través de un determinado puerto no sería posible bloquear dicho puerto en la entrada de la red Territorial. 4- La red troncal es poco escalable porque no se puede aumentar el número de subredes aisladas físicamente ya que se cuenta sólo con cuatro interfaces Ethernet en el único enrutador existente. El número total de estaciones es de aproximadamente 300 y este número crece cada año, así como crece el número de minipuntos y centros de atención a la población. Otros números IP son otorgados a elementos de red como conmutadores, enrutadores y equipos de telecomunicaciones. 5-. No. existen. subredes. asociadas. a. determinadas. funciones. que. posibilite. la. compartimentación dentro de la red local. Ejemplo: Un equipo de telecomunicaciones situado en la red Gesnet local puede ser accedido por cualquier técnico o supervisor de dicha red aún cuando no le corresponda trabajar con ese equipo. Aclarando nuevamente que siempre hay un control de acceso básico en dichos equipos. El problema radica en que los equipos de telecomunicaciones no debieran estar en la misma subred en la que están sus operarios. Por las razones anteriormente expuestas el diseño actual de la red troncal de ETECSA en Cienfuegos no reúne los requisitos de seguridad necesarios para alcanzar los niveles de seguridad esperados por la empresa. De lo anteriormente expuesto se desprende la necesidad de realizar un nuevo diseño encaminado a superar los problemas mencionados, teniendo en cuenta las exigencias tanto a nivel nacional como territorial de la empresa y la investigación realizada en el capítulo 1 de este trabajo. 2.3 Definición del modelo de diseño a desarrollar y las tecnologías vinculadas. Diseñar una red de campus utilizando el modelo jerárquico de tres capas puede ser un poco confuso. Una aproximación más cercana a las necesidades reales del diseño es utilizar una manera lógica, usando un Método Modular. En este método cada capa de un diseño jerárquico de red puede ser dividida en unidades básicas funcionales. Estas unidades o módulos pueden 7. Se refiere a un tipo de código malicioso que afecta la seguridad en la red.. 18.

(26) ser dimensionados apropiadamente y ser conectados juntos, dejando un margen para un futuro crecimiento y expansión de la red [4, 12]. Según lo analizado en el capítulo 1 una red de campus de empresa se puede dividir en los siguientes elementos básicos, ver anexo 2: •. Bloque de conmutadores. •. Bloque de Núcleo. •. Granja de servidores, (Server Farm Block). •. Bloque de Administración, (Management Block). •. Bloque de frontera de la empresa, (Enterprice Edge Block). •. Bloque de frontera con el proveedor de servicio, (Service Provider Edge block). Teniendo en cuenta que el diseño modular ofrece una manera más flexible y cómoda de diseñar la red, se describirán las particularidades del mismo de forma que se comprenda claramente a fin de emplearlo en la propuesta de diseño. 2.3.1 Bloque de conmutadores. El método jerárquico escalonado divide a una red de campus en las capas de acceso, distribución y núcleo. El bloque de conmutadores contiene dispositivos de conmutación desde las capas de acceso y distribución, conectándose al bloque de núcleo, proporcionando una conectividad extremo a extremo a través del campus. Los bloques de conmutadores contienen una balanceada mezcla de funcionalidades de las capas 2 y 3 pudiendo estar presente en las capas de acceso y distribución [4, 8, 12]. Conmutadores de capa 2 ubicados en los closets de alambrado (capa de acceso) conectan a los usuarios finales a la red de campus. Con un usuario final por puerto del conmutador, cada usuario recibe un ancho de banda dedicado. En un nivel superior, cada conmutador de la capa de acceso se conecta a un dispositivo central en la capa de distribución. Aquí la operatividad de la capa 2 transporta datos entre todos los conmutadores de acceso conectados a un punto de conexión central.. 19.

(27) La operatividad de la capa 3 puede también estar suministrada en forma de ruteo y otros servicios del sistema de redes (seguridad, QoS, y así sucesivamente). Por consiguiente, un dispositivo de la capa de distribución debe ser un conmutador multicapa. La capa de distribución también protege al bloque de conmutadores de ciertas fallas o condiciones en otras partes de la red. Por ejemplo, la difusión (broadcast) no será propagada desde el bloque de conmutadores hacia dentro del núcleo y otros bloques de conmutadores. Por consiguiente, protocolos como el STP serán confinados a cada bloque de conmutadores donde una VLAN esté definida, manteniendo el dominio del STP bien controlado y definido. Los conmutadores de la capa de acceso pueden soportar VLANs asignando a puertos individuales un número específicos de VLANs. De esta forma, estaciones conectadas a los puertos configurados para una misma VLAN también pueden compartir la misma subred capa 3. Sin embargo, hay que tener en cuenta que una sola VLAN puede soportar múltiples subredes. Debido a que los puertos de los conmutadores son configurados para solo un número de VLAN (y no una dirección de red), cualquier estación conectada a un puerto puede presentar cualquier dirección de sub-red. La VLAN funciona como un medio de red tradicional y permite cualquier dirección de red para conectarse. En este modelo de diseño de red, no es necesario extender las VLAN más allá de los conmutadores de distribución. La capa de distribución debe siempre ser el límite de las VLANs, subredes, y dominios de difusión. Aunque los conmutadores de capa 2 puedan extender las VLANs a otros conmutadores y otras capas de la jerarquía, no es usado comunmente. El tráfico de VLAN no debe atravesar la red del núcleo. Dimensionando un bloque de conmutadores Conteniendo dispositivos en la capa de acceso y. distribución, el bloque es simple en. concepto. Sin embargo, se deben considerar varios factores, para determinar un tamaño apropiado para el bloque de conmutadores. El rango de dispositivos disponibles (conmutadores) hace el tamaño del bloque de conmutadores muy flexible. En la capa de acceso, la selección del conmutador está usualmente basada en la densidad de puertos o del número de usuarios conectados. La capa de distribución debe ser dimensionada de acuerdo al número de conmutadores de la capa de acceso dentro de un dispositivo de distribución. Considerar los siguientes factores: 20.

(28) •. Patrones y tipos de tráfico.. •. Cifra de capacidad de conmutación en la capa 3 en la capa de distribución.. •. Número de usuarios conectados a los conmutadores de la capa de acceso.. •. Límites geográficos de subredes o VLANs.. •. Tamaño (amplitud) de dominios de STP.. Diseñar un bloque de conmutadores basado solamente en el número de usuarios o estaciones que están contenidos dentro del bloque, es usualmente inexacto. Normalmente, no más de 2000 usuarios deben ser colocados dentro de un solo bloque de conmutadores. Aunque útil para el estimado inicial del tamaño del bloque de conmutadores, esta idea no tiene en cuenta los muchos procesos dinámicos que ocurren en el funcionamiento de la red. En lugar de eso, el tamaño de un bloque de conmutadores debe estar basado primeramente en lo siguiente: •. Tipos de tráfico y comportamiento.. •. Tamaño y número de grupos de trabajo comunes.. Debido a la naturaleza dinámica de las redes, es posible dimensionar un bloque de conmutadores muy grande para manejar la carga que está colocada sobre él. También, el número de usuarios y aplicaciones en una red tiende a crecer con el tiempo. Es necesario un suministro8 para romper o hacer más pequeño un bloque de conmutadores. Nuevamente, estas decisiones se basan en el flujo actual de tráfico y patrones presentes en el bloque de conmutadores. Se puede estimar, modelar o medir estos parámetros con aplicaciones de análisis de red y herramientas creadas para tal efecto. Generalmente un bloque de conmutadores es muy extenso si las condiciones siguientes son observadas: •. Los enrutadores (conmutadores multicapa) en la Capa de distribución llegan a convertirse en un cuello de botella de tráfico. Esta congestión pudiera ser debido al volumen del tráfico Inter–VLAN, procesamiento intensivo de la CPU o el tiempo de conmutación por política o funciones de seguridad (listas de acceso, colas y así por el estilo).. 21.

(29) •. El tráfico de difusión y multidifusión baja la velocidad de conmutación en el bloque de conmutadores. El tráfico de difusión y multidifusión debe ser reproducido y reenviado hacia muchos puertos. Este proceso requiere algún sobre procesamiento. en el. conmutador multicapa, el cual puede volverse muy grande si están presentes volúmenes significativos de tráfico. •. Los conmutadores de acceso pueden tener uno o más vínculos redundantes para los dispositivos de la capa de distribución. Esta situación provee un entorno tolerante a las fallas. De hecho, debido a los dispositivos que son usados en la capa de distribución, el tráfico puede ser balanceado a través de ambos vínculos redundantes usando puertos de acceso redundantes (Gateways).. Generalmente, usted debe proveer dos conmutadores de distribución en cada bloque de conmutadores para la redundancia, con cada conmutador de la capa de acceso conectado a los dos conmutadores de distribución. Entonces cada conmutador de distribución L-3 puede balancear el tráfico de carga encima de sus vínculos redundantes dentro de la capa de núcleo (también conmutadores L-3) usando protocolos de ruteo. En el anexo 1, figura 2, se muestra el diseño típico de un Bloque de Conmutador. En la Capa 3, los dos conmutadores de distribución pueden usar uno de los varios protocolos de puertas de acceso (Gateway) para proveer un IP de puerta de acceso activo y otro en stand-by todo el tiempo 2.3.2 Bloque de núcleo. Este bloque es requerido para conectar dos o más bloques de conmutadores en una red de campus. Puesto que todo el tráfico pasante hacia y desde todos los bloques de conmutadores, granja de servidores, y bloque de frontera de la empresa (the enterprise edge block) debe atravesar el bloque de núcleo, el núcleo debe ser tan eficiente y flexible como sea posible. El núcleo es la fundamentación básica de una red de campus y a través de este circula mucho más tráfico que por cualquier otro bloque. 8. Se refiere a la necesidad de nuevos dispositivos como conmutadores, enrutadores, etc.. 22.

(30) Un núcleo de red puede usar cualquier tecnología para transportar los datos del campus. Muchas redes de campus utilizan Gigabit y 10 Gigabit Ethernet como tecnología de núcleo [7]. Recordar que las capas de distribución y núcleo proporcionan la funcionalidad en la capa 3. Subredes IP individuales conectan todos los conmutadores de distribución y núcleo. Al menos dos subredes deben ser usadas para proveer flexibilidad y balanceo de cargas en el núcleo; aunque se puede usar una sola VLAN, como las VLANs terminan en la capa de distribución ellas son ruteadas hacia dentro del núcleo. El bloque de núcleo puede consistir en un solo conmutador multicapa, admitiendo los enlaces redundantes desde los conmutadores de la capa de distribución. Debido a la importancia del bloque de núcleo en una red de campus, es recomendable implementar dos ó más conmutadores idénticos en el núcleo para proveer redundancia. Los enlaces entre capas también deberán estar designados para llevar al menos la cantidad de carga de tráfico manejada por los conmutadores de distribución. Los enlaces entre los conmutadores del núcleo en la misma subred de núcleo deben ser de tamaño suficiente para acarrear la cantidad de tráfico agregado entrando en el conmutador del núcleo. Se debe considerar el promedio de la utilización del enlace, pero debe tenerse en cuenta además el crecimiento futuro. Un núcleo Ethernet permite un sencillo y escalable mejoramiento de la magnitud; considerando la progresión desde Ethernet a Gigabit Ether Chanel pasando por Fast Etthernet, Fast Etherchanel y Gigabit Ethernet [8]. Dos diseños básicos del bloque de núcleo se plantean seguidamente, en dependencia del tamaño de la red de campus: •. Núcleo Colapsado o Concentrado. •. Núcleo Doble. Núcleo Colapsado Un bloque de núcleo colapsado es aquel donde la jerarquía de la capa de núcleo es colapsada dentro de la capa de distribución. Aquí las funciones de distribución y núcleo son suministradas dentro de los mismos dispositivos (conmutadores). Esta situación es usualmente. 23.

(31) hallada en los campos de red más pequeños, donde una capa de núcleo separada (y costo adicional o desempeño) no está garantizado. En el anexo 1, figura 3, se muestra el diseño básico del núcleo colapsado. Aunque las funciones de las capas de distribución y núcleo son ejecutadas en el mismo dispositivo, mantener estas funciones claras y debidamente diseñadas es importante. Nótese también que el núcleo colapsado no es un bloque funcional independiente sino que está integrado dentro de la capa de distribución de los bloques de conmutadores independientes. En el diseño del núcleo colapsado, cada conmutador de la capa de acceso tiene un enlace redundante para cada conmutador de la capa de núcleo. Todas las subredes de la capa 3 presentes en la capa de acceso terminan en los puertos de los conmutadores de distribución de la capa 3, como en el diseño de un bloque de conmutadores básico. Los conmutadores de distribución y núcleo se conectan unos a los otros, por uno o más enlaces, garantizando así un camino de respaldo a emplear ante una falla. La conectividad entre los conmutadores de distribución y núcleo es lograda usando enlaces de capa 3 (interfaces con conmutadores capa 3, con VLANs no inherentes). Los conmutadores de la capa 3 enrutan el tráfico entre ellos directamente. En el anexo 1, figura 3, se muestra la extensión de las VLAN A y B, que se extienden solamente desde los conmutadores de la capa de acceso donde sus respectivos usuarios son localizados debajo de la de distribución, encima de los enlaces de la capa 2. Las VLANs terminan allí debido a que la capa de distribución usa la conmutación de la capa 3. Esto es bueno porque sus límites de dominio de difusión quitan la posibilidad de los lazos entre conmutadores de capa 2, y provee un rápido respaldo si un canal falla. En la capa 3, la redundancia es suministrada a través de un protocolo de enrutamiento9 disponible para IP. En algunos de los protocolos los dos conmutadores de distribución suministran una dirección común por defecto de puerta de acceso hacia los conmutadores de la capa de acceso, pero solo uno está activo en cualquier momento. 9. Se refiere a un protocolo de enrutamiento como IGRP ver [5]. 24.

(32) En otros protocolos los conmutadores pueden estar activos, balanceando la carga tráfico. En el caso de una falla en los conmutadores de distribución y núcleo, la conectividad hacia el núcleo es mantenida debido a que el conmutador L-3 redundante siempre está disponible. Núcleo Doble Un núcleo doble conecta dos o más bloques de conmutadores de manera redundante. Aunque el núcleo colapsado puede conectar dos bloques de conmutadores con alguna redundancia, el núcleo no es escalable cuando más bloques de conmutadores son añadidos. En el anexo 1, figura 4, se ilustra un núcleo doble. Fíjese que este núcleo aparece como un módulo independiente y no está asociado dentro de otro bloque o capa. En el pasado, el núcleo doble estaba usualmente hecho con conmutadores L-2 para proveer el más simple y eficiente rendimiento. Sin embargo los conmutadores multicapa han llegado a tener un costo efectivo y ofrecen un alto desempeño de conmutación, por ese motivo es recomendado hacer un núcleo doble con conmutadores multicapa. El núcleo doble usa dos conmutadores idénticos para proveer redundancia. Los enlaces redundantes conectan a cada porción de la capa de distribución del bloque de conmutadores a cada uno de los conmutadores del núcleo doble. Los dos conmutadores del núcleo se conectan por un enlace común, teniendo en cuenta que en un núcleo capa 2, los conmutadores no pueden ser enlazados para evitar cualquier lazo entre conmutadores. Por otra parte un núcleo capa 3 emplea algoritmos de ruteo y de esta manera se evitan los lazos [8]. En un núcleo doble, cada conmutador de distribución tiene rutas de igual costo hacia el núcleo, permitiendo que el ancho de banda disponible de ambas rutas sea usado simultáneamente. Ambas rutas permanecen activas debido a que la capa de distribución y núcleo usan dispositivos de capa 3 que pueden administrar rutas de igual costo en tablas de ruteo. El protocolo de ruteo en uso determina la disponibilidad o pérdida de un dispositivo L-3 adyacente, así en caso de que un conmutador falle, el protocolo de enrutamiento vuelve a enrutar el tráfico usando un camino alternativo a través del conmutador redundante que queda. Observando nuevamente el anexo 1, figura 4 la extensión de las VLANs de acceso, aunque los dispositivos L-3 han sido añadidos dentro de una capa de núcleo separada, las VLANs A y B todavía se extienden desde los conmutadores de la capa de acceso L-2 hacia la capa de distribución más abajo. Aunque los conmutadores de la capa de distribución usan interfaces de 25.

(33) conmutador L-3 para proveer funcionalidad L-3 hacia la capa de acceso, estos enlaces en realidad solo transportan tráfico en la capa 2. Tamaño del Núcleo en una Red de Campus El núcleo doble está constituido por conmutadores redundantes, y está definido y aislado por dispositivos L-3, por tanto los protocolos de enrutamiento determinan la ruta y mantienen la operación del núcleo y como con en cualquier red, se debe poner atención al diseño global de los enrutadores y protocolos de ruteo en la red [4]. Aunque la red mostrada previamente en el anexo 1, figura 4 puede quizás parecer pequeña con solo dos bloques de dos conmutadores L-3 cada uno, grandes redes de campus pueden tener muchos bloques de conmutadores conectados dentro del bloque de núcleo. Si se piensa en cada conmutador multicapa como un enrutador, se recordará que cada enrutador debe comunicar y mantener información acerca de cada uno de sus iguales directamente conectados. La mayoría de los protocolos de ruteo tienen límites prácticos en el número de enrutadores iguales que pueden ser directamente conectados en un enlace multiacceso o punto a punto. En una red con un gran número de bloques de conmutadores, el número de enrutadores conectados puede crecer considerablemente. Cuando los conmutadores multicapas son usados en la capa de distribución y núcleo, los protocolos de ruteo corren en ambas capas respetando cada par de enlaces redundantes entre capas como rutas de igual costo. El tráfico es enrrutado a través de ambos enlaces compartiendo la carga y utilizando el ancho de banda de ambas. Un punto final en el diseño de la capa núcleo es verificar que los conmutadores del núcleo sean compatibles con la carga entrante. Como mínimo, cada conmutador de núcleo debe manejar la conmutación de cada uno de los enlaces de entrada de distribución a una capacidad del 100 % full duplex10 [4, 8]. 2.3.3 Otros tipos de bloques. Otros recursos en una red de campus pueden ser identificados e incluidos dentro de este modelo de bloques. Por ejemplo, una granja de servidores puede estar constituida de 10. Full Duplex, se refiere a la posibilidad de enviar y recibir al mismo tiempo.. 26.

(34) aplicaciones ejecutándose en servidores que son accedidas por usuarios a través de toda la empresa. Es muy probable que esos servidores necesiten ser escalables para futuras expansiones, ser altamente accesibles, y también puedan beneficiarse del tráfico y de las políticas de seguridad y control. Para encontrar estas necesidades, se pueden agrupar los recursos dentro del bloque funcional que son estructurados y colocados al igual que los módulos del bloque de conmutadores. Estos bloques deben tener una capa de distribución de conmutadores y canales redundantes directamente dentro de la capa de núcleo, y deben contener recursos de la empresa. Una lista de los más comunes ejemplos se abordará a continuación, refiriéndonos al anexo 2 podremos ver como cada uno de estos bloques son agrupados y conectados dentro de una red de campus. La mayoría de estos bloques funcionales están presentes en una red de campus de tamaño mediano o grande, familiarizándonos con el concepto de tomar una función de empresa dentro de su propio bloque de conmutadores, así como también con la estructura de ese bloque. 2.3.3.1 Granja de Servidores. Cualquier servidor o aplicación accedida por la mayoría de los usuarios de una empresa, usualmente ya pertenecen a una granja de servidores. Esta granja de servidores completa puede ser identificada como su propio bloque de conmutadores y otorgarle una capa de conmutadores de acceso canalizados a los conmutadores de distribución doble (multicapa), conectándose estos conmutadores de distribución dentro de la capa de núcleo con enlaces redundantes de alta velocidad. Los servidores individuales pueden tener conexiones únicas de red hacia uno de los conmutadores de distribución. Sin embargo, esto presenta un punto vulnerable, pues si un servidor redundante es usado, este debe conectarse al conmutador de distribución alterno. Otro enfoque más viable es entregar a cada servidor una doble conexión de red, una de ellas a cada conmutador de distribución. Esto es conocido como servidores “dual-homing”11. Algunos ejemplos de servicios soportados en servidores de empresas son: correo electrónico corporativo, servicios de intranet, aplicaciones web, y sistemas de mainframe (computadora 11. Dual homing, se refiere a servidores que poseen dos tarjetas de red.. 27.

(35) principal de la cual se pueden servir muchos usuarios simultáneamente). Observe que cada uno de estos es una fuente interna que normalmente pudiera estar localizado dentro del cortafuego o perímetro asegurado. 2.3.3.2 Bloque de administración de Red. A menudo, las redes de campus deben estar monitoreadas a través del uso de herramientas de administración de red para que el funcionamiento y las condiciones de falla puedan ser medidas y detectadas. Se pueden agrupar todas las aplicaciones de administración de red dentro de un solo bloque de conmutadores de administración de red. Esto es lo contrario a una granja de servidores debido a que las herramientas de administración de red no son recursos de empresa accedidos por la mayoría de los usuarios. Más bien, estas herramientas salen para acceder a otros dispositivos de la red, servidores de aplicaciones, y actividad de usuario en todas las otras áreas de la red de campus. El bloque de conmutadores de la administración de red, usualmente tiene una capa de distribución que conecta a los conmutadores del núcleo. Debido a que estas herramientas son usadas para detectar fallas en la conectividad y equipos, es importante la accesibilidad. Deberán ser usados enlaces y conmutadores redundantes. Algunos ejemplos de recursos de administración de red en este bloque de conmutadores son: •. Aplicaciones de monitoreo de red.. •. Servidores de almacenamiento de logs (SYSLOG System Logging). •. Servidores de autenticación, autorización, y contabilidad (AAA)12.. •. Aplicaciones de política de administración.. •. Sistema de administración y servicios de control remoto.. •. Aplicaciones de administración de detección de intrusión (IDS).. 2.3.3.3 Bloque de frontera de la Empresa. En algún punto, la mayoría de las redes de campus deben conectarse a un servicio proveedor para el acceso de recursos externos. Esto es usualmente conocido como el “borde” o “frontera” 12. Se refiere a servidores donde se implementan servicios que utilizan protocolos como RADIUS [9].. 28.

(36) de una empresa o red de campus. Estos recursos están disponibles a todo el campus y debe ser centralmente accesible como un bloque de conmutadores independiente conectado al núcleo de la red. Los servicios del borde están usualmente divididos en las siguientes categorías: •. Acceso a Internet: Soporta el tráfico que sale hacia Internet, así como también el tráfico que entra hacia los servicios públicos tales como, servidores de correo y servidores de red extranet. Esta conectividad está dada. por uno o más de los. Proveedores de Servicios de Internet (ISP)13. Los dispositivos de seguridad de la red están generalmente ubicados aquí. •. Acceso remoto y VPN14: Soporta el acceso a la marcación que entra por usuarios externos a través de la Red Pública Telefónica Conmutada (PSTN). Si el tráfico de voz esta soportado encima de la red de campus, se conectan puertas VoIP15 a la PSTN. En adición los dispositivos del VPN conectados al soporte de Internet aseguran conexiones túneles16 hacia locaciones remotas.. •. Comercio Electrónico: Soporta todo lo relacionado con las aplicaciones web y servidores de base de datos y aplicaciones así como también dispositivos de seguridad y cortafuegos. Este bloque de conmutadores se conecta a uno o más proveedores d servicios de Internet.. •. Acceso a la WAN: Soporta todas las conexiones tradicionales de la WAN hacia sitios remotos. Esto incluye Frame Relay, ATM, Líneas arrendadas, ISDN, y así sucesivamente.. 2.3.3.4 Bloque proveedor de servicios de frontera. Cada proveedor de servicio que se conecta a una red de empresa debe también tener un diseño de red jerárquico suyo propio. No es necesario estudiar la estructura de los proveedores de servicios de red debido a que debe seguir los mismos principios de diseño presentados 13. Por ejemplo en Cuba ENET. VPN: Virtual Private Network, Redes Privadas Virtuales [10]. 15 VoIP: Voice over IP, se refiere a voz sobre IP, [11]. 16 Se refiere a la posibilidad de establecer una VPN sobre una red pública insegura y enviar la información a través de la misma. 14. 29.

(37) anteriormente. En otras palabras, un proveedor servicio es justamente otra empresa o red de campus. Solo nos familiarizáremos con el hecho de que una red de campus tiene un bloque de frontera, donde se conecta a la frontera de cada proveedor de servicio de red. La figura 4, del anexo 1 muestra una red de campus de doble núcleo con conmutadores de distribución L-2. Fíjese como cada VLAN de acceso se extiende no solo por todo el bloque de conmutadores sino también dentro del núcleo. Esto es debido a que la VLAN termina en el límite de la capa 3 presente solo en el núcleo. Estas son algunas de las implicaciones con este diseño: •. Gateways redundantes de la capa 3 pueden ser usados todavía en el núcleo.. •. Cada VLAN se propaga a través de los enlaces troncos redundantes desde el acceso hasta las capas del núcleo. Debido a esto se forman los lazos entre conmutadores.. •. El STP (Spanning Tree Protocol)17 corre en todas las capas para prevenir lazos en la capa 2. Esto causa tráfico en algunos enlaces para ser bloqueados. Como resultado, solo uno de cada dos canales de los conmutadores de la capa 2 pueden ser usados en cualquier momento.. •. Cuando los canales de la capa 2 se caen, el STP puede tomar varios segundos para desbloquear los enlaces redundantes, causando un tiempo de inactividad.. •. Las VLANs de acceso pueden propagarse desde el final de un campus hasta el otro si es necesario.. •. El tráfico de difusión en cualquier VLAN de la capa de acceso también llega dentro de la capa de núcleo. El ancho de banda en los enlaces y en el interior del núcleo puede ser consumido innecesariamente.. 17. Se refiere al protocolo empleado para evitar lazos entre dispositivos de red, permitiendo el empleo de enlaces redundantes (se analizará en el capítulo 2).. 30.