Memoria Final Redes

Universidad de A Coruña
Máster en Ingeniería Informática
Redes
Dpto. Tecnologías de la Información y las Comunicaciones
Redes – Caso de Estudio

Entrega Final
(2009/2010)
José Antonio Guzmán (jose.guzman@udc.es)
John Ander Palma (john.palma@udc.es)
A Coruña, Julio 2010
1
Índice
A
Apache ......................................................................................................................................................................... 55
Arquitectura de Sistemas ............................................................................................................................................. 34
Autentificación de usuarios.......................................................................................................................................... 45
Autoridad de Certificación ........................................................................................................................................... 37
B
Breve descripción del diseño y flujo de los datos ........................................................................................................ 32
C
Cableado Horizontal ....................................................................................................................................................... 7
Cableado Vertical ......................................................................................................................................................... 12
Capítulo 1 ....................................................................................................................................................................... 7
Capítulo 2 ..................................................................................................................................................................... 15
Capítulo 3 ..................................................................................................................................................................... 30
Capítulo 4 ..................................................................................................................................................................... 34
Capítulo 5 ..................................................................................................................................................................... 47
Características de armarios .......................................................................................................................................... 15
Configuración Ubuntu Server ....................................................................................................................................... 51
Consolidación de servidores y escalabilidad ................................................................................................................ 39
Costes totales ............................................................................................................................................................... 12
Cuarta planta................................................................................................................................................................ 11
D
Directorio LDAP ............................................................................................................................................................ 37
Diseño de la infraestructura tecnológica ..................................................................................................................... 30
F
Firewall Externo: .......................................................................................................................................................... 32
Firewall Intermedio: ..................................................................................................................................................... 32
H
HC 0.1 ........................................................................................................................................................................... 20
HC 0.2 ........................................................................................................................................................................... 21
HC 0.3 ........................................................................................................................................................................... 22
HC 1.1 ........................................................................................................................................................................... 23
HC 1.2 ........................................................................................................................................................................... 24
HC 2.1 ........................................................................................................................................................................... 25
HC 3.1 ........................................................................................................................................................................... 26
I
Indice.............................................................................................................................................................................. 2
Índice.............................................................................................................................................................................. 2
Índice de Capturas ......................................................................................................................................................... 5
Índice de Ilustraciones ................................................................................................................................................... 4
Índice de Informes ......................................................................................................................................................... 5
Índice de Tablas ............................................................................................................................................................. 4
Instalación Inicial de Ubuntu Server ............................................................................................................................ 47
Introducción ................................................................................................................................................................... 6
Intrution prevention system ........................................................................................................................................ 45
2
L
La solución: .................................................................................................................................................................. 36
Leyenda de la infraestructura tecnológica ................................................................................................................... 31
M
Modo NAT (Network Address Translation) .................................................................................................................. 42
MySQL .......................................................................................................................................................................... 53
N
Nomenclatura .............................................................................................................................................................. 14
O
OpenSSL ....................................................................................................................................................................... 58
Otras consideraciones .................................................................................................................................................. 40
P
Perfiles de protección .................................................................................................................................................. 43
Planta Baja ..................................................................................................................................................................... 7
Primera planta ............................................................................................................................................................... 9
Punto de Acceso 802.11x (AP) ..................................................................................................................................... 36
R
Red ............................................................................................................................................................................... 53
S
Sala de equipamiento (MC) .......................................................................................................................................... 27
Salas de comunicaciones.............................................................................................................................................. 19
Scan Protection Profile ................................................................................................................................................. 44
Segunda Planta ............................................................................................................................................................ 10
Seguridad para la Red interna ...................................................................................................................................... 41
Servicio de Autenticación ............................................................................................................................................. 37
Servicio de conexión inalámbrica: ................................................................................................................................ 34
SSH ............................................................................................................................................................................... 59
Strict Protection Profile ................................................................................................................................................ 44
T
Tercera planta .............................................................................................................................................................. 11
Tomcat ......................................................................................................................................................................... 56
U
Ubuntu Security Notices .............................................................................................................................................. 48
Unfiltered Protection Profile ........................................................................................................................................ 44
USN-884-1: OpenSSL vulnerability ......................................................................................................................... 50
USN-897-1: MySQL vulnerabilities .......................................................................................................................... 49
USN-899-1: Tomcat vulnerabilities ........................................................................................................................ 48
W
Web Protection Profile................................................................................................................................................. 44
3
Índice de Ilustraciones
Ilustración 1: Armarios suelo 19” Cablerack 600x600mm ............................................. 16

Ilustración 2: Sala de comunicaciones HC 0.1 ................................................................ 20
Ilustración 9: Sala de equipamiento MC 0.1, MC 0.2 y MC 0.3 ...................................... 27
Ilustración 10: Switch Cisco Catalyst 6500 16-Port 10 Gigabit Ethernet Copper Module
........................................................................................................................................ 27
Ilustración 11: Diseño del MC ......................................................................................... 29
Ilustración 12. Diseño de la infraestructura tecnológica ............................................... 30
Ilustración 13. Leyenda de la infraestructura tecnológica ............................................. 31
Ilustración 14. Esquema lógico de la solución WiFi........................................................ 38
Ilustración 15. Consolidación de servidores ................................................................... 39
Ilustración 16. FortiGate 60 ............................................................................................ 41
Índice de Tablas
Tabla 1: Cantidades y costes para el cableado estructurado horizontal de la planta baja.

.......................................................................................................................................... 9
Tabla 2: Cantidades y costes para el cableado estructurado horizontal de la primera
planta ................................................................................................................................ 9
Tabla 3: Cantidades y costes para el cableado estructurado horizontal de la segunda
planta. ............................................................................................................................. 10
Tabla 4: Cantidades y costes para el cableado estructurado horizontal de la tercera
planta. ............................................................................................................................. 11
Tabla 5: Cantidades y costes para el cableado estructurado horizontal de la cuarta
planta. ............................................................................................................................. 11
Tabla 6: Resumen de costes de latiguillos ...................................................................... 12
Tabla 7: Resumen de cableado vertical. ......................................................................... 13
Tabla 8: Costes cableado vertical. .................................................................................. 13
Tabla 9: Especificaciones del Switch Catalyst 3560G-24TS ............................................ 17
Tabla 10. Distribución de las particiones lógicas ............................................................ 47
4
Índice de Capturas
Captura de pantalla 1. Archivo de configuración resolv.conf ........................................ 52

Captura de pantalla 2. Interfaces ................................................................................... 53
Captura de pantalla 3. Select * from UserProfile; .......................................................... 54
Captura de pantalla 4. Archivo de configuración Apache .............................................. 55
Captura de pantalla 5. Archivo de configuración de integración con Tomcat ............... 56
Captura de pantalla 6. Comandos a2enmod y a2dismod .............................................. 56
Captura de pantalla 7. Archivo de configuración "workers" .......................................... 57
Captura de pantalla 8. Archivo de configuración ROOT.xml .......................................... 57
Captura de pantalla 9. Configuración server.xml ........................................................... 58
Captura de pantalla 10. Fichero de configuración SSH .................................................. 60
Índice de Informes
Informe 1. Disponible en: http://www.ubuntu.com/usn/USN-899-1 ........................... 48

5
Introducción
El presente trabajo, es un caso de estudio que engloba todo lo aprendido

durante todo el curso en la asignatura de Redes del Máster en Informática de la
Universidad de A Coruña.
Entre los principales objetivos que se siguen con este trabajo, tenemos: el
diseñar y desarrollar integralmente el sistema propuesto como caso de estudio en el
primer cuatrimestre de la asignatura, cableado de red (práctica 1), arquitectura de red
y equipos activos (práctica 1), arquitectura de servidores y clientes, Diseño de los
principales servicios y flujos.
En el primer apartado, se tiene como objetivo diseñar el cableado estructurado

del edificio de 4 plantas de la Facultad de Informática de la Universidad de A Coruña,
en el que se tendrá una serie de armarios de distribución para el cableado horizontal
llamados HC (Horizontal Connection) donde se instaurarán los elementos necesarios
para la comunicación de datos (switches, SAI, PatchPanel...) y en la planta cero, estará
la sala de equipamiento, llamado MC (Main Connection) con todo lo necesario para
establecer la conexión con los HC (routers, acometida de datos, servers, switches, SAI,
Administración, etc.)
Cada planta tiene una necesidad y requerimientos diferente, por lo tanto es

importante hacer un trabajo de medición y estudio de los planos del edificio, para
tomar decisiones que beneficien tanto estructural como económicamente el diseño
final.
También se debe destacar, que los datos utilizados son aproximados, pero que
no afectan en el desenvolvimiento y cumplimiento de los objetivos de aprendizaje
trazados durante toda la asignatura.
6
Capítulo 1
1.1 Cableado Horizontal
Este punto trata sobre la distribución de las salas de comunicaciones (HC) y las
especificaciones de los materiales y equipos utilizados para ello por las distintas
plantas del edificio.
1.1.1 Planta Baja
Los materiales estimados para realizar el cableado horizontal de esta planta son
los siguientes:
- 9688 metros de cable rígido UTP cat.6 con revestimiento de PVC que tiene
valores de rendimiento 500Mhz, 24 AWG (0,51 mm), cumple con los
estándares EIA/TIA 568 B-2.1 y tiene un precio de proveedor de 0,51 el
metro.1
- Se eligió este tipo de cable, pues es el que proporciona el ancho de 1 Gbps y
no estaba fuera del presupuesto para su categoría.
- En la cantidad de cable requerido, se consideró la pérdida de los mismos
por fallas de instalación ó de fábrica y el trazado por esquinas y curvas en
un 8% más del total a utilizar. Aunque puede parecer muy amplia esta
consideración, a la hora de implementar, siempre hace falta cable.
- 222 rosetas dobles RJ45 de tipo 45x45 con un sistema anti-polvo que no
permite la entrada del mismo mientras no esté conectado un punto, con un
precio de 4,50€ por unidad.2
- 439 RJ45 hembra tipo keystone fabricadas con la tecnología patentada
Leadframe, la cual permite obtener unos márgenes muy holgados en los
requerimientos de la EIA/TIA 568-B.2 con un precio de 5,29 por unidad. 3
- 439 RJ45 macho Conector UTP Cat.6 con un precio de 0,32€ por unidad.4
- Es importante destacar, que en la cantidad estimada de este número de
tomas, el 20% más por razones de escalabilidad, añadidas tanto a
conectores como rosetas, es porque solicitadas en este momento, se
consiguen mejores precios con los proveedores al pedir grandes cantidades,
además que en las instalaciones de estas redes, se debe contar con la
1
Pág. Online disponible en: http://cablecom.es/product_info.php?cPath=45_47&products_id=274
Consultado en febrero 2010.
2
3
4
Pág. Online disponible en: http://www.cablematic.com/Cable-y-conector-para-LAN/Conector-UTP-Cat.6-
RJ45_hyphen_Macho-%25282-Niveles%2529/?pag=12
7
pérdida de conectores y rosetas como en cualquier otra instalación a gran
escala.
- 87 metros de bandeja metálica de chapa perforada de 400x60 mm,
alrededor del área de cobertura del HC 0.2, en la zona de pasillos. Se utiliza
una bandeja de tamaño mediano, pues el requerimiento no es muy grande
para lo que son los despachos, laboratorios de dpto. y seminarios. Esta
bandeja tiene un precio de 20,64€ por metro, vienen en bloques de 3 en 3
metros y se estima que necesitaría de un soporte de techo tipo rejilla
metálica por cada 9 metros, lo que representa 10 soportes
aproximadamente, a un precio de 10,71€ cada uno.5 Considerando que esta
se trata de una solución costosa, es una decisión argumentada en que
permite la flexibilidad en la organización y conserva la efectividad y calidad
del cableado.
- Los cables de fibra, deben llegar hasta los HC para proporcionar el ancho de
banda deseado en cada área, para ello se utilizan 90 metros de bandeja
metálica, que también será usada por parte del cableado horizontal en
algunos tramos. Estas bandejas podrían formar parte tanto de los
materiales del cableado horizontal como del vertical.
- Para llegar hasta las áreas de laboratorio de prácticas, se utiliza la misma
bandeja por donde va el cableado vertical desde el MC hasta el HC 0.2.
- Es ideal llevar el cable por dentro del falso techo, a las áreas alrededor del
HC 0.2. Se prevé la utilización de canaletas de PVC 90x55mm, que tienen un
precio de 11,03 cada 12 metros, por lo que se necesitarían unas 5 unidades
para el área de despachos. Luego para el área de laboratorios de dpto., es
conveniente utilizar una canaleta de PVC más ancha, específicamente la de
130x55mm, ya que son mayor número de tomas, la cual tiene un precio de
15,16€ cada 12 metros, por lo que se necesitan unas dos unidades por
laboratorio. Para el área de seminarios, se requieren unas 2 unidades de
canaletas PVC 90x55mm.
- La cobertura del HC 0.1 también por falso techo, va a requerir de 6
unidades de canaletas PVC de 130x55mm para llegar hasta el área de
trabajo 2, despachos CECAFI y salón de actos.
- La estimación de canaletas que van a ir desde los techos, por las paredes
hasta los puntos finales en las rosetas, se considera la mitad utilizada para
los techos y de las medidas mencionadas anteriormente, 130x55mm y
90x55mm. En el mismo sentido que el cableado, es mejor sobreestimar en
estos aspectos, porque a la hora de implementar, siempre falta el material.
- Los HC necesarios para la comunicación requerida en esta planta, van a
constar de los ya mencionado HC 0.1, HC 0.2 y HC 0.3.
- El HC 0.1 abarca el área de trabajo 1 y 2, despachos del CECAFI,
administración de la red y salón de actos.
- El HC 0.2 cubre las zonas de despachos, laboratorios de departamento y
seminarios.
- El HC 0.3 creado para reducir costes del laboratorio de prácticas, ya que con
las 76 tomas que necesita para cumplir las necesidades y escalabilidad de
5
Documento PDF Online disponible en: http://www.simonconnect.com/arxius/es/CANALIZACION/tarifes/82-87.pdf
8
esta área, suponía un gasto considerable con respecto a la longitud de los
cables y su respectiva pérdida de efectividad. Utilizando el HC 0.2 para
llegar a estos laboratorios, se necesitaban 3942 metros de cable UTP con
distancias entre. Se implementa el diseño de dicha HC 0.3, la cual va a estar
ubicada en una de las esquinas dentro de la sala de máquinas, debidamente
acondicionada y lista para dar servicio a las 76 tomas de red (64 + 20%). De
esta manera la longitud se reducirá en más de un 50%, específicamente a
1720 metros.
Para ilustrar mejor todos los elementos, cantidades y precios de la planta 0 ver
la siguiente tabla:
Columna1 Metros / Unidades Precio metro/unitario total

Metros de cable UTP Cat6 9688 0,51 4940,88
Rosetas 222 4,5 999
RJ45 H 439 5,29 2322,31
RJ45 M 439 0,32 140,48
Bandeja metálica 177 20,64 3653,28
Soportes para bandejas M 20 10,71 214,2
Canaletas PVC 90x55mm 14 11,03 154,42
Tabla 1: Cantidades y costes para el cableado estructurado horizontal de la planta baja.
1.1.2 Primera planta
Los requerimientos para la primera planta exigen la estimación de los

elementos para conformar el cableado estructurado horizontal, que al igual que en la
planta baja, se adoptaron las mismas consideraciones, por tanto se presenta el cuadro
resumen con las cantidades y costes del material a utilizar:

Rosetas 173 4,5 778,5
RJ45 H 342 5,29 1809,18
RJ45 M 342 0,32 109,44
Tabla 2: Cantidades y costes para el cableado estructurado horizontal de la primera planta
9
Esta planta tiene los HC 1.1 y HC 1.2, los cuales dan servicio a todas las áreas. El
HC 1.1 da operatividad a los laboratorios de prácticas, quedando todas las demás áreas
a cargo del HC 1.2. En esta planta no se consideró un tercer HC, pues en primer lugar,
no hay lugar físico totalmente adecuado en cuanto a seguridad y acceso restringido
que requieren este tipo de salas, y en segundo lugar, las tomas de despachos 3,
secretaria y sala de juntas no representan una cantidad significativa para un nuevo
armario con todos sus equipos correspondientes, pues también representan un costo
elevado.
Tanto al HC 1.1 y 1.2 se llegan a través de fibra, subiendo una planta y

recorriendo el pasillo de la planta baja por la bandeja metálica mencionada, en el caso
del HC 1.2.
1.1.3 Segunda Planta
Al igual que en las plantas anteriores, inicialmente es presentado una tabla

resumen con las cantidades y costes del material necesario para el cableado
estructurado de esta planta:

Rosetas 92 4,5 414
RJ45 H 182 5,29 962,78
RJ45 M 182 0,32 58,24
Tabla 3: Cantidades y costes para el cableado estructurado horizontal de la segunda planta.
En la segunda planta sólo hay una HC, la 2.1 que da servicio a los despachos,
laboratorios de departamentos, seminarios y el área de aulas 1, mientras que el área
de aulas 2, está relacionado con el HC 1.1 que se encuentra en la primera planta. El
motivo es muy sencillo, es más económico, estimar subir 5 metros más de cables UTP
entre plantas y utilizar el armario en su totalidad, que implementar un nuevo armario
con todos sus equipos, además que el espacio físico no favorece, pues uno de los
almacenes que al parecer está disponible, se encuentra justo al lado de los servicios
sanitarios, por lo que también se arriesgan equipos muy costosos con solo existencia
de la probabilidad de filtraciones ó inundaciones en esta área.
10
1.1.4 Tercera planta
Se presenta el cuadro de resumen:

Metros de cable UTP Cat6 7479,47 0,51 3814,53
Rosetas 92 4,5 414
RJ45 H 181 5,29 957,49
RJ45 M 181 0,32 57,92
Tabla 4: Cantidades y costes para el cableado estructurado horizontal de la tercera planta.
Sólo hay el HC 3.1 en esta planta, pues el servicio para las aulas 2, la delegación
de alumnos y la reprografía, vienen desde el HC 1.1 ubicado en la primera planta,
mucho más rentable subir 10 metros más de cable (sobreestimando) hasta esta planta
para dar servicio a esta zona, que colocar un nuevo armario o utilizar alrededor de 80
metros para llegar hasta aquí, desde la ubicación de HC 3.1.
Esta sala de comunicaciones (HC 3.1) está ubicada en una sala debidamente
acondicionada y presta servicio a las áreas de despachos, laboratorios de
departamento, seminarios y el área de aulas 1. Hasta esta sala, se llega mediante fibra
extendida desde el MC, por todo el pasillo de la planta baja y luego sube desde el HC
0.2 hasta la tercera planta.
1.1.5 Cuarta planta

Metros de cable UTP Cat6 3236,88 0,51 1650,81
Rosetas 40 4,5 180
RJ45 H 78 5,29 412,62
RJ45 M 78 0,32 24,96
Tabla 5: Cantidades y costes para el cableado estructurado horizontal de la cuarta planta.
11
En esta planta, no hay ningún HC, se sube una planta desde el HC 3.1 ubicado
en la planta inferior, estimando 5 metros más de cable para llegar a la cuarta planta. Es
una buena solución pues es una planta que no requiere de muchas tomas y tal como
se ha mencionado anteriormente, antes de crear una nueva sala de comunicaciones,
se debe estudiar que el alcance de las ya existentes no podría satisfacer la zona de
estudio dentro del edificio.
1.1.6 Costes totales
Se debe tomar en cuenta, el coste de los latiguillos, que hasta ahora no están
reflejados en ningún punto del documento. Se van a tener que utilizar unos 1150
latiguillos para las conexiones de cable UTP y unos 250 latiguillos de fibra óptica.
El latiguillo que va usarse es el UTP Cat.6 0,5 metros, con un precio por unidad
de 3,73€.6
Para fibra se puede usar el Cable de fibra óptica SC a SC multimodo simplex

50/125 de 50 cm, con un precio de 4,40€ por unidad.7
Se puede tener el siguiente cuadro ilustrativo que nos muestra los costes
totales para los latiguillos:
Latiguillo unidades precio total

UTP 1150 3,73 € 4.289,50 €
Fibra 250 4,40 € 1.100,00 €
Tabla 6: Resumen de costes de latiguillos
Una vez ilustrado el coste de los latiguillos, el coste total del cableado
horizontal hasta ahora es de 48674,92€.
1.2 Cableado Vertical
El cableado vertical, sería la conexión realizada entre el MC y todos los HC del

edificio, en tal sentido, en la planta baja del edificio, puede extenderse una bandeja
metálica (mencionada anteriormente), por donde van a llegar los cables de fibra óptica
hasta los HC. Los costes de estas bandejas, ya han sido estimados dentro de los
recuadros de resumen de materiales del cableado horizontal.
6
Consultado en febrero 2010
7
Pág. Online disponible en: http://www.cablematic.com/Latiguillo-de-fibra-optica/
Consultado en febrero 2010
12
Es pertinente que para este caso de estudio, se utilice una fibra multimodo
(cubierta de color naranja) que soporta mayores velocidades de transmisión y en
concreto la Fibra interior 12x50/125 con un coste de 3.69€ por metro.8
Esta fibra tiene las siguientes características:
- Núcleo del cable: Leoni quicklite o núcleo semicompacto, relleno de gel.

- Revestimiento del cable: Material libre de halógenos y resistente a la
combustión
- Transporte y almacenamiento: - 25 ºC hasta +70 ºC
- Instalación: - 5 ºC hasta + 50 ºC
- Temperatura de servicio: - 5 ºC hasta + 70 ºC
- Resistencia a la combustión: IEC 60332-1 y IEC 60332-3
- Densidad del humo: IEC 61034-1 y IEC 61034-2
- Contenidos de halógenos: IEC 60754-2
Los conectores de fibra a utilizar, es el Conector SC epoxi, con un precio de

2,78€ por unidad.9
A continuación se presenta un cuadro con las cantidades y costes de la fibra

necesaria para comunicar todo el edificio:
HC Gbps/uplink fibras metros c/u metros totales tomas sw 24 patchPanel 24 conec. Fibra
Piso 0 HC 0.1 33,9 4 12 48 113 5 5 8
HC 0.2 40,5 4 94 376 135 6 6 8
HC 0.3 22,8 3 69 207 76 4 4 6
Piso 1 HC 1.1 67,8 7 17 119 226 10 10 14
HC 1.2 51,3 6 99 594 171 8 8 12
Piso 2 HC 2.1 46,2 5 104 520 154 7 7 10
Piso 3 HC 3.1 69,6 7 109 763 232 10 10 14
Tabla 7: Resumen de cableado vertical.
Se estima que se necesitan 2627 metros de fibra, a un coste de 3,69€ el metro,

representa un total de 9694€. Por otro lado, los conectores necesarios suman un total
de 72 a un coste de 2,78€ por unidad, para un total de 200,2€.
metros totales coste conec. Totales coste2

2627 9693,63 72 200,16
Tabla 8: Costes cableado vertical.
8
Pág. Online disponible en: http://cablecom.es/product_info.php?products_id=162
9
13
1.3 Nomenclatura
Para nombrar cada uno de los terminales y los diferentes elementos del
cableado se usara una serie de siglas que detallen la planta, ubicación en la planta
(área o grupo), subgrupo y numero del terminal. Por ejemplo, para un terminal en el
despacho 0.14 de la planta cero, se utilizaría: P0-DESPA-0.14- Dxxx donde Dxxx es el
número de la roseta que tiene asociado el terminal de datos.
Dentro de los armarios, cada uno de los latiguillos debe llevar la misma
nomenclatura que la conexión de la roseta a la que hace referencia, de forma que se
pueda asociar rápidamente una entrada al switch con su terminal. Los patch panels
deben tener el número de la conexión de la roseta a la que hacen referencia, ya que de
esta forma, en todo momento, se puede saber que cable hace falta comprobar sin
necesidad de andar buscando entre los latiguillos, o en la parte trasera de los patch
panels, ya que cada uno de los cables que llegan al armario debe estar rotulado con el
valor correspondiente a su roseta asociada.
Las conexiones de fibra óptica que llegan al switch principal deben de rotularse
con la planta a la que pertenecen, el número de sala de comunicaciones, el número del
switch y el número de puerto. En el caso de que estemos rotulando la fibra de la planta
primera, sala de comunicaciones HC1.1 Switch 1 puerto 10, se debería poner lo
siguiente: P1-HC1.1-1-10. Los cables de comunicación entre servidores se nombraran
con el número del servidor, tipo cable y categoría, de esta forma el servidor 1 se
rotularía como: S1-FTP-C7.
14
Capítulo 2
2.1 Características de armarios
Se debe distribuir los diferentes materiales que hacen falta en cada una de los
armarios de las diferentes plantas del edificio. Primero se detallan los materiales
necesarios para todos los armarios como es el caso de las unidades SAI, y luego, los
elementos de cada uno de los armarios teniendo en cuenta las diferentes
características de cada planta.
Cada armario contará con un material común, para ello se debe contar con las
consideraciones de alimentación y SAIs. Se iniciara desde la parte más baja del armario
con el SAI y luego se instalará una base múltiple de 8 enchufes y una U de bandeja de
cables para guiar tanto los cables de los SAIs. Luego se instalarán los Switch y los patch
panel para organización de los cables dirigidos a los terminales finales según las
necesidades de cada HC.
Se utilizará un armario de 41 unidades Cablerack 19" 41U 600x600 con un

precio de 781.58€10 por unidad y las siguientes especificaciones:
- Fabricado en chapa de acero de 1,5 y 2 mm de espesor

- Estructura base totalmente desmontable.
- Puerta delantera de cristal templado con marco metálico y maneta con
llave.
- Tapa trasera de entrada de cables pre-troquelada.
- Puerta trasera con llave.
- Laterales desmontables con clip de anclaje rápido y llave.
- Patas regulables en altura.
- Cuatro perfiles de 19" desplazables en profundidad.
- Medidas: Alto 100 x Ancho 60 x Fondo 60 centímetros.
- Fabricados de acuerdo a las normas DIN 41494 parte 1 y 7 e IEC97 1 y 2.
10
Pág. Online disponibles en: http://cablecom.es/product_info.php?products_id=518
Consultado en Febrero 2010.
15
A continuación se presenta una imagen del armario, facilitada por el proveedor
en su pág. Web:
Ilustración 1: Armarios suelo 19” Cablerack 600x600mm
El SAI que va a contener cada armario sería Galleon: SAI on-line de 2 KVA para
rack 19 con 4 schuko on-line de la serie Galleon del fabricante Voltronic. Modelo con
capacidad de 2 KVA, recomendado para una carga de hasta 1600 W. Modelo en
formato rack 19" de 3U, con carcasa metálica de color negro, dos asas frontales de
sujección y panel frontal con visor LCD y 3 pusaldores.11 Con un precio unitario de
700.53€ SAI y las siguientes especificaciones:
- Conversión real doble con factor de salida eléctrica del 80%.

- Corrección del 98% de la señal eléctrica de entrada.
- Operativa en modo ECO para ahorro de energía.
- Interfaces para gestión externa del SAI: RS232, USB y EPO.
- Zócalo para módulo SNMP que permite la gestión a través de LAN
(referencia UP90).
- Entrada: 1 IEC-60320 tipo C14.
11
Pág. Online disponible en: http://www.cablematic.com/Sistemas-de-alimentacion-SAI/Galleon_colon_-SAI-
on_hyphen_line-de-2-KVA-para-rack-19-con-4-schuko/?pag=6
Consultado en febreo 2010.
16
- Salidas: 4 schuko hembra. Dispone de dos líneas de salida de operativa
programable: alimentación crítica y alimentación secundaria. Para ello se
destinan 2 schucko a la línea crítica y 2 schucko a la línea secundaria.
- Protección de línea telefónica o de datos contra descargas eléctricas.
Dispone de 2 conectores RJ45 hembra para el paso a través de la línea (IN y
OUT).
- Tamaño: 580 X 438 X 133 mm (ocupa 3U de altura en un armario rack de
19").
- Software de gestión UPSilon para entornos Windows.
Los equipos Switch que va a contener cada armario HC, serán del modelo
3560G-24TS 24 Ethernet 10/100/1000 ports and 4 SFP ports con un precio de
2.608,74€ aproximadente por unidad.12 Con las siguientes especificaciones técnicas:
Cisco Catalyst 3560G-24TS - Conmutador - 24 puertos - EN, Fast

Referencia EN, Gigabit EN - 10Base-T, 100Base-TX, 1000Base-T + 4 x SFP
(vacías) - 1U
Descripción del producto Cisco Catalyst 3560G-24TS - conmutador - 24 puertos
Tipo de dispositivo Conmutador
Factor de forma Externo - 1U
Dimensiones (Ancho x Profundidad

44.5 cm x 37.8 cm x 4.4 cm
x Altura)
Peso 5.4 kg
Cantidad de puertos 24 x Ethernet 10Base-T, Ethernet 100Base-TX, Ethernet 1000Base-T
Velocidad de transferencia de datos 1 Gbps
Protocolo de interconexión de datos Ethernet, Fast Ethernet, Gigabit Ethernet
Ranuras vacías 4 x SFP (mini-GBIC)
Modo comunicación Semidúplex, dúplex pleno
Características Capacidad duplex, negociación automática, activable
Cumplimiento de normas IEEE 802.3ab
Alimentación CA 120/230 V ( 50/60 Hz )
Tabla 9: Especificaciones del Switch Catalyst 3560G-24TS
12
Pág. Online disponible en: http://www.cisco.com/en/US/products/hw/switches/ps5528/
Consultada en Febrero 2010.
17
Por último, como elemento común de cada armario, están los paneles de
distribución ó patch panel. Se utilizará el Panel 19\" 1U Cat.6 24 ports FTP con un
precio de 213,30€ por unidad.13
Con las siguientes especificaciones técnicas:
- Panel de datos de 19" de 1UH, con 24 tomas integradas RJ-45 de Cat.6

apantalladas.
- Los paneles apantallados ofrecen un grado óptimo de seguridad contra las
interferencias y emisiones EMI y RFI.
- El panel dispone de una cubierta que realiza el circuito de tierra con el
panel, los conectores y el propio cable.
- El sistema de inserción 110 nos asegura una sujeción mecánica perfecta de
cables rígidos desde AWG 22 hasta AWG 26, y multifilares AWG 24.
- Cumple con las normativas EIA/TIA 568-B.2 y la ISO / IEC 11801 2ª.
13
Consultada en Febrero 2010.
18
2.2 Salas de comunicaciones
La distribución de los HC se esquematiza en la siguiente tabla:
SALA DE COMUNICACIONES PISO AREA ATENDIDA PISO DEL AREA

HC 0.1 Piso 0 Área de trabajo 2 0
Área de trabajo 1 (WiFi) 0
Área despachos CECAFI 0
Área Administración 0
Salón de Actos 0
HC 0.2 Piso 0 Área de despachos 1 0
Área de despachos 2 0
Área Lab Dpto. 1 0
Área Lab Dpto. 2 0
Área seminarios 0
HC 0.3 Piso 0 Lab. Practicas 0
HC 1.1 Piso 1 Lab. Practicas 1 1
Lab. Practicas 2 1
Biblioteca +(WiFi) 1
Área de Aulas 2 2
Área de Aulas 2 3
Delegación de Alumnos 3
Reprografía 3
Área Lab Dpto. 1 1
Área Lab Dpto. 2 1
Área seminarios 1
Sala de Juntas 1
Secretaría 1
Área de Lab Dpto. 1 2
Área de Lab Dpto. 2 2
Área seminarios 2
Área de Aulas 1 2
Área Lab Dpto. 1 3
Área Lab Dpto. 2 3
Área seminarios 3
Área de Aulas 1 3
Área de Lab Dpto. 4
Área seminarios 4
19
2.2.1 HC 0.1
Esta sala de comunicaciones está diseñada de la siguiente manera:
HC 0.1
42 U
5U
2U PP 0.1.1
2U PP 0.1.2
2U SW 0.1.1
2U SW 0.1.2
5U
2U PP 0.1.3
2U PP 0.1.4
2U SW 0.1.3
2U SW 0.1.4
5U
2U PP 0.1.5
2U SW 0.1.5
1U
1U
1U SAI 0.1.1
2U
Ilustración 2: Sala de comunicaciones HC 0.1
Equipos utilizados:
- 1 Armario
- 1 SAI
- 2 bases múltiples de 8 enchufes eléctricos
- 5 Switch
- 5 Patch Panel
- 3 bandejas de cable espaciador de 5U de tamaño
20
2.2.2 HC 0.2
El diseño de esta sala es el siguiente:
HC 0.2
42 U
4U
2U PP 0.2.1
2U PP 0.2.2
2U SW 0.2.1
2U SW 0.2.2
4U
2U PP 0.2.3
2U PP 0.2.4
2U SW 0.2.3
2U SW 0.2.4
4U
2U PP 0.2.5
2U PP 0.2.6
2U SW 0.2.5
2U SW 0.2.6
1U
1U
1U SAI 0.2.1
3U
Equipos utilizados:
- 1 Armario
- 1 SAI
- 6 Switch
- 6 patch panel
21
2.2.3 HC 0.3
HC 0.3
42 U
5U
2U PP 0.3.1
2U PP 0.3.2
2U SW 0.3.1
2U SW 0.3.2
5U
2U PP 0.3.3
2U PP 0.3.4
2U SW 0.3.3
2U SW 0.3.4
5U
1U
1U SAI 0.3.1
1U
3U
Equipos utilizados:
- 1 Armario
- 1 SAI
- 4 Switch
- 4 patch panel
22
2.2.4 HC 1.1
El diseño de esta sala de comunicaciones es el siguiente:
HC 1.1 HC 1.1
42 U 42 U
5U 5U
2U PP 1.1.1 2U PP 1.1.6
2U PP 1.1.2 2U PP 1.1.7
2U SW 1.1.1 2U SW 1.1.6
2U SW 1.1.2 2U SW 1.1.7
5U 5U
2U PP 1.1.3 2U PP 1.1.8
2U PP 1.1.4 2U PP 1.1.9
2U SW 1.1.3 2U SW 1.1.8
2U SW 1.1.4 2U SW 1.1.9
5U 5U
2U PP 1.1.5 2U PP 1.1.10
2U SW 1.1.5 2U SW 1.1.10
1U 1U
1U 1U
1U SAI 1.1.1 1U SAI 1.1.2
3U 3U
Equipos utilizados:
- 2 Armario
- 2 SAI
- 10 Switch
- 10 patch panel
23
2.2.5 HC 1.2
El diseño de esta sala se aprecia en la siguiente imagen:
HC 1.2
42 U
2U
2U PP 1.2.1
2U PP 1.2.2
2U SW 1.2.1
2U SW 1.2.2
2U
2U PP 1.2.3
2U PP 1.2.4
2U SW 1.2.3
2U SW 1.2.4
2U
2U PP 1.2.5
2U PP 1.2.6
2U SW 1.2.5
2U SW 1.2.6
2U
2U PP 1.2.7
2U PP 1.2.8
2U SW 1.2.7
1U SW 1.2.8
1U
2U SAI 1.2.1
Equipos utilizados:
- 1 Armario
- 1 SAI
- 8 Switch
- 8 patch panel
24
2.2.6 HC 2.1
HC 2.1
42 U
3U
2U PP 2.1.1
2U PP 2.1.2
2U SW 2.1.1
2U SW 2.1.2
3U
2U PP 2.1.3
2U PP 2.1.4
2U SW 2.1.3
2U SW 2.1.4
3U
2U PP 2.1.5
2U PP 2.1.6
2U SW 2.1.5
2U SW 2.1.6
1U
2U
2U PP 2.1.7
11 U
U SW 2.1.7
2U SAI 2.1.1
Equipos utilizados:
- 1 Armario
- 1 SAI
- 7 Switch
- 7 patch panel
- 3 bandejas de cable espaciador de 3U de tamaño y 1 de 1U
25
2.2.7 HC 3.1
HC 3.1 HC 3.1
42 U 42 U
5U 5U
2U PP 3.1.1 2U PP 3.1.6
2U PP 3.1.2 2U PP 3.1.7
2U SW 3.1.1 2U SW 3.1.6
2U SW 3.1.2 2U SW 3.1.7
5U 5U
2U PP 3.1.3 2U PP 3.1.8
2U PP 3.1.4 2U PP 3.1.9
2U SW 3.1.3 2U SW 3.1.8
2U SW 3.1.4 2U SW 3.1.9
5U 5U
2U PP 3.1.5 2U PP 3.1.10
2U SW 3.1.5 2U SW 3.1.10
1U 1U
1U 1U
1U SAI 3.1.1 1U SAI 3.1.2
3U 3U
Equipos utilizados:
- 2 Armario
- 2 SAI
- 10 Switch
- 10 patch panel
26
2.3 Sala de equipamiento (MC)
El diseño de la sala de equipamientos, consta de 4 armarios, representados de

la siguiente manera:
MC 0.1 MC 0.2 MC 0.3
42 U 42 U 42 U
5U 5U 5U
2U PP 0.1.1 2U PP 0.1.6 2U PP 0.3.1
2U PP 0.1.2 2U PP 0.1.7 2U PP 0.3.2
2U SW 0.1.1 2U SW 0.1.6 2U SW 0.3.1
2U SW 0.1.2 2U SW 0.1.7 2U SW 0.3.2
5U 5U 5U
2U PP 0.1.3 2U PP 0.1.8 2U PP 0.3.3
2U PP 0.1.4 2U PP 0.1.9 2U PP 0.3.4
2U SW 0.1.3 2U SW 0.1.8 2U SW 0.3.3
2U SW 0.1.4 2U SW 0.1.9 2U SW 0.3.4
5U 5U 5U
2U PP 0.1.5 2U PP 0.1.10 1U
2U SW 0.1.5 2U SW 0.1.10 1U
1U 1U 1U SAI 0.3.1
1U 1U 3U
1U SAI 0.1.1 1U SAI 0.1.2
3U 3U
Ilustración 9: Sala de equipamiento MC 0.1, MC 0.2 y MC 0.3
Los Switch utilizados en esta sala, son de otro tipo, específicamente el modelo
Cisco Catalyst 6500 16-Port 10 Gigabit Ethernet Copper Module, debido a que debe
cumplirse el requerimiento de 10 Gigabit para cada una de las 96 tomas especificadas
en el ejercicio, así como también todas las HC que necesitan 4 Switch de este tipo.
Ilustración 10: Switch Cisco Catalyst 6500 16-Port 10 Gigabit Ethernet Copper Module
Consiste en 4 grupos de 4 puertos cada uno. El usuario puede operar cada

grupo tanto en modo oversubscription como en modo performance. Se usaran 12
puertos para conmutación de datos y 4 como uplink.
Los patch panel también son distintos y en el lugar de los comunes para todos
los HC, en este se utilizan los especificados para fibra óptica: Bandeja F.O. 19" negra
27
fija sin placas con un precio de 31,50€ por unidad.14 Las especificaciones técnicas de
estos patch panel son las siguientes:
- Las bandejas de empalmes y distribución fijas se pueden utilizar para la

terminación mediante soldadura de pig-tail.
- Tiene la posibilidad de intercambiar paneles con diferentes conectores.
- Soporte regulables en profundidad.
- Dimensiones: ancho 482 mm, alto 440 mm, fondo 230 mm.
- Cuatro entradas de cables.
- En el interior incluye los accesorios para la correcta distribución de las
fibras.
- Capacidad para 2 placas.
Equipos utilizados:
- 3 Armario
- 3 SAI
- 14 Switch
- 14 patch panel
14
Consultada en Febrero de 2010
28
Luego tenemos el diseño del MC central:
MC
42 U
8U
1U
1U
8U
2U
1U
3U
Ilustración 11: Diseño del MC
Que va constar de los siguientes equipos:
- 1 Armario
- 1 SAI
- 1 Router
- 1 bandeja para teclado
- 1 monitor LCD
29
Capítulo 3
3.1.1 Diseño de la infraestructura tecnológica
Desde Web Apache ß

192.168.10.1/24 http/s con App Tomcat Web Apache Servidor de
8080 User: webmaster Correos Servidor DNS
http con Internet 80 192.168.20.10/24 192.168.20.20/24 192.168.20.30/24
Internet Firewall Exterior ssh con Desktop
Desde Internet à
192.168.20.1/24 DMZ 192.168.20.0/24
http con Web Apache
80
Admin
192.168.20.2/24
Desde App Tomcat ß App Tomcat

Estructura Datos MySQL 3306 User: MySQL pruebas Servidor Proxy Admin. Contenido
Apache 80 administrador 192.168.30.20/24 192.168.30.30/24 192.168.30.40/24
ssh con desktop 192.168.30.10/24
192.168.30.1/24
192.168.30.0/24
MySQL
Producción
User: dba
192.168.40.10 192.168.30.2/24
/24 NFS
LDAP/DHCP
192.168.230.10
192.168.230.20
192.168.40.0/24 LAN WiFi
192.168.230.0/
16
Desde MySQL à
Tomcat 3306
ssh con Desktop 22 Desde Desktop ß
Puerto 22 a todos
MySQL Desktop
tcp, udp, dns 53 User: matao
192.168.230.30/16
BACKUP
192.168.100.0/24
Servidor de Backup
192.168.100.20
Ilustración 12. Diseño de la infraestructura tecnológica
30
3.1.2 Leyenda de la infraestructura tecnológica
Leyenda
Infraestructura Tecnológica
Símbolo Total Descripción
1 Servidor Web
Servidor de
2
directorios
Servidor de
1 correo
electrónico
5 Ethernet
Servidor de
2
base de datos
6 Usuario
1 Enrutador.20
Vínculo de
4
comunicación
3 Nuevo iMac
1 Nube
3 Equipo portátil
3 Firewall
4 Datos
1 Servidor FTP
Punto de
1 acceso
inalámbrico
Servidor de
1
aplicaciones
1 Servidor proxy
Serv. de admin.
1
de contenido
Servidor de
1
archivos
Ilustración 13. Leyenda de la infraestructura tecnológica
31
3.1.3 Breve descripción del diseño y flujo de los datos
Vamos a tener 5 redes internas, el primer Firewall-Router llamado Exterior,

luego un Firewall-Router intermedio y uno interno, todos con su respectiva política de
configuración y acceso para garantizar en gran medida la seguridad de la red.
Firewall Externo:
En el vamos a crear Listas de control de acceso (ACLs) para limitar el tráfico

procedente de Internet hacia el servidor web Apache, el de correos y DNS, con las
direcciones ip: 192.168.20.10, 192.168.20.20 y 192.168.20.30 respectivamente. Las
Listas de Control de Acceso constituyen un mecanismo que permite filtrar el tráfico de
red, deteniendo o permitiendo sólo tráfico específico. Una ACL es una lista secuencial
de sentencias de permiso o denegación que se aplican a una interfaz de un router en
un determinado sentido (de entrada o de salida) para cada protocolo de red
configurado, en la mayoría de casos, IPv4.
La DMZ o arquitectura Screened Subnet, también conocida como red

perimétrica o De-Militarized Zone (DMZ), añade un nivel de seguridad en las
arquitecturas de cortafuegos situando una subred (DMZ) entre las redes externa e
interna, de forma que se consiguen reducir los efectos de un ataque exitoso al host
principal.
Entre las políticas en dicha ACL vamos a limitar a esta red los siguientes
protocolos:
 HTTP (puerto 80) Servidor Apache.

 SMTP, POP3, IMAP (puertos 25, 110 y 143)
 DNS (puerto 53)
 SSH
Todo el tráfico restante será denegado, permitiendo sólo los protocolos

indicados desde Internet.
Firewall Intermedio:
Aquí vamos a crear otra Lista de control de acceso, para el servidor de

aplicaciones Tomcat, el de base de datos MySQL de pruebas, el proxy y el
administrador de contenidos (CVS). Es importante que cada uno de los servidores,
podrá sólo aceptar peticiones de la propia red interna, todo el tráfico fuera de nuestra
red estará restringido totalmente.
32
Firewall Interno LAN:
En este Firewall-Router, tendremos 3 redes críticas que gestionar, la de base de

datos para producción, el backup de todas las aplicaciones y datos de la infraestructura
y otro punto muy sensible a la seguridad, como es el acceso por WiFi a los usuarios de
nuestra red Interna.
Al igual que en los casos anteriores, las peticiones que se hagan al servidor de
bases de datos sólo se realizarán a través del servidor de aplicaciones Tomcat, por
tanto se habilitaran las políticas necesarias para tal fin, denegando cualquier otro
acceso o servicio.
Por otra parte para mantener una política de Backup segura y eficiente de la
base de datos de producción y la información importante en el resto de la
organización, habilitaremos las políticas de respaldo a través de peticiones que sólo
pueda realizar el servidos de base de datos de producción y un acceso administrativo a
través de SSH y con los permisos adecuados sólo para el usuario administrador de toda
la Red.
La solución para el acceso a WiFi será desarrollada en un punto posterior de

este trabajo.
33
Capítulo 4
4.1 Arquitectura de Sistemas
4.1.1 Servicio de conexión inalámbrica:
La tecnología de redes inalámbricas basada en el estándar IEEE 802.11 tiene

unos beneficios incuestionables en las redes de interconexión. Algunos de estos
beneficios son la flexibilidad, movilidad, reducción de costes de infraestructura de red,
integración con dispositivos móviles y PDAs, y mejor escalabilidad de la red.
Sin embargo esta tecnología lleva aparejada una serie de riesgos que afectan
directamente a la confidencialidad, integridad y disponibilidad de los activos e
información empresarial.
Estos riesgos de Seguridad de la Información se resumen en los siguientes:
 Intercepción y escucha del tráfico en tránsito, que afecta a la confidencialidad

de los datos. Permite al atacante espiar el tráfico de red, capturar contraseñas,
leer correo electrónico y conversaciones realizadas a través de la red, y obtener
información útil sobre la organización interna y la infraestructura de sistemas
para preparar un ataque.
 Acceso no controlado a la red interna corporativa. Esto puede ser utilizado por
el atacante para acceder a sistemas internos normalmente no accesibles desde
el exterior. Si las contramedidas contra riesgos de seguridad habituales están
desplegadas en el perímetro de la red, como suele ser habitual, una vez dentro,
el atacante tiene vía libre a todos los sistemas de la red interna.
 Un intruso puede usar una red inalámbrica con poca o nula seguridad para
acceder de forma gratuita a Internet a través de la red de la empresa. Mientras
esto parece en apariencia inocuo, y los activos de información de la
organización no se ven afectados, es una actividad que supone un uso no
aceptado de recursos de la empresa por personal no autorizado. Además afecta
a la calidad y disponibilidad del servicio de red de los usuarios legítimos, y
puede suponer un problema legal para la organización si el intruso utiliza el
acceso a Internet de la empresa para realizar acciones ilegales (hacking) o
acceso a contenido de Internet inapropiado (por ejemplo, pornografía infantil).
 Denegación de servicio (DoS). Los servicios de red inalámbrica 802.11 son
vulnerables a diferentes ataques de denegación de servicio (por ejemplo,
generación de tráfico aleatorio excesivo, generación de puntos de acceso
falsos, etc.)
 Un atacante podría instalar un punto de acceso inalámbrico de forma que se
confunda con los puntos de acceso legítimos, provocando que un número de
usuarios se conecte al del atacante. El atacante reenviaría el tráfico a los puntos
de acceso legítimos. De esta forma se implementaría un ataque man-in-the-
middle de modo que todo el tráfico de red de los usuarios afectados sea
monitorizado, almacenado y potencialmente alterado por el atacante.
34
 Un visitante a la empresa podría conectarse a la red con su portátil, de forma
inadvertida o conscientemente, sirviendo como punto de entrada de virus,
gusanos y troyanos.
Existen multitud de formas de mitigar algunos de estos riesgos, tales como usar
cifrado WEP (Wired Equivalent Privacy), control de acceso por dirección física MAC,
uso de VPN (Virtual Private Networks) y el uso de soluciones propietarias no
soportadas por todos los fabricantes.
Todos estos riesgos comentados (exceptuando algunos aspectos de Denegación

de Servicio para los que hay difícil solución cuando el ataque se realiza contra la “capa
física” de radiofrecuencia) se solucionan mediante tecnologías de cifrado y de
autenticación.
Para implementar autenticación se configuran los puntos de acceso IEEE 802.11

de forma que utilicen el estándar IEEE 802.1x y servidores RADIUS para identificar,
autenticar y autorizar a los usuarios y dispositivos mediante políticas de acceso
centralizadas.
El estándar IEEE 802.1x es un estándar de autenticación para gestión de redes

que permite autenticar al usuario o máquina contra un servicio RADIUS, LDAP o
cualquier otro sistema de autenticación e identificación.
Para implementar cifrado de datos, hasta ahora el único sistema ampliamente

implementado por los fabricantes de productos compatibles con 802.11 es el WEP
(Wired Equivalent Privacy), disponible en versiones de 64 y 128 bits. WEP no
proporciona un mecanismo de gestión de claves adecuado, lo que hace que estas
claves sean estáticas y compartidas por los usuarios.
Además tiene problemas de diseño que hacen posible la obtención de las claves
de cifrado con el tiempo. Esto es debido a que el Vector de Inicialización (Initialization
Vector, IV) que se utiliza para generar la clave de cifrado de sesión junto con la Clave
Compartida (Pre-Shared Key, PSK), tiene un caracter periódico. De este modo, una vez
obtenida una cantidad suficiente de tráfico encriptado se hace trivial la
desencriptación de los paquetes.
En la solución propuesta en este caso de estudio, se utiliza la implementación

RADIUS de Microsoft (IAS, Internet Authorization Service) que permite la utilización de
claves dinámicas asignadas durante la identificación del cliente mediante certificados.
La solución a medio plazo es la utilización de WPA (Wi-Fi Protected Access), parte del
futuro estándar IEEE 802.11i, pero que actualmente sólo es soportado por ciertos
fabricantes y plataformas. El estándar IEEE 802.11i con WPA2 se espera que esté
disponible a finales de 2005 o principios del 2005, y soluciona muchas de las
vulnerabilidades y problemas de WEP y WPA.
De todos los protocolos de autenticación basados en el estándar EAP

(Extensible Authentication Protocol) disponibles para plataformas Microsoft, los más
importantes son EAP-TLS, PEAP, y EAP-MD5. EAP está definido por el RFC 2284 y
constituye un protocolo general para autenticación, autorización y auditoria (AAA).
35
Básicamente funciona en la capa de enlace (capa OSI 2) y fue desarrollado
originalmente para ser utilizado en PPP (Point to Point Protocol) aunque ahora es parte
opcional de IEEE 802.1 EAP-MD5 no soporta autenticación mutua entre cliente y punto
de acceso, no soporta rotación de claves de cifrado y sólo soporta autenticación por
contraseña, por lo que no es un candidato viable para la implementación de la
arquitectura requerida. PEAP y EAP-TLS ambos soportan autenticación mutua, claves
de cifrado dinámicas e implementan una tecnología de autenticación segura. Las
diferencias consisten en que PEAP sólo soporta contraseñas, y EAP-TLS sólo soporta
certificados (generando el requisito de implantación de PKI).
La solución:
La solución recomendada en este caso de estudio está basada en cifrado WPA

siempre que sea soportado por el hardware. En cualquier caso, la arquitectura de la
solución es también válida en caso de tener que usar WEP (128 bits) por
compatibilidad con hardware actual. La solución usa claves dinámicas (rekeying) y
autenticación 802.1X usando EAP-TLS apoyándose en una infraestructura de Active
Directory y PKI. En principio la arquitectura propuesta es válida para cualquier
organización de tamaño mediano a grande, cuya infraestructura de servicios de red
esté basada en plataformas Microsoft Windows 2000 Server y Windows Server 2003,
preferiblemente con Active Directory ya implantado, pero en principio no existiría
ningún problema con plataformas orientadas a Linux con Samba como alternativa.
Los requisitos de la solución son los siguientes:
 Reducir riesgos de seguridad asociados.

 Interceptación del tráfico de red.
 Acceso a la red de usuarios no autorizados.
 Ataques DoS a nivel de red.
 Uso no autorizado de la red.
 Facilidad de uso para los usuarios.
 Compatibilidad con amplio número de dispositivos wireless.
 Tolerancia a fallos de la arquitectura.
 Sencillez y bajo coste de escalabilidad.
 Uso de sistemas y protocolos estándares de la industria.
 Facilidad de monitorización y auditoría de acceso a la red.
La solución propuesta consta de diferentes elementos importantes que se

describen a continuación:
Punto de Acceso 802.11x (AP)

 Funciona como bridge entre la red inalámbrica basada en tecnología IEEE
802.11x y la red Ethernet.
 Realiza funciones de control de acceso, ya sea por listas de direcciones MAC
autorizadas, o mediante consultas a un servidor de autenticación RADIUS
externo.
36
 Realiza cifrado de datos entre el cliente wireless y el punto de acceso (AP) y
permite el intercambio de claves con el cliente de forma segura para establecer
el cifrado de la sesión.
 Como requisito de hardware, el AP debería soportar las características citadas
(validación contra RADIUS y cifrado de tráfico via WPA o WEP)
Servicio de Autenticación
 Implementa el protocolo RADIUS
 Recibe las solicitudes de autenticación de los clientes, reenviadas por los
puntos de acceso 802.11x
 Consulta en el servicio de directorio LDAP las credenciales y certificados del
usuario, así como las políticas de acceso.
Directorio LDAP
 Almacena de forma centralizada las cuentas de usuarios con sus características
y credenciales (certificados digitales, etc.)
 Almacena políticas de control de acceso de forma centralizada.
Autoridad de Certificación
 Parte fundamental del PKI (Public Key Infrastructure)
 Emite los certificados digitales de los usuarios, cuya parte pública será
almacenada en el directorio LDAP y la parte privada en el equipo del usuario.
En esta solución se ha optado por los servicios provistos por Windows Server
2003 debido a las siguientes ventajas:
 Su disponibilidad como parte del sistema operativo sin necesidad de adquirir

licencias para productos extra.
 La sencillez de la integración entre los servicios de autenticación (IAS, Internet
Authentication Service), directorio LDAP (Active Directory) y autoridad
certificadora del PKI (Certificate Services).
 Preexistencia de una infraestructura basada en plataforma Windows, en
especial la existencia de Active Directory como directorio LDAP.
 Facilidad de implementar una infraestructura distribuida en diferentes
localizaciones geográficas, de forma rápida, eficiente y robusta, mediante
sincronización y replicación de Active Directory, que permita a los servidores
RADIUS de cada localización acceder a información de usuarios y políticas de
acceso actualizadas.
37
Ilustración 14. Esquema lógico de la solución WiFi
En el proceso de autenticación y autorización de un usuario para acceder a la red,

tienen lugar varios pasos:
1. Previo al acceso, el usuario tiene que tener generado un certificado digital por la
Autoridad de Certificación (CA). Esta acción podrá ser realizada de forma más o menos
automática dependiendo del grado de integración del PKI con el directorio LDAP, y
también dependiendo del modelo de administración del control de acceso en la
organización. El sistema puede ser tipo autoservicio basado en intranet (en el que el
usuario solicita un certificado para determinado uso, y un administrador aprueba la
solicitud) o de tipo manual (el administrador genera el certificado manualmente,
almacena la parte pública del certificado en el directorio LDAP, e instala el certificado
con la clave privada en el equipo del usuario).
2. El cliente wireless solicita al punto de acceso permiso para establecer una conexión y
acceder a la red. Para ello le envía una solicitud firmada con su clave privada. El punto
de acceso está configurado para reenviar la solicitud al servicio RADIUS.
3. El servicio RADIUS, consulta al directorio LDAP para comprobar las credenciales del
usuario y su validez. Además también consulta al directorio LDAP las políticas de
acceso (horarios de conexión, requisitos de cifrado y autenticación, pertenencia del
usuario a ciertos grupos, etc.)
38
4. El servicio RADIUS determina si el usuario tiene acceso a la red y envía la
autorización al punto de acceso.
5. El punto de acceso inicia un intercambio de claves para establecer un cifrado de

sesión con el cliente, permitiéndole así acceder a la red de forma segura.
Consolidación de servidores y escalabilidad
Los tres servicios fundamentales (PKI, Active Directory y RADIUS) para la

arquitectura de control de acceso que aparecen en el esquema pueden estar
implementados físicamente de formas muy diferentes según el tamaño de la
organización, su infraestructura de T.I., presupuesto para el proyecto, etc.
En un extremo podemos tener los tres servicios corriendo en el mismo servidor

(quizá también DHCP y DNS) para una organización de tamaño pequeño con pocos
requisitos de escalabilidad.
En otro extremo se puede tener una infraestructura totalmente redundante,

tolerante a fallos, con distribución de carga y distribuida geográficamente en
diferentes localizaciones de tamaños diversos.
Ilustración 15. Consolidación de servidores
En función del tamaño de la arquitectura, las decisiones de diseño serán

diferentes para el PKI (modelo de provisionado de certificados, Cas integradas con
Active Directory o stand-alone, CA “root” desconectada o no, etc.) y la infraestructura
RADIUS (número de servidores, uso de múltiples proxies RADIUS y servidores RADIUS
para tolerancia a fallos, escalabilidad y reparto de carga).
39
Otras consideraciones
Otros puntos que se tienen que tener en cuenta a la hora de implementar una
arquitectura segura para redes inalámbricas son los siguientes:
 Sistema de gestión de contraseñas de administración de los puntos de acceso

debe ser equivalente a la gestión de contraseñas de cualquier otro servidor. La
administración de puntos de acceso debe hacerse por canales seguros (SSH,
SSL, subred de administración segregada de la red principal, etc.)
 Considerar si es necesaria la retransmisión del SSID (Service Set Identifier)
 Gestión y monitorización de los puntos de acceso (mediante SNMP y/o syslog)
integrada con infraestructura de monitorización y administración existente en
la organización.
 Uso de segregación de redes, DMZs, firewalls, y asignación automática de
VLANs para los clientes wireless, con objeto de realizar un mayor control sobre
el acceso a la red y a los recursos.
 Estudio de la localización de los puntos de acceso para minimizar el tráfico
inalámbrico y posibilidad de conexión a la red desde zonas no deseadas o fuera
del ámbito de la organización.
 Uso regular y estandarizado de técnicas para detectar puntos de acceso no
autorizados (Netstumbler, AirSnort, etc.)
 Monitorización y auditoría de los registros de acceso del servicio RADIUS.
Las redes inalámbricas basadas en el estándar IEEE 802.11 son una tecnología
que aporta beneficios considerables en términos de flexibilidad, escalabilidad y
movilidad, pero que tiene un gran impacto en la infraestructura, operaciones y
Seguridad de la Información de las organizaciones.
La clave para un correcto y eficaz despliegue y explotación de este tipo de redes

está en comprender los riesgos que entrañan, además de conocer las posibilidades de
la tecnología con la que contamos en la actualidad para mitigarlos.
40
4.1.2 Seguridad para la Red interna
Para la implementación de este caso de estudio, se utilizará un Firewall

Fortinet, de modelo: FortiGate 60, el cual es un dispositivo que facilita la
administración de la seguridad de una red. Además incluye servicios a nivel de red
como: Firewall, IPS, VPN y Traffic Shaping; y servicios a nivel de aplicación como:
protección de antivirus y filtro de contenido.
El FortiGate 60 mejora la seguridad de la red, reduciendo el mal uso y abuso de

la misma, y ayuda a utilizar eficientemente los recursos de comunicación sin
comprometer el desempeño de la red.
Ilustración 16. FortiGate 60
El dispositivo contiene dos alternativas para su configuración y administración:
 Interfaz de Línea de Comandos

 Interfaz de Administración basada en Web.
Este equipo presenta varias ventajas ya que ofrece las siguientes funciones:
 Antivirus Protection
 Web Content Filtering
 E-mail Filtering
 Firewall
 IPS
 VPN
41
Con Fortigate 60, y su adecuada administración se puede estabilizar las
instalaciones de software en cada una de las estaciones de trabajo y mantener un
mayor control en el tráfico de Internet, logrando también el control de permisión y/o
denegación de servicios a través de los protocolos de comunicación, cosa que también
se puede hacer con los enrutadores propuestos.
Este sistema, también protege toda la información que ingresa a través de

navegación de Internet, como: HTTP, FTP, etc., aplicando perfiles de protección, los
mismas que permiten escaneo de virus, filtro de páginas web por contenido o por URL,
filtro de páginas web categorizadas por Educación, Finanzas, Entretenimiento,
Pornografía, Negocios, etc., controlando el acceso a URL’s no deseadas. Sin embargo,
hay que destacar que hay páginas web no categorizadas, pero que han sido
bloqueadas utilizando Web Filtering.
Modo NAT (Network Address Translation)
El objetivo es cambiar la dirección origen en cada paquete de salida y,

dependiendo del método, también el puerto origen para que sea único. Estas
traducciones de dirección se almacenan en una tabla, para recordar qué dirección y
puerto le corresponde a cada dispositivo cliente y así saber dónde deben regresar los
paquetes de respuesta. Si un paquete que intenta ingresar a la red interna no existe en
la tabla de traducciones, entonces es descartado. Debido a este comportamiento, se
puede definir en la tabla que en un determinado puerto y dirección se pueda acceder a
un determinado dispositivo.
Las políticas de Firewall controlan el flujo de tráfico basándose en las

direcciones de origen, las direcciones de destino y el servicio de cada paquete. En el
modo NAT, el firewall realiza la traducción de las direcciones de red antes de enviar el
paquete a la red de destino.
Con el Modo NAT/Route se puede configurar la unidad FortiGate con dos

conexiones de red externas. Por ejemplo, se puede crear la siguiente configuración:
 WAN 1: es la interfaz por defecto de la red externa, (usualmente Internet).

 WAN 2: es la interfaz redundante de la red externa.
 Internal: es la interfaz de la red interna.
El Routing puede ser usado para redireccionar automáticamente las direcciones

desde una interfaz si la conexión de red externa falla. El modo NAT crea políticas para
el control de flujo de tráfico entre la internal (red privada) y la external (red pública).
Por lo general, se usa la unidad FortiGate en modo transparente en una red

privada detrás de un firewall existente o detrás de un router. El FortiGate realiza las
funciones de un firewall, IPSec VPN, virus scanning, IPS, web content filtering y spam
filtering.
42
En el modo Transparente, la unidad FortiGate es invisible a la red. Solo se debe
configurar una dirección IP administrada, que se pueda realizar cambios de
configuración. La dirección IP administrada también es usada para actualizar definición
de antivirus y ataques.
La unidad FortiGate requiere DNS para resolver nombres de host para

cualquiera de estos servicios, incluyendo e-mails de alerta y bloqueo de URL. Esta
unidad puede proveer reenvío de DNS. Los requerimientos son enviados a la unidad,
los cuáles son reenviados al DNS configurado.
Las rutas estáticas controlan el destino del tráfico saliente de la unidad

FortiGate. Se configura rutas añadiendo direcciones IP de destino y máscara de red.
Entonces se añade el gateway al cual el tráfico de estas direcciones es enrutado. La
unidad FortiGate asigna rutas utilizando el mejor algoritmo de coincidencia.
Para seleccionar una ruta para un paquete, la unidad FortiGate busca de una
tabla, la ruta que mejor coincida con la dirección destino del paquete. Si no se
encuentra coincidencia, la unidad FortiGate enruta el paquete utilizando la ruta por
defecto.
La política direcciona la acción del firewall sobre el paquete. Esta acción puede
ser la de permitir la conexión, denegar la conexión, requerir autenticación previa a la
conexión que es permitida, o también procesar el paquete como un IPSec VPN.
También se pueden añadir horarios a las políticas así el firewall puede procesar
conexiones diferentemente dependiendo de la hora del día, o del día de la semana,
mes o año.
Cada política puede ser individualmente configurada para enrutar conexiones o

aplicar NAT para trasladar direcciones IP de origen y destino y puertos. Se pueden
añadir pilas de IP’s para usar NAT dinámico cuando el firewall traslada direcciones de
origen. Se puede usar políticas para configurar PAT’s (Ports Address Translation) a
través de la unidad FortiGate.
Perfiles de protección
Protection Profiles permite el control del tráfico de los siguientes protocolos:
 HTTP
 FTP
 IMAP
 POP3
 SMTP
Configurando un protection profile, permite seleccionar los protocolos a ser

inspeccionados e instruir a la unidad FortiGate sobre temas relacionados como
autenticaciones y cuarentenas.
43
La configuración de protection profile se incluye para Web Filtering, Web
Category Filtering, Spam Filtering y el Intrusion Prevention System.
La unidad FortiGate incluye cuatro protection profiles por defecto:
 Strict
 Scan
 Web
 Unifiltered
Strict Protection Profile
Se usa este perfil para aplicar máxima protección del contenido a: HTTP, FTP,
IMAP, POP3 y el contenido del tráfico en SMTP. No se necesita usar el strict protection
profile bajo circunstancias normales, pero éste, está disponible cuando se tiene
problemas extremos con virus y cuando se requiere una máxima protección en la
exploración del contenido.
Scan Protection Profile
Usar este protection profile para aplicar antivirus examinando el contenido del
tráfico a: HTTP, FTP, IMAP, POP3 y SMTP. La Cuarentena (Quarantine) también está
seleccionada para todos los servicios de contenido.
Web Protection Profile
Este perfil se usa para aplicar antivirus examinando y bloqueando el contenido

web para HTTP. Se puede añadir este perfil a las políticas de firewall que controlan el
tráfico en HTTP.
Unfiltered Protection Profile
Se debe usar este profile si no se desea aplicar ninguna protección al contenido

del tráfico. Se puede añadir este profile a las políticas del firewall para conexiones
entre redes altamente confiables o seguras donde el contenido no necesita ser
protegido.
44
4.1.3 Autentificación de usuarios
La unidad FortiGate soporta 3 diferentes tipos de usuarios / autenticaciones
 Usuario Local.
 Usuarios almacenados sobre servidores RADIUS.
 Usuarios almacenados en su directorio LDAP.
Para que sean efectivos, estos usuarios deben estar ubicados en grupos.
Solamente los grupos pueden ser utilizados para autenticación. El nombre de un grupo
debe ser elegido cuidadosamente para una fácil identificación de los usuarios y en
función del grupo. Múltiples grupos pueden ser creados.
El soporte a RADIUS debe ser configurado previamente a que pueda ser

seleccionado para la autenticación de un usuario. Cuando la autenticación de RADIUS
es utilizada el nombre de usuario y contraseña son validadas sobre un servidor
RADIUS. Si se encuentra una coincidencia la conexión es permitida. Si no existe
coincidencia, la conexión es abandonada.
El soporte a LDAP debe ser configurado previamente a que pueda ser

seleccionado para la autenticación de un usuario. Cuando la autenticación de LDAP es
utilizada el nombre de usuario y contraseña son validadas sobre un servidor LDAP. Si se
encuentra una coincidencia la conexión es permitida. Si no existe coincidencia, la
conexión es abandonada.
Si un grupo de usuarios contiene nombres de usuarios, servidores RADIUS y

servidores LDAP la unidad FortiGate lo revisa en el orden en el cual ellos fueron
añadidos al grupo de usuarios.
4.1.4 Intrution prevention system
El FortiGate Intrution Prevention System (IPS) es un sensor de detección en la

red en tiempo real que usa firmas de ataques y definiciones anómalas para detectar y
prevenir una amplia variedad de tráfico de red sospechoso y ataques directos basados
en red.
El módulo IPS protege a la unidad FortiGate y a las redes conectadas a ésta, de

ataques comunes de TCP, ICMP, UDP e IP. El IPS puede ser habilitado para prevenir un
conjunto de ataques por defecto.
Para una configuración general del IPS, se necesita seleccionar cuáles interfaces
deben ser monitoreadas para ataques basados en red. También se necesita decidir
donde habilitar la verificación del checksum26 que valida la integridad de los paquetes
recibidos y la interfaz monitoreada. Esta unidad trabaja independiente del firewall para
detectar y prevenir algunos ataques comunes.
45
Las firmas predefinidas de IPS y el motor IPS pueden ser actualizadas a través
del FortiResponse Distribution Network. Las listas de anomalías son actualizadas con
versiones del firmware. Se puede crear firmas personalizadas en diferentes entornos
de red.
Los administradores pueden ser notificados de posibles intrusiones a través de

mensajes de log y alertas de e-mail. El IPS es configurado globalmente, pero puede ser
habilitado separadamente en cada protection profile.
46
Capítulo 5
5.1. Instalación Inicial de Ubuntu Server
Para configurar un Ubuntu Server versión 9.10 con el particionado de discos

Manual de la siguiente manera:
 Creamos una partición primaria en el punto de montaje /boot, de 100MB y la

ubicamos al principio del espacio disponible en el disco duro.
 Seleccionamos el espacio libre luego de la creación de la partición primaria y

creamos una partición lógica, le asignamos el tamaño máximo de la capacidad
del disco, que en este caso es de: 8,5GB. Esta partición lógica será utilizada
como volumen físico para LVM. Utilizamos LVM debido a que el particionado
tradicional es muy inflexible y con LVM podemos aumentar o disminuir el
tamaño de las particiones, cambiarlas y administrarlas según nuestras
necesidades de manera más sencilla y flexible.
 Luego de configurar el gestor de volúmenes lógicos (LVM), creamos las

siguientes particiones con su correspondiente punto de montaje y capacidad:
Directorio Montaje Capacidad
raíz / 2GB
var /var 2GB
swap /swap 512MB
tmp /tmp 1GB
home /home 1GB
usr /usr 2GB

Tabla 10. Distribución de las particiones lógicas
 Luego fue creado el usuario: administrador con password: administrador.
 En la configuración del gestor paquetes se dejó en blanco, pues no es necesaria

la configuración de un proxy para la conexión a la red en nuestro caso.
 Seleccionamos la instalación de actualizaciones automáticas y como único

paquete de instalación adicional, seleccionamos el Tomcat Java Server.
 Finalizamos la instalación satisfactoria del Ubuntu Server.
47
5.2. Ubuntu Security Notices
Sólo se deben utilizar repositorios de paquetes de la distribución ubicados en

/etc/apt/sources.list que vienen por defecto. Entre las últimas noticias de seguridad a
considerar para nuestra implementación, tenemos:
USN-899-1: Tomcat vulnerabilities
Referenced CVEs:
CVE-2009-2693, CVE-2009-2901, CVE-2009-2902
Description:
===========================================================
Ubuntu Security Notice USN-899-1 February 11, 2010
tomcat6 vulnerabilities
CVE-2009-2693, CVE-2009-2901, CVE-2009-2902
===========================================================
A security issue affects the following Ubuntu releases:
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10
This advisory also applies to the corresponding versions of

Kubuntu, Edubuntu, and Xubuntu.
The problem can be corrected by upgrading your system to the

following package versions:
Ubuntu 8.10:
libtomcat6-java 6.0.18-0ubuntu3.3
Ubuntu 9.04:
Ubuntu 9.10:
In general, a standard system upgrade is sufficient to effect the

necessary changes.
Details follow:
It was discovered that Tomcat did not correctly validate WAR filenames or
paths when deploying. A remote attacker could send a specially crafted WAR
file to be deployed and cause arbitrary files and directories to be
created, overwritten, or deleted.
Informe 1. Disponible en: http://www.ubuntu.com/usn/USN-899-1
Tal y como podemos apreciar, debemos considerar la actualización de la librería

libtomcat6-java a la versión 6.0.20-2ubuntu2.1.
48
USN-897-1: MySQL vulnerabilities
Referenced CVEs:
CVE-2008-4098, CVE-2008-4456, CVE-2008-7247, CVE-2009-2446, CVE-2009-4019, CVE-2009-4030, CVE-
2009-4484
Description:
===========================================================
Ubuntu Security Notice USN-897-1 February 10, 2010
mysql-dfsg-5.0, mysql-dfsg-5.1 vulnerabilities
CVE-2008-4098, CVE-2008-4456, CVE-2008-7247, CVE-2009-2446,
CVE-2009-4019, CVE-2009-4030, CVE-2009-4484
===========================================================
Ubuntu 6.06 LTS

Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10


Ubuntu 6.06 LTS:

mysql-server-5.0 5.0.22-0ubuntu6.06.12
Ubuntu 8.04 LTS:

mysql-server-5.0 5.0.51a-3ubuntu5.5
Ubuntu 8.10:
mysql-server-5.0 5.0.67-0ubuntu6.1
Ubuntu 9.04:
mysql-server-5.0 5.1.30really5.0.75-0ubuntu10.3
Ubuntu 9.10:
mysql-server-5.1 5.1.37-1ubuntu5.1
In general, a standard system upgrade is sufficient to effect the

necessary changes.
Details follow:
It was discovered that MySQL could be made to overwrite existing table

files in the data directory. An authenticated user could use the DATA
DIRECTORY and INDEX DIRECTORY options to possibly bypass privilege checks.
This update alters table creation behaviour by disallowing the use of the
MySQL data directory in DATA DIRECTORY and INDEX DIRECTORY options. This
issue only affected Ubuntu 8.10. (CVE-2008-4098)
It was discovered that MySQL contained a cross-site scripting vulnerability

in the command-line client when the --html option is enabled. An attacker
could place arbitrary web script or html in a database cell, which would
then get placed in the html document output by the command-line tool. This
49
issue only affected Ubuntu 6.06 LTS, 8.04 LTS, 8.10 and 9.04.
(CVE-2008-4456)
It was discovered that MySQL could be made to overwrite existing table

files in the data directory. An authenticated user could use symlinks
combined with the DATA DIRECTORY and INDEX DIRECTORY options to possibly
bypass privilege checks. This issue only affected Ubuntu 9.10.
(CVE-2008-7247)
It was discovered that MySQL contained multiple format string flaws when
logging database creation and deletion. An authenticated user could use
specially crafted database names to make MySQL crash, causing a denial of
service. This issue only affected Ubuntu 6.06 LTS, 8.04 LTS, 8.10 and 9.04.
(CVE-2009-2446)
It was discovered that MySQL incorrectly handled errors when performing

certain SELECT statements, and did not preserve correct flags when
performing statements that use the GeomFromWKB function. An authenticated
user could exploit this to make MySQL crash, causing a denial of service.
(CVE-2009-4019)
It was discovered that MySQL incorrectly checked symlinks when using the
DATA DIRECTORY and INDEX DIRECTORY options. A local user could use symlinks
to create tables that pointed to tables known to be created at a later
time, bypassing access restrictions. (CVE-2009-4030)
It was discovered that MySQL contained a buffer overflow when parsing

ssl certificates. A remote attacker could send crafted requests and cause a
denial of service or possibly execute arbitrary code. This issue did not
affect Ubuntu 6.06 LTS and the default compiler options for affected
releases should reduce the vulnerability to a denial of service. In the
default installation, attackers would also be isolated by the AppArmor
MySQL profile. (CVE-2009-4484)
Se debe considerar la actualización del paquete mysql-server-5.1 por la revisión 5.1.37-

1ubuntu5.1. Para resolver esta vulnerabilidad y mantener la seguridad e integridad del
sistema.
USN-884-1: OpenSSL vulnerability
Referenced CVEs:
CVE-2009-4355
Description:
===========================================================
Ubuntu Security Notice USN-884-1 January 14, 2010
openssl vulnerability
CVE-2009-4355
===========================================================
Ubuntu 6.06 LTS
50
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10


Ubuntu 6.06 LTS:

libssl0.9.8 0.9.8a-7ubuntu0.11
Ubuntu 8.04 LTS:

libssl0.9.8 0.9.8g-4ubuntu3.9
Ubuntu 8.10:
libssl0.9.8 0.9.8g-10.1ubuntu2.6
Ubuntu 9.04:
Ubuntu 9.10:
After a standard system upgrade you need to restart any applications

using OpenSSL, especially Apache, to effect the necessary changes.
Details follow:
It was discovered that OpenSSL did not correctly free unused memory in
certain situations. A remote attacker could trigger this flaw in services
that used SSL, causing the service to use all available system memory,
leading to a denial of service.
Para resolver esta vulnerabilidad, debemos actualizar la librería: libssl0.9.8, por la

revisión: 0.9.8g-16ubuntu3.1 y todas las posibles dependencias para asegurarnos de que
puedan afectar a las mismas.
5.3. Configuración Ubuntu Server
 Creamos un nuevo usuario “webmaster” para administrar el directorio que

necesita, en este caso /var/www de la siguiente manera:
# useradd -d /var/www-s/bin/bash webmaster
# passwd webmaster
 Comprobamos los permisos que contiene esta carpeta:
ls -ld var/www
51
 Agregamos un nuevo grupo de usuarios, con permisos sólo para esta carpeta
# groupadd var/www
 Aplicamos este usuario con este grupo a la carpeta var
# chown webmaster –R var/www var/www
Captura de pantalla 1. Archivo de configuración resolv.conf
52
Red
 En la siguiente captura de pantalla, podemos observar el fichero

/etc/network/interfaces con la configuración necesaria para este caso de estudio:
Captura de pantalla 2. Interfaces
 Reiniciamos el servicio de red:

# sudo /etc/init.d/networking restart
 Según en donde se ejecute la máquina virtual, si en el laboratorio ó en un ordenador

personal, está configuración puede cambiar, para lo cual, es necesario establecer la
interfaz por dhcp y ejecutar dhclient para obtener las direcciones ip.
MySQL
 Luego instalamos el MySQL 5.1 usando el siguiente comando:

# apt-get install mysql-server
 Al usuario de MySQL, le establecemos el password: administrador. Levantamos el

servicio de MySQL:
# /etc/init.d/mysql start
 Para detener el servicio MySQL en cualquier momento, podemos utilizar el siguiente

comando:
# /etc/init.d/mysql stop
 Para entrar en MySQL:

# mysql -u root –p
53
 Una vez en MySQL, creamos el usuario dba con pass: administrador el cual va a tener
todos los privilegios asignados:
mysql >create user dba identified by 'administrador';
 Creamos la base de datos que vamos a utilizar:

mysql> create database educasl;
 Luego creamos un usuario para acceso desde desktop, con privilegios limitados sobre
la bdd “educasl” de la siguiente manera:
mysql> create user ‘usuario’@’192.168.230.30’ identified by ‘usuario’;
mysql> use educasl;
mysql> grant select, insert, update, delete, drop, alter, create on educasl to
usuario@192.168.230.30;
 Luego hacemos la carga de la estructura y los datos proporcionados con el caso de

estudio:
# mysql --user=dba --password=administrador educasl <EtrainingTables.sql> output.tab
# mysql --user=dba --password=administrador educasl <EtrainigInitAdm.sql> output.tab
 Podemos comprobar que efectivamente la data fue insertada correctamente en la

siguiente captura de pantalla:
Captura de pantalla 3. Select * from UserProfile;
54
Apache
 Instalamos Apache:
# apt-get install apache2
 Probamos el apache desde un explorador en el desktop, para verificar que el servicio

este levantado en el puerto 80.
 Para configurar los host virtuales debemos cambiar el fichero de configuración:

# nano /etc/apache2/sites-available/default
Captura de pantalla 4. Archivo de configuración Apache
55
Tomcat
 Instalación:
@ apt-get install tomcat6
 Para la integración de Apache con Tomcat necesitamos el modulo:

# apt-get install libapache2-mod-jk
 Para la configuración, editamos el fichero /etc/apache2/mods-available/jk.conf

tal y como aparece en la siguiente captura de pantalla:
Captura de pantalla 5. Archivo de configuración de integración con Tomcat
 Ejecutamos los comandos a2enmod y a2dismod
Captura de pantalla 6. Comandos a2enmod y a2dismod
56
 Indicamos la configuración de los “workers”
Captura de pantalla 7. Archivo de configuración "workers"
 Es muy útil tener en cuenta el fichero JkLogFile:

/var/log/apache2/mod_jk.log
 Para configurar la aplicación del caso de estudio:
Captura de pantalla 8. Archivo de configuración ROOT.xml
 Antes de continuar, debemos obtener e instalar un driver para la BD:

# apt-get install libmysql-java
 Y colocarlo en el CLASSPATH de Tomcat para que pueda tener acceso:

# ln -s /usr/share/java/mysql.jar /usr/share/tomcat6/lib/mysql.jar
57
 Cambiamos la configuración de Tomcat en /etc/tomcat6/server.xml:
Captura de pantalla 9. Configuración server.xml
OpenSSL
 Primero implementamos el módulo ssl de apache:

# a2enmod ssl
 Luego reiniciamos el servidor apache para aplicar los cambios

# /etc/init.d/apache2 restart
 Generamos la clave privada y certificado:

# openssl req -new -x509 -days 30 -nodes -keyout server.key -out server.crt -subj
'/CN=etraining.educasl.es/O=educasl/C=ES'
 Luego debemos general un request.pem con nuestro certificado, para enviarlo

a la CA “Certificados Vreixo S.L.” y obtener un certificado digital:
# openssl req -new -nodes -keyout server.key -out request.pem -subj
'/CN= etraining.udc.es/O= educasl/C=ES'
 Al tener los ficheros server.key, server.crt y ca.crt los copiamos en el directorio

/etc/apache2/ssl tanto del server e importamos el ca.crt al explorador Firefox,
para no recibir el aviso del explorador.
 Añadimos las siguientes cuatro líneas al archivo:
#nano /etc/apache2/mods-available/ssl.conf
58
 Bajo la sección VirtualHost, bajo la línea DocumentRoot:
SSLEngine on
SSLOptions +FakeBasicAuth +ExportCertData +CompatEnvVars +StrictRequire
SSLCertificateFile /etc/ssl/server.crt
SSLCertificateKeyFile /etc/ssl /server.key
SSLCACertificateFile /etc/apache2/ssl/ca.crt
 En el mismo fichero de configuración debemos incluir las siguientes líneas para

restringir el acceso HTTP, y hacer el redireccionamiento al HTTPS:
SSLRequireSSL
Redirect permanent /https://etraining.educasl.es/
 El HTTPS suele escuchar en el puerto número 443. Añadimos la siguiente línea

al archivo /etc/apache2/ports.conf:
Listen 443#
 Podríamos implementar la utilización de SSL y certificados para MySql de la

siguiente manera:
ssl-ca=/etc/mysql/ca.pem
ssl-cert=/etc/mysql/server-cert.pem
ssl-key=/etc/mysql/server-key.pem
SSH
 Instalamos el paquete de ssh:

# apt-get install openssh-server
 Abrimos el puerto del SSH:

# iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
 Para dar acceso a los usuarios que deseemos mediante SSH, editaremos el fichero
ssh_config, ubicado en /etc/ssh/ssh.config.
# nano /etc/ssh/ssh_config
59
Captura de pantalla 10. Fichero de configuración SSH
 Tal y como podemos ver en la “Captura de Pantalla 2”, fue agregado el equipo
(desktop) con dirección ip: 192.168.230.30 para poder aceptarlo por SSH, denegamos
el acceso en modo root y agregamos el usuario que va a realizar la conexión. Para cada
caso en particular de agregar más usuarios o cambiar de dirección ip como ha sido el
caso de esta práctica, hay que modificar este fichero.
 Adicionalmente podemos configurar los ficheros hosts.deny y hosts.allow, ubicados en

/etc/. Editaremos el fichero /etc/hosts.deny para indicar que deniegue todas las
conexiones desde cualquier IP, añadiendo la línea:
ALL: ALL
 Ahora modificaremos el fichero /etc/hosts.allow para indicarle a Linux Ubuntu que IP o

rango de IPs tendrán acceso mediante SSH, añadiendo la línea:
sshd: 192.168.230.*
 Para hacer la copia de los ficheros, utilizamos los siguientes comandos:

# scp arquivos.tar.gz webmaster@192.168.20.128:/var/www
60
Conclusiones
A través de esta memoria, queda reflejado parte de los conocimientos

obtenidos durante todo el curso de Redes, destacando el gran interés en la asignatura
gracias al excelente método de impartición utilizado por todos los profesores
involucrados en dicha tarea.
A lo largo de la realización de este caso de estudio y durante toda la asignatura,

se encontraron varias situaciones que requerían la toma de decisiones, que más allá
que fueran acertadas o no, constituyen una idea bastante clara de los conocimientos
fundamentales para realizar un trabajo de ingeniería al diseñar una solución para
cualquier entorno empresarial, acercándonos mucha más a la realidad que demanda el
campo laboral.
61

Memoria Final Redes

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Memoria Final Redes

Uploaded by

Copyright:

Available Formats

Universidad de A Coruña

Máster en Ingeniería Informática

Dpto. Tecnologías de la Información y las Comunicaciones

Redes – Caso de Estudio

José Antonio Guzmán (jose.guzman@udc.es)

John Ander Palma (john.palma@udc.es)

A Coruña, Julio 2010

Ilustración 1: Armarios suelo 19” Cablerack 600x600mm ............................................. 16

Tabla 1: Cantidades y costes para el cableado estructurado horizontal de la planta baja.

Captura de pantalla 1. Archivo de configuración resolv.conf ........................................ 52

Informe 1. Disponible en: http://www.ubuntu.com/usn/USN-899-1 ........................... 48

El presente trabajo, es un caso de estudio que engloba todo lo aprendido

En el primer apartado, se tiene como objetivo diseñar el cableado estructurado

Cada planta tiene una necesidad y requerimientos diferente, por lo tanto es

1.1 Cableado Horizontal

1.1.1 Planta Baja

Columna1 Metros / Unidades Precio metro/unitario total

1.1.2 Primera planta

Los requerimientos para la primera planta exigen la estimación de los

Columna1 Metros / Unidades Precio metro/unitario total

Tanto al HC 1.1 y 1.2 se llegan a través de fibra, subiendo una planta y

1.1.3 Segunda Planta

Al igual que en las plantas anteriores, inicialmente es presentado una tabla

Columna1 Metros / Unidades Precio metro/unitario total

Se presenta el cuadro de resumen:

Columna1 Metros / Unidades Precio metro/unitario total

1.1.5 Cuarta planta

Columna1 Metros / Unidades Precio metro/unitario total

1.1.6 Costes totales

Para fibra se puede usar el Cable de fibra óptica SC a SC multimodo simplex

Latiguillo unidades precio total

1.2 Cableado Vertical

El cableado vertical, sería la conexión realizada entre el MC y todos los HC del

Esta fibra tiene las siguientes características:

- Núcleo del cable: Leoni quicklite o núcleo semicompacto, relleno de gel.

Los conectores de fibra a utilizar, es el Conector SC epoxi, con un precio de

A continuación se presenta un cuadro con las cantidades y costes de la fibra

Tabla 7: Resumen de cableado vertical.

Se estima que se necesitan 2627 metros de fibra, a un coste de 3,69€ el metro,

metros totales coste conec. Totales coste2

2.1 Características de armarios

Se utilizará un armario de 41 unidades Cablerack 19" 41U 600x600 con un

- Fabricado en chapa de acero de 1,5 y 2 mm de espesor

Ilustración 1: Armarios suelo 19” Cablerack 600x600mm

- Conversión real doble con factor de salida eléctrica del 80%.

Cisco Catalyst 3560G-24TS - Conmutador - 24 puertos - EN, Fast

Descripción del producto Cisco Catalyst 3560G-24TS - conmutador - 24 puertos

Tipo de dispositivo Conmutador

Factor de forma Externo - 1U

Dimensiones (Ancho x Profundidad

Cantidad de puertos 24 x Ethernet 10Base-T, Ethernet 100Base-TX, Ethernet 1000Base-T

Velocidad de transferencia de datos 1 Gbps

Protocolo de interconexión de datos Ethernet, Fast Ethernet, Gigabit Ethernet

Ranuras vacías 4 x SFP (mini-GBIC)

Modo comunicación Semidúplex, dúplex pleno

Características Capacidad duplex, negociación automática, activable

Cumplimiento de normas IEEE 802.3ab

Alimentación CA 120/230 V ( 50/60 Hz )

Tabla 9: Especificaciones del Switch Catalyst 3560G-24TS

Con las siguientes especificaciones técnicas:

- Panel de datos de 19" de 1UH, con 24 tomas integradas RJ-45 de Cat.6

La distribución de los HC se esquematiza en la siguiente tabla:

SALA DE COMUNICACIONES PISO AREA ATENDIDA PISO DEL AREA