Professional Documents
Culture Documents
Redes
(2009/2010)
1
Índice
A
Apache ......................................................................................................................................................................... 55
Arquitectura de Sistemas ............................................................................................................................................. 34
Autentificación de usuarios.......................................................................................................................................... 45
Autoridad de Certificación ........................................................................................................................................... 37
B
Breve descripción del diseño y flujo de los datos ........................................................................................................ 32
C
Cableado Horizontal ....................................................................................................................................................... 7
Cableado Vertical ......................................................................................................................................................... 12
Capítulo 1 ....................................................................................................................................................................... 7
Capítulo 2 ..................................................................................................................................................................... 15
Capítulo 3 ..................................................................................................................................................................... 30
Capítulo 4 ..................................................................................................................................................................... 34
Capítulo 5 ..................................................................................................................................................................... 47
Características de armarios .......................................................................................................................................... 15
Configuración Ubuntu Server ....................................................................................................................................... 51
Consolidación de servidores y escalabilidad ................................................................................................................ 39
Costes totales ............................................................................................................................................................... 12
Cuarta planta................................................................................................................................................................ 11
D
Directorio LDAP ............................................................................................................................................................ 37
Diseño de la infraestructura tecnológica ..................................................................................................................... 30
F
Firewall Externo: .......................................................................................................................................................... 32
Firewall Intermedio: ..................................................................................................................................................... 32
H
HC 0.1 ........................................................................................................................................................................... 20
HC 0.2 ........................................................................................................................................................................... 21
HC 0.3 ........................................................................................................................................................................... 22
HC 1.1 ........................................................................................................................................................................... 23
HC 1.2 ........................................................................................................................................................................... 24
HC 2.1 ........................................................................................................................................................................... 25
HC 3.1 ........................................................................................................................................................................... 26
I
Indice.............................................................................................................................................................................. 2
Índice.............................................................................................................................................................................. 2
Índice de Capturas ......................................................................................................................................................... 5
Índice de Ilustraciones ................................................................................................................................................... 4
Índice de Informes ......................................................................................................................................................... 5
Índice de Tablas ............................................................................................................................................................. 4
Instalación Inicial de Ubuntu Server ............................................................................................................................ 47
Introducción ................................................................................................................................................................... 6
Intrution prevention system ........................................................................................................................................ 45
2
L
La solución: .................................................................................................................................................................. 36
Leyenda de la infraestructura tecnológica ................................................................................................................... 31
M
Modo NAT (Network Address Translation) .................................................................................................................. 42
MySQL .......................................................................................................................................................................... 53
N
Nomenclatura .............................................................................................................................................................. 14
O
OpenSSL ....................................................................................................................................................................... 58
Otras consideraciones .................................................................................................................................................. 40
P
Perfiles de protección .................................................................................................................................................. 43
Planta Baja ..................................................................................................................................................................... 7
Primera planta ............................................................................................................................................................... 9
Punto de Acceso 802.11x (AP) ..................................................................................................................................... 36
R
Red ............................................................................................................................................................................... 53
S
Sala de equipamiento (MC) .......................................................................................................................................... 27
Salas de comunicaciones.............................................................................................................................................. 19
Scan Protection Profile ................................................................................................................................................. 44
Segunda Planta ............................................................................................................................................................ 10
Seguridad para la Red interna ...................................................................................................................................... 41
Servicio de Autenticación ............................................................................................................................................. 37
Servicio de conexión inalámbrica: ................................................................................................................................ 34
SSH ............................................................................................................................................................................... 59
Strict Protection Profile ................................................................................................................................................ 44
T
Tercera planta .............................................................................................................................................................. 11
Tomcat ......................................................................................................................................................................... 56
U
Ubuntu Security Notices .............................................................................................................................................. 48
Unfiltered Protection Profile ........................................................................................................................................ 44
USN-884-1: OpenSSL vulnerability ......................................................................................................................... 50
USN-897-1: MySQL vulnerabilities .......................................................................................................................... 49
USN-899-1: Tomcat vulnerabilities ........................................................................................................................ 48
W
Web Protection Profile................................................................................................................................................. 44
3
Índice de Ilustraciones
Índice de Tablas
4
Índice de Capturas
Índice de Informes
5
Introducción
Entre los principales objetivos que se siguen con este trabajo, tenemos: el
diseñar y desarrollar integralmente el sistema propuesto como caso de estudio en el
primer cuatrimestre de la asignatura, cableado de red (práctica 1), arquitectura de red
y equipos activos (práctica 1), arquitectura de servidores y clientes, Diseño de los
principales servicios y flujos.
También se debe destacar, que los datos utilizados son aproximados, pero que
no afectan en el desenvolvimiento y cumplimiento de los objetivos de aprendizaje
trazados durante toda la asignatura.
6
Capítulo 1
Este punto trata sobre la distribución de las salas de comunicaciones (HC) y las
especificaciones de los materiales y equipos utilizados para ello por las distintas
plantas del edificio.
Los materiales estimados para realizar el cableado horizontal de esta planta son
los siguientes:
- 9688 metros de cable rígido UTP cat.6 con revestimiento de PVC que tiene
valores de rendimiento 500Mhz, 24 AWG (0,51 mm), cumple con los
estándares EIA/TIA 568 B-2.1 y tiene un precio de proveedor de 0,51 el
metro.1
- Se eligió este tipo de cable, pues es el que proporciona el ancho de 1 Gbps y
no estaba fuera del presupuesto para su categoría.
- En la cantidad de cable requerido, se consideró la pérdida de los mismos
por fallas de instalación ó de fábrica y el trazado por esquinas y curvas en
un 8% más del total a utilizar. Aunque puede parecer muy amplia esta
consideración, a la hora de implementar, siempre hace falta cable.
- 222 rosetas dobles RJ45 de tipo 45x45 con un sistema anti-polvo que no
permite la entrada del mismo mientras no esté conectado un punto, con un
precio de 4,50€ por unidad.2
- 439 RJ45 hembra tipo keystone fabricadas con la tecnología patentada
Leadframe, la cual permite obtener unos márgenes muy holgados en los
requerimientos de la EIA/TIA 568-B.2 con un precio de 5,29 por unidad. 3
- 439 RJ45 macho Conector UTP Cat.6 con un precio de 0,32€ por unidad.4
- Es importante destacar, que en la cantidad estimada de este número de
tomas, el 20% más por razones de escalabilidad, añadidas tanto a
conectores como rosetas, es porque solicitadas en este momento, se
consiguen mejores precios con los proveedores al pedir grandes cantidades,
además que en las instalaciones de estas redes, se debe contar con la
1
Pág. Online disponible en: http://cablecom.es/product_info.php?cPath=45_47&products_id=274
Consultado en febrero 2010.
2
Pág. Online disponible en: http://cablecom.es/product_info.php?cPath=42_80&products_id=426
Consultado en febrero 2010.
3
Pág. Online disponible en: http://cablecom.es/product_info.php?cPath=45_49&products_id=287
Consultado en febrero 2010.
4
Pág. Online disponible en: http://www.cablematic.com/Cable-y-conector-para-LAN/Conector-UTP-Cat.6-
RJ45_hyphen_Macho-%25282-Niveles%2529/?pag=12
Consultado en febrero 2010.
7
pérdida de conectores y rosetas como en cualquier otra instalación a gran
escala.
- 87 metros de bandeja metálica de chapa perforada de 400x60 mm,
alrededor del área de cobertura del HC 0.2, en la zona de pasillos. Se utiliza
una bandeja de tamaño mediano, pues el requerimiento no es muy grande
para lo que son los despachos, laboratorios de dpto. y seminarios. Esta
bandeja tiene un precio de 20,64€ por metro, vienen en bloques de 3 en 3
metros y se estima que necesitaría de un soporte de techo tipo rejilla
metálica por cada 9 metros, lo que representa 10 soportes
aproximadamente, a un precio de 10,71€ cada uno.5 Considerando que esta
se trata de una solución costosa, es una decisión argumentada en que
permite la flexibilidad en la organización y conserva la efectividad y calidad
del cableado.
- Los cables de fibra, deben llegar hasta los HC para proporcionar el ancho de
banda deseado en cada área, para ello se utilizan 90 metros de bandeja
metálica, que también será usada por parte del cableado horizontal en
algunos tramos. Estas bandejas podrían formar parte tanto de los
materiales del cableado horizontal como del vertical.
- Para llegar hasta las áreas de laboratorio de prácticas, se utiliza la misma
bandeja por donde va el cableado vertical desde el MC hasta el HC 0.2.
- Es ideal llevar el cable por dentro del falso techo, a las áreas alrededor del
HC 0.2. Se prevé la utilización de canaletas de PVC 90x55mm, que tienen un
precio de 11,03 cada 12 metros, por lo que se necesitarían unas 5 unidades
para el área de despachos. Luego para el área de laboratorios de dpto., es
conveniente utilizar una canaleta de PVC más ancha, específicamente la de
130x55mm, ya que son mayor número de tomas, la cual tiene un precio de
15,16€ cada 12 metros, por lo que se necesitan unas dos unidades por
laboratorio. Para el área de seminarios, se requieren unas 2 unidades de
canaletas PVC 90x55mm.
- La cobertura del HC 0.1 también por falso techo, va a requerir de 6
unidades de canaletas PVC de 130x55mm para llegar hasta el área de
trabajo 2, despachos CECAFI y salón de actos.
- La estimación de canaletas que van a ir desde los techos, por las paredes
hasta los puntos finales en las rosetas, se considera la mitad utilizada para
los techos y de las medidas mencionadas anteriormente, 130x55mm y
90x55mm. En el mismo sentido que el cableado, es mejor sobreestimar en
estos aspectos, porque a la hora de implementar, siempre falta el material.
- Los HC necesarios para la comunicación requerida en esta planta, van a
constar de los ya mencionado HC 0.1, HC 0.2 y HC 0.3.
- El HC 0.1 abarca el área de trabajo 1 y 2, despachos del CECAFI,
administración de la red y salón de actos.
- El HC 0.2 cubre las zonas de despachos, laboratorios de departamento y
seminarios.
- El HC 0.3 creado para reducir costes del laboratorio de prácticas, ya que con
las 76 tomas que necesita para cumplir las necesidades y escalabilidad de
5
Documento PDF Online disponible en: http://www.simonconnect.com/arxius/es/CANALIZACION/tarifes/82-87.pdf
Consultado en febrero 2010.
8
esta área, suponía un gasto considerable con respecto a la longitud de los
cables y su respectiva pérdida de efectividad. Utilizando el HC 0.2 para
llegar a estos laboratorios, se necesitaban 3942 metros de cable UTP con
distancias entre. Se implementa el diseño de dicha HC 0.3, la cual va a estar
ubicada en una de las esquinas dentro de la sala de máquinas, debidamente
acondicionada y lista para dar servicio a las 76 tomas de red (64 + 20%). De
esta manera la longitud se reducirá en más de un 50%, específicamente a
1720 metros.
Para ilustrar mejor todos los elementos, cantidades y precios de la planta 0 ver
la siguiente tabla:
9
Esta planta tiene los HC 1.1 y HC 1.2, los cuales dan servicio a todas las áreas. El
HC 1.1 da operatividad a los laboratorios de prácticas, quedando todas las demás áreas
a cargo del HC 1.2. En esta planta no se consideró un tercer HC, pues en primer lugar,
no hay lugar físico totalmente adecuado en cuanto a seguridad y acceso restringido
que requieren este tipo de salas, y en segundo lugar, las tomas de despachos 3,
secretaria y sala de juntas no representan una cantidad significativa para un nuevo
armario con todos sus equipos correspondientes, pues también representan un costo
elevado.
En la segunda planta sólo hay una HC, la 2.1 que da servicio a los despachos,
laboratorios de departamentos, seminarios y el área de aulas 1, mientras que el área
de aulas 2, está relacionado con el HC 1.1 que se encuentra en la primera planta. El
motivo es muy sencillo, es más económico, estimar subir 5 metros más de cables UTP
entre plantas y utilizar el armario en su totalidad, que implementar un nuevo armario
con todos sus equipos, además que el espacio físico no favorece, pues uno de los
almacenes que al parecer está disponible, se encuentra justo al lado de los servicios
sanitarios, por lo que también se arriesgan equipos muy costosos con solo existencia
de la probabilidad de filtraciones ó inundaciones en esta área.
10
1.1.4 Tercera planta
Sólo hay el HC 3.1 en esta planta, pues el servicio para las aulas 2, la delegación
de alumnos y la reprografía, vienen desde el HC 1.1 ubicado en la primera planta,
mucho más rentable subir 10 metros más de cable (sobreestimando) hasta esta planta
para dar servicio a esta zona, que colocar un nuevo armario o utilizar alrededor de 80
metros para llegar hasta aquí, desde la ubicación de HC 3.1.
Esta sala de comunicaciones (HC 3.1) está ubicada en una sala debidamente
acondicionada y presta servicio a las áreas de despachos, laboratorios de
departamento, seminarios y el área de aulas 1. Hasta esta sala, se llega mediante fibra
extendida desde el MC, por todo el pasillo de la planta baja y luego sube desde el HC
0.2 hasta la tercera planta.
11
En esta planta, no hay ningún HC, se sube una planta desde el HC 3.1 ubicado
en la planta inferior, estimando 5 metros más de cable para llegar a la cuarta planta. Es
una buena solución pues es una planta que no requiere de muchas tomas y tal como
se ha mencionado anteriormente, antes de crear una nueva sala de comunicaciones,
se debe estudiar que el alcance de las ya existentes no podría satisfacer la zona de
estudio dentro del edificio.
Se debe tomar en cuenta, el coste de los latiguillos, que hasta ahora no están
reflejados en ningún punto del documento. Se van a tener que utilizar unos 1150
latiguillos para las conexiones de cable UTP y unos 250 latiguillos de fibra óptica.
El latiguillo que va usarse es el UTP Cat.6 0,5 metros, con un precio por unidad
de 3,73€.6
Se puede tener el siguiente cuadro ilustrativo que nos muestra los costes
totales para los latiguillos:
Una vez ilustrado el coste de los latiguillos, el coste total del cableado
horizontal hasta ahora es de 48674,92€.
6
Pág. Online disponible en: http://cablecom.es/product_info.php?cPath=46_118&products_id=340
Consultado en febrero 2010
7
Pág. Online disponible en: http://www.cablematic.com/Latiguillo-de-fibra-optica/
Consultado en febrero 2010
12
Es pertinente que para este caso de estudio, se utilice una fibra multimodo
(cubierta de color naranja) que soporta mayores velocidades de transmisión y en
concreto la Fibra interior 12x50/125 con un coste de 3.69€ por metro.8
8
Pág. Online disponible en: http://cablecom.es/product_info.php?products_id=162
Consultado en febrero 2010.
9
Pág. Online disponible en: http://cablecom.es/product_info.php?cPath=43_71&products_id=181
Consultado en febrero 2010.
13
1.3 Nomenclatura
Para nombrar cada uno de los terminales y los diferentes elementos del
cableado se usara una serie de siglas que detallen la planta, ubicación en la planta
(área o grupo), subgrupo y numero del terminal. Por ejemplo, para un terminal en el
despacho 0.14 de la planta cero, se utilizaría: P0-DESPA-0.14- Dxxx donde Dxxx es el
número de la roseta que tiene asociado el terminal de datos.
Dentro de los armarios, cada uno de los latiguillos debe llevar la misma
nomenclatura que la conexión de la roseta a la que hace referencia, de forma que se
pueda asociar rápidamente una entrada al switch con su terminal. Los patch panels
deben tener el número de la conexión de la roseta a la que hacen referencia, ya que de
esta forma, en todo momento, se puede saber que cable hace falta comprobar sin
necesidad de andar buscando entre los latiguillos, o en la parte trasera de los patch
panels, ya que cada uno de los cables que llegan al armario debe estar rotulado con el
valor correspondiente a su roseta asociada.
Las conexiones de fibra óptica que llegan al switch principal deben de rotularse
con la planta a la que pertenecen, el número de sala de comunicaciones, el número del
switch y el número de puerto. En el caso de que estemos rotulando la fibra de la planta
primera, sala de comunicaciones HC1.1 Switch 1 puerto 10, se debería poner lo
siguiente: P1-HC1.1-1-10. Los cables de comunicación entre servidores se nombraran
con el número del servidor, tipo cable y categoría, de esta forma el servidor 1 se
rotularía como: S1-FTP-C7.
14
Capítulo 2
Se debe distribuir los diferentes materiales que hacen falta en cada una de los
armarios de las diferentes plantas del edificio. Primero se detallan los materiales
necesarios para todos los armarios como es el caso de las unidades SAI, y luego, los
elementos de cada uno de los armarios teniendo en cuenta las diferentes
características de cada planta.
Cada armario contará con un material común, para ello se debe contar con las
consideraciones de alimentación y SAIs. Se iniciara desde la parte más baja del armario
con el SAI y luego se instalará una base múltiple de 8 enchufes y una U de bandeja de
cables para guiar tanto los cables de los SAIs. Luego se instalarán los Switch y los patch
panel para organización de los cables dirigidos a los terminales finales según las
necesidades de cada HC.
10
Pág. Online disponibles en: http://cablecom.es/product_info.php?products_id=518
Consultado en Febrero 2010.
15
A continuación se presenta una imagen del armario, facilitada por el proveedor
en su pág. Web:
El SAI que va a contener cada armario sería Galleon: SAI on-line de 2 KVA para
rack 19 con 4 schuko on-line de la serie Galleon del fabricante Voltronic. Modelo con
capacidad de 2 KVA, recomendado para una carga de hasta 1600 W. Modelo en
formato rack 19" de 3U, con carcasa metálica de color negro, dos asas frontales de
sujección y panel frontal con visor LCD y 3 pusaldores.11 Con un precio unitario de
700.53€ SAI y las siguientes especificaciones:
11
Pág. Online disponible en: http://www.cablematic.com/Sistemas-de-alimentacion-SAI/Galleon_colon_-SAI-
on_hyphen_line-de-2-KVA-para-rack-19-con-4-schuko/?pag=6
Consultado en febreo 2010.
16
- Salidas: 4 schuko hembra. Dispone de dos líneas de salida de operativa
programable: alimentación crítica y alimentación secundaria. Para ello se
destinan 2 schucko a la línea crítica y 2 schucko a la línea secundaria.
- Protección de línea telefónica o de datos contra descargas eléctricas.
Dispone de 2 conectores RJ45 hembra para el paso a través de la línea (IN y
OUT).
- Tamaño: 580 X 438 X 133 mm (ocupa 3U de altura en un armario rack de
19").
- Software de gestión UPSilon para entornos Windows.
Los equipos Switch que va a contener cada armario HC, serán del modelo
3560G-24TS 24 Ethernet 10/100/1000 ports and 4 SFP ports con un precio de
2.608,74€ aproximadente por unidad.12 Con las siguientes especificaciones técnicas:
Peso 5.4 kg
12
Pág. Online disponible en: http://www.cisco.com/en/US/products/hw/switches/ps5528/
Consultada en Febrero 2010.
17
Por último, como elemento común de cada armario, están los paneles de
distribución ó patch panel. Se utilizará el Panel 19\" 1U Cat.6 24 ports FTP con un
precio de 213,30€ por unidad.13
13
Pág. Online disponible en: http://cablecom.es/product_info.php?cPath=45_48&products_id=284
Consultada en Febrero 2010.
18
2.2 Salas de comunicaciones
19
2.2.1 HC 0.1
HC 0.1
42 U
5U
2U PP 0.1.1
2U PP 0.1.2
2U SW 0.1.1
2U SW 0.1.2
5U
2U PP 0.1.3
2U PP 0.1.4
2U SW 0.1.3
2U SW 0.1.4
5U
2U PP 0.1.5
2U SW 0.1.5
1U
1U
1U SAI 0.1.1
2U
Equipos utilizados:
- 1 Armario
- 1 SAI
- 2 bases múltiples de 8 enchufes eléctricos
- 5 Switch
- 5 Patch Panel
- 3 bandejas de cable espaciador de 5U de tamaño
20
2.2.2 HC 0.2
HC 0.2
42 U
4U
2U PP 0.2.1
2U PP 0.2.2
2U SW 0.2.1
2U SW 0.2.2
4U
2U PP 0.2.3
2U PP 0.2.4
2U SW 0.2.3
2U SW 0.2.4
4U
2U PP 0.2.5
2U PP 0.2.6
2U SW 0.2.5
2U SW 0.2.6
1U
1U
1U SAI 0.2.1
3U
Equipos utilizados:
- 1 Armario
- 1 SAI
- 2 bases múltiples de 8 enchufes eléctricos
- 6 Switch
- 6 patch panel
- 3 bandejas de cable espaciador de 4U de tamaño
21
2.2.3 HC 0.3
HC 0.3
42 U
5U
2U PP 0.3.1
2U PP 0.3.2
2U SW 0.3.1
2U SW 0.3.2
5U
2U PP 0.3.3
2U PP 0.3.4
2U SW 0.3.3
2U SW 0.3.4
5U
1U
1U SAI 0.3.1
1U
3U
Equipos utilizados:
- 1 Armario
- 1 SAI
- 2 bases múltiples de 8 enchufes eléctricos
- 4 Switch
- 4 patch panel
- 3 bandejas de cable espaciador de 5U de tamaño
22
2.2.4 HC 1.1
HC 1.1 HC 1.1
42 U 42 U
5U 5U
2U PP 1.1.1 2U PP 1.1.6
2U PP 1.1.2 2U PP 1.1.7
2U SW 1.1.1 2U SW 1.1.6
2U SW 1.1.2 2U SW 1.1.7
5U 5U
2U PP 1.1.3 2U PP 1.1.8
2U PP 1.1.4 2U PP 1.1.9
2U SW 1.1.3 2U SW 1.1.8
2U SW 1.1.4 2U SW 1.1.9
5U 5U
2U PP 1.1.5 2U PP 1.1.10
2U SW 1.1.5 2U SW 1.1.10
1U 1U
1U 1U
1U SAI 1.1.1 1U SAI 1.1.2
3U 3U
Equipos utilizados:
- 2 Armario
- 2 SAI
- 4 bases múltiples de 8 enchufes eléctricos
- 10 Switch
- 10 patch panel
- 6 bandejas de cable espaciador de 5U de tamaño
23
2.2.5 HC 1.2
HC 1.2
42 U
2U
2U PP 1.2.1
2U PP 1.2.2
2U SW 1.2.1
2U SW 1.2.2
2U
2U PP 1.2.3
2U PP 1.2.4
2U SW 1.2.3
2U SW 1.2.4
2U
2U PP 1.2.5
2U PP 1.2.6
2U SW 1.2.5
2U SW 1.2.6
2U
2U PP 1.2.7
2U PP 1.2.8
2U SW 1.2.7
1U SW 1.2.8
1U
2U SAI 1.2.1
Equipos utilizados:
- 1 Armario
- 1 SAI
- 2 bases múltiples de 8 enchufes eléctricos
- 8 Switch
- 8 patch panel
- 3 bandejas de cable espaciador de 2U de tamaño
24
2.2.6 HC 2.1
HC 2.1
42 U
3U
2U PP 2.1.1
2U PP 2.1.2
2U SW 2.1.1
2U SW 2.1.2
3U
2U PP 2.1.3
2U PP 2.1.4
2U SW 2.1.3
2U SW 2.1.4
3U
2U PP 2.1.5
2U PP 2.1.6
2U SW 2.1.5
2U SW 2.1.6
1U
2U
2U PP 2.1.7
11 U
U SW 2.1.7
2U SAI 2.1.1
Equipos utilizados:
- 1 Armario
- 1 SAI
- 2 bases múltiples de 8 enchufes eléctricos
- 7 Switch
- 7 patch panel
- 3 bandejas de cable espaciador de 3U de tamaño y 1 de 1U
25
2.2.7 HC 3.1
HC 3.1 HC 3.1
42 U 42 U
5U 5U
2U PP 3.1.1 2U PP 3.1.6
2U PP 3.1.2 2U PP 3.1.7
2U SW 3.1.1 2U SW 3.1.6
2U SW 3.1.2 2U SW 3.1.7
5U 5U
2U PP 3.1.3 2U PP 3.1.8
2U PP 3.1.4 2U PP 3.1.9
2U SW 3.1.3 2U SW 3.1.8
2U SW 3.1.4 2U SW 3.1.9
5U 5U
2U PP 3.1.5 2U PP 3.1.10
2U SW 3.1.5 2U SW 3.1.10
1U 1U
1U 1U
1U SAI 3.1.1 1U SAI 3.1.2
3U 3U
Equipos utilizados:
- 2 Armario
- 2 SAI
- 4 bases múltiples de 8 enchufes eléctricos
- 10 Switch
- 10 patch panel
- 6 bandejas de cable espaciador de 5U de tamaño
26
2.3 Sala de equipamiento (MC)
42 U 42 U 42 U
5U 5U 5U
2U PP 0.1.1 2U PP 0.1.6 2U PP 0.3.1
2U PP 0.1.2 2U PP 0.1.7 2U PP 0.3.2
2U SW 0.1.1 2U SW 0.1.6 2U SW 0.3.1
2U SW 0.1.2 2U SW 0.1.7 2U SW 0.3.2
5U 5U 5U
2U PP 0.1.3 2U PP 0.1.8 2U PP 0.3.3
2U PP 0.1.4 2U PP 0.1.9 2U PP 0.3.4
2U SW 0.1.3 2U SW 0.1.8 2U SW 0.3.3
2U SW 0.1.4 2U SW 0.1.9 2U SW 0.3.4
5U 5U 5U
2U PP 0.1.5 2U PP 0.1.10 1U
2U SW 0.1.5 2U SW 0.1.10 1U
1U 1U 1U SAI 0.3.1
1U 1U 3U
1U SAI 0.1.1 1U SAI 0.1.2
3U 3U
Los Switch utilizados en esta sala, son de otro tipo, específicamente el modelo
Cisco Catalyst 6500 16-Port 10 Gigabit Ethernet Copper Module, debido a que debe
cumplirse el requerimiento de 10 Gigabit para cada una de las 96 tomas especificadas
en el ejercicio, así como también todas las HC que necesitan 4 Switch de este tipo.
Ilustración 10: Switch Cisco Catalyst 6500 16-Port 10 Gigabit Ethernet Copper Module
Los patch panel también son distintos y en el lugar de los comunes para todos
los HC, en este se utilizan los especificados para fibra óptica: Bandeja F.O. 19" negra
27
fija sin placas con un precio de 31,50€ por unidad.14 Las especificaciones técnicas de
estos patch panel son las siguientes:
Equipos utilizados:
- 3 Armario
- 3 SAI
- 12 bases múltiples de 8 enchufes eléctricos
- 14 Switch
- 14 patch panel
- 9 bandejas de cable espaciador de 5U de tamaño
14
Pág. Online disponible en: http://cablecom.es/product_info.php?cPath=43_70&products_id=245
Consultada en Febrero de 2010
28
Luego tenemos el diseño del MC central:
MC
42 U
8U
1U
1U
8U
2U
1U
3U
- 1 Armario
- 1 SAI
- 1 bases múltiples de 8 enchufes eléctricos
- 1 Router
- 1 bandeja para teclado
- 1 monitor LCD
29
Capítulo 3
3.1.1 Diseño de la infraestructura tecnológica
192.168.20.2/24
192.168.30.1/24
192.168.30.0/24
MySQL
Producción
User: dba
192.168.40.10 192.168.30.2/24
/24 NFS
LDAP/DHCP
192.168.230.10
192.168.230.20
192.168.40.0/24 LAN WiFi
192.168.230.0/
16
Desde MySQL à
Tomcat 3306
ssh con Desktop 22 Desde Desktop ß
Puerto 22 a todos
MySQL Desktop
tcp, udp, dns 53 User: matao
192.168.230.30/16
BACKUP
192.168.100.0/24
Servidor de Backup
192.168.100.20
30
3.1.2 Leyenda de la infraestructura tecnológica
Leyenda
Infraestructura Tecnológica
Símbolo Total Descripción
1 Servidor Web
Servidor de
2
directorios
Servidor de
1 correo
electrónico
5 Ethernet
Servidor de
2
base de datos
6 Usuario
1 Enrutador.20
Vínculo de
4
comunicación
3 Nuevo iMac
1 Nube
3 Equipo portátil
3 Firewall
4 Datos
1 Servidor FTP
Punto de
1 acceso
inalámbrico
Servidor de
1
aplicaciones
1 Servidor proxy
Serv. de admin.
1
de contenido
Servidor de
1
archivos
31
3.1.3 Breve descripción del diseño y flujo de los datos
Firewall Externo:
Entre las políticas en dicha ACL vamos a limitar a esta red los siguientes
protocolos:
Firewall Intermedio:
32
Firewall Interno LAN:
Al igual que en los casos anteriores, las peticiones que se hagan al servidor de
bases de datos sólo se realizarán a través del servidor de aplicaciones Tomcat, por
tanto se habilitaran las políticas necesarias para tal fin, denegando cualquier otro
acceso o servicio.
Por otra parte para mantener una política de Backup segura y eficiente de la
base de datos de producción y la información importante en el resto de la
organización, habilitaremos las políticas de respaldo a través de peticiones que sólo
pueda realizar el servidos de base de datos de producción y un acceso administrativo a
través de SSH y con los permisos adecuados sólo para el usuario administrador de toda
la Red.
33
Capítulo 4
Sin embargo esta tecnología lleva aparejada una serie de riesgos que afectan
directamente a la confidencialidad, integridad y disponibilidad de los activos e
información empresarial.
34
Un visitante a la empresa podría conectarse a la red con su portátil, de forma
inadvertida o conscientemente, sirviendo como punto de entrada de virus,
gusanos y troyanos.
Existen multitud de formas de mitigar algunos de estos riesgos, tales como usar
cifrado WEP (Wired Equivalent Privacy), control de acceso por dirección física MAC,
uso de VPN (Virtual Private Networks) y el uso de soluciones propietarias no
soportadas por todos los fabricantes.
Además tiene problemas de diseño que hacen posible la obtención de las claves
de cifrado con el tiempo. Esto es debido a que el Vector de Inicialización (Initialization
Vector, IV) que se utiliza para generar la clave de cifrado de sesión junto con la Clave
Compartida (Pre-Shared Key, PSK), tiene un caracter periódico. De este modo, una vez
obtenida una cantidad suficiente de tráfico encriptado se hace trivial la
desencriptación de los paquetes.
35
Básicamente funciona en la capa de enlace (capa OSI 2) y fue desarrollado
originalmente para ser utilizado en PPP (Point to Point Protocol) aunque ahora es parte
opcional de IEEE 802.1 EAP-MD5 no soporta autenticación mutua entre cliente y punto
de acceso, no soporta rotación de claves de cifrado y sólo soporta autenticación por
contraseña, por lo que no es un candidato viable para la implementación de la
arquitectura requerida. PEAP y EAP-TLS ambos soportan autenticación mutua, claves
de cifrado dinámicas e implementan una tecnología de autenticación segura. Las
diferencias consisten en que PEAP sólo soporta contraseñas, y EAP-TLS sólo soporta
certificados (generando el requisito de implantación de PKI).
La solución:
36
Realiza cifrado de datos entre el cliente wireless y el punto de acceso (AP) y
permite el intercambio de claves con el cliente de forma segura para establecer
el cifrado de la sesión.
Como requisito de hardware, el AP debería soportar las características citadas
(validación contra RADIUS y cifrado de tráfico via WPA o WEP)
Servicio de Autenticación
Implementa el protocolo RADIUS
Recibe las solicitudes de autenticación de los clientes, reenviadas por los
puntos de acceso 802.11x
Consulta en el servicio de directorio LDAP las credenciales y certificados del
usuario, así como las políticas de acceso.
Directorio LDAP
Almacena de forma centralizada las cuentas de usuarios con sus características
y credenciales (certificados digitales, etc.)
Almacena políticas de control de acceso de forma centralizada.
Autoridad de Certificación
Parte fundamental del PKI (Public Key Infrastructure)
Emite los certificados digitales de los usuarios, cuya parte pública será
almacenada en el directorio LDAP y la parte privada en el equipo del usuario.
En esta solución se ha optado por los servicios provistos por Windows Server
2003 debido a las siguientes ventajas:
37
Ilustración 14. Esquema lógico de la solución WiFi
1. Previo al acceso, el usuario tiene que tener generado un certificado digital por la
Autoridad de Certificación (CA). Esta acción podrá ser realizada de forma más o menos
automática dependiendo del grado de integración del PKI con el directorio LDAP, y
también dependiendo del modelo de administración del control de acceso en la
organización. El sistema puede ser tipo autoservicio basado en intranet (en el que el
usuario solicita un certificado para determinado uso, y un administrador aprueba la
solicitud) o de tipo manual (el administrador genera el certificado manualmente,
almacena la parte pública del certificado en el directorio LDAP, e instala el certificado
con la clave privada en el equipo del usuario).
2. El cliente wireless solicita al punto de acceso permiso para establecer una conexión y
acceder a la red. Para ello le envía una solicitud firmada con su clave privada. El punto
de acceso está configurado para reenviar la solicitud al servicio RADIUS.
3. El servicio RADIUS, consulta al directorio LDAP para comprobar las credenciales del
usuario y su validez. Además también consulta al directorio LDAP las políticas de
acceso (horarios de conexión, requisitos de cifrado y autenticación, pertenencia del
usuario a ciertos grupos, etc.)
38
4. El servicio RADIUS determina si el usuario tiene acceso a la red y envía la
autorización al punto de acceso.
39
Otras consideraciones
Otros puntos que se tienen que tener en cuenta a la hora de implementar una
arquitectura segura para redes inalámbricas son los siguientes:
Las redes inalámbricas basadas en el estándar IEEE 802.11 son una tecnología
que aporta beneficios considerables en términos de flexibilidad, escalabilidad y
movilidad, pero que tiene un gran impacto en la infraestructura, operaciones y
Seguridad de la Información de las organizaciones.
40
4.1.2 Seguridad para la Red interna
Este equipo presenta varias ventajas ya que ofrece las siguientes funciones:
Antivirus Protection
Web Content Filtering
E-mail Filtering
Firewall
IPS
VPN
41
Con Fortigate 60, y su adecuada administración se puede estabilizar las
instalaciones de software en cada una de las estaciones de trabajo y mantener un
mayor control en el tráfico de Internet, logrando también el control de permisión y/o
denegación de servicios a través de los protocolos de comunicación, cosa que también
se puede hacer con los enrutadores propuestos.
42
En el modo Transparente, la unidad FortiGate es invisible a la red. Solo se debe
configurar una dirección IP administrada, que se pueda realizar cambios de
configuración. La dirección IP administrada también es usada para actualizar definición
de antivirus y ataques.
Para seleccionar una ruta para un paquete, la unidad FortiGate busca de una
tabla, la ruta que mejor coincida con la dirección destino del paquete. Si no se
encuentra coincidencia, la unidad FortiGate enruta el paquete utilizando la ruta por
defecto.
La política direcciona la acción del firewall sobre el paquete. Esta acción puede
ser la de permitir la conexión, denegar la conexión, requerir autenticación previa a la
conexión que es permitida, o también procesar el paquete como un IPSec VPN.
También se pueden añadir horarios a las políticas así el firewall puede procesar
conexiones diferentemente dependiendo de la hora del día, o del día de la semana,
mes o año.
Perfiles de protección
HTTP
FTP
IMAP
POP3
SMTP
43
La configuración de protection profile se incluye para Web Filtering, Web
Category Filtering, Spam Filtering y el Intrusion Prevention System.
Strict
Scan
Web
Unifiltered
Se usa este perfil para aplicar máxima protección del contenido a: HTTP, FTP,
IMAP, POP3 y el contenido del tráfico en SMTP. No se necesita usar el strict protection
profile bajo circunstancias normales, pero éste, está disponible cuando se tiene
problemas extremos con virus y cuando se requiere una máxima protección en la
exploración del contenido.
Usar este protection profile para aplicar antivirus examinando el contenido del
tráfico a: HTTP, FTP, IMAP, POP3 y SMTP. La Cuarentena (Quarantine) también está
seleccionada para todos los servicios de contenido.
44
4.1.3 Autentificación de usuarios
Usuario Local.
Usuarios almacenados sobre servidores RADIUS.
Usuarios almacenados en su directorio LDAP.
Para que sean efectivos, estos usuarios deben estar ubicados en grupos.
Solamente los grupos pueden ser utilizados para autenticación. El nombre de un grupo
debe ser elegido cuidadosamente para una fácil identificación de los usuarios y en
función del grupo. Múltiples grupos pueden ser creados.
Para una configuración general del IPS, se necesita seleccionar cuáles interfaces
deben ser monitoreadas para ataques basados en red. También se necesita decidir
donde habilitar la verificación del checksum26 que valida la integridad de los paquetes
recibidos y la interfaz monitoreada. Esta unidad trabaja independiente del firewall para
detectar y prevenir algunos ataques comunes.
45
Las firmas predefinidas de IPS y el motor IPS pueden ser actualizadas a través
del FortiResponse Distribution Network. Las listas de anomalías son actualizadas con
versiones del firmware. Se puede crear firmas personalizadas en diferentes entornos
de red.
46
Capítulo 5
raíz / 2GB
47
5.2. Ubuntu Security Notices
Referenced CVEs:
CVE-2009-2693, CVE-2009-2901, CVE-2009-2902
Description:
===========================================================
Ubuntu Security Notice USN-899-1 February 11, 2010
tomcat6 vulnerabilities
CVE-2009-2693, CVE-2009-2901, CVE-2009-2902
===========================================================
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10
Ubuntu 8.10:
libtomcat6-java 6.0.18-0ubuntu3.3
Ubuntu 9.04:
libtomcat6-java 6.0.18-0ubuntu6.2
Ubuntu 9.10:
libtomcat6-java 6.0.20-2ubuntu2.1
Details follow:
It was discovered that Tomcat did not correctly validate WAR filenames or
paths when deploying. A remote attacker could send a specially crafted WAR
file to be deployed and cause arbitrary files and directories to be
created, overwritten, or deleted.
48
USN-897-1: MySQL vulnerabilities
Referenced CVEs:
CVE-2008-4098, CVE-2008-4456, CVE-2008-7247, CVE-2009-2446, CVE-2009-4019, CVE-2009-4030, CVE-
2009-4484
Description:
===========================================================
Ubuntu Security Notice USN-897-1 February 10, 2010
mysql-dfsg-5.0, mysql-dfsg-5.1 vulnerabilities
CVE-2008-4098, CVE-2008-4456, CVE-2008-7247, CVE-2009-2446,
CVE-2009-4019, CVE-2009-4030, CVE-2009-4484
===========================================================
Ubuntu 8.10:
mysql-server-5.0 5.0.67-0ubuntu6.1
Ubuntu 9.04:
mysql-server-5.0 5.1.30really5.0.75-0ubuntu10.3
Ubuntu 9.10:
mysql-server-5.1 5.1.37-1ubuntu5.1
Details follow:
49
issue only affected Ubuntu 6.06 LTS, 8.04 LTS, 8.10 and 9.04.
(CVE-2008-4456)
It was discovered that MySQL contained multiple format string flaws when
logging database creation and deletion. An authenticated user could use
specially crafted database names to make MySQL crash, causing a denial of
service. This issue only affected Ubuntu 6.06 LTS, 8.04 LTS, 8.10 and 9.04.
(CVE-2009-2446)
It was discovered that MySQL incorrectly checked symlinks when using the
DATA DIRECTORY and INDEX DIRECTORY options. A local user could use symlinks
to create tables that pointed to tables known to be created at a later
time, bypassing access restrictions. (CVE-2009-4030)
Referenced CVEs:
CVE-2009-4355
Description:
===========================================================
Ubuntu Security Notice USN-884-1 January 14, 2010
openssl vulnerability
CVE-2009-4355
===========================================================
50
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10
Ubuntu 8.10:
libssl0.9.8 0.9.8g-10.1ubuntu2.6
Ubuntu 9.04:
libssl0.9.8 0.9.8g-15ubuntu3.4
Ubuntu 9.10:
libssl0.9.8 0.9.8g-16ubuntu3.1
Details follow:
It was discovered that OpenSSL did not correctly free unused memory in
certain situations. A remote attacker could trigger this flaw in services
that used SSL, causing the service to use all available system memory,
leading to a denial of service.
# passwd webmaster
ls -ld var/www
51
Agregamos un nuevo grupo de usuarios, con permisos sólo para esta carpeta
# groupadd var/www
52
Red
MySQL
53
Una vez en MySQL, creamos el usuario dba con pass: administrador el cual va a tener
todos los privilegios asignados:
mysql >create user dba identified by 'administrador';
Luego creamos un usuario para acceso desde desktop, con privilegios limitados sobre
la bdd “educasl” de la siguiente manera:
mysql> create user ‘usuario’@’192.168.230.30’ identified by ‘usuario’;
mysql> grant select, insert, update, delete, drop, alter, create on educasl to
usuario@192.168.230.30;
54
Apache
Instalamos Apache:
# apt-get install apache2
55
Tomcat
Instalación:
@ apt-get install tomcat6
56
Indicamos la configuración de los “workers”
57
Cambiamos la configuración de Tomcat en /etc/tomcat6/server.xml:
OpenSSL
58
Bajo la sección VirtualHost, bajo la línea DocumentRoot:
SSLEngine on
SSLCertificateFile /etc/ssl/server.crt
SSLCACertificateFile /etc/apache2/ssl/ca.crt
ssl-cert=/etc/mysql/server-cert.pem
ssl-key=/etc/mysql/server-key.pem
SSH
Para dar acceso a los usuarios que deseemos mediante SSH, editaremos el fichero
ssh_config, ubicado en /etc/ssh/ssh.config.
# nano /etc/ssh/ssh_config
59
Captura de pantalla 10. Fichero de configuración SSH
Tal y como podemos ver en la “Captura de Pantalla 2”, fue agregado el equipo
(desktop) con dirección ip: 192.168.230.30 para poder aceptarlo por SSH, denegamos
el acceso en modo root y agregamos el usuario que va a realizar la conexión. Para cada
caso en particular de agregar más usuarios o cambiar de dirección ip como ha sido el
caso de esta práctica, hay que modificar este fichero.
60
Conclusiones
61