Sie sind auf Seite 1von 20

INFORME TECNICO

IMPLEMENTACION ROUTING-SWITCHING
WIRELESS Y SEGURIDAD POLICE SECURITY

ENERO 2011

JAPAN COMPUTER

TABLA DE CONTENIDO
I.

RESUMEN EJECUTIVO ........................................................................................ 3

II.

DISEO DE RED IMPLEMENTADO: ...................................................................... 3


2.1.

SEGMENTACION DE RED - CREACION DE VLANS ............................................... 3

III. WIRELESS .......................................................................................................... 4


3.1.
3.2.
IV.
4.1.
4.2.

WIRNET (RED CORPORATIVA) ................................................................................. 4


PSS-INVITADOS .................................................................................................. 6
SWITCHING .................................................................................................... 8
SWITCH CORE: ................................................................................................... 8
SWITCHES DE BORDE: ...................................................................................... 10

V. CONFIGURACIN DEL ROUTER CISCO 2921 ...................................................... 12


VI.
6.1.

FIREWALL ASA 5510: .................................................................................... 14


VPN SSL: ........................................................................................................... 16

VII.

DIRECCIONAMIENTO IP Y CREDENCIALES ...................................................... 18

VIII.

CONCLUSIONES ............................................................................................ 18

IX. RECOMENDACIONES........................................................................................ 19
ANEXO 1................................................................................................................. 20
TOPOLOGIA POLICE SECURITY ................................................................................... 20

Informe Tcnico

Pgina 2 de 20

I. Resumen Ejecutivo
La implementacin de la Solucin integral en POLICE SECURITY ha considerado los siguientes
puntos:

Enrutamiento ms rpido, Esto se realiza ahora a velocidad de hardware.

Se ha liberado de carga de enrutamiento al Firewall

Sistema bsico de accesos y permisos; mediante listas de acceso aplicadas en el Switch


de Core.

Creacin centralizada de VLANs mediante el protocolo VTP donde las VLAN se crean
solo en el Switch de Core y se replican en todos los dems Switches del dominio VTP.

Segmentacin de la red para disminuir las tormentas de Broadcast.

Libertad para creacin/modificacin de Vlan as como asignacin de puertos


asociados.

Facilidad en el montaje de red inalmbrica sobre la red conmutada ya preestablecida y


modular.

Creacin de polticas de seguridad bsicas (mediante ACL en layer 3) para tratamiento


adecuado de las distintas VLANs: servers, management, guest, etc.

II. Diseo de Red implementado:


2.1. SEGMENTACION DE RED - CREACION DE VLANs
TABLA N 1: VLAN CREADAS EN EL SWITCH DE CORE
ID
Nombre
Direccin de Red
8
Access Point
10.250.8.0
9
Administracin
10.250.9.0
10
Cmaras
10.250.10.0
20
Data
10.250.20.0
30
Gerentes
10.250.30.0
40
Sistemas
10.250.40.0
50
Servidores
10.250.50.0
60
Monitores
10.250.60.0
Wireless70
10.250.70.0
Corporativo
80
Wireless-Invitados
192.168.0.0
90
Voz
192.168.2.0
100
DMZ
110
Storage
10.250.110.0

Informe Tcnico

Mascara de Red Puerta de Enlace


255.255.255.0
10.250.8.1
255.255.255.0
10.250.9.1
255.255.255.0
10.250.10.1
255.255.255.0
10.250.20.1
255.255.255.0
10.250.30.1
255.255.255.0
10.250.40.1
255.255.255.0
10.250.50.1
255.255.255.0
10.250.60.1
255.255.255.0

10.250.70.1

255.255.255.0
255.255.255.0

192.168.0.1
192.168.2.1

255.255.255.0

10.250.110.1

Pgina 3 de 20

III. Wireless
Los AP registrados y habilitados son 3. Estos se encuentran debidamente identificados de
acuerdo a la ubicacin fsica.

Las dos redes habilitadas son las siguientes:

3.1. WIRNET (Red corporativa)


Esta red no se ha publicado, se encuentra oculta, por lo tanto cada usuario debe
configurarlo manualmente en su PC de la siguiente manera:
Paso 1: Clic en abrir Centro de redes y recursos compartidos

Informe Tcnico

Pgina 4 de 20

Paso 2: Clic en Administrar redes inalmbricas

Paso 3: Clic en Agregar

Paso 4: Clic en Crear un perfil de red manualmente

Informe Tcnico

Pgina 5 de 20

Paso 5: Se procede a ingresar los datos como e muestra en el grafico y luego clic en siguiente

3.2. PSS-INVITADOS
Esta red s est publicada, por lo tanto es detectada por cualquier usuario. En el Switch
CORE se han aplicado polticas de seguridad (Access List) para que desde esta red no
puedan acceder a las VLANS corporativas.

Ambas redes tienen habilitados los siguientes parmetros de seguridad, es en el campo PSK
format en donde se cambia la contrasea.

Las contraseas actuales para cada red son las siguientes:


-

WIRNET
PSS-Invitados

Informe Tcnico

w1rn3t@190!&
P0l1S3c1245

Pgina 6 de 20

Solo a la red PSS-Invitados se le aplico seguridad en capa 3 para redirigir al usuario a la pgina
web corporativa: www.pss.com.pe despus de haber ingresado el password correcto.

Tambin se habilit la funcionalidad de H-REAP la cual permite que el Access Point emita seal
inalmbrica sin ningn tipo de interrupcin hacia el cliente aun no estando activo el Wireless
LAN Controller, de esta manera el AP trabajara como un equipo autnomo durante el tiempo
que se restablece la comunicacin entre el WLC y el AP.

Informe Tcnico

Pgina 7 de 20

IV. Switching
4.1. SWITCH CORE:
Las VLANS creadas son las siguientes:

Por medio del protocolo VTP son redistribuidas a los dems Switches, para ello el CORE
trabaja en modo server y los otros Switches en modo client.

Se crearon Pool Dhcp para los mbitos admin, DTA, gerentes, storage e Invitados, de esta
forma los usuarios (PC, laptops, etc.) obtendrn una direccin IP de forma automtica el cual
ser otorgado por el Switch core ya que ste actuar como servidor DHCP.

Informe Tcnico

Pgina 8 de 20

Para optimizar la seguridad de acceso a la red por parte de los Invitados, se crearon listas de
acceso las cuales deniegan el acceso de cualquier dispositivo desde la red Invitados hacia la red
corporativa, sin embargo, permite el acceso a Internet.

El orden de puertos segn vlans es:


Del puerto 1 al 6 Vlan servidores
Del puerto 7 al 13 Vlan Storage
Puerto 14 y 15 DMZ
Del puerto 16 -19 Vlan Voz
Del puerto 20 24 Vlan administrativa (9)

Relacin de equipos Cisco conectados al CORE:


Router CISCO2921: conectado al puerto Gig 1/0/20
SW2960s-48P-1: conectado al puerto Gig 1/0/21
SW2960s-48P-2: Conectado al puerto Gig 1/0/22
WLC: Conectado al puerto
Gig 1/0/23

Ya que el CORE enrutar entre Vlans tiene un direccionamiento por cada segmento:

Informe Tcnico

Pgina 9 de 20

4.2. SWITCHES DE BORDE:


Por medio de VTP las Vlans han sido replicadas desde el switch CORE a los switches de acceso,
es por ello que en ambos switches 2960 se puede observar:

Con respecto a la configuracion en cada puerto:


Se aplic calidad de servicio para la transmision de VoIP, la funcionalidad portfast para que el
puerto no demore mucho tiempo en activarse cuando se conecta un dispositivo a la red y para
permitir la transmision de data y voz en cada pero que a la vez se encuentren en VLANS
separadas se definio voice vlan.

Para el acceso remoto se activo:


Via web por medio de http (puerto 80) o https (puerto 443)

Informe Tcnico

Pgina 10 de 20

Via linea de comandos por medio de SSH v2

Acceso web al core:

Acceso web SW2960 1

Acceso web SW2960 2

Informe Tcnico

Pgina 11 de 20

V. Configuracin del Router Cisco 2921


El Router cuenta dos salidas hacia internet el primero y principal por Americatel y el enlace de
Backup por Telefnica.
El Router realiza un testeo hacia la IP publica en caso no encuentre una respuesta por ms de
10 segundos automticamente conmuta hacia el enlace de Telefonica.

El track y el IP sla nos permiten realizar la conmutacin de rutas

Declaramos dos rutas hacia internet un principal a travs del ASA y una ruta flotante por
Telefonica.

Las redes que va Natear el Router hacia internet por el enlace de Telefnica:

Informe Tcnico

Pgina 12 de 20

Listas de Acceso configuradas la lista 101 esta aplicada a interface ADSL el cual deniega todo
tipo de trfico generado desde internet hacia la red interna.

Interface del Router:

Informe Tcnico

Pgina 13 de 20

Inspecciones que realiza Router de los distintos protocolos:

VI. Firewall ASA 5510:


El ASA tiene configurado el siguiente direccionamiento de red.

Object Group sirve para agrupar las distintas VLAN en un grupo llamado NAT-POLICE

Informe Tcnico

Pgina 14 de 20

ACL aplicadas a las interface del ASA:

NAT para la salida a internet y NAT Exempt para el trfico hacia la VPN.

VPN configurado con el local Remoto y VPN Remote Access con el cliente VPN:

Informe Tcnico

Pgina 15 de 20

Verificamos la conexin de la VPN:

6.1. VPN SSL:


El asa tiene configurado VPN SSL para el acceso a la red interna a travs de una conexin
segura.

Nos autenticamos con el usuario y password creado en el ASA e ingresamos.

Informe Tcnico

Pgina 16 de 20

En este entorno podemos descargar el cliente VPN para tener un acceso completo a la red o
podemos ingresar por RDP o a ciertos archivos mediante el ASA.
Descargamos el cliente VPN:

Informe Tcnico

Pgina 17 de 20

Nos autenticamos con las credenciales correctas e ingresamos:

VII. Direccionamiento IP Y Credenciales


TABLA N 2: DIRECCIONAMIENTO IP Y CREDENCIALES
Dispositivo

Nombre

Direccin IP

User

Password

va de acceso

Switch CORE

SW_CORE

10.250.9.1

admin

admin

SSH/web

Switch 2960

SW2960s-48P-1

10.250.9.11

admin

admin

SSH/web

Switch 2960
Wireless LAN
Controller
Router

SW2960s-48P-2

10.250.9.12

admin

admin

SSH/web

WLC Police security

10.250.9.3

CISCO2921

10.250.9.254

cisco

Cisco123!

SSH

ASA-5505

192.168.101.2

cisco

Cisco123!

Web, HTTPS://

ASA-5505

190.187.75.246

cisco

Cisco123!

Web, HTTPS://

ASA
ASA (SEDE
REMOTA)

WLCADMIN wlcadmin

Web, HTTPS://

VIII. Conclusiones
La segmentacin - VLANS y direccionamiento de red, fue coordinado con el cliente.
Asimismo los puertos fueron asignados segn funcionalidades.
El enrutamiento entre VLANS es realizado por el Switch CORE, de esta forma se optimizar
la comunicacin entre redes (distinto direccionamiento). El Switch CORE, tiene la capacidad
de realizar dicha funcin en base a hardware especializado con el que cuenta.
Solo en los casos de acceso a la WAN o la VPN, se realiza la consulta al Router 2921 el cual
reenviar las peticiones al ASA.
El aseguramiento de la informacin se da por medio de protocolos, estndares y
tecnologas de encriptacin, autenticacin y control de acceso los cuales son aplicados a
nivel perimetral por medio del firewall (Cisco ASA (stateful firewall), VPN IPSec, VPN SSL,
Bootnet Filter, etc.)
La seguridad con respecto al acceso inalmbrico, se basa en estndares tales como
WPA/WPA2 - AES/TKIP y seguridad en capa 3 con autenticacin y redireccin web, Todo
esto en conjuncin con la segmentacin de red y listas de acceso aplicadas en los Switches.
Informe Tcnico

Pgina 18 de 20

El acceso a los equipos para gestin esta designado solo para SSH y HTTPS, cumpliendo
estndares de seguridad de gestin.
La funcionalidad JUMBO FRAME (usada para redes de almacenamiento) solo est
habilitada en el Switch CORE, si se requiere usar puntos de otros Switches debe ser
solicitado.
Considerar que la funcionalidad bootnet esta licenciada para 3 aos, considerar su
renovacin en esa fecha.
Con respecto al acceso por VPN de usuario remoto va SSL el cliente cuenta con una licencia
para 10 conexin simultneas hacia el ASA.
El servicio DHCP se encuentra centralizado, ya que todos los mbitos han sido creados en el
Switch CORE.
Polticas de QoS (calidad de servicio) han sido aplicadas en todos los Switches, con el fin de
priorizar trfico de voz, de esta forma prevenir latencia, retardo y perdidas de paquetes, los
cuales afectaran una fluida comunicacin telefnica.
Considerar que el Wireless LAN Controller soporta solo hasta 6 Access Point.

IX. Recomendaciones
Actualmente se cuenta con un Switch core 3750, el cual se optimizara con un RPS
(Redundant Power System) lo que permitira el flujo continuo de energa elctrica ya que
contara con redundancia de fuentes de poder.
En el aspecto de escalabilidad y sin duda crecimiento corporativo ha de ser necesario un
segundo equipo CORE 3750 para la conectividad de servidores y enlaces hacia otros
Switches ya que actualmente la gran mayora de los puertos de este equipo estn siendo
usados, el aspecto positivo de adquirir un segundo CORE es la capacidad de STACK, es decir,
dos Switches fsicos actuaran como uno solo, existiendo entre ellos un enlace de hasta 64
Gbps.
Si una necesidad futura corporativa es el requerimiento de visualizar el campo de cobertura
inalmbrico (Wi-Fi) plasmado en el plano del local corporativo, conjuntamente con la
movilizacin de los usuarios conectados a la red en tiempo real y la deteccin de Access
Point no corporativos, entonces se ha de requerir un Wireless Control System, el primero
un software que puede ser instalado en cualquier server Windows o Linux.
El Wireless Lan Controller si se desea requerir soporte para ms cantidad de Access Point
deber ser actualizado en hardware y software.
Para reforzar la seguridad hacia internet se recomienda la implementacin de un IPS
(sistema de prevencin de intrusiones) el cual es un mdulo que podra adicionarse al
Firewall existente.

Informe Tcnico

Pgina 19 de 20

ANEXO 1
TOPOLOGIA POLICE SECURITY

INTERNET

ASA 5505
190.187.75.246

RXD

TXD
1

INTERNET

OK

RXD

TXD

COMPUTERS

Cisco 800 SERIES

VPN SITE-TO-SITE

ASA 5510
190.187.82.106
CISCO ASA 5520

Catalyst 2960 Series


1x

POWER

10.250.90.1

STATUS

ACTIVE

VPN

2x

3x

4x

5x

6x

7x

8x

CONSOLE

VPN SSL/Remote
Access

SERIES

Adaptive Security Appliance

FLASH

192.168.101.2

DMZ

ROUTER 2921
192.168.101.1

SW-CORE
1
SYST
RPS
MASTR
STAT
DUPLX
SPEED
STACK
MODE

10

190.40.26.68
Cisco 2800 Series

11 12

13 14

15 16

17 18

19 20

21 22

10.250.9.1

Catalyst 3750 SERIES

23 24

1X

11X

13X

23X

2X

12X

14X

24X

SYS

AUX/

SYS

PWR

PWR

AIM0

CF

COMPACT FLASH

1
0

CONSOLE

AUX

DO NOT REMOVE DURING NETWORK OPERATION

OPTIONAL RPS INPUT

100-240V ~ 3A
50/60Hz

2
___
12V - - - 18A

10.250.9.254

SW-2960
1

10

11

1X

9X

11X

2X

10X

12X

12

13

14

15

16

17

18

19

Catalyst 2960 SERIES

20

Cisco 4400 Series

19X

WIRELESS LAN CONTROLLER

SYST
RPS
MASTR
STAT
DUPLX
SPEED

21

22

23

24

ACT

LINK

SERVICE

ACT

LINK

20X

MODE

STATUS

PS1

ALARM

PS2

CONSOLE

LINK
ACT
UTILITY

MODEL 4402 50 AP

WLC Police 10.250.9.3

SW-2960
1

10

11

1X

9X

11X

2X

10X

12X

12

13

14

15

16

17

18

19

Catalyst 2960 SERIES

20

19X

SYST
RPS
MASTR
STAT
DUPLX
SPEED

21

22

23

24

20X

MODE

ETHERNET
SERIAL

ETHERNET
SERIAL

Informe Tcnico

Pgina 20 de 20