Grupo de apoyo a la preparacin de la XXII

convocatoria de oposiciones al Cuerpo Superior de

Sistemas y Tecnologas de la Informacin de la
Administracin del Estado

DISEO DE RED.

El objetivo de este documento es proporcionar pautas generales para la realizacin

de los diseos de red del sistema que a menudo suelen requerir en el cuarto
examen.

El diseo de red es un esquema topolgico, en el sentido en el que se muestran los

elementos de la red que se interconectan: Servidores, equipos de usuario
relevantes, redes y subredes de inters y elementos de comunicaciones (firewalls,
routers, switches, etc.).

Su inters en el ejercicio viene sobre todo por organizacin para el administrador de

la red y para el responsable de seguridad. De hecho, el Esquema Nacional de
Seguridad establece que, segn la categora del sistema, se deben configurar de
determinada manera alguno de los dispositivos de comunicaciones en la red
perimetral. Por ejemplo, si el sistema es de categora ALTA, adems de contar con
firewalls redundados, en la DMZ deben contarse con firewalls externos e internos de
distinto fabricante.

Tambin la Norma Tcnica de Interoperabilidad de Requisitos de Interconexin

(a la red SARA) establece unos criterios topolgicos en el esquema de red. A
destacar el concepto de PAS o Proveedor de Acceso a la red SARA y el AC o el
Esquema de rea de Conexin. En el archivo adjunto Red.png se describe este
esquema que define la norma.

Los esquemas de red constan de smbolos que es preciso conocer. Aunque

algunos dependen del fabricante de equipamiento de red, suelen coincidir en un alto
porcentaje. Para este ejercicio basta con conocer los ms habituales y manejarlos
con cierta soltura.

Tambin, sobre todo a la hora de la defensa, es preciso manejar con soltura

conceptos habituales de redes tales como DMZ, Nube, VLAN, WLAN, etc. Aunque
su conocimiento terico se da por descontado tras aprobar el primer examen, su
aplicacin prctica se puede prestar a veces a confusiones.

A continuacin se presentan los smbolos y los conceptos tericos de redes

aplicados a la prctica.

1
 Grupo de apoyo a la preparacin de la XXII
convocatoria de oposiciones al Cuerpo Superior de
Sistemas y Tecnologas de la Informacin de la
Administracin del Estado

Smbolos en el diseo de redes

SMBOLO SIGNIFICADO
Red WAN. Normalmente se usa para
Internet, pero no necesariamente. Si es as,
se debe escribir el nombre de la red WAN
dentro de la nube
Dispositivos (denominados hosts en
administracin de redes) que se conectan
directamente a un segmento de red y tienen
asignada al menos una direccin de red (IP
normalmente). Pueden ser desde un
servidor hasta una simple impresora de red.
Conectores capas 1 a 3 modelo OSI
Los ms utilizados en los exmenes son los
switches y routers, sobre todo estos ltimos
ya que se trata de dar un esbozo de la
topologa sin ahondar en detalles. Cuando el
dispositivo sea inalmbrico se colocan las
dos antenitas encima. Para un punto de
acceso inalmbrico se usa un tringulo
radiante (ver ltimo smbolo)
Cortafuegos o Firewall.
Opera normalmente a nivel 3 del modelo
OSI, analizando y permitiendo o denegando
el trfico entre una red WAN y la interna
LAN. En el examen se recomienda dibujar
por pares redundados, ya que es lo ms
habitual
IDS/IPS
Dispositivos que analizan el trfico de red de
forma inteligente y pueden detectar y
prevenir ataques. El ENS establece cundo
se deben usar de forma obligatoria. Se
suelen colocar entre subredes sensibles y
delante de los cortafuegos externos o
conjuntamente con ellos. Un ejemplo
especial de IDS es la sonda SAT del CCN.
Redes, subredes
Se simbolizan mediante lneas cuando sean
redes cableadas normales, mediante rayos
cuando sean conexiones WAN y mediante
crculos unidos cuando sean conexiones por
medio inalmbrico

2
 Grupo de apoyo a la preparacin de la XXII
convocatoria de oposiciones al Cuerpo Superior de
Sistemas y Tecnologas de la Informacin de la
Administracin del Estado

Resumen Prctico de conceptos de Redes

Estas definiciones que se dan son a nivel prctico, para el dibujo del esquema,
conteniendo consejos.

DMZ

Conjunto de subredes contenido entre dos cortafuegos

Se situarn normalmente los servicios que se ofrecen al exterior (servidores web,
servicios de extranet, FTP, correo OWA, etc.)
Se deben proteger mediante IDS/IPS

VLANES
Segmentacin de una red por tipos de trfico y equipos que van a contener,
como la red o VLAN de servidores, la VLAN de backup, de base de datos, la
SAN de almacenamiento, etc.
Algunas son tpicas, pero hay que usarlo de forma pertinente al ejercicio, no
de forma indiscriminada.

Las VLANES pueden ser a nivel 3 (definiendo subredes IP en el router) o a nivel 2

(usando switches y protocolo 802.11q).

VPN
Las VPN se suelen usar para el acceso a servicios sensibles por parte de
empleados o proveedores colaboradores.
Normalmente se suelen securizar mediante el uso de un servidor Radius, si
bien lo ms habitual es que los usuarios que acceden estn dados de alta en

3
 Grupo de apoyo a la preparacin de la XXII
convocatoria de oposiciones al Cuerpo Superior de
Sistemas y Tecnologas de la Informacin de la
Administracin del Estado

el directorio activo del organismo y presenten credenciales y/o tokens para su

acceso.
El acceso seguro se suele realizar usando SSL, de ah que se hable de
VPN_SSL.
La diferencia entre el acceso por VPN_SSL y una extranet con acceso
mediante https es que la VPN no se publica desde internet, mientras que el
acceso https s, por lo que, de usarse el acceso https la medidas de seguridad
frente a intrusiones deben ser altas.
El servidor de VPN estar localizado en la DMZ

INTERCONEXIONES

Las interconexiones con la red SARA en los ministerios se suele hacer

mediante el uso de un router dedicado con salida desde la DMZ del
organismo.
Las interconexiones con internet tendrn un router dedicado y se aconseja el
uso de un servidor proxy para gestionar los servicios de los clientes.