El producto que se debe desarrollar: Desarrollar una propuesta para el mejoramiento de la transmisin de datos para una empresa que

maneja 5 sedes en la ciudad, que utiliza diferentes medios de transmisin tanto guiados como no guiados, que adems contrata con un ISP local los servicios de Internet y canal dedicado para la comunicacin con algunos municipios del departamento (tres a distancias de 82 Km., 90 Km. y 35 Km.), pero que ante todo quiere tener certeza de que los datos y la informacin estn llegando correctamente, tanto a nivel de funcionalidad, seguridad, codificacin y tcnico en general. Sede Principal Nuestra empresa tiene una sede matriz o sede principal que se encuentra toda la parte de sistemas y servidores, validaciones y el personal del manejo de la red y perifricos, en este sitio tenemos todos los servicios de ISP e instalacin de equipos para conectar las dems sedes, a travs de esta se pueden conectar por ejemplo las sede 2 con la sede 5. Servidor de correo. Servidor de firewall o cortafuego. Servidor de DHCP si tiene direcciones dinmicas. Servidor de intranet Servidor de Internet Servidor de voz si maneja voz sobre IP. Servidor de usuarios y archivos. Servidores de aplicaciones de la empresa (los que se requieran). Importante para los administradores del sistema aquellos servicios que no sean imprescindibles en una red se deben deshabilitar. Adems, todos aquellos privilegios que no sean indispensables para que los usuarios ejerzan con comodidad su trabajo deben ser suprimidos. Todo esto ser resume con la ley de los mnimos privilegios: ningn usuario ni ordenador debe poder hacer ms de lo necesario. Veamos unos ejemplos: El servidor de correo de la empresa no tiene porqu tener habilitados los servicios de pginas Web, FTP e impresin si no estn siendo utilizados. El servidor de usuarios de la empresa no tiene porqu tener habilitados los servicios de pginas Web y mensajera si no son indispensables. Los usuarios del departamento de diseo grfico no tienen porqu tener acceso a los archivos del departamento de contabilidad.

 Los puestos de trabajo no deben tener programas que no sean indispensables para la empresa. Por ejemplo: clientes de IRC, programas de descarga de MP3, programas de mensajera, etc. Los usuarios no tienen porqu poder compartir carpetas en sus ordenadores locales si existe un espacio en un servidor preparado para el intercambio de datos. Desde el punto de vista de la seguridad, la red ms segura sera aquella que no dejara hacer nada (ni trabajar, siquiera) y la red ms insegura aquella que lo permitiera todo (entrar desde el exterior a usuarios annimos, por ejemplo). Por supuesto, debemos buscar un compromiso entre seguridad y nmero de servicios / privilegios requeridos para trabajar con comodidad. Sede 1 se encuentra a una distancia de la principal de 90 Km, esta es una sede que necesita comunicacin permanente con la sede principal, no hay lnea de vista con la sede principal, pero hay un buen proveedor de Internet en la zona, una de las maneras ms econmicas y fiables para el sistema es conectar esta sede con la principal por medio de una red VPN utilizando el Internet que tenemos, para la solucin de voz se puede utilizar el proveedor de servicios que tenemos en la zona o instalar una solucin voz IP sobre la misma red VPN, en esta sede 1 tenemos que tener unos buenos servidores que se validen los usuarios, hay que tener en cuenta que hay que tener un rango de direcciones IP diferentes a las de las otras sedes, se le dan los permisos de acceso de acuerdo a las requerimientos de cada usuario, para salir a Internet los usuarios no necesitan de usar el servidor de Internet de la sede principal. Para utilizar el servidor de correo de la empresa, tambin se hace atravs de la red VPN El servidor que tenemos en esta sede 1 va a estar entre lazado con un servidor en la sede principal. Las redes privadas virtuales (VPN) deben su creciente popularidad al hecho que las empresas, han buscado la forma de utilizar una red pblica, ampliamente extendida y de bajo costo cmo Internet para aumentar la movilidad, mejorar la productividad de los empleados y contribuir al desarrollo. En este caso creamos una red VPN donde los usuarios de una sede se loguean en un servidor y este le da acceso a los usuarios conectados en la red para acceder a todas las aplicaciones que tiene esta empresa en su sede principal, hay que tener en cuenta el nivel de seguridad a implementar ya que si no es bastante seguro puede haber un hueco para los hackers, ver nivel se seguridad ms adelante, o travs de esta red VPN se le pueda dar el privilegio a algunos usuarios tener acceso desde cualquier parte del mundo utilizando su computadora porttil, hogarea o de oficina y el Internet pblico.

Sede 2 se encuentra a una distancia de la principal de 82 Km, esta es una sede que necesita comunicacin permanente con la sede principal, tenemos lnea de vista y actualmente no hay un proveedor ISP en la zona, tenemos la manera y los recursos de conectarlo de 2 formas satelitalmente o va radio frecuencia, las desventajas de lo satelital es la demora en la transmisin de datos y los costos de utilizacin de este canal, en cambio va radio frecuencia es un poco ms econmico y la velocidad de transmisin es ms rpido por este medio podemos trasmitir voz, datos e imgenes, tenemos que tener nuestro servidores para que validen los usuarios. Si nos definimos para instalar la comunicacin va radio frecuencia, esto empieza con un estudio, para ver la necesidades del cliente y determinar el ancho de banda a instalar, verificar los posibles problemas por la distancia como que tipo de antenas vamos a instalar y en qu frecuencia vamos a utilizar para nuestra transmisin, para determinar que equipos vamos a instalar, despus de tener este estudio nos da como resultado unos diseos y un presupuesto. Sede 3 se encuentra a una distancia de 35 metros, necesitamos un buen ancho de banda con la principal porque con esta sede necesitamos transmitir bastante informacin y de una de las soluciones es contratar con el proveedor ISP, instalar comunicacin va radio o instalar fibra ptica, despus de los estudios y diseos el departamento tcnico de la empresa que la manera ms fiable es instalar fibra ptica por la calidad y la velocidad que nos ofrece en el canal, sin importar los costos. Para este tipo de comunicacin es muy sencilla, porque es como si extendiramos la red, solo se instalara en los Switch o router, los transceivers que convierte la seal digital en ptica. Por este canal enviaramos todo tipo de comunicacin con la sede principal, como datos, voz y video, se crearan unas VLAN para administrar mejor la red y se les crearan su propio rango de direcciones IP, es este sitio no es necesario tener servidores porque se utilizaran los de sede principal, de acuerdo a las necesidades se veran en la necesidad de utilizar uno o dos pares de fibra ptica para la comunicacin si dejar de tener fibra de respaldo, o se podra utilizar un par de fibra para que maneje la parte de datos, Internet y dems aplicaciones y otro par para que maneje la parte de voz. En el dibujo principal se puede observar la conexin tpica. Sede 4 se encuentra a una distancia de 10 kilmetros desde la cede principal, esta sede es muy pequea pero necesitamos transferir datos en permanencia con nuestra sede principal se puede utilizar un red inalmbrica Wifi que tiene un alcance hasta 15 Kilmetros el servicio de voz lo tenemos con nuestra empresa de ISP, como esta sede el manejo de la transmisin de datos es poco no es necesario de tener servidores porque todo utilizaran lo de la red de la sede principal.

Sede 5 se encuentra a una distancia de nuestra sede principal de 80 metros la manera ms econmica y fiable para la conexin de esta sede es instalando con cable UTP, no es necesario de un servidor porque es como si esta cede estuviera dentro de nuestra red privada, tambin se puede conectar mediante cable coaxial para tal fin. Utilizara mediante medios guiados todos los servicios y se le asignara un rango de direcciones IP y creacin de VLAN para esta sede.

Configuracin De Seguridad Para Las Sedes Vamos a revisar algunos puntos que debemos tener en cuenta a la hora de disear la seguridad para nuestra red. Las contraseas escogidas en la red deben ser contraseas seguras. No solamente las contraseas de los servidores sino tambin la de los usuarios que inician sesin en sus puestos de trabajo. Las contraseas deben tener ms de 5 o 6 caracteres. Cuanto ms larga sea la contrasea, ms complicado ser romperla, se deben renovar peridicamente por si alguna hubiese podido ser descubierta. Adems, se deben utilizar contraseas distintas para cada servicio de la red. Por ejemplo, sera una temeridad utilizar la misma contrasea para el correo electrnico que para la cuenta de administrador de un servidor. Por qu? Sencillamente porque una contrasea de correo no viaja encriptada por la red y podra ser descubierta fcilmente. La utilizacin de Switches es preferible a la utilizacin de HUBS. Recordemos que un HUB difunde la informacin que recibe desde un puerto por todos los dems. La consecuencia de esto es que todas las estaciones conectadas a un mismo HUB reciben las mismas informaciones. Si en uno de estos puestos se sita un usuario malicioso (o bien, ese puesto est controlado remotamente mediante un troyano u otro tipo de acceso remoto) es posible que trate de instalar una herramienta conocida como sniffer para analizar todo el trfico de la red y as, obtener contraseas de otros usuarios. Los Sniffer utilizados correctamente pueden mostrar informacin muy til para el administrador de una red. Pero en manos de usuarios maliciosos y en redes mal diseadas supone un elevado riesgo de seguridad. Un sniffer instalado en un puesto de trabajo carece de utilidad si en la red se utilizan Switches para aislar los puestos. En cambio, un sniffer instalado en un servidor (de correo o de usuarios, por ejemplo) puede revelar datos altamente confidenciales. Es muy importante, por tanto, restringir el acceso de usuarios a los servidores as como mantenerlos protegidos con las ltimas actualizaciones de seguridad. Es preferible que las zonas pblica y privada de nuestra red utilicen cableado distinto. As evitaremos que un servidor de la zona pblica comprometido pueda escuchar trfico de la zona privada. Veamos dos ejemplos:

 Configuracin incorrecta. El servidor Proxy que separa las zonas pblica y privada utiliza una sola tarjeta de red. Tanto los servidores pblicos como los puestos de trabajo internos comparten el mismo cableado, es decir, se pueden conectar indistintamente a cualquier puerto libre de cualquier HUB de la red. Y, lo que es ms grave, cualquier usuario podra auto asignarse una IP pblica y comprometer toda la seguridad de la red. Configuracin correcta. El servidor Proxy utiliza dos tarjetas de red. Una tarjeta de red se conecta al HUB de la zona pblica y la otra, al HUB de la zona privada. La nica va fsica posible de pasar de una zona a otra es mediante el servidor Proxy. Si un usuario trata de asignarse una IP pblica a su puesto de trabajo quedar aislado de todos los dems. Los servidores, en la zona pblica en la zona privada? Estamos de acuerdo en que los servidores tienen que tener direcciones IP pblicas para que sean accesibles desde todo Internet. Sin embargo, no suele ser recomendable asignar directamente las IP pblicas a los servidores. En su lugar se les puede asignar direcciones privadas e implantar un sistema de traslacin de direcciones pblicas-privadas. De esta forma se consigue que todo el trfico pblico de la red se filtre por un router o/y cortafuegos antes de llegar a los servidores. Por ejemplo: el servidor Web de la empresa puede tener la direccin 194.142.15.8 de cara a los visitantes pero la direccin 192.168.0.3 en su configuracin. Un servidor previo (cortafuegos) tendr la direccin 194.142.15.8 configurada y redirigir las peticiones al puerto 80 de esta IP al servidor 192.168.0.3. Esta traslacin de direcciones la pueden realizar routers correctamente programados o bien, mquinas Linux, las cuales se desenvuelven muy eficazmente en estas tareas. Qu ocurre si alguien intenta acceder a un puerto distinto al 80 de la IP 194.142.15.8? Sencillamente que los cortafuegos rechazar la conexin sin molestar al servidor Web que ni siquiera advertir este intento de conexin. Los servidores pblicos protegidos bajo este esquema pueden dedicarse nicamente a sus tareas, sin malgastar recursos en la defensa de ataques. Los cortafuegos o firewall se sitan justamente en la salida a Internet de la red. Disponen de un panel de control que permite cerrar aquellos puertos que no se van a utilizar y as solventar descuidos de configuracin de servidores internos. Pongamos un ejemplo: tenemos un servidor Web NT con el puerto 139 abierto (NetBIOS) pero en el cortafuego cerramos el puerto 139. Entonces, ningn usuario externo a la red podr abrir una conexin al puerto 139 del servidor Web puesto que el cortafuego la rechazar. Por ltimo, debemos recordar que el servidor de archivos debe estar correctamente configurado de forma que cada usuario pueda ver nicamente sus archivos pero no los de los dems usuarios. En el caso de redes grandes puede resultar interesante la divisin de departamentos en subredes (con cableado separado adems) con el fin de crear unidades de administracin independientes.

De esta forma los usuarios de un departamento sern completamente independientes de los de otros departamentos. En este esquema se utiliza un servidor de archivos para cada subred y un router con tantas tarjetas de red como departamentos para interconectarlos. Todo lo anterior son ideas que nos pueden guiar durante el diseo de una red segura. Cada caso hay que estudiarlo por separado evaluando los factores coste, nivel de seguridad requerido, comodidad de los usuarios y facilidad de administracin.