Dise o de red CCDA para el sistema y todo lo que hay que hacer PDF

Preview

Summary

Profesor Patrice GarroDiseño de Redes CCDA, Sección 002DDiseño RedClínica Los OlmosFranco BrevisBastian MartinezMorryson CorreaBastián Martínez Morryson CorreaBastián MartínezBastián Martínez Morryson Correa Introducción Índice Medida Medida Medida Medida Glosario HSRP VPN (Virtual Private Network) ...

Description

Profesor Patrice Garro Diseño de Redes CCDA, Sección 002D

Diseño Red Clínica Los Olmos

Franco Brevis Bastian Martinez Morryson Correa

Franco Brevis Bastián Martínez Morryson Correa

Índice Introducción

5

Medida 1

7

Medida 2

7

Medida 3

7

Medida 4

8

Glosario

9

HSRP

9

VPN (Virtual Private Network)

9

IPsec (abreviatura de Internet Protocol security)

9

VPN Site-to-site

9

GLBP

10

AnyConnect

10

Balanceo de Carga

10

Firewall

11

Zonas de seguridad

11

SSH

12

NAT

12

Granjas de servidores

12

Etherchannel

12

Cross-Stack

13

Detalles puntos de red

14

DetaSheet de equipos Nuevos

15

Diseño de la red WAN

19

Ancho de banda

20

Tecnología MPLS

21

Velocidad de transferencia

22

Disponibilidad de servicio

22

Direccionamiento

24

DHCP

24

DHCP Snooping

24

Servidor de DHCPv6 con estado

25

Tabla de direccionamiento

25

Enrutamiento

27 1

Franco Brevis Bastián Martínez Morryson Correa

Switch Virtual Interface (SVI):

27

OSPF

28

Area 0

28

Area 1, Area 2 y Area 3

28

Area 4, Area 5 y Area 6

28

EL DR.

28

ABR y ASBR

29

BGP

29

¿Cómo Funciona el BGP?

29

iBGP y eBGP

30

Telefonía IP

30

¿Qué es la telefonía IP?

30

Las ventajas de la telefonía IP

31

Reducción de costos

31

Más aplicaciones y posibilidades

31

Portabilidad

31

Modelo de teléfono IP

32

Requerimientos y equipamiento

34

Sistema Operativo

34

Lista de Anexos

34

Sistema de teleconferencia

36

Wireless Network

37

CSMA / CA

37

CSMA / CD

37

Site Survey

38

Servidor Radius

39

Puesta en funcionamiento de un servidor Radius

39

Wi-Fi 802.11

39

Modos de funcionamiento Portal cautivo (Hotspot) El portal cautivo y su importancia

39 40 40

Monitor y controlador Wireless

41

Cantidad de AP

42

Planos de ubicaciones de AP

43 2

Franco Brevis Bastián Martínez Morryson Correa

Sistemas de Gestión la Seguridad de la Información

48

Ejes de seguridad informática

48

ISO 27001

48

ISO 9001

48

Malwarebytes Healthcare

49

Malware

49

Ransomware

49

Ataques de botnets

49

Negligencias de los empleados

49

Ataques a dispositivos

49

Exploits

50

Políticas de seguridad de la información usuarios

51

Plan de contingencia

52

Seguridad Lógica

52

Políticas de seguridad de la información Data Center

53

Seguridad Física

53

Seguridad física en equipos Seguridad Lógica Ciclo de Software

53 53 54

Desarrollo

54

Pruebas

54

Producción

54

3

Franco Brevis Bastián Martínez Morryson Correa

Ilustraciones Ilustración 1: Modelo actual de la red.....................................................................................4 Ilustración 2: Modelo de tres capas CISCO............................................................................5 Ilustración 3: Zonas de seguridad en una red.........................................................................6 Ilustración 4: Propuesta para caso 2......................................................................................7 Ilustración 5: Implementación de GLBP.................................................................................9 Ilustración 6: Detalles de zonas de seguridad......................................................................10 Ilustración 7: Implementación de EtherChannel Cross-Stack...............................................12 Ilustración 8: Topología Caso 3............................................................................................17 Ilustración 9: Nodo Actual hacía internet..............................................................................18 Ilustración 10: Tecnología MPLS a implementar...................................................................20 Ilustración 11: Topología a grandes rasgos..........................................................................22 Ilustración 12: Asignación automática IP..............................................................................23 Ilustración 13: Seguridad de puerto......................................................................................23 Ilustración 14: Asignación IPv6.............................................................................................24 Ilustración 15: Configuración sobre SVI...............................................................................26 Ilustración 16: Router designado OSPF...............................................................................27 Ilustración 17: iBGP y eBGP.................................................................................................29 Ilustración 18: Teléfono IP gama alta....................................................................................31 Ilustración 19: Teléfono IP media gama................................................................................32 Ilustración 20: Teléfono IP gama baja...................................................................................32 Ilustración 21: SO a implementar para comunicaciones.......................................................33 Ilustración 22: Sistema de teleconferencias.........................................................................35

4

Franco Brevis Bastián Martínez Morryson Correa

Introducción Se deberán realizar análisis respecto a la calidad de servicio de la red de la clínica Los Olmos, la cual cuenta con 15 edificios más cinco clínicas remotas pequeñas. Se propondrán mejoras respecto de las configuraciones además del equipamiento de acuerdo a los requerimientos de la clínica, de ser necesario, si la clínica lo requiere se realizarán reuniones para validar las configuraciones propuestas, además se generará un informe de red cuyo formato y contenido deberá ser validado por la clínica que contenga propuestas de cambios, las justificaciones para cada caso y los resultados de las reuniones. Se han considerado una serie de medidas a implementar para mejorar la actual infraestructura de la red. A continuación, estarán identificadas y explicadas para una clara comprensión de las mejoras a implementar, para solucionar una serie de peticiones por parte de Clínica Los Olmos. Existe una moda a nivel nacional y de empresas a no tener cuidados con la red, considerándola como un simple camino de tuberías, a pensar que todo lo que se debe tener en cuenta es el tamaño de los tubos o las velocidades y la alimentación de las conexiones, con lo cual al resto no se le da la menor importancia.

Ilustración 1: Modelo actual de la red

5

Franco Brevis Bastián Martínez Morryson Correa

El primer paso es organizar la actual red de Clínica los Olmos a un modelo de capas que es estándar definido por Cisco, este desglose del diseño en capas permite a cada una implementar funciones específicas, lo que simplifica el diseño de red y, por lo tanto, la implementación y administración de la red. Un diseño de red LAN jerárquico incluye las siguientes tres capas: • Capa de acceso: ofrece a los terminales y usuarios acceso directo a la red. • Capa de distribución: une las capas de acceso y ofrece conectividad a los servicios. • Capa central: ofrece conectividad entre las capas de distribución para entornos de LAN grandes.

Ilustración 2: Modelo de tres capas CISCO

Por ende este modelo de infraestructura se considera fundamental para facilitar la escalabilidad de Clínica Los Olmos.

NOTA: A continuación se redactarán cada una de las soluciones a las problemáticas planteadas.

6

Franco Brevis Bastián Martínez Morryson Correa

Medida 1 Requerimiento: El personal necesita acceso a Internet para la compra de suministros y la revisión de documentos de investigación y nuevos productos médicos. Implementación: Un enlace de internet a un proveedor de servicios no es suficiente, por ende, un segundo proveedor será contratado y se mantendrá una segunda línea de respaldo, en caso de que falle la primera, la segunda ocupará su lugar. Esto se puede conseguir implementando HSRP, que trabaja de la manera señalada anteriormente.

Medida 2 Requerimiento: Ha habido una cierta discusión acerca de permitir a los empleados trabajar a distancia. Implementación: La configuración de un túnel VPN será crucial para solucionar de buena manera éste problema, porque una VPN permite a cualquier usuario desde cualquier lugar (incluyendo las oficinas remotas), conectarse a la red de Clínica Los Olmos. Ésto facilitará observar documentos, radiografías, etc. implementando Cisco AnyConnect en el pc del usuario.

Medida 3 Requerimiento: “Clínica Los Olmos” tiene un servidor web para una comunicación del paciente y el servicio de relaciones comunitarias denominadas “Texto en una enfermera.”; Esto para la tarifa de servicio permite a un paciente para enviar un mensaje de texto al hospital, solicitar asistencia médica.

Implementación: Lo redactado en el documento anterior sobre la reubicación de la Granja de servidores al séptimo piso de la TORRE_P1 es solo una parte de la restructuración, ya que también se debe acondicionar según estándares de Data Center. Pero para brindar una seguridad al acceso al sitio web, se definirán tres zonas, INSIDE, OUTSIDE y DMZ, según estándar de Cisco. Ésta distribución aplicará un nivel de seguridad para la plataforma de servidores, al personal que trabaja dentro de la organización y finalmente al usuario. Cada zona será definida en el firewall ubicado en el Edge Enterprise. Ilustración 3: Zonas de seguridad en una red

7

Franco Brevis Bastián Martínez Morryson Correa

Medida 4 Las siguientes infraestructuras o servicios de red serán aplicaciones inmediatas al diseño de red: Servicio de Seguridad: Los servicios de seguridad serán una parte fundamental del inicio de nuestra nueva topología, ya que la anterior carecía totalmente de ésta, por ende los datos y casos de los pacientes estaban expuestos a posibles ataques informáticos. Gestión de la red: Para la gestión correcta de la red se levantara el protocolo SSH en todos los equipos cisco (Switch layer 3, Switch series 5500, Router ISP, Router Enterprise y Firewall). Esto facilitará las labores de gestión en toda la red de Campus y Remota. Alta disponibilidad: La redundancia, la disposición permanente de la red y sus enlaces asegura una alta tolerancia a fallos, es por ello que se utilizarán los protocolos HSRP y GLBP de capa 3 para la red.

Ilustración 4: Propuesta para caso 2

8

Franco Brevis Bastián Martínez Morryson Correa

Glosario

HSRP Cisco proporciona una forma donde las estaciones de trabajo IP admiten sólo un router predeterminado para mantener la comunicación en la internetwork incluso si su router predeterminado no está disponible, HSRP funciona creando un router virtual que tiene sus propias direcciones IP y MAC. Las estaciones de trabajo utilizan esta dirección IP virtual como su puerta de enlace predeterminada.

VPN (Virtual Private Network) Es una tecnología de red de computadoras que permite una extensión segura de la red de área local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada.1 Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.

IPsec (abreviatura de Internet Protocol security) Es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado, este brinda ventajas como confidencialidad, integridad de los datos y autenticación.

VPN Site-to-site Este esquema se utiliza para conectar oficinas remotas con la sede central de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha.

9

Franco Brevis Bastián Martínez Morryson Correa

GLBP El tráfico de datos es protegido de un router o circuito fallido, al igual que HSRP, al mismo tiempo, permite el intercambio de carga de paquetes entre un grupo de routers redundantes.

Ilustración 5: Implementación de GLBP

AnyConnect El cliente de Cisco AnyConnect Secure Mobility para Windows proporciona acceso remoto seguro y sin problemas a la red universitaria. AnyConnect permite que cualquier aplicación instalada pueda comunicarse, tal y como si se encontrara conectado directamente a la red.

Balanceo de Carga La mayoría de los protocolos de enrutamiento IP pueden utilizar cargas a través de enlaces paralelos que tienen el mismo costo, para soportar el equilibrio de carga, se debe mantener el ancho de banda consistente para que todos los caminos tengan el mismo costo.

10

Franco Brevis Bastián Martínez Morryson Correa

Firewall Un cortafuego (firewall) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar o descifrar el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

Zonas de seguridad En seguridad informática, una zona desmilitarizada (conocida también como DMZ, sigla en inglés de demilitarized zone) o red perimetral es una zona insegura que se ubica entre la red INSIDE de una organización y una red OUTSIDE, generalmente en Internet. La zona de seguridad DMZ tendrá un nivel de seguridad que se encuentra entre el INSIDE y el OUTSIDE. Esto significa que: ● ● ● ● ● ●

Se permite el tráfico desde el INSIDE hacia el OUTSIDE. Se permite el tráfico desde el INSIDE a DMZ. Se permite el tráfico de DMZ a OUTSIDE. Se niega el tráfico de DMZ al INSIDE. Se niega el tráfico de OUTSIDE a DMZ. Se niega el tráfico de OUTSIDE al INSIDE.

Ilustración 6: Detalles de zonas de seguridad

11

Franco Brevis Bastián Martínez Morryson Correa

SSH SSH™ (o Secure SHell) es un protocolo que facilita las comunicaciones seguras entre dos sistemas usando una arquitectura cliente/servidor y que permite a los usuarios conectarse a un host remotamente. A diferencia de otros protocolos de comunicación remota tales como FTP o Telnet, SSH encripta la sesión de conexión, haciendo imposible que alguien pueda obtener contraseñas no encriptadas.

NAT NAT (del inglés Network Address Translation), es un mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes que asignan mutuamente direcciones ip incompatibles. Consiste en convertir, en tiempo real, las direcciones ip utilizadas en los paquetes transportados. También es necesario editar los paquetes para permitir la operación de protocolos que incluyen información de direcciones ip dentro de la conversación del protocolo.

Granjas de servidores Servidores de correo, servidor de archivo y base de datos. El acceso es rápido, fiable y controlado.

Etherchannel Permite la agrupación lógica de varios enlaces físicos Ethernet, esta agrupación es tratada como un único enlace y permite sumar la velocidad nominal de cada puerto físico Ethernet usado y así obtener un enlace troncal de alta velocidad.

12

Franco Brevis Bastián Martínez Morryson Correa

Cross-Stack EtherChannel Cross-stack. A veces puede crear un EtherChannel a través de dos switches. Por ejemplo, cuando se stackean 2 o más switches, estos mismos se convierten en una sola entidad lógica y cada switch físico actúa como un centro de proceso.

Ilustración 7: Implementación de EtherChannel Cross-Stack

13

Franco Brevis Bastián Martínez Morryson Correa

NOTA: A continuación, se redactarán una serie de detalles acerca del proyecto.

Detalles puntos de red

La cantidad de puertos de cada switch que se requiere para la capa de acceso, distribución y núcleo es la que se presenta en la tabla. Más abajo se encuentran organizadas las vlan y a continuación los correspondientes “data sheet” de cada producto cisco: Locación

Cantidad de Pisos Puerto x piso

Puertos de Total de Puertos reserva SW x piso Aproximadamente puntos (40%)

Edificio T1

75

6

450

180

630

2,19

3

Server Farm

70

1

70

28

98

2,04

3

Edificio T2

75

7

525

210

735

2,19

3

Pediatría

60

3

180

72

252

1,75

2

E Pequeño (4) 10

1

10

4

14

0,29

1

E Pequeño (6) 20

2

40

16

56

0,58

1

E Pequeño (2) 40

1

40

16

56

1,17

2

Total de puntos

1841

VLAN

N°

99 Administración – Nativa 10 Pacientes 20 Pacientes Wi-Fi 100 Emergencia 110 Consultorios 120 Información y Recepción 130 Laboratorios 140 Farmacia 150 Trabajo Social 160 Rayos X 170 Mamografía 180 Ecografía 190 Densitometría 200 Estación de enfermería 210 Comedor 240 Centro de pago

14

Franco Brevis Bastián Martínez Mo...