Está en la página 1de 66

Escuela de Informática y Telecomunicaciones

Examen transversal
diseño de red (CCDA)
DDR7501.

“Diseño y mejora de infraestructura de red para la empresa DDR.SA”

Alumnos: Joséé AÁ vila; Raué l Cardoza; Solangé Charpéntiér.; Jorgé Rojas.


COMPAÑÑ ÍÁA: DDR S.A | JEFE DE PROYECTO: JORGE ROJAS.
PROFESOR: GUÍLLERMO MUÑÑ OZ.
ASÍGÑATURA: DÍSEÑÑ O DE REDES (CCDA-DDR7501)
SECCÍOÁ Ñ: 001D
FECHA: 4 - JULÍO - 2019
Escuela de Informática y Telecomunicaciones

INDICE

Índice........……………………………………………………………………….….……2

Introducción……………………………………………………………….……….……3

Desarrollo……………………………………………………………………………..…4-59

Acrónimos…………………………………………………………………………….…60-64

Conclusión……………………………………………………….........................65

Bibliografía………………………………………………………………………………66

1
Escuela de Informática y Telecomunicaciones

Introducción

Este proyecto contempla la mejora de una infraestructura de red no


completamente eficaz. Implementaremos lo que será necesario para dar
soluciones y mejoras en la red para que sea eficiente y sobre todo segura para
clientes y trabajadores entre las sucursales de Santiago y Valparaíso.

Se llevarán a cabo unas normas vigentes de dicha instalación en la cual


contamos con una serie de materiales para desarrollar el proyecto donde
implementaremos soluciones para suplir las necesidades tanto en ámbitos de
redes, disponibilidad, telefonía IP y seguridad de esta red.

Se realizará una instalación con equipos acorde a los requerimientos de la


empresa, también se contará con una cotización previa de materiales e
implementos para desarrollar el trabajo en cuestión.

2
Escuela de Informática y Telecomunicaciones

DESARROLLO

Requerimientos del Diseño de Red:

Sucursal Valparaíso:
- Tendidos horizontales: utilizarán un cableado del tipo UTP CAT6.
- Tendidos horizontales: utilizan fibra óptica multimodo.
- Direccionamiento a través de VLSM.
- Cableado físico: seguirá la norma TIA/EIA-568-A.
- Utilizar micro segmentación mediante switchs.

- Segmentación por medio de VLAN, las VLAN serán las siguientes:


- VLAN 100 para el Área de Recepción, ubicado en el primer piso se podrá
utilizar para conectar cualquier equipo nuevo.
- VLAN 200 para el Área de Ventas, ubicado en el segundo piso.
- VLAN 300 para el Área de Desarrollo, ubicado en el tercer piso.

- La conexión en el segundo piso en la VLAN de ventas se deberá realizar


mediante tecnología inalámbrica con las siguientes características:
- Standard 802.11g de 54Mbps.
- Compatible con 802.11bgn.
- Formar un BSS usando cifrado WEP 128 bit.
- El SSID oculto.
- Solo permitir equipos con direcciones MAC previamente registradas 3.
- La conexión WAN single-homed es una conexión ADSL 40 Mbps.
- La telefonía utiliza tecnología RDS mediante central Meridian, se
encuentra detrás de recepción con dos números telefónicos.
- Oficina pequeña, ubicada en el cuarto piso se encuentran servidores
para uso de storage y página web que acceden hacia dicho sitio
www.ddr.cl.

3
Escuela de Informática y Telecomunicaciones

Sucursal Santiago:

Tendidos horizontales: utilizarán un cableado del tipo UTP CAT6.

Tendidos verticales: utilizan fibra óptica multimodo.

- Direccionamiento a través de VLSM.


- Cableado físico seguirá la norma TIA/EIA-568-A.
- Utilizar micro segmentación mediante switchs.

Segmentación por medio de VLAN, las VLAN serán las siguientes:

- VLAN10 para el Área de Visitas, ubicada en el primer piso.


- VLAN20 para el Área de Recepción, ubicado en el primer piso.
- VLAN30 para el Área de Administración, ubicado en el segundo piso.
- VLAN40 para el Área de Gerencia, ubicado en el segundo piso.
- VLAN50 para el Área de Ingeniería, ubicado en el tercer piso.
- VLAN60 para el Área de Soporte, ubicado en el tercer piso.
- VLAN70 para el Área de Servidores, ubicado en el cuarto piso.
- VLAN80 para el Área de Voz ubicada desde el primer al cuarto piso.

- La conexión WAN single-homed es una conexión ADSL 40 Mbps.


- La telefonía utiliza tecnología RDS mediante central Meridian, se
encuentra detrás de recepción con dos números telefónicos.
- Oficina pequeña, ubicada en el cuarto piso se encuentran servidores
para uso de storage y página web que accede hacia dicho sitio
www.ddr.cl.
- En los Switchs debe existir un VTP server y los demás deben ser clientes.
- Aplicar Seguridad y asignación de respectivas VLANS en las interfaces de
equipos finales. Topología conmutada redundante.
- Habilitar en los Switchs protocolo EtherChannel.

4
Escuela de Informática y Telecomunicaciones
La conexión en el primer piso en la VLAN de visitas se deberá realizar
mediante tecnología inalámbrica con las siguientes características:

- Standard 802.11g de 54Mbps.


- Compatible con 802.11bgn.
- Formar un BSS usando cifrado WPA con cifrado TKIP.
- El SSID visible.
- Solo permitir equipos con direcciones MAC previamente registradas 3.

El direccionamiento IP de la red LAN:

- Distribución de rango de direcciones por medio de VLSM.


- Asignación de IP en forma Dinámica para toda la red, excepto para los equipos
de comunicación y para los servidores.
- El servicio DHCP deberá asignar de forma automática; dirección IP, máscara de
subred. -Puerta de enlace DNS.
- Para cada pool de DHCP de cada VLAN se deberá excluir las primeras 3 IP
asignables.

El direccionamiento IP hacia internet:

- Utilizar dos pools de 5 direcciones IP públicas alquiladas a los ISP.


- Se deben realizar traducciones estáticas (NAT) para la VLAN 70 de servidores y
VLAN 80 de telefonía.
- Se deben realizar traducciones de sobrecarga PAT para el resto de VLANS de la
empresa.
- La conversión NAT y PAT será realizada en el router ISP1 e ISP2.
- Redundancia a nivel de capa 3 configurando el protocolo HSRP.

5
Escuela de Informática y Telecomunicaciones
Topologías previas a la implementación y mejoras

6
Escuela de Informática y Telecomunicaciones

Análisis del estado de red

Realizamos un análisis de seguridad para comprobar el estado actual de los


puertos de red que utilizan los routers y switch cisco, encontramos varias
deficiencias, como la falta de seguridad de puerto en los switch, no había
encapsulación de VLAN y no había STP ni etherchannel para hacer redundancia
de puerto. Además de contar con 1 solo ISP la sucursal de Valparaíso.

Fortalezas:
Valparaíso: Fast-ethernet, ether-channel, uso de WLAN.
Santiago: Implementación de VLAN para segmentar uso de WLAN.
Uso de 2 ISP por si un enlace se pierde.
Debilidades:
Valparaíso: Solo un ISP, computadores y servidores en la misma VLAN.
Santiago: Cambiar red inalámbrica por cableado estructurado y segmentar
VLAN por pisos.

7
Escuela de Informática y Telecomunicaciones

Mejoras Recomendadas
(Sucursal Valparaíso) UTP CAT.6, Cambios de switch, port-security,
Implementación de U.T.M(Unified Threat Management que contempla:
Balanceo de carga, NAT, Anti-Spam, VPN, IDS, IPS, VPN, Mac-Filter y Firewall),
UPS, QoS. Contratar otro ISP para tener redundancia.
(Sucursal Santiago) UTP CAT.6, Implementación de un U.T.M, BACKUP SWITCH,
UPS, Implementar etherchannel, QoS, Mejorar la seguridad Wireless,
Implementar port-security en los switch, Filtrado MAC, implementar un
W.A.F(Web Aplication Firewall).

Mejoras en ambas sucursales


● Mejoramos lo que es el ancho de banda de los ISP a 100 Mbps y 200
Mbps ya que los antiguos planes eran de 40 Mbps y eso hacía que se
produjeran errores de conexión, además al aumentar el ancho de banda
se aumenta la disponibilidad de la red.
● Incorporamos un U.T.M Fortinet para lograr mayor seguridad al ingreso
de nuestra red, el U.T.M contempla un balanceador de carga para
optimizar la red y posee 2 entradas WAN para aumentar la redundancia
en caso de una perdida de algún enlace.
● Configuramos etherchannel para agrupar varios enlaces en un solo
troncal para lograr una mejor conexión y escalabilidad. Cada una VLAN
segmentadas por piso y cada switch configurados seguridad de puertos
Con el objetivo de incrementar la seguridad. También instalamos U.P.S
para tener electricidad ininterrumpida en caso de problemas eléctricos y
para evitar posibles daños a los equipos.

8
Escuela de Informática y Telecomunicaciones
Mejoras en ambas sucursales

Cambiamos el cableado estructurado a Cat6 (ya que presentaba Cat5.) ya que


tiene mayor tasa de datos, mejor aislación y mayor distancia máxima a la
máxima velocidad de transferencia.

9
Escuela de Informática y Telecomunicaciones
Carta Gant

10
Escuela de Informática y Telecomunicaciones
Conectividad inalámbrica.

Implementamos AP Cisco más modernos compatibles


con estándares 802.11a, 802.11n, 802.11ac (5Ghz) ya que solamente
tenia
compatibilidad con estándar 802.11g. (2.4Ghz)

Como se observa en el siguiente grafico las ventajas del 5ghz es que


tiene menor interferencia y mayor ancho de banda.

11
Escuela de Informática y Telecomunicaciones
Cotización de dispositivos e insumos

En la topología actual, encontramos varias deficiencias que nos permiten


averiguar por qué tiene problemas con sus conexiones de red. Por lo cual,
como grupo, tuvimos que rediseñar las redes actuales que se encuentran tanto
en Valparaíso como en Santiago.

Valparaíso: Router inalámbrico.


Cableado cat 6 y otros.
Servidor HP server proliant ML110 G9 8GB 2TB P/N 840668-001
X3.
TELÉFONOS cp 8800.
1 ups por piso (4 piso).
3 rack de pared por piso.
Piso 4 >(RACK).
1 UTM Fortinet con 2 entradas wan.

Santiago: 7 teléfonos cp 88000.


5 impresoras.
1 UTM frontera (2 conexiones wan).
2 servidores.
Router inalámbrico.
Cableado cat 6 y otros.
1 ups por piso (4 piso).
Piso 4 rack.
3 Rack de pared por piso.

12
Escuela de Informática y Telecomunicaciones
General: 8 Zapatillas eléctricas.

- Compramos servidores de bastidor (RACK) para ahorrar espacio en el


piso.
- Compramos rack de 10 u por si hay escalabilidad en la empresa y se
ahorra costo en caso de que esta crezca.
- No agregamos canaletas ya que estaban previamente instaladas en las 2
sucursales

Valparaíso
1x Access Point Cisco WAP561-A-KA
CL$192.864 + IVA

https://www.ipexpress.cl/pyme/product_info.php/access-point-cisco-wap561-k9-p-692?
osCsid=hlkk26r2ohfbf2b3b4vggnjlu5
4x Switch Cisco SF200-48P

CLP$530.208 + IVA
https://www.ipexpress.cl/pyme/product_info.php/switch-cisco-sf200-48p-p-86?
osCsid=hlkk26r2ohfbf2b3b4vggnjlu5

1X UTM FORTINET FORTIGATE 200E HW+ LICENCIA UTM FORTICARE 1 AÑO

13
Escuela de Informática y Telecomunicaciones
CLP:3.735.000 IVA Incluido

http://www.fortinet-chile.cl/tienda/otros/firewall-fortinet-fortigate-200e-hw-lic-utm-bdl-8x5-
forticare-1-year/?currency=CLP

3X HP - DL20 GEN9 3GHZ E3-1220 V6 290W BASTIDOR (1U) SERVIDOR


CLP:708.477 IVA Incluido

https://www.wei.cl/producto/5AF3354A7F

4X APC UPS 1500VA Power-Saving Back Pro


CLP:252.590 IVA Incluido

https://www.pcfactory.cl/producto/1227-ups-1500va-power-saving-back-pro-br1500gi-

14
Escuela de Informática y Telecomunicaciones
Gabinete (RACK) Mural 12U 19” 60x60cm Armable Serie WB
CLP: 77.000 IVA Incluido

https://www.comdiel.cl/gabinete-mural-12u-19-60x60cm-armable-serie-wb-3180.html

4x Zapatilla Eléctrica 19" con 12 Módulos Dominó, Switch y Protección


CLP: 22.800 IVA Incluido

https://www.comdiel.cl/zapatilla-electrica-con-12-modulos-domino-switch-y-proteccion.html

15
Escuela de Informática y Telecomunicaciones
1x Crimpeadora Rj45 Metálica
CLP: 5.290 IVA Incluido

https://www.pcfactory.cl/producto/1568-crimpeadora-rj45-metalica

1x CERTIFICADORA TCB 300 CLP: 714.000 IVA


Incluido

https://www.avantec.cl/index.php?pid=25&cod=CABLE%20PROWLER#

1x Rollo Cable UTP Cat6 - 305 mts


CLP: 76.790 IVA Incluido

16
Escuela de Informática y Telecomunicaciones

https://www.pcfactory.cl/producto/20109-rollo-cable-utp-cat6-305mts

1x Conector RJ45 Cat6 100 Unids.


CLP: 6.656 IVA Incluido

https://www.bip.cl/conector-rj45-cat6-100-unids_11048

1x Cisco CP-8811-K9
CLP: 252.000 IVA Incluido

17
Escuela de Informática y Telecomunicaciones

https://www.ipexpress.cl/pyme/product_info.php/cisco-cp-8811-k9-spare-p-2407

Santiago:

1x Cisco CP-8811-K9
CLP: 252.000 IVA Incluido

https://www.ipexpress.cl/pyme/product_info.php/cisco-cp-8811-k9-spare-p-2407

4X APC UPS 1500VA Power-Saving Back Pro

18
Escuela de Informática y Telecomunicaciones
CLP:252.590 IVA Incluido

https://www.pcfactory.cl/producto/1227-ups-1500va-power-saving-back-pro-br1500gi-

2 X HP - DL20 GEN9 3GHZ E3-1220 V6 290W BASTIDOR (1U) SERVIDOR


CLP:708.477 IVA Incluido

https://www.wei.cl/producto/5AF3354A7F

X3 Gabinete (RACK) Mural 12U 19” 60x60cm Armable Serie WB


CLP: 77.000 IVA Incluido

19
Escuela de Informática y Telecomunicaciones

https://www.comdiel.cl/gabinete-mural-12u-19-60x60cm-armable-serie-wb-3180.html

4x Zapatilla Eléctrica 19" con 12 Módulos Dominó, Switch y Protección


CLP: 22.800 IVA Incluido

https://www.comdiel.cl/zapatilla-electrica-con-12-modulos-domino-switch-y-proteccion.html

1X UTM FORTINET FORTIGATE 200E HW+ LICENCIA UTM FORTICARE 1 AÑO


CLP:3.735.000 IVA Incluido

http://www.fortinet-chile.cl/tienda/otros/firewall-fortinet-fortigate-200e-hw-lic-utm-bdl-8x5-
forticare-1-year/?currency=CLP

1x Access Point Cisco WAP561-A-KA


CL$192.864 + IVA

20
Escuela de Informática y Telecomunicaciones

https://www.ipexpress.cl/pyme/product_info.php/access-point-cisco-wap561-k9-p-692?
osCsid=hlkk26r2ohfbf2b3b4vggnjlu5
4x Switch Cisco SF200-48P
CLP$530.208 + IVA

https://www.ipexpress.cl/pyme/product_info.php/switch-cisco-sf200-48p-p-86?
osCsid=hlkk26r2ohfbf2b3b4vggnjlu5

1x Rollo Cable UTP Cat6 - 305 mts


CLP: 76.790 IVA Incluido

21
Escuela de Informática y Telecomunicaciones

https://www.pcfactory.cl/producto/20109-rollo-cable-utp-cat6-305mts

Cotización WAN y PSTN

22
Escuela de Informática y Telecomunicaciones
Cotización enlace primario:

Precio $ 125.000 (+15 líneas)


https://www.entel.cl/empresas/plataforma-virtual/

Cotización de enlace secundario:

Enlace de fibra óptica de 200mb con un umbral de 1024Gb


Precio $22.000
https://ww2.movistar.cl/empresas/productos-y-servicios/internet-fijo/internet-empresas/

Evaluación de Conectividad WAN

23
Escuela de Informática y Telecomunicaciones
Como especificamos en el estado de análisis de la red, la empresa tenía un
problema ya que solo contaba con 1 enlace WAN, lo cual era riesgoso ya que si
se cae ese enlace la empresa quedaba paralizada y eso generar pérdidas.

Redundancia ISP

*La ventaja de tener 2 proveedores de servicios de internet principalmente es


para tener redundancia.
*Esto actúa cuando un ISP principal cae y cambia a un ISP de respaldo para no
perder conectividad.
*Además la redundancia de ISP nos beneficia como balance de carga.

Topologías con implementación actualizada

24
Escuela de Informática y Telecomunicaciones

25
Escuela de Informática y Telecomunicaciones

- En el diseño de la red añadimos un UTM Fortigate (ofrece una gran


protección integrada y de alto rendimiento contra las dinámicas amenazas
de seguridad) que cuenta con redundancia por si se cae un enlace de un ISP,
además con su respectiva PSTN previamente cotizada.

26
Escuela de Informática y Telecomunicaciones

Direccionamiento IP (VLANS SANTIAGO)

VLANs Nombre

10 (10 host) Visita

20 (8 host) Recepción

30 (10 host) Administración

40 (10 host) Gerencia

50 (20 host) Ingeniería

60 (14 host) Soporte

70 (10 host) Servidores

80 (50 host) Voz

Mapa VLANS implementadas Santiago

27
Escuela de Informática y Telecomunicaciones

Direccionamiento IP (VLANS Valparaíso)

28
Escuela de Informática y Telecomunicaciones
A VLAN ventas le agregamos más host por si contratan más personal, pero a la
VLAN de desarrollo la dejamos igual para que haya más seguridad entorno a
seguridad de la información. Agregamos la VLAN 400 para el piso 4 para que
esté mejor segmentada la red.

VLANs Nombre

100 (10 host) Recepción

200 (25 host) Ventas

300 (30 host) Desarrollo

400 (15 Host) Servidores

VLANS Valparaíso.

29
Escuela de Informática y Telecomunicaciones

PortChannel = Orientado a la optimización del ancho de banda de los enlaces.

En Santiago y Valparaíso ocuparemos PortChannel para optimizar el ancho de banda de los


enlaces de los switch, configuraremos PAgP ya que este es propietario de Cisco.

Direccionamiento IPv4 y IPv6 Sucursales

30
Escuela de Informática y Telecomunicaciones

Sucursal Valparaíso (IPv4):

Sucursal Santiago (IPv4):

Direccionamiento IPv4 y IPv6 Sucursales

31
Escuela de Informática y Telecomunicaciones

Sucursal Valparaíso (IPv6):

Sucursal Santiago (IPv6):

Implementación Protocolo de Enrutamiento

32
Escuela de Informática y Telecomunicaciones
Implementaremos el protocolo de enrutamiento OSPFv2 a nivel de IPv4 y
OSPFV3 a nivel de IPv6 ya que este no es propietario de Cisco y así podemos
ocupar dispositivos de distintas marcas, además cuenta con una alta
escalabilidad en redes de gran tamaño y un gran diseño jerárquico. no hay
limitación para el conteo de saltos y se puede usar VLSM para las asignaciones
de IP. OSPF es un protocolo de estado de enlace. Su métrica está basada en su
ancho de banda y retardo.

Configuración OSPFv2 Santiago

Router ospf 10
Router-id 1.1.1.1
Network 192.168.10.0 0.0.0.63 area 80
Network 192.168.10.64 0.0.0.31 area 50
Network 192.168.10.96 0.0.0.15 area 60
Network 192.168.10.112 0.0.0.15 area10
Network 192.168.10.128 0.0.0.15 area 30
Network 192.168.10.144 0.0.0.15 area 40
Network 192.168.10.160 0.0.0.15 area 70

33
Escuela de Informática y Telecomunicaciones
Network 192.168.10.176 0.0.0.15 area 20

Router ospf 10
Router-id 2.2.2.2
Network 192.168.10.0 0.0.0.63 area 80
Network 192.168.10.64 0.0.0.31 area 50
Network 192.168.10.96 0.0.0.15 area 60
Network 192.168.10.112 0.0.0.15 area 10
Network 192.168.10.128 0.0.0.15 area 30
Network 192.168.10.144 0.0.0.15 area 40
Network 192.168.10.160 0.0.0.15 area 70
Network 192.168.10.176 0.0.0.15 area 20

Configuration OSPFv2 Valparaíso

Router ospf 20
Router-id 1.1.1.1
Network 192.168.0.0 0.0.0.31 area 300
Network 192.168.0.32 0.0.0.31 area 200
Network 192.168.0.64 0.0.0.31 area 500
Network 192.168.0.92 0.0.0.31 area 400
Network 192.168.0.128 0.0.0.15 area 100

Router ospf 20
Router-id 2.2.2.2
Network 192.168.0.0 0.0.0.31 area 300
Network 192.168.0.32 0.0.0.31 area 200
Network 192.168.0.64 0.0.0.31 area 500
Network 192.168.0.92 0.0.0.31 area 400
Network 192.168.0.128 0.0.0.15 area 100

Diseño de Seguridad de la red

34
Escuela de Informática y Telecomunicaciones
Implementación VPN

VPN es una tecnología de red que se utiliza para conectar una o más
computadoras a una red privada utilizando Internet. Las empresas suelen
utilizar estas redes para que sus empleados, desde sus casas, hoteles, etc.,
puedan acceder a recursos corporativos que, de otro modo, no podrían. Sin
embargo, conectar la computadora de un empleado a los recursos corporativos
es solo una función de una VPN.

Implementaremos una Virtual Private Network(VPN) para proteger la seguridad


(confidencialidad e integridad de la información) entre las comunicaciones de
las sucursales, ya que VPN permite encriptar el trafico agregándole más
seguridad a la interconexión de las redes de estas empresas.

VPN ACCESO REMOTO


(para que cualquier persona de la empresa pueda conectarse a la red interna
empresarial desde cualquier parte del mundo)

VPN SITE TO SITE


(para establecer comunicaciones cifradas entre 2 sucursales, en este caso
Santiago y Valparaíso)

35
Escuela de Informática y Telecomunicaciones

Configuraciones VPN IPSEC ACCESO REMOTO

36
Escuela de Informática y Telecomunicaciones

37
Escuela de Informática y Telecomunicaciones

38
Escuela de Informática y Telecomunicaciones

39
Escuela de Informática y Telecomunicaciones

VPN SITE-TO-SITE

40
Escuela de Informática y Telecomunicaciones

41
Escuela de Informática y Telecomunicaciones

42
Escuela de Informática y Telecomunicaciones

Branch(Valparaíso):

43
Escuela de Informática y Telecomunicaciones

44
Escuela de Informática y Telecomunicaciones

45
Escuela de Informática y Telecomunicaciones

46
Escuela de Informática y Telecomunicaciones

Gobierno TI.

Gobierno de TI es el alineamiento de las Tecnologías de la información y la


comunicación (TI) con la estrategia del negocio. Hereda las metas y la
estrategia a todos los departamentos de la empresa, y proporciona el mejor
uso de la tecnología y de sus estructuras organizativas para alcanzarlas.

¿Por qué implementar un gobierno TI?


La entrega de valor a las partes interesadas de la empresa requiere de un buen
gobierno y la gestión de la información y de los activos tecnológicos (TI). Las
juntas empresariales, los ejecutivos y la gerencia tienen que adoptar a TI como
cualquier otra parte importante del negocio.
Los requerimientos externos de cumplimiento, normas legales, reglamentarias
y contractuales relacionadas con el uso de la empresa de la información y
tecnología están aumentando, amenazando la generación valor si se
incumplen.
Esto Incluye:
1.Priorizacion y justificación de las inversiones en el campo de TI.
2. incluir controles de gastos tales como presupuestos y niveles de
autorización.
3.Usar el Marco de referencia COBIT.
4.Satisfacer las necesidades de las partes interesadas.
5.Cubrir la organización de forma integral.
6.Aplicar un solo marco integrado.
7.Habilitar un enfoque Holístico.

47
Escuela de Informática y Telecomunicaciones

Marco de trabajo COBIT.

Este marco está enfocado al managment puesto que provee a la administración


de una base de mejores prácticas con las cuales se pueden tomar decisiones de
TI e inversión.

Además, este marco incluye a los usuarios de TI debido a la seguridad que les
brinda para el control de objetivos y procesos, también se agregan los
auditores debido a que les permite identificar problemas de control de TI
dentro de la infraestructura de la organización.

48
Escuela de Informática y Telecomunicaciones

Políticas implementadas para usuarios finales

1.Estar atento y ser capaz de identificar posibles amenazas cibernéticas

2.Conocer y entender las políticas de seguridad informática (a nivel de usuario)

3.Identificar aquella información que es considerada sensible

4.Conocer los procedimientos correctos para acceder y proteger la información

5.Identificar algún ataque de ingeniería social y/o suplantación de identidad

6.Crear una contraseña segura y entender la importancia de cambiarla


constantemente

7.Conocer el procedimiento a seguir en caso de ser víctima de algún ataque


cibernético.

49
Escuela de Informática y Telecomunicaciones

Campaña de sensibilización para cumplimiento de políticas.

Realizar pruebas de ingeniería social mensualmente y posterior hacer charlas


educacionales a los colaboradores de la empresa sobre este tópico, ya que
educar al usuario también es parte del gobierno de la seguridad.

Implementar Fondos de pantallas con Información útil de seguridad para todos


los hosts de la compañía.

Educar a los colaboradores en temas de fuga de información.

Enseñar las mejores prácticas de seguridad en el uso de dispositivos móviles,


métodos de conexión wifi seguras, seguridad en redes sociales, navegación
web seguras y transacciones web seguras.

50
Escuela de Informática y Telecomunicaciones

Políticas Técnicas

1. Las configuraciones de antivirus. Aquí es importante no solo el contar


con software de este tipo, sino también garantizar su efectividad a través
de la actualización de la definición de virus.

2.Las configuraciones de sistemas operativos (HARDENING), Aunque


obviamente son más importantes las de los servidores, equipos clientes
desactualizados pueden servir de plataforma para el lanzamiento de
ataques, por lo que hay que considerar ambos entornos.

3. Los ambientes empresariales exigen el uso de correo electrónico, soluciones


de comunicaciones, mensajería y el mismo acceso a la Web. Pero la
conectividad debe de ser restringida a través de un diseño efectivo de la red y
la configuración adecuada de los equipos que forman parte de la red, como
routers. firewalls, NIDS, etc.

4.La administración del acceso a las aplicaciones. Esto implica la


definición de mecanismos de acceso y autenticación efectivos de los
usuarios con la autorización para registrar, modificar y consultar datos en
una aplicación.

5. Las normas de gestión de la seguridad. Las medidas de seguridad necesitan


ser acompañadas de prácticas que garanticen su efectividad.

6.- Pruebas de penetración (Pentesting) y/o Auditorias.

51
Escuela de Informática y Telecomunicaciones

Seguridad Nivel Capa 2

DHCP SNOOPING Y FILTRADO MAC:


Con el DHCP SNOOPING, sólo una Lista blanca de direcciones de IP pueden acceder a
la red. La lista blanca está configurada en el switch de puertos, y el servidor DHCP
dirige el control de acceso. Sólo las direcciones de IP con direcciones MAC específicas
en puertos concretos pueden acceder la red IP.
Esta configuración se aplicaría a todas las VLAN para aumentar la seguridad y solo
pueda aprender 1 dirección MAC de forma dinámica para evitar una falsificación de
MAC.

Interface X/X
switchport port-security
switchport mode access
switchport port-security maximum 1
switchport port-security mac-address sticky
switchport port-security violation restrict
exit
ip dhcp snooping
ip dhcp snooping vlan X
interface X/X
ip dhcp snooping trust
exit
interface range X/X
ip dhcp snooping limit rate 6
exit

52
Escuela de Informática y Telecomunicaciones

Seguridad Nivel Capa 3 - 7

Implementaremos el servicio de Cloudflare con protección contra ataques


DDoS, Cloudflare tiene una red enorme para absorber los ataques DDoS de
más de 600 Gb/s y no son un problema para su red de 30 Tbps.
https://www.cloudflare.com/es-la/ddos/

53
Escuela de Informática y Telecomunicaciones

54
Escuela de Informática y Telecomunicaciones

Seguridad Nivel Capa 3 - 7

Nuestro U.T.M Fortinet contiene control de aplicaciones (Capa 7), filtrado


web(CAPA7), antivirus, vpn, firewall y WAF (CAPA 3 Y 7), filtro de url (capa7),
email filtering(capa7), IPS (NIPS CAPA 3, NBA CAPA3, HIPS CAPA7).

55
Escuela de Informática y Telecomunicaciones

Seguridad Nivel Capa 3 - 7

56
Escuela de Informática y Telecomunicaciones

57
Escuela de Informática y Telecomunicaciones
Servicios

58
Escuela de Informática y Telecomunicaciones
ACRÓNIMOS

SSID: El SSID (Service Set Identifier) es una secuencia de 0-32 octetos incluida en todos los
paquetes de una red inalámbrica para identificarlos como parte de esa red.

WAN: Es la sigla de Wide Area Network (“Red de Área Amplia”). El concepto se utiliza para
nombrar a la red de computadoras que se extiende en una gran franja de territorio, ya sea a
través de una ciudad, un país o, incluso, a nivel mundial. Un ejemplo de red WAN es la
propia Internet.

PSTN: La red telefónica pública conmutada (PSTN, Public Switched Telephone Network) es
una red con conmutación de circuitos tradicional optimizada para comunicaciones de voz en
tiempo real.

Dirección MAC: En las redes de computadoras, la dirección MAC (siglas en inglés de Media
Access Control) es un identificador de 48 bits (6 bloques de dos caracteres hexadecimales (4
bits)) que corresponde de forma única a una tarjeta o dispositivo de red. Se la conoce
también como dirección física, y es única para cada dispositivo.

Dirección IP: La dirección IPv4 es un número que identifica, de manera lógica y jerárquica, a
una Interfaz en red (elemento de comunicación/conexión) de un dispositivo (computadora,
tableta, portátil, teléfono inteligente) que utilice el protocolo IP o (Internet Protocol), que
corresponde al nivel de red del modelo TCP/IP. La dirección IP no debe confundirse con la
dirección MAC, que es un identificador de 48 bits expresado en código hexadecimal, para
identificar de forma única la tarjeta de red y no depende del protocolo de conexión utilizado
en la red.

VLAN: Una VLAN, acrónimo de virtual LAN (red de área local virtual), es un método para
crear redes lógicas independientes dentro de una misma red física. Varias VLAN pueden
coexistir en un único conmutador físico o en una única red física.

VTP: VTP (Virtual Trunking Protocol) es un protocolo que permite configurar VLANs (Virtual
LAN) de manera centralizada. Si implementamos VLANs en nuestra red LAN y NO activamos
el protocolo VTP, cada vez que creamos, modificamos o borramos una VLAN debemos de ir a
cada uno de los Switch instalados y manualmente realizar la configuración de VLAN.

59
Escuela de Informática y Telecomunicaciones

Etherchannel: EtherChannel es una tecnología de Cisco construida de acuerdo con los


estándares 802.3 full-duplex Fast Ethernet y permite la agrupación lógica de varios enlaces
físicos Ethernet, esta agrupación es tratada como un único enlace y permite sumar la
velocidad nominal de cada puerto físico Ethernet usado y así obtener un enlace troncal de
alta velocidad.

VLSM: Las máscaras de subred de tamaño variable o VLSM (del inglés Variable Length
Subnet Mask) representan otra de las tantas soluciones que se implementaron para evitar el
agotamiento de direcciones IP en IPv4 (1987), como la división en subredes, el enrutamiento
sin clases (CIDR) (1993), NAT y las direcciones IP privadas. Otra de las funciones de VLSM es
descentralizar las redes y de esta forma conseguir redes más seguras y jerárquicas

DHCP: El protocolo de configuración dinámica de host es un protocolo de red de tipo


cliente/servidor mediante el cual un servidor DHCP asigna dinámicamente una dirección IP y
otros parámetros de configuración de red a cada dispositivo en una red para que puedan
comunicarse con otras redes IP.

DNS: El sistema de nombres de dominio es un sistema de nomenclatura jerárquico


descentralizado para dispositivos conectados a redes IP como Internet o una red privada.
Este sistema asocia información variada con nombre de dominio asignado a cada uno de los
participantes

NAT: Network address translation (traducción de direcciones de red) es el proceso de


modificación de la dirección IP de información en los encabezados de paquetes IP, mientras
que en tránsito a través de un tráfico de dispositivos de enrutamiento.

PAT: Port address traslation (traducción de puertos de red) Es una extensión a la traducción
de direcciones de red (NAT) que permite que varios dispositivos en una red de área local
(LAN) que se asignan a un solo público la dirección IP.

STP(Spanning Tree Protocol): es un protocolo de red de capa 2 del modelo OSI (capa de
enlace de datos). Su función es la de gestionar la presencia de bucles en topologías de red
debido a la existencia de enlaces redundantes (necesarios en muchos casos para garantizar
la disponibilidad de las conexiones).

UTM: La gestión unificada de amenazas, que comúnmente se abrevia como UTM, es un


término de seguridad de la información que se refiere a una sola solución de seguridad y,
por lo general, a un único producto de seguridad que ofrece varias funciones de protección
en un solo punto en la red.

60
Escuela de Informática y Telecomunicaciones

IPS: Un sistema de prevención de intrusos (o por sus siglas en inglés IPS) es un software que
ejerce el control de acceso en una red informática para proteger a los sistemas
computacionales de ataques y abusos. La tecnología de prevención de intrusos es
considerada por algunos como una extensión de los sistemas de detección de intrusos (IDS),
pero en realidad es otro tipo de control de acceso, más cercano a las tecnologías
cortafuegos.

IDS: Un sistema de detección de intrusiones (o IDS de sus siglas en inglés Intrusion


Detection System) es un programa de detección de accesos no autorizados a un computador
o a una red.

UPS: Sistemas de alimentación ininterrumpida (SAI), en inglés uninterruptible power supply


(UPS), es un dispositivo que gracias a sus baterías u otros elementos almacenadores de
energía, durante un apagón eléctrico puede proporcionar energía eléctrica por un tiempo
limitado a todos los dispositivos que tenga conectados. Otra función que se puede añadir a
estos equipos es mejorar la calidad de la energía eléctrica que llega a las cargas, filtrando
subidas y bajadas de tensión y eliminando armónicos de la red en caso de usar corriente
alterna.

QOS: QoS o calidad de servicio (quality of service, en inglés) es el rendimiento promedio de


una red de telefonía o de computadoras, particularmente el rendimiento visto por los
usuarios de la red. Cuantitativamente mide la calidad de los servicios que son considerados
en varios aspectos del servicio de red, tales como tasas de errores, ancho de banda,
rendimiento, retraso en la transmisión, disponibilidad, jitter, etc.

ISP: Proveedor de servicios de Internet. El proveedor de servicios de Internet, (ISP, por la


sigla en inglés de Internet service provider) es la empresa que brinda conexión a Internet a
sus clientes.

WAF:Un firewall de aplicaciones web (WAF) es un tipo de firewall que supervisa, filtra o
bloquea el tráfico HTTP hacia y desde una aplicación web. Se diferencia de un firewall
normal en que puede filtrar el contenido de aplicaciones web específicas, mientras que un
firewall de red protege el tráfico entre los servidores. Al inspeccionar el tráfico HTTP un WAF
protege a las aplicaciones web contra ataques como los de inyección SQL, XSS y falsificación
de petición de sitios cruzados (CSRF).

61
Escuela de Informática y Telecomunicaciones

AP: Un punto de acceso inalámbrico (en inglés: wireless access point, conocido por las siglas
WAP o AP), en una red de computadoras, es un dispositivo de red que interconecta equipos
de comunicación inalámbricos, para formar una red inalámbrica que interconecta
dispositivos móviles o tarjetas de red inalámbricas.

OSPF: Open Shortest Path First o Primer Camino Más Corto, es un protocolo de red para
enrutamiento jerárquico de pasarela interior o Interior Gateway Protocol (IGP), que usa el
algoritmo Dijkstra, para calcular la ruta más corta entre dos nodos.

VPN: Una red privada virtual (RPV), en inglés: Virtual Private Network (VPN), es una
tecnología de red de computadoras que permite una extensión segura de la red de área local
(LAN) sobre una red pública o no controlada como Internet.

T.I: La tecnología de la información (TI) es la aplicación de ordenadores y equipos de


telecomunicación para almacenar, recuperar, transmitir y manipular datos, con frecuencia
utilizado en el contexto de los negocios u otras empresas. El término es utilizado como
sinónimo para los computadores, y las redes de computadoras, pero también abarca otras
tecnologías de distribución de información, tales como la televisión y los teléfonos.

DDOS: En seguridad informática, un ataque de denegación de servicio, también llamado


ataque DoS (por sus siglas en inglés, Denial of Service), es un ataque a un sistema de
computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios
legítimos.

HTTPS: El Protocolo seguro de transferencia de hipertexto (en inglés: Hypertext Transfer


Protocol Secure o HTTPS), es un protocolo de aplicación basado en el protocolo HTTP,
destinado a la transferencia segura de datos de Hipertexto, es decir, es la versión segura de
HTTP.

SSH (o Secure Shell): es el nombre de un protocolo y del programa que lo implementa cuya
principal función es el acceso remoto a un servidor por medio de un canal seguro en el que
toda la información está cifrada. Además de la conexión a otros dispositivos, SSH permite
copiar datos de forma segura (tanto archivos sueltos como simular sesiones FTP cifradas),
gestionar claves RSA para no escribir contraseñas al conectar a los dispositivos y pasar los
datos de cualquier otra aplicación por un canal seguro tunelizado mediante SSH.

62
Escuela de Informática y Telecomunicaciones

SFTP (SSH File Transfer Protocol): El protocolo SFTP permite una serie de operaciones sobre
archivos remotos. SFTP intenta ser más independiente de la plataforma que SCP, por
ejemplo, SCP soporta expansión de comodines especificados por el cliente hasta el servidor,
mientras que el diseño SFTP evita este problema. Aunque SCP se aplica con más frecuencia
en plataformas Unix, existen servidores SFTP en la mayoría de las plataformas.

IMAP: El protocolo de acceso a mensajes de Internet (en inglés Internet Message Access
Protocol o IMAP), es un protocolo de aplicación que permite el acceso a mensajes
almacenados en un servidor de Internet. Mediante IMAP se puede tener acceso al correo
electrónico desde cualquier equipo que tenga una conexión a Internet.

POP3: En informática se utiliza el Post Office Protocol (POP3, Protocolo de Oficina de Correo
o "Protocolo de Oficina Postal") en clientes locales de correo para obtener los mensajes de
correo electrónico almacenados en un servidor remoto, denominado Servidor POP. Es un
protocolo de nivel de aplicación en el Modelo OSI.

SMTP: El SMTP (Simple Mail Transfer Protocol o Protocolo para Transferencia Simple de
Correo) es un protocolo de comunicación que permite el envío de correos electrónicos en
internet. Este protocolo se asocia normalmente con otros como POP3 o IMAP, siendo SMTP
utilizado para el correo de salida y POP3 o IMAP utilizado para el correo entrante.

AD (ACTIVE DIRECTORY): Active Directory (AD) es un servicio de directorio para su uso en un


entorno Windows Server. Se trata de una estructura de base de datos distribuida y
jerárquica que comparte información de infraestructura para localizar, proteger, administrar
y organizar los recursos del equipo y de la red, como archivos, usuarios, grupos, periféricos y
dispositivos de red.

63
Escuela de Informática y Telecomunicaciones

Conclusión

El presente informe fue elaborado en base al contenido de todo el trabajo


del semestre, recopilando la información de todos los talleres.
Realizamos direccionamiento IPv4 y IPv6 elaborando la estructura de red.
Segmentamos las redes en VLANS distintas por temas de seguridad, además
dimos seguridad identificando puntos críticos y dando soluciones de
conectividad.
Utilizamos el protocolo de enrutamiento OSPF para mayor eficiencia en la
red y administrar la red de manera óptima.
Implementamos soluciones con previa cotización de equipos para actualizar
la red ya existente.
Analizamos la red con aplicaciones para detectar tráfico, cambiamos los
planes para mayor velocidad y mejor estabilidad y redundancia WAN.
Además de instalar VPN SITE-TO-SITE y de ACCESO REMOTO para tener
conectividad y seguridad entre sucursales y agregar una capa de seguridad
(cifrado del túnel VPN).
Implementamos soluciones de disponibilidad, redundancia e integralidad de
los datos para evitar posibles fallas dentro de la infraestructura de red
existente.
Cabe recalcar que como fuente de información ocupados manuales digitales
de la marca Fortigate y Cisco.
También incluimos información sobre los acrónimos para dejar en claro las
siglas presentadas e este informe.

64
Escuela de Informática y Telecomunicaciones

Bibliografía

(2016). Fortinet Document Library. de Fortinet


Sitio web:
https://docs.fortinet.com/document/forticlient/5.2.0/cookbook/521733

(2010). OSPF Design Guide. de Cisco


Sitio web:
https://www.cisco.com/c/en/us/support/docs/ip/open-shortest-path-first-
ospf/7039-1.html

(2019). Protección y mitigación avanzada contra DdoS, de Cloudflare.


Sitio Web:
https://www.cloudflare.com/es-la/ddos

65

También podría gustarte