Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UNI Final
UNI Final
De la
UNIVERSIDAD NACIONAL DE INGENIERÍA
(ICI~UNI)
TESIS
PARA OPTAR EL TITULO PROFESIONAL TÉCNICO EN:
PRESENTADO POR:
Lima ,Perú
2010
1
TÍTULO DE TESIS
INSTALACION, MANTENIMIENTO Y RESTRUCTURACIÓN DE
UNA SUBRED INFORMATICA APLICADO AL HOSPITAL DE
EMERGENCIAS PEDIATRICAS
2
DEDICATORIA
El hombre, ese ser tan débil, ha recibido de la naturaleza dos cosas que deberían
hacer de él el más fuerte de los animales: la razón y la sociabilidad.
El hombre es un ser sociable y criado para contribuir al bien de la sociedad.
Lucio Séneca.
3
AGRADECIMIENTO
4
ÍNDICE
CONTENIDO PÁGINA
Primeras hojas
Tema de tesis 2
Dedicatoria 3
Agradecimiento 4
Antecedentes del problema 12
Primera parte 12
Segunda parte 13
Tercera parte 13
El Hospital de Emergencias Pediátricas 14
Misión y visión del Hospital de emergencias Pediátrico 15
Esquema organizacional del Hospital de Emergencias Pediátrico 16
Análisis FODA Hospital de Emergencias Pediátricas. 17
Conceptos subyacentes a la preparación del sistema de seguridad 19
Objetivo 20
PRIMERA PARTE
(Marco Teórico)
CAPÍTULO I 21
5
CAPÍTULO II 37
CAPÍTULO III 49
6
3.2.3 – Ruido 52
3.2.4 - Capacidad del canal (C) 53
3.2.5 – Diafonía o Atenuación transversal 54
3.2.6 – Tele diafonía y Para diafonía 54
3.3 - Medios de transmisión 55
3.3.1 - Medios magnéticos 55
3.3.2 - Medios de transmisión guiados 55
3.3.2.1 - Par trenzado 55
3.3.2.2 - Cable coaxial 56
3.3.2.3 - Fibra óptica 57
3.3.3 - Transmisión inalámbrica 58
3.3.3.1 - Microondas terrestres 59
3.3.3.2 - Microondas por satélite 59
3.3.3.3 - Infrarrojos 60
3.4 - Definición de las modalidades de transmisión 60
3.4.1 - Servicios de datos conmutados de multimegabits (SMDS) 60
3.4.2 - Hub vs. Switch 61
3.4.2.1 - Hub 61
3.4.2.2 - Switch 62
3.5 - Tipos de redes 62
3.5.1 - Clasificación según su tamaño y extensión 62
3.5.1.1 - Redes LAN 62
3.5.1.2 - Redes MAN 63
3.5.1.3 - Redes WAN 63
3.5.2 - Clasificación según la tecnología de transmisión 63
3.5.2.1 - Redes broadcast 63
3.5.2.2 - Redes Point to-Point 63
3.5.3 - Clasificación según la transferencia de datos soportada 64
3.5.3.1 - Redes de transmisión simple 64
3.5.3.2 - Redes de transmisión Half-Duplex 64
3.5.3.3 - Redes de transmisión Full-Duplex 64
3.6 - Topología de la red 64
3.7 - Token Ring 65
3.8 - Ethernet 65
3.8.1 - Fast Ethernet 65
3.9 - Conclusiones primera parte 66
7
SEGUNDA PARTE
(Recopilación de datos)
CAPÍTULO IV 68
CAPÍTULO V 76
8
5.6.7.1 - Departamento o área de análisis de sistema 84
5.6.7.2 - Departamento o área de programación 84
5.6.7.3 - Departamento o área de soporte técnico 84
5.7 - Recursos técnicos humanos 85
5.7.1 - Analista programador 85
5.7.2 - Programador de sistemas 85
5.7.3 - Soporte técnico 86
5.7.4 - Supervisor de procesos 86
5.7.5 - Digitador o capturista de datos 86
5.8 - Grafico Diagrama actual de la Red informática H.E.P. 87
CAPÍTULO VI 88
9
6.3.1 Servidores 105
6.3.2 - Recomendaciones para las áreas informáticas 106
6.3.3 - Planeamiento de un estándar 106
6.3.4 - Consideraciones económicas 107
6.4 - Zona de operatividad de nuestro Firewall 108
6.5 - Conclusiones segunda parte 109
TERCERA PARTE
(Diseño y resultado de la investigación)
CAPÍTULO VII 111
CAPÍTULO IX 118
CAPÍTULO X 121
10
CAPÍTULO XI 156
11
ANTECEDENTES DEL PROBLEMA
(Este trabajo está comprendido en tres partes y una protocolar)
12
Segunda parte.- comenzaremos con una descripción de la institución, los
antecedentes y su estructura organizacional, se detalla el número de
ordenadores que rigen en el hospital, así mismo la distribución de los
computadores en las áreas respectivas, así como las áreas críticas de
servicio asistencial, el tipo de Red utilizado, el tipo de cable y de dispositivos
de conexión. Se toman las primeras decisiones del diseño, con respecto a
las conclusiones que sacaremos después de analizar el diseño actual y
compararlo con alguna posible mejora o reestructuración del mismo.
También evaluaremos la Subred y los sistemas que corren en ella,
analizaremos el área descrita a corto y largo plazo ya que podría acontecer
algún cambio que requiera reestructuración de la Intranet, evaluaremos la
seguridad, su conexión a Internet, la plataforma de ejecución de los
programas asistenciales, las plataformas de las Bases de Datos, se
describirá los sistemas de comunicación remota con diferentes entidades
estatales como, el SIAF-Ministerio de ECONOMÍA.
13
EL HOSPITAL DE EMERGENCIAS PEDIATRICAS
14
LA MISIÓN Y VISION DEL HOSPITAL DE EMERGENCIAS PEDIATRICAS
Los ejecutivos de la institución dieron y precisaron la definición de la misión
de su institución, tomando como base las definiciones anotadas en
cuestionario, como resultado de dicha tarea, se estableció una serie de
enunciados en los cuales las palabras claves giraban en torno a los
siguientes conceptos y criterios:
1.- Niño, familia y comunidad.
Razón de ser de nuestro servicio.
2.- Servicios.
Brindar con excelencia el servicio a nuestro público objetivo.
3.- Desarrollo Integral
Condición indispensable para el individuo en una sociedad.
4.- Tecnología
Que posibilite cumplir y satisfacer las necesidades de nuestro público
objetivo actual y potencial
5.- Valores
Actitud orientada al éxito, amor, tolerancia, solidaridad y humildad
6.- Autoconcepto de ventajas competitivas.
H.E.P. reúne a los mejores profesionales, tiene objetivos claros, la
estructura organizacional estimula la creatividad y comunicación
Disciplina y decisión.
7.- Aspiraciones
Todas sus acciones y servicios deben ser reconocidas como una
expresión de calidad, ser la mejor Institución, Llegar a todos los
elementos Integrantes de la comunidad.
8.- Calida de vida.
Como una constante a ser alcanzada en cada producto final.
9.- Riesgo social.
Situación en la que se encuentran muchos niños, familias y gran parte
de la comunidad.
10.- Imagen pública deseada.
H.E.P. es un servicio social digno de ser copiado por otras instituciones.
15
ESQUEMA ORGANIZACIÓNAL DEL HOSPITAL DE EMERGENCIAS PEDIATRICAS
La institución cuenta con un modelo organizacional propio de las organizaciones del Estado, este no cuenta con un modelo
moderno donde la gerencia informática es la máxima autoridad, modelo representado en el siguiente esquema
DIAGRAMA ACTUAL
Dirección
Secretaria
UTIP UTAB
16
ANÁLISIS FODA HOSPITAL EMERGENCIAS PEDIATRICAS
FORTALEZA
Especialización en Emergencias y Urgencias Pediátricas (Traumatología,
Cirugía, Pediatría, Neurocirugía, Laboratorio, Rayos X, Farmacia, Unidad
de Terapia Intensiva Pediátrica).
Accesibilidad al HEP.
Atención las 24 horas las 365 días del año
Equipamiento de instrumentos.
Recursos Humanos especializados.
Permanencia de médicos en el HEP.
todas las áreas están conectadas mediante un sistema cliente de red con
Red Novell Netware.
OPORTUNIDAD
Organizar el sistema de ambulancias.
Sistema nacional de urgencias.
Convenios o firma de alianzas estratégicas con instituciones sin
especialidad pediátricas.
Demanda de aplicaciones en especialidades asistenciales
Transición epidemiológica.
Aparición de nuevos sistemas de seguros.
Proyectos de inversión en salud.
Nuevas políticas del sector salud.
DEBILIDAD
Infraestructura (tanto externa como interna, almacenes).
Alta rotación del personal asistencial.
Carencia de documentos de gestión actualizadas.
Carencia de guías terapéuticas.
Resistencia al cambio de procedimientos.
17
Carencia de estructuras de costos.
Registros inadecuados y Sub Registros de diagnostico.
Red informática no adecuada al crecimiento y desarrollo laboral.
No cuenta con una pagina Web, pero cuentan con los recursos
necesarios para poder publicar una Web.
No cuenta con un plan publicitario, para así hacer conocer el servicio
que se ofrece.
Falta mejorar la infraestructura del local, tener módulos adecuados.
AMENAZAS
Zona de riesgo delictivo y altamente contaminado
Desconocimiento del significado de lo que es Urgencias y emergencias,
por la comunidad.
Cambio de la Política
Medidas de austeridad y presupuesto reducido.
18
CONCEPTOS BÁSICOS SUBYACENTES A LA PREPARACIÓN DEL
SISTEMA DE SEGURIDAD
Con el fin de poder ofrecer un entorno de trabajo entendible, describiremos
aquí algunos conceptos que se tendrá en cuenta en todo el desarrollo del
trabajo.
Llamaremos:
LAN (local Area Network) a una Red privada dentro de un solo edificio o
campus hasta de unos cuantos kilómetros de extensión.
WAN (Wide Area Network) a la Red total del planeta, el Internet.
SUBRED a la colección de enrutadores Switch’s y líneas de
comunicación que mueve paquetes de un Host a otro Host.
NODOS a los puntos de convergencia de las Subredes.
INTERREDES a Redes de diferentes tipos de hardware y software, que
siendo necesario para su comunicación un ensamblador y
desensamblador de paquetes a que llamaremos PAD (Packets Assemble
Disassemble).
Modelo OSI (Open System Interconnection) al modelo de referencia de la
ISO, modelo de siete capas que se detallará mas adelante.
Modelo de referencia TCP/IP al modelo de 4 capas de la WAN.
Topología ETHERNET a la topología de transmisión de datos que rige el
estándar de la IEEE 802.3
HOST a los computadores que están en la ventana del Internet, un Host
posee una dirección IP pública.
H.E.P. a las siglas de Hospital de Emergencias Pediátricas.
PROXY, viene a ser un servicio de control de trafico de redes
NAT a (Netware Address Translater) una configuración que crea
conexiones entre puentes de redes
CPD a centro de procesamiento de datos
19
OBJETIVO
El objetivo enfocado en este trabajo de investigación tiene la visión de
propiciar el uso de estos Sistemas Operativos de Licencia GNU (software
libre) apelando no solo a su casi ningún costo económico sino también a su
robusta plataforma, arquitectura y diseño en que fueron edificados.
Internet es una de las entidades con una total denominación en el mundo de
la computación de estos tiempos donde millones de computadores (Host)
están enlazadas a disposición de conexión entre ellos, conllevando riesgo de
robo o maltrato de cualquier otra índole de nuestra información, es por eso
que este trabajo se centra en la edificación de un Sistema de Seguridad en
la Intranet de la institución, una caída de los sistemas comprometería
seriamente le servicio Asistencial, datos y cargaría deficiencias en la
Intranet, Así mismo se tomará en cuenta y se pondrá en conocimiento en
este trabajo las limitaciones encontradas en la edificación del sistema de
seguridad en el transcurso del diseño.
El motivo de este documento no es edificar un sistema 100% seguro sino
otorgar una buena seguridad a la institución así como utilizar sus recursos
de Internet de una forma eficiente, maximizando el rendimiento de los
sistemas y aplicaciones.
Se examina este trabajo bajo un concepto de MODELO DE REFERENCIA
HÍBRIDO que resulta del análisis de examinar los estándares más comunes
existentes y en donde hace trabajo explicito nuestro sistema de seguridad.
Este sistema constará de cuatro capas:
1. Capa ENLACE
2. Capa RED
3. Capa TRANSPORTE
4. Capa APLICACION
20
PRIMERA PARTE
MARCO TEÓRICO
21
CAPÍTULO I
1.1 - Que es una red informatica?
Una Red Informática es un conjunto de computadores interconectadas con
arreglo lógico, sin importar la distancia, por medios de cables apropiados de
cobre, fibras de vidrio, ondas de radio, modulaciones digitales,
comunicaciones satelitales, etc., que comparten información
electrónicamente (en ello comprende impresoras, recursos compartidos,
bases de datos, documentación etc.)
22
EL Administrador de una Red Informática debe poseer una cultura
ética alta y profesionalismo al confiarle cualquier tipo de información.
Controlar cambios y actualizaciones en la red de modo que
ocasionen las menos interrupciones posibles, en el servicio a los
usuarios.
El Administrador de encarga de diseñar los planes de trabajo del
mantenimiento de los sistemas, bases de datos, mantenimiento de
equipos informáticos, manejo del personal a su cargo
1.3 – Firewall
23
1.3.3.1 - Firewall a nivel de capas
24
de esta familia o variante de cortafuegos, podemos citar
Wingate, Squid, CyberGuard, WathGuard, Sunscreen EFS
Firewall de SUN Microsystem, etc.
25
1.3.3.2.2 - Firewall con zona DMZ.- este esquema de
configuración permite crear otra zona en la cual es una zona
expuesta al Internet y esta separada de la Red, cualquier
ataque que sea dirigido a los servidores mantendrá la Red de
datos protegida, el esquema para este diseño seria el
siguiente.
26
1.3.3.2.3 - Firewall de filtrado parcial.- este tipo de diseño
permite solo filtrar o proteger parte de la Red dejando zonas
libres para acceso total, esto se aplicaría a los ISP en el que
se coloca el Firewall para proteger determinados servidores o
usuarios y dejar a los usuarios o servidores libres al Internet,
el esquema para este diseño seria:
27
1.4 - Descripción del comando IPTABLES:
IPTABLES - TABLAS
Existen tres tablas independientes (aunque puede que no todas estén
presentes, dependiendo de la configuración del kernel):
28
OUTPUT: Se utiliza para alterar paquetes generados localmente, antes
de enrutarlos.
POSTROUTING: Para alterar todos los paquetes que están a punto de
salir de la maquina.
MANGLE: Tabla especial, destinada a alterar determinados parámetros
de los paquetes, como el campo TOS, el TTL, etc.
PREROUTING
INPUT
FORWARD
OUTPUT
POSTROUTING
29
IPTABLES - LISTADO DE REGLAS
Sintaxis:
opciones disponibles:
-v: Información detallada. Muestra toda la información disponible de las
chains y de cada regla.
-n: Salida numérica. No intenta convertir direcciones IP a nombres de
maquinas.
-x: Mostrar el valor exacto de cada numero, en lugar de mostrar múltiplos
de 1000 (K), 1000K (M) ó 1000M (G).
chain:
INPUT
OUTPUT
FORWARD
POSTROUTING
PREROUTING
Borrado de contadores
iptables [-t tabla] [-v] -Z [chain]
Borra los contadores de una determinada chain, o de todas ellas.
iptables [-t tabla] [-v] -F [chain]
Borra todas las reglas de una determinada chain, o de todas ellas.
Creado y borrado de chains
iptables [-t tabla] [-v] -N chain
Crea una nueva chain
iptables [-t tabla] [-v] -X [chain]
30
Borra una chain determinada, o todas las definidas por el usuario.
iptables [-t tabla] [-v] -E <old-chain> < new-chain>
Renombra una chain.
iptables [-t tabla] [-v] -P <chain target>
Establece el target de una chain predefinida, esto es, lo que deben hacer
los paquetes que lleguen al final de ella.
Especificación de reglas
Con las opciones “-A”, “-I”, “-R” y “-D” de iptables hay que especificar
una regla; se puede hacer con las siguientes opciones:
“-p [!] protocolo”: El protocolo del paquete a comprobar.
Puede ser “tcp”, “udp”, “icmp”, “all”, o un valor numérico.
31
ACCEPT aceptará el paquete. REJECT o DROP lo desecharán, la
diferencia entre ellos reside en que DROP descartará el paquete
silenciosamente y REJECT emitirá un paquete ICMP Port Unreachable,
indicando que está cerrado. REDIRECT redirigirá el paquete a donde se
indique en el criterio del comando y por último LOG lo logeará para su
posterior análisis.
32
“ttl”: Añade las opciones:
“--ttl-eq valor”: El campo TTL ha de ser exactamente el especificado.
“--ttl-gt valor”: El campo TTL ha de ser mayor que el specificado.
“--ttl-lt valor”: El campo TTL ha de ser menor que el especificado.
Extensiones de target
Aparte de las target predefinidas, hay otras que se pueden usar como
extensión. Por ejemplo, las siguientes extensiones solo son validas en la
tabla NAT:
“MASQUERADE”: Solo es valida en la chain POSTROUTING.-Indica que
la dirección origen del paquete (y de todos los futuros de esta misma
conexión) ha de ser cambiada por la dirección IP local de esta maquina.
Muy usado en conexiones con IP dinámica, es lo que normalmente se
entiende como simplemente “NAT”.
33
“DNAT”: Solo es valida en las chains PREROUTING y OUTPUT.-
Cambian la dirección IP destino de un paquete (y de todos los futuros de
esta misma conexión) por el especificado con la opción “-to destination”.
Interpretaciones:
Iptables -A INPUT -m state -m tcp -p tcp --dport 32:761 --state RELATED -j ACCEPT
Para conexiones pasivas
34
Tabla nat
Esta tabla debe ser usada sólo para hacer NAT (Network Address
Translation) a los diferentes paquetes. En otras palabras, debe ser
empleada solamente para traducir el campo origen del paquete o el
campo destino. Ten en cuenta que tal como hemos dicho antes, sólo el
primer paquete de un flujo alcanzará esta cadena. Después, al resto de
paquetes del mismo flujo de datos se les aplicará la misma acción que al
primero. Los objetivos que hacen este tipo de cosas son:
DNAT
SNAT
MASQUERADE
35
procesador. La razón es que cada vez que llega un paquete al objetivo
MASQUERADE, automáticamente chequea qué dirección IP debe
asignarle, en lugar de hacer como SNAT, que simplemente utiliza la
dirección IP configurada. MASQUERADE hace posible trabajar con las
direcciones IP Dinámicas por DHCP que tu ISP pueda proporcionarte a
través de conexiones a Internet vía PPP, PPPoE o SLIP.
36
CAPÍTULO II
EN ESTE CAPÍTULO SE EXPLICARÁ EL MODELO DE LAS SIETE CAPAS
UNA POR UNA A FIN DE ENTENDER TODO EL PROCESO DE
COMUNICACIÓN, DESDE LA SEÑAL ELÉCTRICA HASTA LA EJECUCIÓN
DE LAS APLICACIONES
37
G(t ) (1/ 2).c an.sen(2. .n. f .t ) bn. cos(2. .n. f .t ) (cf 01)
n 1 n 1
T T T
38
2.2 - CAPA DE ENLACE DE DATOS
La tarea principal de esta capa es la de tomar toda una banda base en bruto
y trasformarla en un alinea que parezca libre de errores de trasmisión no
detectados a la capa de Red. Esta tarea la cumple al hacer que el emisor
divida los datos de entrada en marcos de datos y que transmita los marcos
en una forma secuencial y procese los marcos de acuse de recibo que
devuelve el receptor, esto se realiza porque en la capa física solo se
transmite una corriente de bits sin preocuparse por el significado o su
estructura, corresponde a la capa de enlace de datos crear y reconocer los
limites de los marcos, esto se puede lograr añadiendo bits especiales al final
y al principio del marco.
Algún tipo de ruido puede dañar el marco recibido o transmitido, en estas
condiciones la capa de enlace puede retransmitir el marco, estos tipos de
inconvenientes no solo acarrea retraso en la transmisión sino posibles
duplicados de marcos enviados, la capa de enlace de datos posee el
software necesario para tratar de resolver estos inconvenientes
El software de la capa de enlace de datos también posee rutinas para tratar
de equilibrar la velocidad de transmisión, esto introduce un buffer que es
regulado así como el manejo de errores.
La capa de enlace de datos esta diseñada para ofrecer varios servicios y
estos varían en sistema en sistema, estos servicios son tres:
39
transmisor sabe si el marco ha llegado bien, si no ha llegado a tiempo
puede retransmitirse.
40
2.2.4.1.1 - ALOHA PURO.- La idea básica de un sistema
ALOHA es sencilla, permite que los usuarios transmitan
cuando tengan datos por enviar. Por supuesto habrá
colisiones y las macros se destruirán sin embargo debido a la
propiedad de retroalimentación de la difusión, un trasmisor
siempre puede saber si el marco fue destruido o no
escuchando el canal de la misma manera que los demás
usuarios, en el ALOHA puro los marcos se transmiten en
momentos completamente arbitrarios.
41
canal espera un tiempo aleatorio para repetir la transmisión,
el protocolo se llama persistente porque la estación con una
probabilidad de uno cuando encuentra el canal en reposo.
42
Existen muchos protocolos más como son los protocolos libres de colisiones,
protocolos de contención limitada, protocolo de recorrido de árbol adaptable,
protocolos de acceso múltiple de longitud de onda, protocolos de LAN
inalámbricas, protocolos de acceso múltiple con prevención de colisión
(MACA), protocolo de acceso múltiple por división de colisiones etc. Que no
son prioridad de estudio y análisis en este trabajo.
Esta capa esta fuertemente vinculada con la capa de Red, cada marco de la
capa de enlace es controlado y modificado según rutinas de comunicación el
cual los protocolos que ambos soportan como TCP, UDP, PPP, ICMP,
SNMP, etc. Nuestro Firewall se centrará en la examinación de los marcos
entrantes y los paquetes salientes
43
facturación. Cuando un paquete cruza una frontera nacional con tarifas
diferentes de cada lado, la contabilidad se puede complicar.
Cuando un paquete viaja de una Red a otra para alcanzar su destino,
pueden surgir muchos inconvenientes. El tipo de direcciones que usa la
segunda Red puede ser diferente con respecto a la primera, puede ser que
la segunda no acepte en absoluto el paquete por ser demasiado grande, los
protocolos pueden diferir entre otras cosas, la capa de Red debe resolver
todos estos problemas para lograr que se interconecten Redes
heterogéneas.
En nuestro modelo TCP/IP esta capa esta definida como la capa de
INTERRED, la capa de INTERRED define un formato de paquete y protocolo
oficial llamado IP (protocolo de Internet) el trabajo de esta capa es entregar
paquetes IP a donde se supone que deben ir. Aquí la consideración más
importante es claramente el ruteo de los paquetes y también evitar la
congestión. Por lo anterior es razonable decir que la capa de Interred es muy
parecida a la capa de Red OSI.
44
transporte debe lograr que la multiplexación sea transparente para la capa
de sesión. La capa de transporte determina también que tipos de servicios
proporciona a la capa de sesión y finalmente a los usuarios de la Red. El tipo
mas popular de conexión de transporte es un canal de punto a punto libre de
errores que entregan mensajes o Bytes en el orden en que se enviaron. Sin
embargo, otras posibles clases de servicios de transporte son el transporte
de mensajes aislados sin garantía respecto al orden de entrega y la difusión
de mensajes a múltiples destinos. El tipo de servicio se determina al
establecer la sesión.
La capa de transporte es una verdadera capa de extremo, del origen al
destino. En otras palabras, un programa en el computador fuente sostiene
una conversación con un programa similar en el computador de destino,
haciendo uso de los encabezados de mensajes y de los mensajes de
control. En las capas bajas los protocolos se usan entre cada computador y
sus vecinas inmediatas, y no entre los computadores de origen y destino,
que pueden estar separadas por muchos enrutadores.
Además de multiplexar varias corrientes de mensajes por un canal, la capa
de transporte debe cuidar de establecer y liberar conexiones a través de la
Red. Esto requiere alguna clase de mecanismo de asignación de nombres,
de modo que un proceso en una computador pueda describir con quien
quiere conversar, También debe haber un mecanismo para regular el flujo de
información, a fin de que un nodo rápido no pueda saturar a uno lento. Tal
mecanismo se llama controla de flujo, el control de flujo entre dos nodos es
distinto del control de flujo entre enrutadores.
Esta capa también pertenece al modelo de referencia TCP/IP como
representante el protocolo de transporte TCP (Transmisión Control Protocol)
confiable y orientado a la conexión que permite que una corriente de bytes
originada en un computador de entregue sin errores en cualquier otro
computador. Este protocolo fragmenta la corriente entrante de bytes en
mensajes discretos y pasa cada uno a la capa de Interred el receptos
ensambla los paquetes así mismo regula la transmisión para no saturar
cualquier receptor lento.
45
El segundo protocolo de esta capa es el UDP (user datagrama protocol),
protocolo orientado sin conexión no confiable para aplicaciones que no
necesitan la asignación de secuencia ni el control de flujo. Este protocolo se
usa también para consultas de petición y respuesta de una sola ocasión y en
transmisiones donde la entrega pronta es mas importante que la entrega
precisa como las transmisiones de vos y video.
Aquí también se centrara nuestro Firewall
46
forma de insertar puntos de verificación en las corrientes de datos, de modo
que después de cada interrupción solo se deban repetir los datos que se
transfirieron después del último punto de verificación.
47
2.7 - LA CAPA DE APLICACIÓN
La capa de aplicación contiene varios protocolos que se necesitan con
frecuencia por ejemplo existen cientos de tipos de terminales incompatibles
en el mundo considere la situación de un editor de pantalla completa que
debe trabajar en una Red con muchos tipos diferentes de terminal cada uno
con formatos diferentes de pantalla, secuencia de escape para insertar y
eliminar texto, mover el cursor, etc. Una forma de resolver este problema es
definir una terminal virtual de Red abstracta que los editores y otros
programas puedan manejar. Para cada tipo de terminar se debe escribir un
programa para establecer la correspondencia entre las funciones de la
terminal virtual de Red y las de la terminal real, por ejemplo cuando el editor
mueva el cursor de la terminal virtual a la esquina superior izquierda de la
pantalla, este software debe emitir la secuencia apropiada de ordenes a la
terminal real para poner su cursor en ese lugar. Todo el software de terminal
virtual esta en la capa de aplicación.
Otra función de la capa de aplicación es la transferencia de archivos. Los
diferentes sistemas de archivos tienen convenciones diferentes para
nombrar los archivos, formas diferentes de representar líneas de texto. La
transferencia de un archivo entre dos sistemas diferentes requiere la
resolución de estas y otras incompatibilidades. Este trabajo también
pertenece a la capa de aplicación, lo mismo que el correo electrónico, la
carga remota de trabajos, la búsqueda en dirección y otros recursos de uso
general y especial.
48
CAPÍTULO III
EN ESTE CAPÍTULO SE DETALLARÁ ALGUNOS CONCEPTOS SOBRE
TECNOLOGIAS DE TRANSMISION A FIN DE ILUSTRAR MEJOR Y
ENTENDER MAS NUENTRO TRABAJO
S (t ) A.sen(2ft fase ( ))
49
3.1.3 - Conceptos del dominio de la frecuencia.
En la práctica, una señal electromagnética está compuesta por muchas
frecuencias. Si todas las frecuencias son múltiplos de una dada, esa
frecuencia se llama frecuencia fundamental. El periodo (o inversa de la
frecuencia) de la señal suma de componentes es el periodo de la
frecuencia fundamental. Se puede demostrar que cualquier señal está
constituida por diversas frecuencias de una señal seno (Fourier).
El espectro de una señal es el conjunto de frecuencias que constituyen
la señal. El ancho de banda es la anchura del espectro. Muchas
señales tienen un ancho de banda infinito, pero la mayoría de la
energía está concentrada en un ancho de banda pequeño.
Si una señal tiene una componente de frecuencia 0, es una
componente continua (corriente continua).
50
3.1.5 - Transmisión de datos analógicos y digitales
Los datos analógicos toman valores continuos y los digitales, valores
discretos.
Una señal analógica es una señal continua que se propaga por ciertos
medios. (cables electricos, aire, agua, etc.)
Una señal digital es una serie de pulsos que se transmiten a través de
un cable ya que son pulsos eléctricos.
Los datos analógicos se pueden representar por una señal
electromagnética con el mismo espectro que los datos.
Los datos digitales se suelen representar por una serie de pulsos de
tensión que representan los valores binarios de la señal.
La transmisión analógica es una forma de transmitir señales analógicas
(que pueden contener datos analógicos o datos digitales). El problema
de la transmisión analógica es que la señal se debilita con la distancia,
por lo que hay que utilizar amplificadores de señal cada cierta distancia.
La transmisión digital tiene el problema de que la señal se atenúa y
distorsiona con la distancia, por lo que cada cierta distancia hay que
introducir repetidores de señal.
51
3.2 - Perturbaciones en la transmisión
3.2.1 - Atenuación
La energía de una señal decae con la distancia, por lo que hay que
asegurarse que llegue con la suficiente energía como para ser captada
por la circuitería del receptor y además, el ruido debe ser
sensiblemente menor que la señal original (para mantener la energía de
la señal se utilizan amplificadores o repetidores). Debido a que la
atenuación varía en función de la frecuencia, las señales analógicas
llegan distorsionadas, por lo que hay que utilizar sistemas que le
devuelvan a la señal sus características iniciales (usando bobinas que
cambian las características eléctricas o amplificando más las
frecuencias más altas).
3.2.3 - Ruido
El ruido es toda aquella señal que se inserta entre el emisor y el
receptor de una señal dada. Hay diferentes tipos de ruido: ruido térmico
debido a la agitación térmica de electrones dentro del conductor, ruido
de intermodulación cuando distintas frecuencias comparten el mismo
medio de transmisión, diafonía se produce cuando hay un acoplamiento
entre las líneas que transportan las señales y el ruido impulsivo se
trata de pulsos discontinuos de poca duración y de gran amplitud que
afectan a la señal.
52
3.2.4 - Capacidad del canal (C)
Se llama capacidad del canal a la velocidad a la que se pueden
transmitir los datos en un canal de comunicación de datos. La velocidad
de los datos es la velocidad expresada en bits por segundo a la que se
pueden transmitir los datos. El ancho de banda es aquel ancho de
banda de la señal transmitida y que está limitado por el transmisor y por
la naturaleza del medio de transmisión (en hertzios). La tasa de errores
es la razón a la que ocurren errores. Para un ancho de banda
determinado es aconsejable la mayor velocidad de transmisión posible
pero de forma que no se supere la tasa de errores aconsejable. Para
conseguir esto, el mayor inconveniente es el ruido. Para un ancho de
banda dado W, la mayor velocidad de transmisión posible es 2W, pero
si se permite (con señales digitales) codificar más de un bit en cada
ciclo, es posible transmitir más cantidad de información.
La formulación de Nyquist nos dice que aumentado los niveles de
tensión diferenciables en la señal, es posible incrementar la cantidad de
información transmitida.
C 2W . log 2.M
El problema de esta técnica es que el receptor debe de ser capaz de
diferenciar más niveles de tensión en la señal recibida, cosa que es
dificultada por el ruido, cuanto mayor es la velocidad de transmisión,
mayor es el daño que puede ocasionar el ruido.
Shannon propuso la fórmula que relaciona la potencia de la señal (S),
la potencia del ruido (N), la capacidad del canal (C) y el ancho de
banda (W).
C W . log 2.(1 S / N )
Esta capacidad es la capacidad máxima teórica de cantidad de
transmisión, pero en la realidad, es menor debido a que no se ha tenido
en cuenta nada más que el ruido térmico.
53
3.2.5 - Diafonía o atenuación transversal, tal como su nombre lo indica,
significa dos fonías. Esto quiere decir que la señal transmitida por un
par logra ultrapasar a los demás pares adyacentes del cable,
produciendo de esta forma interferencias entre las líneas del cable. Es
frecuente cuando se está hablando por teléfono, escuchar otras
conversaciones ajenas a la propia. Este efecto que se produce en la
comunicación telefónica, se reconoce con el nombre de diafonía. Las
principales causas que generan la diafonía, son los desequilibrios
capacitivos y el bajo aislamiento entre los pares del cable, lo que
normalmente son producidos al realizar los empalmes.
Es importarte llamar la atención en este punto, dado que la diafonía, a
diferencia de otros defectos, son muy difíciles de localizar y reparar, por
lo tanto los técnicos encargados de realizar las uniones en los cables
deberán tomar todas las medidas pertinentes, con el objeto de evitar
que se produzcan desequilibrios capacitivos (pares split) o bajo
aislamiento en los cables. Este problema genera además acoplamiento
de señales en pares usados en transmisión de datos, y disminución de
velocidad de propagación de la señal.
La diafonía se define como la relación de potencia o voltaje que existe
entre el par interferido y el par interferente. Esta relación se expresa
con una potencia de 1mW la cual corresponde a 0dBm.
Se entiende por par interferente al que lleva la señal y el par interferido
donde se escucha la señal.
54
3.3 - MEDIOS DE TRANSMISIÓN
El propósito de la capa física es de transportar una corriente de bits sin tener
conocimiento de lo que se transfiere ni importarle su significado, Existen
diferentes tipos se enumerará algunas.
55
Este tipo de medio es el más utilizado debido a su bajo coste (se
utiliza mucho en telefonía) pero su inconveniente principal es su
poca velocidad de transmisión y su corta distancia de alcance.
Con estos cables, se pueden transmitir señales analógicas o
digitales.
Es un medio muy susceptible a ruido y a interferencias. Para evitar
estos problemas se suele trenzar el cable con distintos pasos de
torsión y se suele recubrir con una malla externa para evitar las
interferencias externas.
Pares trenzados apantallados y sin apantallar:
Los pares sin apantallar son los más baratos aunque los menos
resistentes a interferencias (aunque se usan con éxito en telefonía
y en Redes de área local). A velocidades de transmisión bajas, los
pares apantallados son menos susceptibles a interferencias,
aunque son más caros y más difíciles de instalar.
56
3.3.2.3. - Fibra óptica.- Se trata de un medio muy flexible y muy
fino que conduce energía de naturaleza óptica. Su forma es
cilíndrica con tres secciones radiales: núcleo, revestimiento y
cubierta. El núcleo está formado por una o varias fibras muy finas
de cristal o plástico. Cada fibra está rodeada por su propio
revestimiento que es un cristal o plástico con diferentes
propiedades ópticas distintas a las del núcleo. Alrededor de este
conglomerado está la cubierta (constituida de material plástico o
similar) que se encarga de aislar el contenido de aplastamientos,
abrasiones, humedad, etc.
Es un medio muy apropiado para largas distancias e incluso
últimamente para LAN's.
57
hasta que sólo sea posible la transmisión de un rayo, el rayo axial,
y a este método de transmisión se le llama monomodal.
Los inconvenientes del modo multimodal es que debido a que
dependiendo al ángulo de incidencia de los rayos, estos tomarán
caminos diferentes y tardarán más o menos tiempo en llegar al
destino, con lo que se puede producir una distorsión (rayos que
salen antes pueden llegar después), con lo que se limita la
velocidad de transmisión posible.
Hay un tercer modo de transmisión que es un paso intermedio
entre los anteriormente comentados y que consiste en cambiar el
índice de refracción del núcleo. A este modo se le llama Multimodo
de índice gradual.
Los emisores de luz utilizados son:
LED (de bajo coste, con utilización en un amplio rango de
temperaturas y con larga vida media) y
ILD (más caro, pero más eficaz y permite una mayor velocidad
de transmisión).
58
3.3.3.1 - Microondas terrestres.-Suelen utilizarse antenas
parabólicas. Para conexionas a larga distancia, se utilizan
conexiones intermedias punto a punto entre antenas parabólicas.
Se suelen utilizar en sustitución del cable coaxial o las fibras
ópticas ya que se necesitan menos repetidores y amplificadores,
aunque se necesitan antenas alineadas. Se usan para transmisión
de televisión y voz.
La principal causa de pérdidas es la atenuación debido a que las
pérdidas aumentan con el cuadrado de la distancia (con cable
coaxial y par trenzado son logarítmicas). La atenuación aumenta
con las lluvias.
Las interferencias es otro inconveniente de las microondas ya que
al proliferar estos sistemas, pude haber más solapamientos de
señales.
59
Las microondas son unidireccionales y las ondas de radio
omnidireccionales.
Las microondas son más sensibles a la atenuación producida por
la lluvia.
En las ondas de radio, al poder reflejarse estas ondas en el mar u
otros objetos, pueden aparecer múltiples señales "hermanas".
60
3.4.2 - Hub vs. Switch
Todos los ordenadores de los tres edificios están conectados entre sí
mediante Hubs, exceptuando los tres Switch que conecta los
ordenadores del edificio rentado con los del edificio propio A
continuación vamos a analizar las diferencias que existen entre un Hub
y un Switch, así como las ventajas que nos aporta uno frente al otro.
3.4.2.1 - HUB.-
Ventajas.- Un Hub es un dispositivo muy simple, esto influye en
dos características importantes:
El precio, es bastante bajo.
El retardo, un Hub casi no añade ningún retardo a los mensajes ya
que como hemos explicado anteriormente simplemente repite las
tramas que le llegan.
Desventajas:
Como ya sabemos un Hub es un dispositivo de nivel 1 según la
torre ISO de la OSI, ya que actúan como repetidores.
A pesar de que en éste nivel solo hay un destinatario de la
información, para asegurarse de que la recibe, el Hub envía la
información a todos los ordenadores que están conectados a él.
Este tráfico añadido genera más posibilidades de colisión.
Una colisión se produce cuando un ordenador quiere enviar
información y la emite de forma simultánea a otro ordenador. Al
chocar los dos mensajes se pierden y es necesario retransmitir.
Además a medida que añadimos ordenadores a la Red, también
aumentan las probabilidades de colisión.
Otro gran inconveniente de la utilización de los Hubs, es que el
hub funciona a la velocidad del dispositivo más lento de la Red,
con lo cual si tenemos un router para el acceso a Internet de 10
MB/seg., nuestra Red funcionará a 10 MB/seg. aunque nuestro
puerto sea de 10/100 MB/seg.
61
3.4.2.2 - SWITCH.-
es un dispositivo de la capa de enlace, es decir de nivel 2.
El Switch sabe en todo momento que ordenadores tiene
conectados a cada uno de sus puertos. Cuando se enchufa no
conoce las direcciones de los ordenadores de sus puertos, las
aprende a medida que circula información a través de él.
Cuando un Switch no conoce la dirección MAC de destino envía la
trama por todos sus puertos, al igual que un Hub (“Flooding”,
inundación.) Cuando hay más de un ordenador conectado a un
puerto de un Switch este aprende sus direcciones MAC y cuando
se envían información entre ellos no la propaga al resto de la Red,
a esto se llama filtrado.
Si en nuestra Red nos planteáramos sustituir los Hubs por los
Switch’s obtendríamos considerables ventajas.
Resumiendo, éstas son las características que hacen a un Switch
mucho más potente y eficaz que un simple Hub.
62
3.5.1.2 - Redes MAN (Metropolitan Área Network):
Son Redes de área metropolitana, su tamaño es superior a una
LAN, soliendo abarcar la longitud de una ciudad. Son Redes
típicas de empresas y organizaciones que poseen distintas
oficinas repartidas en una misma área metropolitana, por lo que su
tamaño máximo comprende un área de aproximadamente 10Km.
63
3.5.3 - Clasificación según la transferencia de datos soportada:
64
Para no alargar mucho éste cápitulo, únicamente vamos a recordar las
topologías LAN más comunes, debido a que son las que más nos interesan
conocer:
3.8 - Ethernet
Es una implementación del estándar 802.3, al contrario que ocurría en las
Redes Token Ring, en las Redes Ethernet existe un gran porcentaje de
colisiones debido a que en una Red de éste tipo hay muchos ordenadores
intentando enviar datos al mismo tiempo, y como solamente puede haber un
único mensaje en tránsito por el cable, se produce la colisión, pudiendo
llegar a saturar la Red.
65
3.9 - Conclusiones
Espero que esta primera parte halla ilustrado sobre una simple teoria que
servirá de base para lo que describiremos más adelante, esta primera parte
se ha resumido mucha teoria y solo se ha expuesto teoria que nos concierne
y como conocimiento básico para diseño y entendimiento de un sistema de
Red y seguridad informática, algunos parrafos del texto antes escrito tiene su
origen en el libro:
REDES DE COMPUTADORAS 3ra Ed.
AUTOR: Andrew S. Tanenbaum
Libro de amplio espectro en conceptos y tecnologias de comunicaciones de
datos.
66
SEGUNDA PARTE
(Recopilación de datos)
67
CAPITULO IV
68
4.3.1 - Instalaciones físicas HEP.
Computadores:
Edificio Propio : 63
Edificio Alquilado : 33
Concentradores:
Hub’s : 04
Switch’s : 03
Servidores:
Servidores : 07
69
4.3.1.1.1 - CUADRO DE DISTRIBUCIÓN DE TOTAL COMPUTADORES
# Total de Ejercen
Usuarios de Brindan Servicio Ingreso de datos
ÁREA Equipos en Transferencia de
Internet Asistencial a los Sistemas
Red Información
01 Personal 08 03 --- 02 05
02 Logística 10 03 --- 08 09
05 Patrimonio 05 01 --- 05 01
Dirección
06 02 01 --- 01 01
Administrativa
08 Economía 11 05 --- 04 07
09 Farmacia 07 01 03 05 05
Diagnóstico por
10 01 01 01 01
Imágenes
11 Rayos X 01 --- 01 01 01
70
# Total de Ejercen
Usuarios de Brindan Servicio Ingreso de datos
ÁREA Equipos en Transferencia de
Internet Asistencial a los Sistemas
Red Información
Dirección
12 03 01 --- 02 02
Ejecutiva
Servicios
13 01 01 --- 01 01
Generales
Estadística &
14 05 02 --- 05 05
Informática
15 Epidemiología 03 01 --- 02 02
16 Pediatría 05 03 --- 02 04
18 SIS 02 01 --- 02 02
Recursos
21 02 02 --- --- 02
Humanos
Soporte
22 06 03 --- --- 06
Informático
71
# Total de Ejercen
Usuarios de Brindan Servicio Ingreso de datos
ÁREA Equipos en Transferencia de
Internet Asistencial a los Sistemas
Red Información
Cajas
23 02 --- 02 02 02
recaudación
24 Admisión 01 --- 01 01 01
25 UTAB 01 --- 01 01 01
27 Laboratorio 03 01 --- 02 03
30 Emergencia 01 --- 01 01 01
Almacén
31 01 --- --- 01 01
Farmacia
72
4.3.1.2 - Bienes Inmuebles:
El hospital posee Dos (2) locales o edificios, en donde desarrollan
sus actividades, consta de un local Propio otro local Alquilado,
Muy buena parte de los trabajadores se encuentra en el local
alquilado, se mencionará las áreas que pertenecen a cada local
así analizaremos con más detalle y precisión.
73
4.3.1.2.2 - Local propio: Se ejecuta tanto la asistencia médica
a usuarios como trabajo administrativo
74
La infraestructura es precaria y de poca seguridad frente a sismos y/o
inundaciones por lluvias fuertes, aunque es un sitio central y estratégico
para la localización de los servidores todavía no posee las
características pertinentes para un centro de cómputo, la dirección de
Estadística e Informática esta gestionando acondicionar el lugar
correctamente.
75
CAPITULO V
76
son Base10TX y los Switch son Base10/100TX, Las tarjetas de Red de
los computadores son de transmisión 10/100TX.
5.2.2 - En el edificio propio:
Se encuentra el resto de los computadores servidor local y el Router
CISCO CONECTADO AL MODEM DTU para conectarse a Internet. El
Router provee las direcciones IP Publicas en el rango de 17: IP
162.192.5.(6-19)/26.
Tenemos implementado un servidor LINUX Fedora Core 6 de versión
8.0 de Kernel 2.4, el Servidor Linux esta configurado como Firewall y
posee dos tarjetas de Red 100/10X que están conectadas ambos
puertos Ethernet a un mismo Switch, el programa Squid se ejecuta en
el servidor y no se hace la función de NAT con ninguna regla, ninguna
configuración de reglas de IPTables protege la Intranet, las reglas del
Firewall se examinan en la primera parte
Allí mismo tenemos otros dos concentradores un HUB y un Switch que
conecta los servidores y los demás computadores de la Intranet, de
ellos se conectan dos HUB y un Switch distribuidos en toda la red que
abastecen las áreas de economía y asistencial.
Por tanto tenemos un total de 63 ordenadores conectados en Red y
distribuidos por todo el edificio y conectados en red.
77
5.3 - Topología de la red
Como ya sabemos, existen diversos tipos de redes explicadas en la Primera
Parte, nuestra Red es una LAN de tipo Fast Ethernet 100/10 Mbps con una
tecnología de transmisión broadcast (Ethernet). Todos los ordenadores
disponen ya de tarjetas de red Ethernet o Fast Ethernet, con lo cual nosotros
seguiremos manteniendo ésta topología.
78
de la institución, estos volúmenes de redes se asignan a los usuarios
mediante unos clientes, tanto el cliente 3.31 para Win9x y el cliente
4.83 para WinXP/2K, en esta versión de cliente por la experiencia
llevada, se ha concluido que el cliente 4.83 es más estable que el 4.9;
El protocolo de comunicación TCP/IP de esta versión de sistema
Operativo es el protocolo utilizado para el establecimiento del modo de
comunicación cliente-servidor; en lo que concierne a la seguridad, el
Sistema Operativo ejecuta un NLM (Netware Load Module) que es
proveído por la empresa HACKSOFT y su actualización se dá mediante
futuras versiones lanzadas por el fabricante.
En lo que concierne al HARDWARE donde se ejecutan estos sistemas,
es un servidor IBM NetFinity 3500 con un procesador de 350 MHz
posee 64MB de memoria RAM PC100, disco duro de tecnología SCSI
de 8GB y una tarjeta de Red Ethernet de 100/10TX.
El criterio de protección a fallos de hardware es nulo en este servidor ya
que no posee ningún arreglo de servidor BACKUP o RAID de Discos
Este servidor se encuentra instalado físicamente en el área de soporte
técnico informático
79
En este sistema se ha creado las cuentas de usuarios a todos aquellos
que son permitidos tenerlas, también política de la institución; los
usuarios utilizan el OUTLOOK EXPRESS de Windows como el cliente
manejador de correos.
La seguridad de este sistema depende del Software antivirus THE
HACKER, este software antivirus se actualiza vía Internet de forma
automática, también cuenta con su Service Pack #6 que es e ultimo de
su generación.
Se ha examinado la seguridad de los datos y no cuenta con ningún
sistema se seguridad a fallos de Hardware, no posee servidor BDC ni
ningún sistema RAID de discos.
En lo que concierne al HARDWARE donde se ejecutan estos sistemas,
es un servidor IBM NetFinity 3500 con un procesador de 350 MHz
posee 64MB de memoria RAM PC100, disco duro de tecnología SCSI
de 8GB y una tarjeta de Red Ethernet de 100/10 TX.
Este servidor se encuentra instalado físicamente el área de Estadística
e Informática
80
propio Internet; el protocolo de enlace es un RAS (Remote Access
Service) por el puerto no privilegiado 43XX.
En la configuración de Red de este servidor se involucra a dos
protocolos de Red IP, un protocolo esta configurado con una dirección
de la clase “C” (192.168.1.35) y una dirección pública para las
conexiones vía RAS. Posee una dirección pública (161.132.229.195).
No existe protección cuando el servicio RAS es activado vía MODEM,
ya que debería ser filtrada toda conexión con el Internet, esto se puede
ver en la siguiente figura
Este sistema solo es ejecutable correctamente en plataforma Windows
98 y no se tiene versión más actual lanzada por el MEF hasta el
momento, solo es actualizada periódicamente llevando el computador
al Ministerio de Economía y Finanzas (MEF)
La seguridad de los datos es ejecuta mensualmente y son grabados en
un CDRom y enviados al ministerio de economía; el servidor también
no cuenta con algún plan de contingencia a fallas de Hardware.
En lo que concierne al HARDWARE donde se ejecutan estos sistemas,
este es una PC ensamblada de Tecnología Intel con Chipset 865, la
velocidad de procesamiento es de 3.2GHz el disco duro es de 80GB
(IDE) de 7200 RPM con SATA 133MHz, cuenta con una memoria de
512MB PC2700 y una tarjeta de Red Ethernet de 100/10 TX. De marca
3COM 905Cx, por supuesto el Windows 98Se no tiene su núcleo
actualizado a los chips 865 de transferencia de información de la tarjeta
principal y su rendimiento es limitado. Este servidor se encuentra
instalado físicamente en el área de Economía
81
5.6.3.1 - Localización del servidor SIAF en la red del ministerio de Economía
82
5.6.4 - El servidor FIREWALL.-
Este servidor esta diseñado para brindar una protección contra
atacantes de Redes desde el exterior y Regular el tráfico interno-
externo de la Intranet, así como hacer conexiones nuevas o
modificarlas, este servidor no filtra tráfico de correo ni trafico Web, no
define algún tipo de Firewall ni ejecuta plantillas de restricciones de
direcciones prohibidas, tampoco ejecuta Script para restringir
conexiones a determinadas horas de trabajo, no realiza supervisión de
conexiones registradas o fallos a logueos externos e internos
83
5.6.7 - Departamentos informáticos del H.E.P.
84
Realizar la coordinación con los técnicos del proveedor con el fin
de resolver los problemas técnicos y garantizar la instalación de
los productos en caso se adquieran.
Proponer las notas técnicas y recomendaciones para el uso
óptimo de los sistemas instalados.
Esta área realiza también mantenimiento a los equipos de
cómputo a todo el hospital en forma periódica y con más
frecuencia a los computadores que prestan servicio asistencial,
incluye impresoras en general.
85
5.7.3 - Soporte Técnico
El técnico de soporte informático del H.E.P. que es una persona
experta realiza configuraciones de los sistemas operativos, también
esta al tanto con las últimas tecnologías y así asesora en cualquier
adquisición de un bien informático, también realiza configuraciones de
hardwares de computadora, aplicativos y utilitarios, también es de su
competencia desarrollar el plan de trabajo que se detallará mas
adelante.
86
5.8 - RED ACTUAL DEL HOSPITAL EMERGENCIAS PEDIATRICAS
87
CAPITULO VI
ANALIZANDO MEJORAS EN LA RED ACTUAL
88
del local, En este caso el HEP esta dentro de los limites reglamentarios
algo desordenados como ya veremos.
89
Transformador de aislamiento.- Es un importante artefacto que
se coloca a la entrada de una red de datos primordialmente,
este componente eléctrico de potencia filtra las corrientes
parásitas y limpia la señal eléctrica de sus armónicos
haciéndola mas limpia, la instalación de este transformador
debe ser supervisada por un experto en el campo eléctrico a fin
de no sobrecargarla.
90
Hosts envían de forma constante peticiones ARP, envíos RIP,
peticiones DNS, etc.
Por tanto puede llegar un momento en el que dicho tráfico puede
congestionar toda la red de forma inaceptable al consumir un ancho de
banda excesivo.
Entonces por razones de rendimiento y para solucionar estos
problemas es necesario dividir la red en una serie de subredes, de tal
forma que cada una de ellas va a funcionar luego a nivel de envío y
recepción de paquetes como una red individual, aunque todas
pertenezcan a la misma red principal (pero no por tanto al mismo
dominio o subred).
De esta forma a nivel administrativo podremos considerar subredes
bien diferenciadas, consiguiendo con ello un control del tráfico de la red
y una limitación de las peticiones de broadcast que la atraviesan.
A continuación segmentaremos la red de computadores reagrupando
por localización, se describe en la siguiente tabla la configuración:
Totales
Dominios Áreas involucradas
PC
Logística, planificación, Control interno,
A Patrimonio, Dirección Administrativa, 25
almacén General
Farmacia, Diagnostico por Imágenes,
Rayos X, Dirección Ejecutiva,
B 21
Servicios Generales,
Estadística e Informática, Epidemiología
C Personal y Economía 19
D Resto de áreas 31
91
6.2.3 - Distribución de las Direcciones IP (actual)
Para la asignación de las direcciones actualmente se utiliza una Red
privada de clase C:
Red : 192.168.1.0
Máscara : 255.255.255.0
Con ésta red se tiene 256 direcciones, pero solo 254 son
aprovechables para Hosts, ya que la primera dirección (192.168.1.0)
define la propia red, y la última (192.168.1.255) se utiliza para
direcciones broadcast.
Por tanto con una red de éste tipo podemos tener hasta 254 Hosts en
red, como es obvio, ya que nuestra red se compone de 93
ordenadores, una red de clase C colma todas las IP que tenemos en
nuestra Red
Las direcciones desde 192.168.1.1 hasta 192.168.1.10, serán
reservadas para servidores.
El servidor Firewall tiene la dirección 192.168.1.1 (eth1), y el resto de
servidores siguen una numeración aleatoria.
Mas adelante analizaremos más variables en donde comprometerán la
Red, por lo tanto vistas todas las ventajas que aporta el uso de
subredes, vamos a realizar los diseños.
92
Ya que tenemos cuatro departamentos cada uno con un número
de ordenadores no superior a 40, nos bastará con cuatro
subredes, (A, B, C, D), además la disposición de los
computadores y del arreglo físico de los computadores nos lleva
agruparlos cómodamente en cuatro grupos en las cuales
trataremos de segmentarla de tal forma reduzca el broadcast de la
red, darle seguridad a las dependencias entre si.
2 5 2 32 2 30 _ bits _ de _ HOST
Con lo cual tendríamos muy limitada la ampliación de Hosts,
también en el edificio D tenemos 31 computadores con
tendencia a aumentar el cual no nos permite alcanzar el
rango deseado.
93
6.2.4.1.2 - Segunda opción:
De la misma forma que en la opción anterior tenemos la red
192.168.1.0, si le aplicamos la máscara 255.255.255.192 o
/26, (2 bits de subred y 6 bits de Host), la divide en 4
subredes de 64 direcciones cada una.
() 2bits _ de _ red, _ 6bits _ de _ host
2 2 4 _ bits _ de _ RED
2 6 64 _ bits _ de _ HOST
Evidentemente con 62 direcciones (64 menos las dos
direcciones reservadas) en cada subred tenemos suficiente,
ya que actualmente el número de Hosts no supera los 40 en
total. El problema ahora viene determinado por el número de
subredes, ya que en éste caso si será necesario utilizar
subnet-zero para poder aprovechar íntegramente las 4
subredes, ya que de no poder cometer esta pequeña
infracción nos quedarían únicamente 2 subredes, que
obviamente no son suficientes para cubrir los servicios de los
cuatro departamentos, si queremos asignarles a cada uno de
ellos una subred diferente.
2 2 2 4 2 2 _ bits _ de _ RED
2 6 2 64 2 62 _ bits _ de _ HOST
Una vez vistos ambos casos, se ve claramente que ninguna
de las opciones es la adecuada, y también pudiendo con el
tiempo llevarnos a una reestructuración de la red pero que no
sería a corto plazo, si observamos la relación de ordenadores
hecha anteriormente, podemos ver que los edificios están
ligeramente descompensados en lo que al número de
ordenadores se refiere En un pequeño cálculo del promedio
tenemos (31+19+25+21)/4=24, las varianzas respectivas
difiere en pequeño numero de las cantidades originales.
94
6.2.4.2 - Segundo análisis: Subredes con máscaras de tamaño
variable, Ésta técnica consiste en dividir una red en subredes de
diferentes tamaños, de ésta forma si tenemos varias oficinas o
departamentos cada una con un número determinado de Host, no
es necesario asignarles a todos ellas subredes del mismo tamaño.
95
Parte A-- 25 computadores
Le asignamos una subred de 62 direcciones:
Subred (ID) Máscara Subred/bits de máscara
192.168.1.64 255.255.255.192 192.168.1.64/26
96
6.2.4.3 - Tercer análisis: Subredes con máscaras iguales e ID
diferente
97
Como se puede ver en todas las configuraciones el ID es diferente
significando que las PC no se podrán ver siendo necesario rutar
los paquetes. También eliminando el tráfico BROADCAST
considerablemente.
En la zona DMZ también se considerará una red de (ID) diferente
para todos los casos
98
6.2.5 - REESTRUCTURACIÓN DE LA INTRANET HEP. A CORTO PLAZO
99
6.2.6 - Conclusión
Las segundas opciones de los dos análisis (fijo y variable) son buena
configuración para nuestra red.
Partiendo del hecho de la ventaja de que la división en subredes no
tiene porque hacerse necesariamente de forma homogénea en todo el
espacio de direcciones se ha planteado estas opciones de
configuración y segmentación donde está supeditada a que los nodos
de concentración de estas subredes deben tener características de
router.
100
6.2.7 - TOPOLOGIA FINAL HEP.
101
6.2.8 - Asignación personalizada de los IP para la configuración del
FIREWALL.-
Los segmentos A, B, C y D llevar una misma máscara y misma
cantidad de IP, red segmentada.
NÚMEROS DE
SEGMENTOS SUBRED MÁSCARA
HOST ASIGNADOS
A 62 192.168.1 255.255.255.0
B 62 192.168.1 255.255.255.0
C 62 192.168.1 255.255.255.0
D 62 192.168.1 255.255.255.0
8 Personal C 192.168.1.(11..19)/24
11 Economía C 192.168.1.(20..31)/24
19 TOTAL C C 192.168.1.(11..62)/24
10 Logística A 192.168.1.(65..74)/24
4 Planificación A 192.168.1.(75..78)/24
5 Patrimonio A 192.168.1.(81..85)/24
Dirección
2 A 192.168.1.(86..87)/24
Administrativa
102
NÚMERO DE
# PC UNIDAD ÁREA
IP / MASK
25 TOTAL A A 192.168.1.(65..126)/24
7 Farmacia B 192.168.1.(129..135)/24
Diagnóstico
1 B 192.168.1.136/24
por Imágenes
1 Rayos X B 192.168.1.137/24
Dirección
3 B 192.168.1.(138..140)/24
Ejecutiva
Servicios
1 B 192.168.1.141/24
Generales
Estadística &
5 B 192.168.1.(142..146)/24
Informática
3 Epidemiología B 192.168.1.(147..149)/24
21 TOTAL B B 192.168.1.(129..190)/24
5 Pediatría D 192.168.1.(193..197)/24
1 Nutrición D 192.168.1.198/24
2 SIS D 192.168.1.(199..200)/24
1 Enfermería D 192.168.1.201/24
Servicio
1 D 192.168.1.202/24
Social
Recursos
2 D 192.168.1.(203..204)/24
Humanos
Soporte
6 D 192.168.1.(205..210)/24
Informático
Cajas
2 D 192.168.1.(211..212)/24
recaudación
1 Admisión D 192.168.1.213/24
1 UTAB D 192.168.1.214/24
1 UTIP D 192.168.1.215/24
103
NÚMERO DE
# PC UNIDAD ÁREA
IP / MASK
3 Laboratorio D 192.168.1.(216..218)/24
Cuerpo
2 D 192.168.1.(219..220)/24
Médico
1 Auditorio D 192.168.1.221/24
1 Emergencia D 192.168.1.222/24
Almacén
1 D 192.168.1.223/24
Farmacia
31 TOTAL D D 192.168.1.(193..254)/24
Ejemplo:
En tal caso un ejemplo:
Actualmente:
31 TOTAL D D 192.168.1.(193..254)/24
104
6.3 - Recomendaciones generales para:
6.3.1 - Servidores
105
El servidor PERSONAL.- recientemente comprado, también se instalará
un Windows 2000 y tiene que estar supervisado por el área de
Informática ya que terceros desarrollarán el programa y su instalación
de la base de datos, las mejoras dependen del buen contrato realizado.
El sistema operativo WINDOWS 2000 deberá estar actualizado en su
totalidad y con sus services pack al igual que el sistema SQL 2000
106
NORMA MULTIPARTE ISO/IEC 13335 (GMITS).- En esta norma se
recogen las etapas del ciclo de gestión de la seguridad proporcionando
orientaciones organizativas y técnicas, la versión española de esta
norma multiparte es la UNE 71501.
107
6.4 - Zona de operatividad del firewall aplicado
Los cortafuegos o Firewall de filtrado de paquetes funcionan el mas capas
de transporte y de red, trabajando sobre la información de las cabeceras de
los paquetes IP, esto quiere decir que no se analiza el área de DATOS, en la
siguiente tabla se tendrá en consideración que nuestro firewall solo protege
parte de la red y que para una protección más sofisticada necesitamos de
más armas así cubrir todas las capas o pilas de la comunicación.
108
6.5 - CONCLUSIÓN:
Como hemos visto en los planos de la distribución se empleará un Firewall
con zona DMZ con tres Interfaces de Red, se implementará un Proxy
configurado a pedido de la unidad de Estadística e Informática y el Firewall
se configurará examinado la Red.
109
TERCERA PARTE
(Diseño y resultado de la investigación)
110
CAPÍTULO VII
Soporte ACL
El soporte ACL añadido al kernel en los primeras dos lanzamientos
beta demostraron ser inestable y causar que el kernel retrocediera.
Fedora Core por lo tanto ha eliminado el soporte ACL del kernel para
Fedora Core 9. Los ingenieros del Kernel continuarán trabajando para
mejorar el soporte ACL, el cual estará disponible para futuras entregas.
Los paquetes attr y acl necesitados para soportar ACLs están todavía
incluidos para hacer las cosas más fáciles para usuarios y
desarrolladores que deseen probar ACLs. Fedora Core puede, a
nuestra discreción, proporcionar el soporte para ACL para esta entrega
de Fedora Core con fines de actualización, si las pruebas futuras
demuestran que el soporte para ACL ha mejorado lo suficiente su
calidad.
111
Muy aparte del algoritmo para seleccionar el proceso a ejecutarse
tampoco es escalable con respeto al número de procesos, para decidir
que proceso ha de ejecutarse se recorre toda la lista de procesos no
existe problema para esto pero cuando la cantidad de procesos se
eleva considerablemente (10000), se tendrá que consumir parte de
CPU afectando el rendimiento por lo que también es un algoritmo no
óptimo.
Para solucionar el problema de la asignación de procesos, el nuevo
kernell2.6 en su Scheduler no hay una lista global de procesos sino una
lista para cada procesador, así cada procesador será autónomo y
escogerá que proceso le es más conveniente de su lista y tratarlo.
Podría ser que en una CPU sus procesos se acabasen para ello existe
un hilo que se encarga de balancear los procesos de todas las CPU.
Y con respecto al problema de escalabilidad de procesos de crea una
máscara de bits sobre cada Array eso conlleva a una ejecución de dos
instrucciones de procesador para encontrar el próximo proceso lo cual
hace un algoritmo muy eficiente.
Otra cosa nueva que trae este Scheduler es una nueva política de
planificación de procesos conocida como “batch Sheduling” significa
que esta tarea no se ejecutara hasta que todos los procesos hayan
agotado sus “timeslices”, es decir se efectúa prioridades (nice), pero
siempre existe la probabilidad de que un proceso con (nice 0) se
ejecute antes de un proceso con (nice 10), con el Batch scheduling se
asegura de que una tarea no interfiera en absoluto con el resto del
sistema.
(Proceso reescrito por Ingo Molnar, desarrollador Linux)
Inversión de prioridades
EL batch scheduling trae algunos efectos negativos que cabe resaltar,
como es la inversión de prioridades, algo que NO esta solucionado en
Linux (si en otros sistemas operativos como NT).
Explicaremos para dar un ejemplo,
112
Pongamos que tenemos tres procesos: A, B, C. El proceso A es una
tarea que se ejecuta con prioridad alta, la B con una normal (nice 0), y
la C como “batch scheduling” (muy baja). Pongamos que la tarea C
adquiere un bloqueo y que necesita ser liberado para que A se ejecute.
Ahora pongamos que la tarea B necesita ejecutarse; como la tarea C
no se ejecutara hasta que la B termine, el resultado es que la tarea B
se ejecutara y la A no, es decir la tarea B acaba ejecutándose como si
tuviera la prioridad de A (de allí inversión de prioridades). La solución a
esto es la “herencia de prioridades” si se quiere que la tarea A se
ejecute lo que se necesita es dar la prioridad de A a C.
Aparte de todo esto, los algoritmos que se han diseñado de nuevo en
muchos casos consiguen asegurar una buena interactividad, que no
haya “casos esquina”, por lo que se consigue una mayor eficiencia en
la mayoría de los problemas que venían dándose en el kernel 2.4.X
consiguiendo una buena planificación de los procesos del sistema.
113
7.1.5 - Mejora del algoritmo de asignación de PID’s
Según parece la complejidad del algoritmo que daba un PID para
asignarlo al siguiente proceso que crear era de complejidad cuadrática
O(n2) y lo que hacia era que cuantos más procesos había en la
máquina, más costosos en tiempo fuera obtener un PID libre.
Evidentemente no es habitual (por ahora) tener en la maquina tantos
procesos como para que se note la merma en el rendimiento sólo para
encontrar el siguiente PID. Pero con los recientes avances en el
soporte multihebra del núcleo (principalmente la NPTL) y con sus
pruebas de decenas de miles de Threads simultáneos se esta logrando
buen rendimiento.
Para obtener un listado de la documentación disponible. Para más detalles consulte el sitio Web de OProfile
en http://oprofile.sourceforge.net.
114
CAPÍTULO VIII
Requerimientos de hardware
La siguiente información representa los requerimientos mínimos de hardware
necesarios para instalar exitosamente Fedora Core 9:
CPU:
Mínimo: clase Pentium
Recomendado para modo texto: 200 MHz clase Pentium o superior
Recomendado para gráficos: Pentium II 400 MHz o superior
Espacio en disco duro:
Instalación personalizada texto (mínima): 128MB de RAM
Recomendación de 256MB de RAM
Instalación personalizada (todo): 9.0GB
115
8.2 - Se cuenta con una PC de las siguientes características:
116
apropiadamente o con fuentes de dudosa reputación). Para usar esta prueba
se puede ejecutar en el intérprete de comandos boot: Linux mediacheck o
simplemente instale y ejecute la opción (Test-CD) en Anaconda, nosotros
ejecutaremos la segunda opción.
117
CAPITULO IX
118
inicializarlo de manera automática cada vez que se encienda o reinicie el
servidor Firewall.
9.4 - ESQUEMA, REQUISITOS Y CONDICIONES PARA EL SCRIPT
Regla Número: Descripción de la regla aplicada
TRAFÍCO DE CABECERA
PRESENTACIÓN:
Se expone un breve saludo y algunos
comentarios indicando autor, política por
defecto, etc.
DECLARACIÓN DE VARIABLES
Para un fácil manejo y mantenimiento de
nuestro script se declaran variables, en ello
nos indica los datos de nuestra Red
119
TRAFÍCO LAN WAN
Permitir acceso al Internet:
HTTP cliente p(80), HTTPS cliente p(443)
NNTP NEWS cliente p(119)
POP cliente p(110)
IMAP cliente p(143)
SMTP cliente p(25)
WHOIS cliente p(43)
Actualización de antivirus por puerto XYZ
Acceso para la máquina de soporte en:
FTP cliente p(21), TELNET cliente p(23)
IRC cliente (6667)
ICQ cliente (4000)
120
CAPÍTULO X
10.1 - INSTALACIÓN DEL SISTEMA OPERATIVO (BÁSICO)
Comienza teniendo una máquina íntegramente y dedicada para un Linux
Firewall con Fedora Core 6, se deja bootear el DVD el cual aparece:
121
programa instalador de FEDORA CORE, si existe algún controlador o
tecnología importante en el kernell que no este presente en la base de datos
del Linux FEDORA CORE 6, el sistema se plantará y no seguirá su
reconocimiento anunciando que debemos obtener un Linux más actualizado
122
Escogemos el lenguaje del teclado (Español Latinoamericano).
123
Creamos una disposición personalizada de las particiones hda
124
Creamos la partición “/boot”, sistema de archivos ext3, 200MB de boot y tipo
primaria.
125
Y finalizamos con el montaje final “/” la raíz donde se albergara todo el
sistema de archivo ext3
126
Usamos el gestor de arranque GRUB
127
El nombre de nuestro FIREWALL
128
Para la selección de paquetes seleccionamos los tres puntos y
personalizamos la selección de software: -ningún tipo de servidor, -algunas
aplicaciones de ofimática y -algunos paquetes de software importantes
129
Nuestro entorno gráfico KDE
130
10.2 - CONSIDERACIONES POST-INSTALACIÓN
Con estos comandos nos ayudamos a saber que tipo y que realiza
cada proceso que se hallo en el archivo de Instalación: “install.log” en la
carpeta /root/
131
10.2.1.1 - Análisis de servicios instalados: examinación de
demonios en ejecución
Servicio: acpid Recomendación: NO ejecutar
Demonios: acpid
Descripción: Demonio que envia eventos ACPI a programas
Consideraciones: No importante
Demonios: Autofs,
Herramienta para montar y desmontar sistemas de
Descripción:
ficheros automáticamente
Consideraciones: Ejecutar cuando se necesite solamente
132
Servicio: portmap Recomendación: NO ejecutar
Demonios: portmap,
El programa portmapper es una herramienta de seguridad
que previene el robo de NIS, NF y otra información
Descripción: sensitiva a través de portmapper. Un portmapper
administra conexiones RPC, que se usan en los
protocolos como NFS y NIS
debe instalarse en cualquier máquina que actúe como un
Consideraciones:
servidor para protocolos que usan RPC.
133
Servicio: cups Recomendación: No ejecutar
Demonios: Cups
Entre sistemas operativos UNIX®. Fué desarrollado por
Easy Software Products para promover una solución de
Descripción: impresión estándar para todos los vendedorese y
usuarios de UNIX. CUPS provee las interfases de línea
de comando de System V y Berkeley
Consideraciones: Ejecutar cuando sea necesario
134
Servicio: firstboot Recomendación: NO ejecutar
Demonios: firsboot
La utilidad firstboot corre luego de la instalación. Guía al
Descripción: usuario a través de una serie de pasos que le permitirán
configurar fácilmente la computadora.
Consideraciones: No importante
135
Servicio: Ip6tables Recomendación: NO ejecutar
Demonios: iptables-ipv6
El paquete iptables-ipv6 agrega soporte de IPV6 (la
próxima versión del protocolo IP) a iptables. Iptables
Descripción: controla el código de filtrado de paquetes del kernel de
Linux, y permite configurar cortafuegos y
enmascaramiento de IP.
Consideraciones: No utilizado todavía
136
Servicio: isdn Recomendación: NO ejecutar
Demonios: isdn4k-utils
El paquete isdn4k-utils contiene una colección de
Descripción:
utilidades para la configuración de subsistemas RDSI.
Consideraciones: No utilizable
137
Servicio: nfs-utils Recomendación: NO ejecutar
Demonios: nfs, showmount,
El paquete nfs-utils provee un demonio para el servidor
NFS del kernel y herramientas relacionadas, que
proveen un nivel más alto de performance que los
servidores NFS de Linux tradicionales usado por la
Descripción: mayoría de los usuarios. Este paquete también contiene
el programa showmount. Showmount consulta el
demonio de montaje en un equipo remoto por
información acerca del servidor de NFS (Sistema de
Archivo en Red) en el equipo remoto.
Consideraciones: peligroso
138
Servicio: nscd Recomendación: NO ejecutar
Demonios: nscd
Nscd captura búsquedas en el servicio de nombre y
Descripción: puede mejorar dramáticamente la performance con
NIS+, y a la vez ayudar con el DNS.
Consideraciones: No se ejecuta servicios DNS
Servicio: ntp Recomendación: NO ejecutar
Demonios: ntp
El Network Time Protocol (NTP) se utiliza para
sincronizar la hora de un ordenador con otra de
referencia. El paquete ntp contiene utilidades y
demonios de sistema que sincronizan la hora del
Descripción: ordenador con la hora Coordinated Universal Time
(UTC) por medio del protocolo y de un servidor NTP. El
paquete ntp incluye ntpdate (un programa para obtener
la hora y fecha del ordenador remoto via red) y ntpd
(demonio de sistema que continuamente ajusta la hora)
Consideraciones: No es de necesidad
139
Servicio: pcsc-lite Recomendación: NO ejecutar
Demonios: pcsc
Demonio para proveer una interfase SCard de
Windows(R) en un factor de forma muy pequeño para la
comunicación con smartcards y lectores. PC/SC Lite usa
el mismo API winscard que se usa en Windows(R). Este
Descripción:
paquete incluye el demonio de PC/SC Lite, un
administrador de recursos que coordina las
comunicaciones con los lectores de tarjetas inteligentes
y las tarjetas inteligentes que se conectan al sistema.
Consideraciones: No necesario
140
Servicio: rdisc Recomendación: NO ejecutar
Demonios: rdisc
El Este paquete contiene varias utilidades para controlar
y configurar los dispositivos conectados al bus PCI. Las
utilidades ofrecidas en este paquete requieren la versión
2.1.82 o una posterior del kernel (necesita del soporte
Descripción: para la interfaz /proc/bus/pci).programa RDist mantiene
un copias idénticas de archivos en múltiples equipos. Si
es posible, RDist preservará el dueño, grupo, modo, y
mtime de los archivos y puede actualizar programas que
se estén ejecutando.
Consideraciones: No importante
141
Servicio: pciutils Recomendación: NO ejecutar
Demonios:
142
Servicio: telnet Recomendación: NO ejecutar
Demonios: telnet
telnet es un protocolo popular para entrar en sistemas
Descripción: remotos a través de Internet. El paquete telnet contiene
un cliente telnet de línea de comando.
Consideraciones: peligroso
143
Servicio: vnc Recomendación: NO ejecutar
Demonios: Vnc
Es un sistema de pantalla remota que permite ver el
entorno de escritorio de cómputos no sólo de la máquina
en donde está corriendo, sino de cualquier lugar en
Descripción: Internet y de una amplia variedad de arquitecturas de
computadora. Este paquete contiene un cliente que le
permitirá conectar a otros escritorios que corran un
servidor VNC.
Consideraciones: peligroso
144
Servicio: ypbind Recomendación: NO ejecutar
Demonios: ypbind
El Servicio de Información de Red (NIS) es un sistema
que proporciona información acerca de la red (login,
contraseñas, directorios de usuario, información sobre
grupos) a todos los ordenadores de la red. NIS puede
permitir el login a usuarios en cualquiera de los
Descripción:
ordenadores de la red, siempre que en la máquina se
estén ejecutando los programas cliente de NIS y la clave
de usuario esté guardada en la base de datos passwd de
NIS. NIS también se conocía como Sun Yellow Pages
(YP).
Consideraciones: No se ejecutará ningún servicio NIS
145
Recurso en análisis DESCONECTAR EL SERVIDOR DE LA RED
Es recomendable cuando se instala aplicaciones, se
configura o se le de algún tipo de mantenimiento al
Comentario en
servidor es recomendable desconectarlo de la red, en
la seguridad
nuestro caso se desconectará antes de aplicar las
opciones de seguridad.
Acciones a seguir Desconectamos la res con network stop
146
ROOT
Ingresar primero con una cuenta usuario y luego ejecutar
Rutina de ejecución el comando “su” e identificar que las PC cuenten con
encriptamiento
147
[root@HEP /]# /sbin/init q ↲
148
Recurso en análisis Deshabilitando Ctrl.-Alt-Delete, comando shutdown
Para prevenir accidentes es mejor deshabilitar el juego de
teclas que por defecto es un comando de apagado
Comentario en
la seguridad
inmediato:
149
Recurso en análisis SEGURIDAD PARA EL ARCHIVO “/etc/service”
Este archivo contiene los puertos por defecto y sus
Comentario en
aplicaciones vinculadas, es solo derecho íntegro de
la seguridad
modificación para el administrador root.
Acciones a seguir Inmunizamos el archivo con el comando “chattr”
150
Recurso en análisis CUENTAS ESPECIALES y BUIL-IN
Es importante deshabilitar cualquier cuenta que venga
Comentario en
por defecto, ejecutamos las siguientes líneas a fin de
la seguridad
eliminarlos.
Acciones a seguir Desinstalaremos paso a paso
[root@HEP /]# userdel -r adm
[root@HEP /]# userdel -r lp
[root@HEP /]# userdel -r shutdown
[root@HEP /]# userdel -r halt
[root@HEP /]# userdel -r news
[root@HEP /]# userdel -r mail
[root@HEP /]# userdel -r uucp
[root@HEP /]# userdel -r operator
[root@HEP /]# userdel -r games
[root@HEP /]# userdel -r gopher
[root@HEP /]# userdel -r ftp
[root@HEP /]# userdel -r rpm
Rutina de ejecución [root@HEP /]# userdel -r dbus
[root@HEP /]# userdel -r avahi
[root@HEP /]# userdel -r rpc
[root@HEP /]# userdel -r mailnull
[root@HEP /]# userdel -r smmsp
[root@HEP /]# userdel -r nscd
[root@HEP /]# userdel -r vcsa
[root@HEP /]# userdel -r haldaemond
[root@HEP /]# userdel -r rpcuser
[root@HEP /]# userdel -r nfsnobody
[root@HEP /]# userdel -r sshd
[root@HEP /]# userdel -r netdump
[root@HEP /]# userdel -r pcap
151
[root@HEP /]# userdel -r xfs
[root@HEP /]# userdel -r ntp
[root@HEP /]# userdel -r apache
[root@HEP /]# userdel -r hsqldb
[root@HEP /]# userdel -r tomcat
[root@HEP /]# userdel -r gdm
Al final en /etc/passwd solo debe figurar estas líneas:
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:
daemon:x:2:2:daemon:/sbin:
sync:x:5:0:sync:/sbin:/bin/sync
nobody:x:99:99:Nobody:/:
152
Recurso en análisis GRUPOS ESPECIALES y BUIL-IN
También es importante deshabilitar cualquier cuenta que
Comentario en
venga por defecto, ejecutamos las siguientes líneas a fin
la seguridad
de eliminarlos.
Acciones a seguir Desinstalaremos paso a paso
[root@HEP /]# groupdel adm
[root@HEP /]# groupdel lp
[root@HEP /]# groupdel news
[root@HEP /]# groupdel mail
[root@HEP /]# groupdel uucp
[root@HEP /]# groupdel games
[root@HEP /]# groupdel dip
[root@HEP /]# groupdel lock
[root@HEP /]# groupdel utempter
[root@HEP /]# groupdel screen
Al final en /etc/group solo deben figurar estas lineas:
Rutina de ejecución root:x:0:root
bin:x:1:root,bin,daemon
daemon:x:2:root,bin,daemon
sys:x:3:root,bin
tty:x:5:
disk:x:6:root
mem:x:8:
kmem:x:9:
wheel:x:10:root
man:x:15:
nobody:x:99:
users:x:100:
floppy:x:19:
slocate:x:21:
utmp:x:22:
Luego creamos el usuario ADMIN y un password
PASO FINAL
aceptable para los inicios remotos y administración.
153
[root@HEP /]# useradd ADMIN ↲
154
Recurso en análisis PROTECCIÓN DEL DIRECTORIO: /etc/rc:d/init:d/
Comentario en Directorio donde se escriben archivos de configuración, y
la seguridad rutinas, estos deben tener derecho exclusivo del root
Acciones a seguir Restringir los derechos a los demás.
Rutina de ejecución [root@HEP /]# chmod -R 700 /etc/init.d/*
155
CAPÍTULO XI
156
# CAPITULO XI
#-----------------------------------------------------------------------------
# CABECERA
# ********
#-----------------------------------------------------------------------------
#-----------------------------------------------------------------------------
/etc/init.d/iptables panic
#-----------------------------------------------------------------------------
# ******************************************
157
TODA_SUBRED_LAN=192.168.1.0/24 #: Dirección de IP y rango máscara de la INTRANET
158
P_NOPRIVILEG=1024:65535 #: rango de puertos no privilegiados
SR_MANUEL_VALERA=192.168.1.65
SR_LUIS_CABEZAS=192.168.1.66
SR_PERCY_ATAURIMA=192.168.1.67
SRA_STEPHANY_GUILLEN=192.168.1.68
# USUARIOS DE ECONOMIA...
#-----------------------------------------------------------------------------
# *********************************************
#-----------------------------------------------------------------------------
159
iptables -F FORWARD && echo "Regla 004 OK"
#-----------------------------------------------------------------------------
#-----------------------------------------------------------------------------
#-----------------------------------------------------------------------------
#-----------------------------------------------------------------------------
160
#-----------------------------------------------------------------------------
# LOOPBACK
#-----------------------------------------------------------------------------
# TRÁFICO INCONSISTENTE
# *********************
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP && echo "Regla 021 OK"
iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j DROP && echo "Regla 022 OK"
#-----------------------------------------------------------------------------
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP && echo "Regla 023 OK"
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP && echo "Regla 024 OK"
#-----------------------------------------------------------------------------
iptables -A FORWARD -i $NICK_INTERNA -s ! $TODA_SUBRED_LAN -j DROP && echo "Regla 025 OK"
#-----------------------------------------------------------------------------
iptables -A FORWARD -i $NICK_EXTERNA -m state --state NEW,INVALID -j DROP && echo "Regla 026 OK"
#-----------------------------------------------------------------------------
161
# RECHAZA PAQUETES “spoofed”
#-----------------------------------------------------------------------------
iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_A -j DROP && echo "Regla 028 OK"
iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_B -j DROP && echo "Regla 029 OK"
iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_C -j DROP && echo "Regla 030 OK"
iptables -A INPUT -i $NICK_INTERNA -s $CLASE_A -j DROP && echo "Regla 031 OK"
iptables -A INPUT -i $NICK_INTERNA -s $CLASE_B -j DROP && echo "Regla 032 OK"
iptables -A INPUT -i $NICK_INTERNA -s $CLASE_C -j DROP && echo "Regla 033 OK"
#-----------------------------------------------------------------------------
iptables -A INPUT -i $NICK_EXTERNA -s $BROADCAST_DESTINO -j DROP && echo "Regla 034 OK"
iptables -A INPUT -i $NICK_EXTERNA -d $BROADCAST_FUENTE -j DROP && echo "Regla 035 OK"
iptables -A INPUT -i $NICK_INTERNA -s $BROADCAST_DESTINO -j DROP && echo "Regla 036 OK"
iptables -A INPUT -i $NICK_INTERNA -d $BROADCAST_FUENTE -j DROP && echo "Regla 037 OK"
#-----------------------------------------------------------------------------
162
iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_D -j DROP && echo "Regla 038 OK"
iptables -A INPUT -i $NICK_INTERNA -s $CLASE_D -j DROP && echo "Regla 039 OK"
#-----------------------------------------------------------------------------
iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_E -j DROP && echo "Regla 040 OK"
iptables -A INPUT -i $NICK_INTERNA -s $CLASE_E -j DROP && echo "Regla 041 OK"
#-----------------------------------------------------------------------------
# 127.*.*.* - LoopBack
# 192.0.2.* - TEST-NET
# para eth0
iptables -A INPUT -i $NICK_EXTERNA -s 0.0.0.0/8 -j DROP && echo "Regla 042 OK"
iptables -A INPUT -i $NICK_EXTERNA -s 127.0.0.0/8 -j DROP && echo "Regla 043 OK"
iptables -A INPUT -i $NICK_EXTERNA -s 169.254.0.0/16 -j DROP && echo "Regla 044 OK"
iptables -A INPUT -i $NICK_EXTERNA -s 192.0.2.0/24 -j DROP && echo "Regla 045 OK"
iptables -A INPUT -i $NICK_EXTERNA -s 224.0.0.0/3 -j DROP && echo "Regla 046 OK"
# para eth1
163
iptables -A INPUT -i $NICK_DMZ -s 0.0.0.0/8 -j DROP && echo "Regla 047 OK"
iptables -A INPUT -i $NICK_DMZ -s 127.0.0.0/8 -j DROP && echo "Regla 048 OK"
iptables -A INPUT -i $NICK_DMZ -s 169.254.0.0/16 -j DROP && echo "Regla 049 OK"
iptables -A INPUT -i $NICK_DMZ -s 192.0.2.0/24 -j DROP && echo "Regla 050 OK"
iptables -A INPUT -i $NICK_DMZ -s 224.0.0.0/3 -j DROP && echo "Regla 051 OK"
# para eth2
iptables -A INPUT -i $NICK_INTERNA -s 0.0.0.0/8 -j DROP && echo "Regla 052 OK"
iptables -A INPUT -i $NICK_INTERNA -s 127.0.0.0/8 -j DROP && echo "Regla 053 OK"
iptables -A INPUT -i $NICK_INTERNA -s 169.254.0.0/16 -j DROP && echo "Regla 054 OK"
iptables -A INPUT -i $NICK_INTERNA -s 192.0.2.0/24 -j DROP && echo "Regla 055 OK"
iptables -A INPUT -i $NICK_INTERNA -s 224.0.0.0/3 -j DROP && echo "Regla 056 OK"
#-----------------------------------------------------------------------------
# *******************
#-----------------------------------------------------------------------------
iptables -t nat -A POSTROUTING -o $NICK_EXTERNA -j MASQUERADE #SNAT --to $IPPUBLICOS && echo "Regla 057 OK"
#-----------------------------------------------------------------------------
iptables -t nat -A POSTROUTING -s $TODA_SUBRED_LAN -o $NICK_EXTERNA -j SNAT --to $IPPUBLICOS && echo "Regla 058 OK"
iptables -t nat -A POSTROUTING -s $IP_SERVIDOR_SIAF -o $NICK_EXTERNA -j SNAT --to $IPPUBLICOS && echo "Regla 059 OK"
#-----------------------------------------------------------------------------
164
# HTTP (cliente) REdireccionar puerto 80
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 80 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 060 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --sport 80 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 061 OK"
#-----------------------------------------------------------------------------
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 443 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 062 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 443 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 063 OK"
#-----------------------------------------------------------------------------
iptables -A FORWARD -m state --state NEW,ESTABLISHED -i $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 064 OK"
#-----------------------------------------------------------------------------
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 110 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 065 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 110 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 066 OK"
#-----------------------------------------------------------------------------
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 143 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 067 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 143 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 068 OK"
#-----------------------------------------------------------------------------
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 25 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 069 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 25 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 070 OK"
165
#-----------------------------------------------------------------------------
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 23 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 071 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 23 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 072 OK"
#-----------------------------------------------------------------------------
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 21 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 073 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 21 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 074 OK"
#-----------------------------------------------------------------------------
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 6667 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 075 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 6667 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 076 OK"
#-----------------------------------------------------------------------------
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 4000 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 077 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 4000 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 078 OK"
#-----------------------------------------------------------------------------
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 21 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 079 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 21 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 080 OK"
#-----------------------------------------------------------------------------
166
iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to $IP_NICK_EXTERNA && echo "okey 4" && echo "Regla 081 OK"
#-----------------------------------------------------------------------------
# ******************
#-----------------------------------------------------------------------------
iptables -A FORWARD -s $SR_MANUEL_VALERA -d $IP_SERVIDOR_SIAF -p tcp -j ACCEPT && echo "Regla 082 OK"
iptables -A FORWARD -s $SR_LUIS_CABEZAS -d $IP_SERVIDOR_SIAF -p tcp -j ACCEPT && echo "Regla 083 OK"
iptables -A FORWARD -s $SR_PERCY_ATAURIMA -d $IP_SERVIDOR_SIAF -p tcp -j ACCEPT && echo "Regla 084 OK"
iptables -A FORWARD -s $SRA_STEPHANY_GUILLEN -d $IP_SERVIDOR_SIAF -p tcp -j ACCEPT && echo "Regla 085 OK"
iptables -A FORWARD -s $IP_SERVIDOR_SIAF -d $TODA_SUBRED_LAN -p tcp -j ACCEPT && echo "Regla 086 OK"
#-----------------------------------------------------------------------------
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_ASISTENCIAL -p tcp -j ACCEPT && echo "Regla 087 OK"
iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_ASISTENCIAL -d $TODA_SUBRED_LAN -p tcp -j ACCEPT && echo "Regla 088 OK"
#-----------------------------------------------------------------------------
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_CORREO -p tcp -j ACCEPT && echo "Regla 089 OK"
iptables -A FORWARD -i $NICK_INTERNA -d $IP_SERVIDOR_CORREO -p tcp --dport 25 -j ACCEPT && echo "Regla 090 OK"
iptables -A FORWARD -i $NICK_DMZ -d $TODA_SUBRED_LAN -p tcp --sport 25 -j ACCEPT && echo "Regla 091 OK"
iptables -A FORWARD -i $NICK_INTERNA -d $IP_SERVIDOR_CORREO -p tcp --dport 110 -j ACCEPT && echo "Regla 092 OK"
iptables -A FORWARD -i $NICK_DMZ -d $TODA_SUBRED_LAN -p tcp --sport 110 -j ACCEPT && echo "Regla 093 OK"
167
iptables -A FORWARD -i $NICK_INTERNA -d $IP_SERVIDOR_CORREO -p tcp --dport 143 -j ACCEPT && echo "Regla 094 OK"
iptables -A FORWARD -i $NICK_DMZ -d $TODA_SUBRED_LAN -p tcp --sport 143 -j ACCEPT && echo "Regla 095 OK"
iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_CORREO -d $TODA_SUBRED_LAN -p tcp -j ACCEPT && echo "Regla 096 OK"
iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --dport 25 -j DNAT --to $IP_SERVIDOR_CORREO:25 && echo "Regla 097 OK"
iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --dport 110 -j DNAT --to $IP_SERVIDOR_CORREO:110 && echo "Regla 098 OK"
iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --dport 143 -j DNAT --to $IP_SERVIDOR_CORREO:143 && echo "Regla 099 OK"
#-----------------------------------------------------------------------------
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_PERSONAL -p tcp -j ACCEPT && echo "Regla 100 OK"
#-----------------------------------------------------------------------------
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_LOGISTICA -p tcp -j ACCEPT && echo "Regla 101 OK"
iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_LOGISTICA -d $TODA_SUBRED_LAN -p tcp -j ACCEPT && echo "Regla 102 OK"
#-----------------------------------------------------------------------------
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_DATOS -p tcp -j ACCEPT && echo "Regla 103 OK"
iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_DATOS -d $TODA_SUBRED_LAN -p tcp -j ACCEPT && echo "Regla 104 OK"
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_DATOS -p tcp --dport 23 -j ACCEPT && echo "Regla 105 OK"
#-----------------------------------------------------------------------------
# permite el paso de cualquier IP de la intranet que consulte el DNS, ya sea por protocolo tcp o udp
iptables -A FORWARD -s $TODA_SUBRED_LAN -i $NICK_INTERNA -p tcp --dport 53 -j ACCEPT && echo "Regla 106 OK"
iptables -A FORWARD -s $TODA_SUBRED_LAN -i $NICK_INTERNA -p udp --dport 53 -j ACCEPT && echo "Regla 107 OK"
168
#-----------------------------------------------------------------------------
iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --sport 53 -j DNAT --to-destination $IP_NICK_INTERNA && echo "Regla 108 OK"
iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p udp --sport 53 -j DNAT --to-destination $IP_NICK_INTERNA && echo "Regla 109 OK"
#-----------------------------------------------------------------------------
# ******************
#-----------------------------------------------------------------------------
iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_PERSONAL -o $NICK_EXTERNA -p tcp -j ACCEPT && echo "Regla 110 OK"
iptables -A FORWARD -i $NICK_EXTERNA -o $NICK_DMZ -s $IP_SERVIDOR_PERSONAL -p tcp -j ACCEPT && echo "Regla 111 OK"
iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --sport 970:1090 -j DNAT --to-destination $IP_NICK_DMZ && echo "Regla 112 OK"
#-----------------------------------------------------------------------------
iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_CORREO -p tcp --dport $P_CORREO -o $NICK_EXTERNA -j ACCEPT && echo "Regla 113 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport $P_CORREO -o $NICK_DMZ -s $IP_SERVIDOR_CORREO -j ACCEPT && echo "Regla 114 OK"
iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --sport $P_CORREO -j DNAT --to-destination $IP_NICK_DMZ && echo "Regla 115 OK"
#-----------------------------------------------------------------------------
# ********************************************************
#-----------------------------------------------------------------------------
/etc/init.d/network stop
169
rm -f /etc/sysconfig/iptables
iptables-save
/etc/init.d/iptables save
/etc/init.d/network start
clear
#-----------------------------------------------------------------------------
#/etc/init.d/iptables panic
#-----------------------------------------------------------------------------
#-----------------------------------------------------------------------------
Logramos configurar y poner en funcionamiento nuestro firewall, en tal caso guardamos en nuestro
archivo de configuración explicado en la siguiente parte.
Ejecutando:, podemos visualizar las reglas cargadas
[root/HEP]# iptables –L -n:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
DROP all -- 162.192.5.6 0.0.0.0/0
DROP all -- 10.0.0.0/8 0.0.0.0/0
DROP all -- 172.16.0.0/12 0.0.0.0/0
DROP all -- 192.168.0.0/16 0.0.0.0/0
DROP all -- 10.0.0.0/8 0.0.0.0/0
DROP all -- 172.16.0.0/12 0.0.0.0/0
DROP all -- 192.168.0.0/16 0.0.0.0/0
170
DROP all -- 255.255.255.255 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0
DROP all -- 255.255.255.255 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0
DROP all -- 224.0.0.0/4 0.0.0.0/0
DROP all -- 224.0.0.0/4 0.0.0.0/0
DROP all -- 240.0.0.0/5 0.0.0.0/0
DROP all -- 240.0.0.0/5 0.0.0.0/0
DROP all -- 0.0.0.0/8 0.0.0.0/0
DROP all -- 127.0.0.0/8 0.0.0.0/0
DROP all -- 169.254.0.0/16 0.0.0.0/0
DROP all -- 192.0.2.0/24 0.0.0.0/0
DROP all -- 224.0.0.0/3 0.0.0.0/0
DROP all -- 0.0.0.0/8 0.0.0.0/0
DROP all -- 127.0.0.0/8 0.0.0.0/0
DROP all -- 169.254.0.0/16 0.0.0.0/0
DROP all -- 192.0.2.0/24 0.0.0.0/0
DROP all -- 224.0.0.0/3 0.0.0.0/0
DROP all -- 0.0.0.0/8 0.0.0.0/0
DROP all -- 127.0.0.0/8 0.0.0.0/0
DROP all -- 169.254.0.0/16 0.0.0.0/0
DROP all -- 192.0.2.0/24 0.0.0.0/0
DROP all -- 224.0.0.0/3 0.0.0.0/0
171
ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:6667
ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:6667
ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:4000
ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:4000
ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 192.168.1.65 192.168.1.7
ACCEPT tcp -- 192.168.1.66 192.168.1.7
ACCEPT tcp -- 192.168.1.67 192.168.1.7
ACCEPT tcp -- 192.168.1.68 192.168.1.7
ACCEPT tcp -- 192.168.1.7 192.168.1.0/24
ACCEPT tcp -- 192.168.1.0/24 192.168.1.2
ACCEPT tcp -- 192.168.1.2 192.168.1.0/24
ACCEPT tcp -- 192.168.1.0/24 192.168.1.3
ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:25
ACCEPT tcp -- 0.0.0.0/0 192.168.1.0/24 tcp spt:25
ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:110
ACCEPT tcp -- 0.0.0.0/0 192.168.1.0/24 tcp spt:110
ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:143
ACCEPT tcp -- 0.0.0.0/0 192.168.1.0/24 tcp spt:143
ACCEPT tcp -- 192.168.1.3 192.168.1.0/24
ACCEPT tcp -- 192.168.1.0/24 192.168.1.4
ACCEPT tcp -- 192.168.1.0/24 192.168.1.5
ACCEPT tcp -- 192.168.1.5 192.168.1.0/24
ACCEPT tcp -- 192.168.1.0/24 192.168.1.6
ACCEPT tcp -- 192.168.1.6 192.168.1.0/24
ACCEPT tcp -- 192.168.1.0/24 192.168.1.6 tcp dpt:23
ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 192.168.1.0/24 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 192.168.1.4 0.0.0.0/0
ACCEPT tcp -- 192.168.1.4 0.0.0.0/0
ACCEPT tcp -- 192.168.1.3 0.0.0.0/0 tcp dpt:5338
ACCEPT tcp -- 192.168.1.3 0.0.0.0/0 tcp dpt:5338
172
ahora visualizamos el contenido del archivo de configuración donde rc.d cojerá para cargar en el
núcleo las reglas, Ejecutando:
[root/HEP]# vi /etc/sysconfig/iptables
# Generated by iptables-save v1.3.5 on Wed Feb 27 08:54:00 2008
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -s 162.192.5.6 -j DROP
-A INPUT -s 10.0.0.0/255.0.0.0 -i eth0 -j DROP
-A INPUT -s 172.16.0.0/255.240.0.0 -i eth0 -j DROP
-A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -j DROP
-A INPUT -s 10.0.0.0/255.0.0.0 -i eth2 -j DROP
-A INPUT -s 172.16.0.0/255.240.0.0 -i eth2 -j DROP
-A INPUT -s 192.168.0.0/255.255.0.0 -i eth2 -j DROP
-A INPUT -s 255.255.255.255 -i eth0 -j DROP
-A INPUT -d 0.0.0.0 -i eth0 -j DROP
-A INPUT -s 255.255.255.255 -i eth2 -j DROP
-A INPUT -d 0.0.0.0 -i eth2 -j DROP
-A INPUT -s 224.0.0.0/240.0.0.0 -i eth0 -j DROP
-A INPUT -s 224.0.0.0/240.0.0.0 -i eth2 -j DROP
-A INPUT -s 240.0.0.0/248.0.0.0 -i eth0 -j DROP
-A INPUT -s 240.0.0.0/248.0.0.0 -i eth2 -j DROP
-A INPUT -s 0.0.0.0/255.0.0.0 -i eth0 -j DROP
-A INPUT -s 127.0.0.0/255.0.0.0 -i eth0 -j DROP
-A INPUT -s 169.254.0.0/255.255.0.0 -i eth0 -j DROP
-A INPUT -s 192.0.2.0/255.255.255.0 -i eth0 -j DROP
-A INPUT -s 224.0.0.0/224.0.0.0 -i eth0 -j DROP
-A INPUT -s 0.0.0.0/255.0.0.0 -i eth1 -j DROP
-A INPUT -s 127.0.0.0/255.0.0.0 -i eth1 -j DROP
-A INPUT -s 169.254.0.0/255.255.0.0 -i eth1 -j DROP
-A INPUT -s 192.0.2.0/255.255.255.0 -i eth1 -j DROP
-A INPUT -s 224.0.0.0/224.0.0.0 -i eth1 -j DROP
-A INPUT -s 0.0.0.0/255.0.0.0 -i eth2 -j DROP
-A INPUT -s 127.0.0.0/255.0.0.0 -i eth2 -j DROP
-A INPUT -s 169.254.0.0/255.255.0.0 -i eth2 -j DROP
-A INPUT -s 192.0.2.0/255.255.255.0 -i eth2 -j DROP
-A INPUT -s 224.0.0.0/224.0.0.0 -i eth2 -j DROP
173
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A FORWARD -s ! 192.168.1.0/255.255.255.0 -i eth2 -j DROP
-A FORWARD -i eth0 -m state --state INVALID,NEW -j DROP
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --sport 80 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 143 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 143 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 23 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 23 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 6667 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 6667 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 4000 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 4000 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -s 192.168.1.65 -d 192.168.1.7 -p tcp -j ACCEPT
-A FORWARD -s 192.168.1.66 -d 192.168.1.7 -p tcp -j ACCEPT
-A FORWARD -s 192.168.1.67 -d 192.168.1.7 -p tcp -j ACCEPT
-A FORWARD -s 192.168.1.68 -d 192.168.1.7 -p tcp -j ACCEPT
-A FORWARD -s 192.168.1.7 -d 192.168.1.0/255.255.255.0 -p tcp -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.1.2 -i eth2 -p tcp -j ACCEPT
-A FORWARD -s 192.168.1.2 -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.1.3 -i eth2 -p tcp -j ACCEPT
-A FORWARD -d 192.168.1.3 -i eth2 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -m tcp --sport 25 -j ACCEPT
-A FORWARD -d 192.168.1.3 -i eth2 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -m tcp --sport 110 -j ACCEPT
-A FORWARD -d 192.168.1.3 -i eth2 -p tcp -m tcp --dport 143 -j ACCEPT
-A FORWARD -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -m tcp --sport 143 -j ACCEPT
-A FORWARD -s 192.168.1.3 -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.1.4 -i eth2 -p tcp -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.1.5 -i eth2 -p tcp -j ACCEPT
-A FORWARD -s 192.168.1.5 -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -j ACCEPT
174
-A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.1.6 -i eth2 -p tcp -j ACCEPT
-A FORWARD -s 192.168.1.6 -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.1.6 -i eth2 -p tcp -m tcp --dport 23 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.1.4 -i eth1 -o eth0 -p tcp -j ACCEPT
-A FORWARD -s 192.168.1.4 -i eth0 -o eth1 -p tcp -j ACCEPT
-A FORWARD -s 192.168.1.3 -i eth1 -o eth0 -p tcp -m tcp --dport 5338 -j ACCEPT
-A FORWARD -s 192.168.1.3 -i eth0 -o eth1 -p tcp -m tcp --dport 5338 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Wed Feb 27 08:54:00 2008
# Generated by iptables-save v1.3.5 on Wed Feb 27 08:54:00 2008
*nat
:PREROUTING DROP [0:0]
:POSTROUTING DROP [0:0]
:OUTPUT DROP [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.3:25
-A PREROUTING -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.1.3:110
-A PREROUTING -i eth0 -p tcp -m tcp --dport 143 -j DNAT --to-destination 192.168.1.3:143
-A PREROUTING -i eth0 -p tcp -m tcp --sport 53 -j DNAT --to-destination 192.168.1.1
-A PREROUTING -i eth0 -p udp -m udp --sport 53 -j DNAT --to-destination 192.168.1.1
-A PREROUTING -i eth0 -p tcp -m tcp --sport 970:1090 -j DNAT --to-destination 192.168.2.1
-A PREROUTING -i eth0 -p tcp -m tcp --sport 5338 -j DNAT --to-destination 192.168.2.1
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth0 -j SNAT --to-source 162.192.5.7-162.192.5.19
-A POSTROUTING -s 192.168.1.7 -o eth0 -j SNAT --to-source 162.192.5.7-162.192.5.19
-A POSTROUTING -o ppp0 -j SNAT --to-source 162.192.5.6
COMMIT
# Completed on Wed Feb 27 08:54:00 2008
# Generated by iptables-save v1.3.5 on Wed Feb 27 08:54:00 2008
*mangle
:PREROUTING DROP [0:0]
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:POSTROUTING DROP [0:0]
COMMIT
# Completed on Wed Feb 27 08:54:00 2008
175
11.2 - Consideración post-creación y ejecución del script
176
11.3 - ANÁLISIS DE RESULTADOS
177
Diseñaremos la Red ANTIGUA y la MEJORADA y simularemos una
comunicación en Red.
_____________________________________________________________
Al ejecutar esta configuración vemos como las PC que están con la llama
roja nos indica que reciben paquetes que no es necesario que reciban
gracias a una mala configuración de Hub Switch, ya que el Hub reenvía toda
la información por todos sus puertos excepto por donde entro.
178
DISEÑO: RED MEJORADA
_____________________________________________________________
En esta red mejorada, vemos como cada host recibe el paquete que es para
el y no saturándose de paquetes descartados gracias a una correcta
configuración Hub-Switch, que proponemos en muestra configuración final
de nuestra SUBRED Mejorada.
179
11.3.2 - Ejecución del Firewall
180
181
182
CAPÍTULO XI
183
12.1 -Introducción
El Hospital de Emergencias Pediátricas utiliza como una de sus estrategias,
el mejoramiento de la calidad de la atención integral de la salud. Este
compromiso con la sociedad en general, y con el paciente en particular,
impone un reto que para todos los servicios involucrados en el que hacer de
la salud; de entre los cuales no escapa el servicio de conservación y
mantenimiento que debe brindarse a las instalaciones físicas y equipos
informáticos, Aunque estén lejos naturalmente de la Línea Médica, impone
un papel preponderante en la calidad de servicio a la ciudadanía Por esta
razón, todo buen gerente hospitalario, conociendo los beneficios que
produce implementar un adecuado programa de Mantenimiento de
Equipos Informáticos (MEI), debe apoyar y propiciar las condiciones para
ejecutar un programa de MEI de calidad.
Este documento implica un mantenimiento a equipos de informática y a su
INTRANET de Datos, esto incluye todos los tipos de estaciones de trabajo,
anexos y sus recursos que podrían existir, así mismo el trámite
administrativo que podría culminar cualquier servicio. Estos son:
184
12.2 - Objetivos a alcanzar
Nuestro objetivo esta enfocado al tratamiento de la informática, sus recursos
y su respaldo hacia las actividades para la que se ha utilizado y domina así
mismo para sistemas no informáticos pero que dependen de ello.
La misión de este servicio es concretar objetivos, gestionar recursos, y
ayudar a la institución a lograr sus metas con comodidad y seguridad
sobretodo con efectividad y a la vanguardia de la tecnología
185
problema y conservando los estándares dando eficiencia en el tiempo de
ejecución y calida del servicio;
Controlada porque cada rutina esta creada para poder tomar el control
totalmente en cualquier momento del proceso y definir nuevos procesos que
se ajusten al mejor beneficio del sistema llevado a cabo, esto da flexibilidad
al proceso y permite tener alternativas de rápida actuación e improvisación
originando soluciones rápidamente;
Empírica porque la experiencia esta basada en las ocurrencias que
diariamente enriquece nuestro bagaje intelectual y de conocimiento, así
conociendo más profundamente la institución, esto repercute y se verá un
tiempo progresivo de disminución en cada atención correspondiente a todo
el servicio en todo el año;
Crítica porque estamos supeditados tomar y examinar en nuestro beneficio
cualquier tipo de crítica constructiva, esto servirá de fortalecimiento a nuestro
servicio, en beneficio de la Institución.
186
12.4 - A continuación describiremos los procedimientos generales de las
rutinas del mantenimiento de equipos informáticos según la metodología
expuesta operaciones normales comprendidas en el servicio para cada
equipo informático, los trabajos y servicios que se detallan a continuación se
consideran incluidos en el mantenimiento, cualquier cambio de pieza o parte
o software, esta será adquirida por el Hospital de Emergencias Pediátricas
187
directorio
5. Verificación de conflictos de controladores del sistema
6. Verificación del buen funcionamiento de los controladores
del sistema
7. Reinstalación de ciertas aplicaciones de encontrarse fallas
8. Reinstalación del sistema operativo total de encontrarse
fallas graves
9. Revisión de seguridad eléctrica y nivel de referencia a tierra
10. Pruebas funcionales completas
11. Informe respectivo final
RUTINAS DE MANTENIMIENTOS GENERALES PARA
IMPRESORAS
1. Inspección de condiciones ambientales
2. Inspección del funcionamiento de la Impresora
3. Limpieza de Tarjeta Eléctrica (alargamiento de vida de
componentes)
4. En caso de tintas verificación de Inyectores
5. En caso de láser verificación de fusor
6. En caso de Matricial Verificación de impedancias de
bobinas
7. Verificación de los Voltajes de la fuente de poder
8. Verificación de filtros alterados
9. Desmontaje y limpieza de todo el sistema mecánico
10. Limpieza de Tarjeta Eléctrica
11. Verificación de buen estado de transistores de conmutación
12. Sugerir Nivel de Referencia a Tierra
13. Informe respectivo final
RUTINAS DE MANTENIMIENTOS GENERALES PARA
SUPRESORES DE PICOS
1. Inspección de condiciones ambientales
2. Inspección de correcto funcionamiento de contactos
188
3. Inspección del filtro interno
4. Limpieza interna integral del dispositivo
5. Inspección de interruptor de encendido
6. Inspección de recalentamiento
7. Sugerir nivel de referencia a Tierra
8. Informe respectivo final
RUTINAS DE MANTENIMIENTOS GENERALES PARA
ESTABILIZADORES
1. Inspección de condiciones ambientales
2. Inspección de regulación de voltaje de entrada (Rango
asignado)
3. Inspección de regulación de voltaje de salida (Rango
asignado)
4. En caso de tipo Híbrido revisión de contactores en correcto
estado de funcionamiento
5. En caso de tipo Sólido verificación de disparadores internos
TRIAC
6. Verificación de filtros alterados
7. Verificación correcta de diodos
8. Verificar impedancia del transformador
9. Inspección de sobrecarga de estabilizadores por parte del
usuario
10. Verificación de tomacorrientes en buenos contactos
11. Sugerir nivel de referencia a tierra
12. Informe respectivo final
RUTINAS DE MANTENIMIENTOS GENERALES PARA UPS
1. Inspección de condiciones ambientales
2. Verificación de regulación de voltaje de salida (Rango
asignado)
3. Inspección interna y limpieza integral
4. Verificación de baterías malogradas
189
5. Verificación de filtros alterados
6. Inspección de sobrecarga de UPS por parte del usuario
7. Verificación de tomacorrientes en buenos contactos
8. Informe respectivo final
RUTINAS DE MANTENIMIENTOS GENERALES PARA MONITORES
1. Inspección de condiciones ambientales
2. Inspección externa del equipo *
3. Limpieza integral externa
4. Inspección interna
5. Desarmado total de monitor y limpieza integral
6. Chequeo de FLYBACK
7. Resoldado de placa principal y lógica de video
8. Verificación en continuidad en diodos y rectificadores
9. Verificación de filtros alterados
10. Ajuste y calibración de color e imagen
11. Revisión de seguridad eléctrica
12. Pruebas funcionales completas de resolución
13. Sugerir nivel de referencia a tierra
14. Informe respectivo final
RUTINAS DE MANTENIMIENTOS GENERALES PARA HUBS Y
SWITCHES
1. Inspección de condiciones ambientales
2. Inspección externa del equipo
3. Limpieza Externa del equipo
4. Verificación de puntos Ethernet
en óptimas condiciones y marcar los malos
5. Colocar numeración o identificación a los puntos
conectados
6. Revisión de seguridad eléctrica
7. Sugerir nivel de referencia a Tierra
8. Informe respectivo final
190
RUTINAS DE MANTENIMIENTOS GENERALES PARA EL
CABLEADO ESTRUCTURADO
Verificación de la categoría de cada punto forma de conexión y
distribución de cables par trenzado
Verificación de antigüedad de los cables y su estado de
conservación
Verificar si su trayectoria es la correcta y rehacer el tendido si
hubiese alguna anomalía en el tendido del cable
Verificación de los puertos del Switch y su comunicación
continua hacia los servidores y estaciones de trabajo
Verificación y limpieza de los conectores RJ45
Reorganizar la distribución de los conectores en el PANEL y su
correcto etiquetado de cada punto
RUTINAS DE MANTENIMIENTOS GENERALES PARA SCANERS Y
WEBCAMS
1. Inspección de condiciones ambientales
2. Limpieza externa del Equipo
3. Verificación de puerto de comunicación
4. Calibración de Lámpara
5. Configuración de drivers en el S.O.
6. Informe respectivo final
RUTINAS DE MANTENIMIENTOS GENERALES PARA LOS
SISTEMAS OPERATIVOS DE LOS SERVIDORES
El mantenimiento de un servidor depende de su Sistema Operativo en
caso de:
LINUX.- Se establecerá procesos solo para las aplicaciones y servicios
brindados y borrado de temporales, en la protección del sistema se
instalará y periódicamente se realizará ejecución de antivirus.
Optimización del sistema Firewall.y Proxy.
NOVEL.- Se establecerá rutinas de borrados de archivos temporales y
archivos suprimidos tanto como reorganización a una buena estructura
191
de los usuarios y políticas de seguridad y derechos para los usuarios.
Se realizarán periódicamente backup de los sistemas y archivos de los
usuarios., Se realizará actualización de antivirus.
WINDOWS.- Se realizará defragmentación de las particiones así como
borrados de archivos suprimidos y temporales, actualización de
antivirus, actualización del sistema operativo y parches service pack,
se realizarán periódicamente backup de los archivos de usuario y de
sistemas.
MANTENIMIENTO PREVENTIVO/CORRECTIVO DE EQUIPOS
INFORMÁTICOS
Se realizará el mantenimiento a los equipos e impresoras en
procedimientos según el cronograma de actividades realizados según
el equipo y la tecnología a tratar así mismo se tendrá en cuenta nuestra
experiencia en componentes electrónicos con tiempo de vida a finalizar
y tecnologías delicadas a la corriente estática, el mantenimiento
preventivo solo será de Limpieza de piezas, ajustes, diagnóstico de
posibles fallas futuras, y mantenimiento de sistemas efectuados en un
equipo o instalación a fin de minimizar el riesgo de fallo y asegurar la
continua operación de los mismos, logrando de esta manera extender
su vida media. Esto incluye el cuidado periódico que debe realizar el
propio operador del equipo, como protección del medio básicamente y
correcta operación del equipo.
192
12.5 - Organización del mantenimiento de equipos informáticos en el hospital
de emergencias pediátricas
Generalidades
para asegurar que el servicio brindado en el hospital de Emergencias
Pediátricas sea continuo y eficaz, y adicionalmente se optimice el
rendimiento de los equipos informáticos, es necesario disponer de un
sistema que sea capaz de gerenciar programas de conservación y
mantenimiento de los recursos físicos, acorde con el desarrollo y
necesidades de los mismos, y que sea parte integral del sistema de salud
considerado como un todo, además el sistema de mantenimiento de equipos
informáticos, además debe ser consistente con los recursos y políticas de la
institución.
En el nivel central, el supervisor solo dependerá de la unidad de Estadística
e Informática, habrá fluidez de conversación entre el departamento de
Estadística e informática y los técnicos de soporte informático. El área de
Soporte Técnico Informático emitirá los informes respectivos después de
cada servicio dirigido solo a la unidad de Estadística e Informática al jefe a
cargo.
193
12.5.1 - Mantenimiento preventivo de equipos informáticos
Inicio MEI(p)
Ejecutar la orden
programada
Informar a la unidad de
estadística e informática
si
Ejecutar el
mantenimiento in situ
el equipo requiere de si
algun repuesto?
Si el equipo requiere
H repuesto se convierte en
mantenimiento correctivo
Anotar cualquier
anomalia encontrada
Registrar el tiempo
MEI(c)
del mantenimiento
Limpieza y ordenamiento
del lugar de trabajo
Desplazar el equipo a la
unidad (caso sea en taller)
Realizar pruebas
del equipo
K
Firma del reporte de
mantenimiento por el usuario
Fin
194
12.5.2 - Mantenimiento correctivo de equipos informáticos
De acuerdo al programa de mantenimiento preventivo. Cualquiera que
sea la manera, todo mantenimiento correctivo debe iniciar en el
cronograma de actividades. A continuación se presenta el diagrama de
flujo:
VIENE DEL
MANTENIMIENTO
MEI(c)
PREVENTIVO
si si
Solicítelo y ejecute
el cambio
si Son adquiribles?
Generar informe
técnico
H
195
12.5.3 - Mantenimiento de servidores (hardware)
Los mantenimientos de los servidores constan de rutinas
especializadas que se han descrito anteriormente, los diagramas de
mantenimiento para equipos críticos de servicios
Inicio MEI(s)
Recibir orden de
trabajo
Verificar inventario
Analizar el
Sistema Operativo
si
Coordinar fecha,
hora y tiempo de
Verificar el hardware demora para
despues de apagado apagar el
servidor en
horas de muy
Ejecutar el servicio de bajo uso de
mantenimiento general recursos
para servidores
Puesta en linea y
actualización de base de
datos del controlador
backup
Fin
196
12.6 - Planeamiento del servicio
197
La cantidad de equipos de cómputo a realizar el mantenimiento;
asumiendo 103 computadores promedio más 54 impresoras
(103+54=157) pero como todos tienen una frecuencia de dos veces
por año y agregándole el 20% más de productividad, nos da una
cantidad relativa de PC (103*1.2 + 54)*2=355.2 Equipos informáticos
anualmente, reportando el mantenimiento o avance trimestralmente;
es el siguiente:
1 año = 4 trimestres; y son 103 computadores + 54 impresoras con
frecuencias de dos veces por año y 20% mas de productividad
requerida por la oficina de estadística e informática
=355.2 equipos anualmente y entre 260 días útiles del año
Diariamente nuestra constante de mantenimiento es de 355.2/260=~
1.37 PC’s por día, así nuestra constante diferencial será de = 1.3
PC’s/Día
Antidiferenciando nuestra constante nos dará una regla que
utilizaremos para registrar el avance del mantenimiento a los
equipos:
#PC’s= 1.3 (día) + C,
“C” viene a ser la cantidad de equipos que por ser nuevos o en
garantía no se realizarán el mantenimiento, esto se calculará en el
primer día de trabajo.
Todo el registro se introducirá en una tabla de Excel, así el jefe
superior inmediato a soporte técnico supervisará todo el proceso
todo el tiempo
Se coordinará para que se efectúe el mantenimiento diariamente con
frecuencia de tres Equipos en dos días, así de no descuidar el
servicio a usuarios y otros mantenimientos.
Se entregará cada trimestre un informe correspondiente a todos los
servicios brindados tanto como los mantenimientos de PC’s e
Impresoras.
198
Mantenimiento de la intranet (sub-red)
La estructura de la intranet del hospital de emergencias pediátricas esta
a la actualidad de los estándares internacionales para cableado
estructurado, la categoría 5e para el cableado y velocidades de
transmisión de paquetes de 100tx en mbps, rigen en la intranet, eso
conlleva a tomar todas las precauciones en los mantenimientos
preventivos y correctivos y la asistencia técnica
199
será registrado en hoja de Excel a fin de su control por el jefe inmediato
superior de la unidad de estadística e informática
El mantenimiento a los monitores
A los monitores se les realizará su mantenimiento preventivo a partir del
modelo de fabricación con 2 años de antigüedad tanto para las marcas
Samsung y LG o GOLDSTAR
Se incluirá revisión del Monitor en cada mantenimiento así no
afectamos en dos veces al usuario.
200
12.6.2 - CRONOGRAMA DE ACTIVIDADES Ejecución
PRIMER TRIMESTRE
COMPUTADORES A REALIZARLES MANTENIMIENTO
#PC’s= 1.3 (día) + C
En un trimestre existen 260/4 dias = 65 dias
#PC’s= 1.3 (65) + C 84.5 TOTAL
ACCESORIOS DE PC A REALIZARLES MANTENIMIENTO
IMPRESORAS A REALIZARLES
MANTENIMIENTO
GENERACION DE REPORTE TRIMESTRAL
SEGUNDO TRIMESTRE
COMPUTADORES A REALIZARLES MANTENIMIENTO
#PC’s= 1.3 (día) + C
En un trimestre existen 260/4 dias = 65 dias
#PC’s= 1.3 (65) + C 169 TOTAL.
ACCESORIOS DE PC A REALIZARLES MANTENIMIENTO
IMPRESORAS A REALIZARLES
MANTENIMIENTO
GENERACION DE REPORTE TRIMESTRAL
TERCER TRIMESTRE
COMPUTADORES A REALIZARLES MANTENIMIENTO
#PC’s= 1.3 (día) + C
En un trimestre existen 260/4 dias = 65 dias
#PC’s= 1.3 (65) + C 253.5 TOTAL
ACCESORIOS DE PC A REALIZARLES MANTENIMIENTO
IMPRESORAS A REALIZARLES
MANTENIMIENTO
GENERACION DE REPORTE TRIMESTRAL
CUARTO TRIMESTRE
COMPUTADORES A REALIZARLES MANTENIMIENTO
#PC’s= 1.3 (día) + C
En un trimestre existen 260/4 dias = 65 dias
#PC’s= 1.3 (65) + C 338 TOTAL
ACCESORIOS DE PC A REALIZARLES MANTENIMIENTO
IMPRESORAS A REALIZARLES
MANTENIMIENTO
GENERACION DE REPORTE TRIMESTRAL
201
12.7 - Planeamiento de los recursos
Recursos requeridos:
Una vez que conocemos el objetivo del departamento de mantenimiento,
entonces los recursos necesarios e indispensables para lograrlo serían:
Recursos humanos:
El personal Técnico–Profesional.
Está capacitado en ensamblaje, mantenimiento y reparación de
computadoras e Impresoras, experto en software de comunicación de datos,
experto en administración e implementación de redes, los mismos que
acudirán de inmediato cuando sean solicitados, coordinando con el titular
encargado.
El Personal cuenta con conocimiento de Redes NOVEL y MICROSOFT así
como LINUX, SQL Server
El personal cuenta con técnicos de vasta experiencia en impresoras de
todos los modelos MATRICIAL, TINTA, LASER
Los servicios de mantenimiento preventivo y correctivo para las
computadoras, impresoras y demás servicios, se realizarán en las
instalaciones del HEP
Horario de trabajo.
Realización de estos servicios se realizarán todos los días de la semana, de
Lunes a Viernes, en el horario que estipula las bases que constan de lunes a
202
viernes y nueve horas diaria, previa coordinación con el Jefe superior
inmediato.
Funciones
Supervisor: asignado por licitación publica en concurso
203
Departamento o área de Soporte Técnico.
Área responsable de la gestión del hardware, software, impresoras
y periféricos en general dentro de las instalaciones del Centro de
Cómputo, entendiendo por gestión estrategia, planificación,
instalación y mantenimiento.
Planificar la modificación e instalación de nuevo software y
hardware.
Evaluar los nuevos paquetes de software y nuevos productos de
hardware.
Dar el soporte técnico necesario para el desarrollo de nuevos
proyectos, evaluando el impacto de los nuevos proyectos en el
sistema instalado.
Asegurar la disponibilidad del sistema, y la coordinación necesaria
para la resolución de los problemas técnicos en su área.
Realizar la coordinación con los usuarios y jefatura proveedor con el
fin de resolver los problemas técnicos y garantizar la instalación de
los productos.
Proponer las notas técnicas y recomendaciones para el uso óptimo
de los sistemas instalados.
Planear, investigar y determinar, en coordinación con las áreas
usuarios, los requerimientos de sistematización y tecnología
informática, así como la asignación de recursos informáticos
Realizar el mantenimiento de las aplicaciones que sean
desarrolladas en la Institución;
Mantener actualizada la documentación de las aplicaciones que
sean desarrolladas en la Institución;
Desarrollar y actualizar periódicamente el modelo de datos lógico y
físico de toda la Institución
Definir la metodología y estándares de desarrollo de las
204
aplicaciones para la Institución;
Apoyar a la unidad de Estadística e Informática en la elaboración
del Planeamiento Estratégico Informático
Capacitar al personal usuario en la utilización de los nuevos
sistemas desarrollados en la Institución;
Configurar, administrar y supervisar las redes locales y/o remotas,
equipos periféricos, así como las diferentes bases de datos de la
Institución;
Administrar, organizar y operar todos los recursos del Centro de
Cómputo y Comunicaciones de la Institución.
Apoyar a la unidad de estadística e informática en la elaboración del
Planeamiento Estratégico
Realizar las copias de respaldo (Back-up) de la información y
procesos de cómputo que se realizan en la Dirección, conforme a
parámetros preestablecidos.
Velar porque el sistema computarizado se mantenga funcionando
apropiadamente y estar vigilante para detectar y corregir fallas en el
mismo.
Elaborar periódicamente informes y estadísticas del sistema de red,
software y hardware;
El personal se reportará a su Jefe superior Inmediato todos los días
a la hora indicada
205
Recursos económicos
El equipo de trabajo no se responsabiliza por ningún costo que pueda ocurrir
en los servicios caso solo negligencia comprobada.
La adquisición de cualquier repuesto será adquirida por el hospital de
Emergencias Pediátricas
Recursos materiales
El equipo cuenta con herramientas para los mantenimientos descritos
anteriormente y serán distribuidas con cada servicio dado, el servicio se
realizará en forma detallada y efectiva con los instrumentos a mención:
206
12.8 - Planeamiento de contingencia
Seguridad de la información
Acceso no autorizado
Sin adecuadas medidas de seguridad se puede producir accesos no
autorizados a:
Área de Sistemas.
Computadoras personales y/o Terminales de la red.
Información confidencial.
207
Se considera en las rutinas de las políticas seguidas tanto para Windows
2000 y Netware y Linux configuraciones de control.
Revelación o infidencia
La información, que es de carácter confidencial, es vendida a personas
ajenas a la institución. Para tratar de evitar este tipo de problemas se tendrá
en cuenta lo siguiente:
Control del uso de información en paquetes abiertos o cintas y otros
datos residuales
Mantener datos sensitivos fuera del trayecto de la basura
Preparar procedimientos de control para la distribución de información.
Cambios periódicos de contraseñas de forma forzosa
Seguridad en redes
Las funciones de seguridad de red
En el intento de proteger una red de computadoras, existen varias funciones
comunes a las cuales deben dirigirse. La siguiente es una lista de tres
problemas básicos:
La autenticación de cliente y servidor.
La autorización de cliente y servidor
Contabilidad de cliente y servidor
Esto nos dice que se tendrá en cuenta cualquier acceso a un tipo de usuario
a los sistemas y bases de datos deberá contar con las tres anteriormente
mencionadas características de reglas
208
Protegiendo la red
Una posible solución para poder impedir la copia de programas y datos fuera
de la red en disquetes, y que a través de los disquetes ingresen virus y otros
programas dañinos a la red, es dotar a los usuarios vulnerables con
estaciones de trabajo sin floppy disk.
209
5. Retirar el disco malo y reponerlo con otro del mismo tipo, formatearlo y
darle partición.
6. Restaurar el último backup en el disco, seguidamente restaurar las
modificaciones efectuadas desde esa fecha a la actualidad.
7. Recorrer los sistemas que se encuentran en dicho disco y verificar su
buen estado.
8. Habilitar las entradas al sistema para los usuarios.
1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes
por red y teléfono a jefes de área.
2. El servidor debe estar apagado, dando un correcto apagado del
sistema.
3. Ubicar las memorias malogradas.
4. Retirar las memorias malogradas y reemplazarlas por otras iguales o
similares.
5. Retirar la conexión del servidor con el concentrador, ésta se ubica
210
detrás del servidor, ello evitará que al encender el sistema, los usuarios
ingresen.
6. Realizar pruebas locales, deshabilitar las entradas, luego conectar el
cable hacia el concentrador, habilitar entradas para estaciones en las
cuales se realizarán las pruebas.
7. Probar los sistemas que están en red en diferentes estaciones.
8. Finalmente luego de los resultados, habilitar las entradas al sistema
para los usuarios.
211
Seguridad a nivel de cuentas.
Seguridad a nivel de claves de acceso.
Seguridad de directorios.
Seguridad de archivos.
Seguridad entre redes.
Seguridad de cuentas
Seguridad de claves de acceso
Seguridad de directorios
Seguridad de archivos y
Seguridad entre redes
212
El registro de usuarios
La eliminación de usuarios
La configuración del Kernel
El control del acceso a partes del sistema de archivos
El respaldo y la restauración de archivos y
La instalación de nuevos paquetes de software.
213
12.9 - MEJORAS DEL SERVICIO
Inventario técnico
El inventario técnico de equipos o simplemente “inventario técnico” del
hospital de emergencias pediátricas será desarrollado como un registro
descriptivo permanente de las principales características y rutinas de
mantenimiento de los equipos, sobre el cual se basa la planeación,
programación, adquisición y control de suministros, y la ejecución de otras
acciones operativas propias del servicio de mantenimiento.
Se tendrá en cuenta las siguientes características el formato de la ficha
técnica de mantenimiento:
CARACTERISTICA DEL COMPONENTE O ARTEFACTO:
TECNOLOGIA:
MODELO:
SERIE:
CONSERVACION DEL EQUIPO
ESTADO DEL EQUIPO
214
12.10 - FIRMA DE REPORTE DE VISITA
Se procederá a finalizar el servicio con una ficha de conformidad con las
características que se indique a fin de justificar y dar conformidad del
servicio brindado.
En el formato a utilizar es el siguiente:
215
12.11 - CONTROL DE INCIDENCIAS Y REQUERIMIENTOS
Se procederá al finalizar cada atención a llevar un cuadro estadístico de todas las atenciones diariamente en el transcurso
de todo el servicio y el jefe de la unidad de Estadística e Informática. Supervisará.
El formato del cuadro estadístico se muestra a continuación:
SOPORTE
INFORMÁTICO
COD DE
FECHA HORA INICIO HORA FINAL INC. REQ. USUARIO ESTADO FINAL DEL SERVICIO DURACION
CIERRE
216
12.12 - CONTROL DEL MANTENIMIENTO CORRECTIVO Y PREVENTIVO
Se procederá al llevar diariamente el registro del mantenimiento preventivo y correctivo y el jefe de la unidad de Estadística
e Informática. Supervisará.
El formato del cuadro estadístico se muestra a continuación:
SOPORTE INFORMÁTICO
COD
HORA HORA Nr0 TIPO DE DETALLES DEL ESTADO
Nro FECHA DE DURACION
INICIO FINAL INVENTARIO MANTENIMIENTO. MANTENIMIENTO FINAL
CIERRE
217
12.13 - Capacitación en el manejo de los equipos informáticos.
218
12.14 - DISCUSIONES GENERALES
FIN
219
12.15 - BIBLIOGRAFÍA Y REFERENCIAS
En la WEB:
http://fedora.redhat.com/docs/release-notes/
http://www.silug.org
http://fedoraproject.org/wiki/Docs/CustomKernel
En Libros:
REDES DE COMPUTADORAS
AUTOR: Andrew S. Tanenbaum
EDICIÓN: Tercera.
FIREWALL LINUX
AUTOR: Robert L. Ziegler
EDICIÓN: Primera.
MANUAL DE FIREWALL
AUTOR: Marcus Goncalves
EDICIÓN: Segunda.
220