Professional Documents
Culture Documents
IMPLEMENTACION ROUTING-SWITCHING
WIRELESS Y SEGURIDAD POLICE SECURITY
ENERO 2011
JAPAN COMPUTER
TABLA DE CONTENIDO
I.
II.
VII.
VIII.
CONCLUSIONES ............................................................................................ 18
IX. RECOMENDACIONES........................................................................................ 19
ANEXO 1................................................................................................................. 20
TOPOLOGIA POLICE SECURITY ................................................................................... 20
Informe Tcnico
Pgina 2 de 20
I. Resumen Ejecutivo
La implementacin de la Solucin integral en POLICE SECURITY ha considerado los siguientes
puntos:
Creacin centralizada de VLANs mediante el protocolo VTP donde las VLAN se crean
solo en el Switch de Core y se replican en todos los dems Switches del dominio VTP.
Informe Tcnico
10.250.70.1
255.255.255.0
255.255.255.0
192.168.0.1
192.168.2.1
255.255.255.0
10.250.110.1
Pgina 3 de 20
III. Wireless
Los AP registrados y habilitados son 3. Estos se encuentran debidamente identificados de
acuerdo a la ubicacin fsica.
Informe Tcnico
Pgina 4 de 20
Informe Tcnico
Pgina 5 de 20
Paso 5: Se procede a ingresar los datos como e muestra en el grafico y luego clic en siguiente
3.2. PSS-INVITADOS
Esta red s est publicada, por lo tanto es detectada por cualquier usuario. En el Switch
CORE se han aplicado polticas de seguridad (Access List) para que desde esta red no
puedan acceder a las VLANS corporativas.
Ambas redes tienen habilitados los siguientes parmetros de seguridad, es en el campo PSK
format en donde se cambia la contrasea.
WIRNET
PSS-Invitados
Informe Tcnico
w1rn3t@190!&
P0l1S3c1245
Pgina 6 de 20
Solo a la red PSS-Invitados se le aplico seguridad en capa 3 para redirigir al usuario a la pgina
web corporativa: www.pss.com.pe despus de haber ingresado el password correcto.
Tambin se habilit la funcionalidad de H-REAP la cual permite que el Access Point emita seal
inalmbrica sin ningn tipo de interrupcin hacia el cliente aun no estando activo el Wireless
LAN Controller, de esta manera el AP trabajara como un equipo autnomo durante el tiempo
que se restablece la comunicacin entre el WLC y el AP.
Informe Tcnico
Pgina 7 de 20
IV. Switching
4.1. SWITCH CORE:
Las VLANS creadas son las siguientes:
Por medio del protocolo VTP son redistribuidas a los dems Switches, para ello el CORE
trabaja en modo server y los otros Switches en modo client.
Se crearon Pool Dhcp para los mbitos admin, DTA, gerentes, storage e Invitados, de esta
forma los usuarios (PC, laptops, etc.) obtendrn una direccin IP de forma automtica el cual
ser otorgado por el Switch core ya que ste actuar como servidor DHCP.
Informe Tcnico
Pgina 8 de 20
Para optimizar la seguridad de acceso a la red por parte de los Invitados, se crearon listas de
acceso las cuales deniegan el acceso de cualquier dispositivo desde la red Invitados hacia la red
corporativa, sin embargo, permite el acceso a Internet.
Ya que el CORE enrutar entre Vlans tiene un direccionamiento por cada segmento:
Informe Tcnico
Pgina 9 de 20
Informe Tcnico
Pgina 10 de 20
Informe Tcnico
Pgina 11 de 20
Declaramos dos rutas hacia internet un principal a travs del ASA y una ruta flotante por
Telefonica.
Las redes que va Natear el Router hacia internet por el enlace de Telefnica:
Informe Tcnico
Pgina 12 de 20
Listas de Acceso configuradas la lista 101 esta aplicada a interface ADSL el cual deniega todo
tipo de trfico generado desde internet hacia la red interna.
Informe Tcnico
Pgina 13 de 20
Object Group sirve para agrupar las distintas VLAN en un grupo llamado NAT-POLICE
Informe Tcnico
Pgina 14 de 20
NAT para la salida a internet y NAT Exempt para el trfico hacia la VPN.
VPN configurado con el local Remoto y VPN Remote Access con el cliente VPN:
Informe Tcnico
Pgina 15 de 20
Informe Tcnico
Pgina 16 de 20
En este entorno podemos descargar el cliente VPN para tener un acceso completo a la red o
podemos ingresar por RDP o a ciertos archivos mediante el ASA.
Descargamos el cliente VPN:
Informe Tcnico
Pgina 17 de 20
Nombre
Direccin IP
User
Password
va de acceso
Switch CORE
SW_CORE
10.250.9.1
admin
admin
SSH/web
Switch 2960
SW2960s-48P-1
10.250.9.11
admin
admin
SSH/web
Switch 2960
Wireless LAN
Controller
Router
SW2960s-48P-2
10.250.9.12
admin
admin
SSH/web
10.250.9.3
CISCO2921
10.250.9.254
cisco
Cisco123!
SSH
ASA-5505
192.168.101.2
cisco
Cisco123!
Web, HTTPS://
ASA-5505
190.187.75.246
cisco
Cisco123!
Web, HTTPS://
ASA
ASA (SEDE
REMOTA)
WLCADMIN wlcadmin
Web, HTTPS://
VIII. Conclusiones
La segmentacin - VLANS y direccionamiento de red, fue coordinado con el cliente.
Asimismo los puertos fueron asignados segn funcionalidades.
El enrutamiento entre VLANS es realizado por el Switch CORE, de esta forma se optimizar
la comunicacin entre redes (distinto direccionamiento). El Switch CORE, tiene la capacidad
de realizar dicha funcin en base a hardware especializado con el que cuenta.
Solo en los casos de acceso a la WAN o la VPN, se realiza la consulta al Router 2921 el cual
reenviar las peticiones al ASA.
El aseguramiento de la informacin se da por medio de protocolos, estndares y
tecnologas de encriptacin, autenticacin y control de acceso los cuales son aplicados a
nivel perimetral por medio del firewall (Cisco ASA (stateful firewall), VPN IPSec, VPN SSL,
Bootnet Filter, etc.)
La seguridad con respecto al acceso inalmbrico, se basa en estndares tales como
WPA/WPA2 - AES/TKIP y seguridad en capa 3 con autenticacin y redireccin web, Todo
esto en conjuncin con la segmentacin de red y listas de acceso aplicadas en los Switches.
Informe Tcnico
Pgina 18 de 20
El acceso a los equipos para gestin esta designado solo para SSH y HTTPS, cumpliendo
estndares de seguridad de gestin.
La funcionalidad JUMBO FRAME (usada para redes de almacenamiento) solo est
habilitada en el Switch CORE, si se requiere usar puntos de otros Switches debe ser
solicitado.
Considerar que la funcionalidad bootnet esta licenciada para 3 aos, considerar su
renovacin en esa fecha.
Con respecto al acceso por VPN de usuario remoto va SSL el cliente cuenta con una licencia
para 10 conexin simultneas hacia el ASA.
El servicio DHCP se encuentra centralizado, ya que todos los mbitos han sido creados en el
Switch CORE.
Polticas de QoS (calidad de servicio) han sido aplicadas en todos los Switches, con el fin de
priorizar trfico de voz, de esta forma prevenir latencia, retardo y perdidas de paquetes, los
cuales afectaran una fluida comunicacin telefnica.
Considerar que el Wireless LAN Controller soporta solo hasta 6 Access Point.
IX. Recomendaciones
Actualmente se cuenta con un Switch core 3750, el cual se optimizara con un RPS
(Redundant Power System) lo que permitira el flujo continuo de energa elctrica ya que
contara con redundancia de fuentes de poder.
En el aspecto de escalabilidad y sin duda crecimiento corporativo ha de ser necesario un
segundo equipo CORE 3750 para la conectividad de servidores y enlaces hacia otros
Switches ya que actualmente la gran mayora de los puertos de este equipo estn siendo
usados, el aspecto positivo de adquirir un segundo CORE es la capacidad de STACK, es decir,
dos Switches fsicos actuaran como uno solo, existiendo entre ellos un enlace de hasta 64
Gbps.
Si una necesidad futura corporativa es el requerimiento de visualizar el campo de cobertura
inalmbrico (Wi-Fi) plasmado en el plano del local corporativo, conjuntamente con la
movilizacin de los usuarios conectados a la red en tiempo real y la deteccin de Access
Point no corporativos, entonces se ha de requerir un Wireless Control System, el primero
un software que puede ser instalado en cualquier server Windows o Linux.
El Wireless Lan Controller si se desea requerir soporte para ms cantidad de Access Point
deber ser actualizado en hardware y software.
Para reforzar la seguridad hacia internet se recomienda la implementacin de un IPS
(sistema de prevencin de intrusiones) el cual es un mdulo que podra adicionarse al
Firewall existente.
Informe Tcnico
Pgina 19 de 20
ANEXO 1
TOPOLOGIA POLICE SECURITY
INTERNET
ASA 5505
190.187.75.246
RXD
TXD
1
INTERNET
OK
RXD
TXD
COMPUTERS
VPN SITE-TO-SITE
ASA 5510
190.187.82.106
CISCO ASA 5520
POWER
10.250.90.1
STATUS
ACTIVE
VPN
2x
3x
4x
5x
6x
7x
8x
CONSOLE
VPN SSL/Remote
Access
SERIES
FLASH
192.168.101.2
DMZ
ROUTER 2921
192.168.101.1
SW-CORE
1
SYST
RPS
MASTR
STAT
DUPLX
SPEED
STACK
MODE
10
190.40.26.68
Cisco 2800 Series
11 12
13 14
15 16
17 18
19 20
21 22
10.250.9.1
23 24
1X
11X
13X
23X
2X
12X
14X
24X
SYS
AUX/
SYS
PWR
PWR
AIM0
CF
COMPACT FLASH
1
0
CONSOLE
AUX
100-240V ~ 3A
50/60Hz
2
___
12V - - - 18A
10.250.9.254
SW-2960
1
10
11
1X
9X
11X
2X
10X
12X
12
13
14
15
16
17
18
19
20
19X
SYST
RPS
MASTR
STAT
DUPLX
SPEED
21
22
23
24
ACT
LINK
SERVICE
ACT
LINK
20X
MODE
STATUS
PS1
ALARM
PS2
CONSOLE
LINK
ACT
UTILITY
MODEL 4402 50 AP
SW-2960
1
10
11
1X
9X
11X
2X
10X
12X
12
13
14
15
16
17
18
19
20
19X
SYST
RPS
MASTR
STAT
DUPLX
SPEED
21
22
23
24
20X
MODE
ETHERNET
SERIAL
ETHERNET
SERIAL
Informe Tcnico
Pgina 20 de 20