Professional Documents
Culture Documents
Redes y Telecom
Redes y Telecom
Caso de estudio 3
Micro Financiera “Progreso”
NOMBRES: CRISTHIAN J. ZABALA MORENO.
1. Antecedentes
También cuenta con agencias que están conectadas por dos enlaces de
VPN sobre internet y Radio enlace:
vigilancia y 15
con:
Administración 7
Caja 8
Sistemas 3
Gerencia 5
CPD 19 servidores
15 cámaras de vigilancia
25 teléfonos IP
Central
2. Problemática
3. Marco teórico
3.1.1. Gestión de red
Consiste en la monitorización, el sondeo, configuración, evaluación, análisis y control
de los recursos de una red para conseguir niveles de trabajo y adecuados a los objetivos
de una instalación y una organización; mediante tareas de despliegue, integración y
coordinación de hardware, software y elementos humanos.
Arquitectura funcional
Arquitectura de la información
Arquitectura física
Arquitectura lógica en capas
3.1.9. IDS
Los sistemas de detección de intrusiones (Intrusion Detection Systems) o IDSs fueron
Implementados para monitorear de manera pasiva el tráfico de la red. Un IDS copia el
tráfico de red y lo analiza en lugar de reenviar los paquetes reales. Compara el tráfico
capturado con firmas maliciosas conocidas de manera offline del mismo modo que el
software que busca virus. Esta implementación offline de IDS se conoce como modo
promiscuo.
La ventaja de operar con una copia del tráfico es que el IDS no tiene efectos negativos
sobre el flujo real de paquetes del tráfico reenviado. La desventaja de operar con una
copia del tráfico es que el IDS no puede evitar que el tráfico malicioso de ataques de un
solo paquete alcance el sistema objetivo antes de aplicar una respuesta para detener el
ataque. El IDS generalmente requiere asistencia de otros dispositivos de red, como
routers y firewalls, para responder a un ataque.
3.1.10. IPS
El sistema de prevención de intrusiones (Intrusion Prevention System) o IPS se
apoyaben la ya existente tecnología IDS. A diferencia del IDS, un dispositivo IPS se
implementa en modo en línea. Esto significa que todo el tráfico de entrada y de salida
debe fluir a través de él para ser procesado. El IPS no permite que los paquetes ingresen
al lado confiable de la red sin ser analizados primero. Puede detectar y tratar
inmediatamente un problema según corresponda.
El IPS monitorea el tráfico de capas 3 y 4 y analiza los contenidos y la carga de los
paquetes en búsqueda de ataque sofisticados insertos en ellos, que pueden incluir datos
maliciosos pertenecientes a las capas 2 a 7. Las plataformas IPS de Cisco usan una
mezcla de tecnologías de detección, incluyendo detecciones de intrusiones basadas en
firma, basadas en perfil y de análisis de protocolo. Este análisis, más profundo, permite
al IPS identificar, detener y bloquear ataques que pasarían a través de un dispositivo
firewall tradicional. Cuando un paquete pasa a través de una interfaz en un IPS, no es
enviado a la interfaz de salida o confiable hasta haber sido analizado.
3.2. SNMP
SNMP significa Protocolo simple de administración de red. Es un protocolo que les
permite a los administradores supervisar el funcionamiento de la red, buscar y resolver
sus problemas, y planear su crecimiento. Diseñado en los años 80, su principal objetivo
fue el integrar la gestión de diferentes tipos de redes mediante un diseño sencillo y que
produjera poca sobrecarga en la red. Los dispositivos que normalmente soportan SNMP
incluyen routers, switches, servidores, estaciones de trabajo, impresoras, bastidores de
módem y muchos más.
3.2.1. Componentes básicos de SNMP
Una red administrada a través de SNMP consta de tres componentes clave:
Dispositivos administrados
Agentes.
Sistema de administración de red(NMS): esto es, un terminal a través del cual los
administradores pueden llevar a cabo tareas de administración
Define dos (2) nuevas operaciones: GetBulke inform. La operación GetBulk se utiliza
para recuperar de manera eficiente grandes bloques de datos. La operación Inform
permite a un NMS enviar traps de información a otra NMS y luego recibir una respuesta
Mejoras en los aspectos de gestión tales como: funcionalidad (define las mejoras en
cuanto a las estructuras de las MIB y SMI, pueden operar tanto como agente como
gestores), eficiencia de operación (ofrece mayor eficiencia en la transferencia de
información entre sistemas, debido a las mejoras en el protocolo SNM) y rendimiento (l
rendimiento se ve un poco afectado en funciónde que aumenta la seguridad con
funciones de autenticación y encriptamiento que luego tienen que ser retiradas e
implementadas sobre la versión tres).
3.2.6. Nagios XI
La fibra Optica a utilizar sera una fibra monomodo en el estandar ITU-T G-652D que
trabaja en las grillas donde no existen picos de agua.
6.2.1. Longitud de cable incluyendo la reserva
La longitud del cable será de 51000 metros, sumándole del 10% de reserva que es 5100
metros se hace un total de 56100 metros de cable.
Calculo de la link Budget
Cálculo de pérdida total
Pt : Perdida Total ( dB ) .
L : Longitud de la Fibra Óptica( Km).
Al :Coeficiente de Atenuacion en dB/ Km .
N e : Numeros de Empalmes .
Ae : Atenuacion por Empalme .
N c :Numero de Conectores .
Ac : Atenuacion por Conector .
ar = perdida por otros componentes db/km
M s=P s−S
M s=−46.83 dB−(−60)
M s=13.17 dB
6.3. Cálculos de Enlaces Satelital
Se hara la utilizacion del Anti Virus Kaspersky Office Security que nos
poroporciona las siguientes caracteristicas:
Con las nuevas implementaciones realizada a la red, como las políticas de seguridad, la
segmentación en Sub Redes mediante VLAN`s, la utilización de enlaces redundantes,
como también la implementación de nuevos enlaces, brindara acceso a internet de
manera rápida.
Una vez implementadas lo dicho anteriormente, y aun asi sigue la red con el acceso a
internet lento, se recomienda el análisis sobre la utilización del internet en Descarga o
Subida, una vez obtenida la información, de acuerdo a estas, contratar un ISP que
ofrezca la velocidad necesaria para la red, como también la cotización de un internet
simétrico.
7.1.10. Ataques de DoS
La utilización de la arquitectura de firewall Screened Subnet evitaremos los ataques
DoS, creando reglas de firewall, de manera que agregue a una lista “Negra” a las
direcciones IP que soliciten acceder al servicio.
La utilización de un firewall que permita realizar detecciones estadísticas de
anormalidades analizando el tráfico de la red por un determinado periodo de tiempo y
crea una línea base de comparación, cuando el trafico varia demasiado con respecto a la
línea base de comportamiento, deniega el tráfico que no esté adecuado a la línea base.
La utilización de ACL`s para controlar que trafico llega a las aplicaciones.
Se le indicara al proveedor de Internet que habilite la protección DoS desde su red, ya
que cuenta con mayor capacidad de protección y el ataque es mitigado antes de
consumir recursos del internet contratado o de la red.
7.1.11. Ataques por Software malicioso
Para la protección por software maliciosos, se propone la implementación de un
antivirus de manera centralizada, en este caso como empresa, adicionalmente se deberá
capacitar al personal que este no abra adjuntos de correos electrónicos procedentes de
fuentes desconocidas o pocos confiables.
7.1.12. Ataques por suplantación de identidad
Capacitar al personal sobre la importancia de ingresar a paginas seguras o cifradas a
través de SSL, asegurando siempre que visiten a una pagina que la dirección muetre
HTTPS en lugar de HTTP.
La utilización de activación de verificación de dos pasos para aumentar la seguridad de
acceso a las cuentas del usuario.
La comunicación de la empresa cuenta con enlaces VPN lo cual cifra la conexión
estableciéndose a través de un túnel de comunicación seguro.
7.1.13. Ataques de ARP Spoofing
Se recomienda la utilización de software de detección especial para el ARP Spoofing,
como también el filtrado de paquetes ya que estos inspeccionan los paquetes que se
transmiten a través de una red, filtran y bloquean paquetes con información de la
dirección fuente de conflicto.
En caso que la empresa utilice dispositivos Cisco se recomienda la utilización de DHCP
Snooping y Dynamic ARP Inspection, DAI intercepta las peticiones y respuestas de los
puertos no confiable y las valida contra la tabla antes de actualizar su cache y permitir el
tráfico.
7.1.14. Ataques mediante Ingeniería Social
Se tendrá los antivirus previamente actualizados.
Se realizará una concientización entre el personal en la organización, de tal forma que
reciba capacitación básica sobre seguridad de manera oportuna para que nunca de
ninguna información sin la autorización apropiada y para que se conozca que se debe
informar de cualquier comportamiento sospechoso, como también que solamente se use
paginas cifradas HTTPS, la autenticación de dos pasos de forma obligatoria para el
personal de la empresa.
8. No deben ingresar a la unidad “C”.
Mediante el GPO, ubicado en explorador de archivos, seguidamente habilitamos
“Impedir acceso a las unidades desde mi PC” lo cual denegaremos a los usuarios el
acceso al Disco C en sus ordenadores.
9. Solo las personas que trabajan en el departamento de sistemas tiene la
opción de instalar y desinstalar programas
A los usuarios del departamento de Sistemas se le dio prioridad elevada para que
puedan instalar y desinstalar programas.
Utilizaremos el gestor Zabbix para el monitoreo de los recursos de la red, como también
utilizaremos el gestor Tenable para el monitoreo de los servidores.
Utilización de Windows
PING
Se añadió el rotuer Mikrotik a la herramiento CatTools para que realice los BackUps de
las configuraciones del router, indicando que realice estos BackUps de forma
automática los días Domingo a media Noche.
14.1.6. Gestión de Seguridad Nessus.
Con el Gestor Nessus realizaremos un scan del rotuer Mikrotik para verificar que
puertos están abiertos de tal manera podamos apagar los puertos innecesarios.
15. Se debe implementar actualización automática de Windows a todos los
usuarios en diferentes horarios
Se utilizo Windows server Update Services en el servidor Windows Server, para lograr
la actualizacion para los usuarios de la red, como instalar, administrar y distribuir las
actualizaciones necesarias para los equipos.
16. Conclusión
17. Recomendación