tesis seguridad red.pdf

ANÁLISIS, DISEÑO DE LA RED Y PLAN DE SEGURIDAD “ERCO”

1

UNIVERSIDAD POLITECNICA SALESIANA SEDE

CUENCA

FACULTAD DE INGENIERIAS

ESCUELA DE INGENIERIA DE SISTEMAS

Tesis previa a la obtención del Título de

Ingeniero de Sistemas

ANÁLISIS, DISEÑO DE LA RED Y ELABORACIÓN

DEL PLAN DE SEGURIDAD DE LA COOPERATIVA

DE AHORRO Y CRÉDITO “ERCO”.

AUTORAS:

Daissy Alicia Arias Narváez

Nelly Graciela Heredia Saico

DIRECTOR:

Ing. Vladimir Robles

CUENCA - ECUADOR

2007


2

DECLARACIÓN DE RESPONSABILIDAD

Los conceptos desarrollados, análisis realizados y las conclusiones del presente trabajo, son de exclusiva responsabilidad de las autoras.

Cuenca, febrero del 2007

----------------------------------------- Daissy Arias Narváez


3

CERTIFICO

Que bajo mi dirección la presente tesis fue realizada

por las señoritas:

Daissy Alicia Arias Narváez Nelly Graciela Heredia Saico

----------------------------------------- Ing. Vladimir Robles

----------------------------------------- Nelly Heredia Saico


4

DEDICATORIA

Agradecemos a Dios por permitirnos llegar a culminar nuestros estudios.

A nuestros padres y familiares por el apoyo incondicional que siempre nos han brindado y por acompañarnos en los momentos más difíciles, ya que sin ellos no

hubiésemos podido terminar esta tesis.

A nuestros profesores por los conocimientos que han compartido con nosotras.


5

ÍNDICE DE CONTENIDOS

INTRODUCCION GENERAL…………………………………………………….3

1 CAPITULO 1: CONCEPTOS GENERALES DE REDES LAN Y MAN ........ 10 1.1 Introducción ............................................................................................... 10 1.2 Redes MAN (Redes de Área Metropolitana) ............................................. 11 1.3 Red LAN (LOCAL AREA NETWORK) .................................................. 12 1.4 Diseño LAN ............................................................................................... 12

1.4.1 Objetivos del diseño de una red ......................................................... 12 1.4.2 Consideraciones en el diseño de una LAN ........................................ 13

1.5 METODOLOGÍA DE DISEÑO DE UNA LAN ....................................... 16 1.5.1 Obtención de los requisitos y expectativa de los usuarios ................. 16 1.5.2 Análisis de los requisitos. ................................................................... 17 1.5.3 Diseño de la estructura LAN en las capas 1,2 y 3 (topología). .......... 18

1.6 Dispositivos de una LAN ........................................................................... 29 2 CAPITULO II: CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMÁTICA. ....................................................................................................... 31

2.1 Introducción ............................................................................................... 31 2.2 Conceptos de seguridad.............................................................................. 31

2.2.1 Proceso para aplicar seguridad informática ...................................... 32 2.2.2 Impacto de la seguridad informática en la organización ................... 35

2.3 Seguridad lógica ......................................................................................... 35 2.4 Seguridad en las comunicaciones............................................................... 36 2.5 Seguridad de las aplicaciones..................................................................... 37 2.6 Seguridad física .......................................................................................... 37 2.7 Políticas de seguridad ................................................................................. 38

2.7.1 Que son las políticas de Seguridad informática. ................................ 38 2.7.2 Parámetros para Establecer Políticas de Seguridad ........................... 38

3 CAPITULO 3: DIAGNÓSTICO INICIAL DE LA EMPRESA........................ 40 3.1 Introducción ............................................................................................... 40 3.2 Estado actual de la empresa. ...................................................................... 41 3.3 Análisis de la red existente. ........................................................................ 42 3.4 Identificación de los activos de la empresa ................................................ 44 3.5 Elaboración del Documento ....................................................................... 45

4 CAPITULO IV: ANALISIS Y LEVANTAMIENTO DE LA INFORMACION DE LA RED ............................................................................................................... 46

4.1 Ubicación de la red..................................................................................... 46 4.2 Análisis del tráfico ..................................................................................... 47 4.3 Revisión del Ancho de Banda ................................................................... 50 4.4 Revisión de la Tecnología existente .......................................................... 50

5 CAPITULOV: DISEÑO DE LA RED ............................................................... 52 5.1 Diseño mapa lógico de la red ..................................................................... 52

5.1.1 Diseño de la Topología de la red........................................................ 52 5.1.2 Diseño del mapa de direccionamiento ............................................... 56 5.1.3 Elaboración tabla de ruteo .................................................................. 61

5.2 Diseño mapa físico de la LAN ................................................................... 62 5.2.1 Planes de distribución de conexiones ................................................. 63 5.2.2 Ubicación de Cuartos de Telecomunicaciones y Equipos ................. 64

5.3 Elaboración del Documento ....................................................................... 65


6

6 CAPITULO VI: .................................................................................................. 66 DISEÑO DEL PLAN DE SEGURIDAD .................................................................. 66

6.1 Introducción ............................................................................................... 66 6.2 Análisis de los requerimientos de las aplicaciones del negocio. ............. 66 6.3 Identificación de los activos de la empresa .............................................. 67 6.4 Análisis de los posibles riesgos y amenazas a la red ................................. 68

6.4.1 Lógicos ............................................................................................... 68 6.4.2 Físicos ................................................................................................ 69

6.5 Diseño de las políticas de seguridad: ........................................................ 70 6.5.1 Seguridad Lógica ............................................................................... 71 6.5.2 Seguridad en la Comunicaciones ....................................................... 74 6.5.3 Seguridad Física ................................................................................. 75

6.6 Elaboración del documento de Políticas de Seguridad .............................. 77 CONCLUSIONES ..................................................................................................... 78 RECOMENDACIONES ............................................................................................ 79 BIBLIOGRAFIA ....................................................................................................... 80 ANEXOS ................................................................................................................... 81

Anexos 1: Fotografías de la empresa ..................................................................... 81 Anexo 2: Cableado estructurado ............................................................................ 84

1. Diseño del cableado estructurado 81 2. Detalles constructivos .................................................................................... 89 3. Dispositivos .................................................................................................... 94 4. Recomendaciones del cableado estructurado ................................................. 96 5. Normas y códigos del cableado estructurado ................................................. 97

ÍNDICE DE TABLAS

Tabla 1: Direccionamiento lógico asignado a una red física ..................................... 28 Tabla 2: Tabla de direcciones de la matriz y sucursales de “ERCO” ........................ 56 Tabla 3: Tabla de direcciones de los Servidores de la empresa “ERCO” .................. 57 Tabla 4: Tabla de direcciones IP de las VLANs Matriz ............................................ 58 Tabla 5: Tabla de direcciones IP de la VLAN de la agencia Cumbe ......................... 58 Tabla 6: Tabla de direcciones IP de la VLAN de la agencia Baños .......................... 58 Tabla 7: Tabla de direcciones IP de la VLAN de la agencia Cumbe ......................... 59 Tabla 8: Tabla de direcciones IP de la VLAN de la agencia Cumbe ......................... 59 Tabla 9: Tabla de ruteo de matriz .............................................................................. 62 Tabla 10: Tabla de ruteo de las VPNs ........................................................................ 62 Tabla 11: Distribución de conexiones ........................................................................ 64 Tabla 12: Tabla de direcciones IP y puntos de red de las agencias de “ERCO” ....... 89


7

INDICE DE FIGURAS

Figura 1: Diagrama de una red MAN ........................................................................ 11 Figura 2: Segmentación ............................................................................................. 15 Figura 3: MDF típico en una topología estrella ......................................................... 19 Figura 4: Topología en estrella extendida en un campus con varios edificios........... 20 Figura 5: Diagrama lógico de una red ........................................................................ 21 Figura 6: Conmutación asimétrica ............................................................................. 22 Figura 7: Conmutación Capa 2 .................................................................................. 23 Figura 8: Dominios de colisión de capa 2 .................................................................. 23 Figura 9: Migración a un ancho de banda mayor ....................................................... 25 Figura 10: Implementación de un Router de capa 3 .................................................. 26 Figura 11: Implementación VLAN ............................................................................ 27 Figura 12: Los Routers generan estructura lógica...................................................... 27 Figura 13: Hub ........................................................................................................... 29 Figura 14: Puente ....................................................................................................... 29 Figura 15: Switch ....................................................................................................... 29 Figura 16: Router ....................................................................................................... 30 Figura 17: Detalle del proceso según el ISO 17799 ................................................... 32 Figura 18: Distribución de conexiones en la red actual (Matriz) ............................... 42 Figura 19: Planta Baja Cooperativa de Ahorro y Crédito “ERCO” ........................... 43 Figura 20: Primera Planta .......................................................................................... 43 Figura 21: Segunda Plana .......................................................................................... 44 Figura 22: Diagrama general de la red ....................................................................... 46 Figura 23: Análisis de tráfico de red IP: 132.150.10.16 ............................................ 48 Figura 24: Análisis de tráfico de la red IP: 132.150.10.45 ........................................ 49 Figura 25: Tecnología que utiliza “ERCO” ............................................................... 51 Figura 26: Topología en Estrella extendida de “ERCO” ........................................... 53 Figura 27: Diagrama de VLAN.................................................................................. 55 Figura 28: Direccionamiento General de toda la Red ................................................ 56 Figura 29: Diagrama de Direccionamiento de la cooperativa “ERCO” .................... 60 Figura 30: VPNs ......................................................................................................... 61 Figura 31: Diagrama general de la red ....................................................................... 62 Figura 32: Fotografía de la ubicación física del Router y la centralilla ..................... 81 Figura 33: Fotografía del acceso al router y la centralilla .......................................... 81 Figura 34: Fotografía del Departamento de Sistemas (Switch 8 puertos que conecta los servidores) ............................................................................................................ 82 Figura 35: Fotografía de la ubicación física de los Servidores .................................. 82 Figura 36: Fotografía del cableado que tienen en el Departamento de sistemas ....... 83 Figura 37: Fotografía del Departamento de Sistemas ................................................ 83 Figura 38: Diseño físico Planta Baja .......................................................................... 92 Figura 39: Diseño físico Primera Planta .................................................................... 93 Figura 40: Diseño Físico Segunda Planta .................................................................. 93 Figura 41: Diseño físico de Cableado Backbone ....................................................... 94


8

INTRODUCCION

Al ser la información uno de los activos más importantes de las organizaciones es

muy importante que sea manejada y empleada con mucho criterio, ya que de ello

podría depender el éxito o fracaso de la empresa. La información puede ser de

origen público o privado.

Considerando la importancia de la información se debe emplear herramientas que

faciliten el manejo y acceso al recurso informático, una de las herramientas que

permite utilizar la información de manera más eficiente, rápida y confiable son las

redes de computadoras, las mismas que se encuentran en un constante avance

tecnológico.

Una red es un conjunto de computadoras o dispositivos de procesamiento conectados

entre sí en forma lógica y física con la finalidad de optimizar sus recursos y emular el

proceso de un sistema de cómputo único.

Al ser los Bancos y Cooperativas de Ahorro y Crédito instituciones muy importantes

en nuestro medio, es necesario que tengan sucursales por la ciudad para comodidad

de acceso y atención a sus clientes, y para obtener un ahorro en sus recursos

tecnológicos estas utilizan las redes locales para dar servicio de conectividad y

compartición de recursos en los edificios de cada sucursal. Y al ser varias sucursales

es importante que se encuentren comunicadas entre si, y para lograrlo utilizan los

conceptos y tecnologías de redes MAN, que no es mas que la interconexión de dos o

mas redes LAN.

La Cooperativa de Ahorro y Crédito “ERCO” Ltda., es una institución que cuenta a

mas de su Matriz con cuatro Sucursales ubicadas en Sinincay, El Arenal, Baños y

Cumbe, y en la actualidad no existe una comunicación directa de las sucursales con

su matiz lo que dificulta la atención al cliente quienes solo podrán realizar sus

transacciones en la sucursal en la que abrieron sus cuentas.


9

Con el objetivo de superar estos inconvenientes y considerando que la empresa no

cuenta con una documentación detallada y actualizada de la red, sea considerado

necesario e importante realizar el análisis de la red existente y un diseño de la red en

las sucursales faltantes para una conexión con su Matriz, lo que se llama diseño de

una red MAN.

Considerando que la empresa maneja información muy importante tanto para la

institución como para sus clientes es necesario desarrollar un plan de seguridad.

CONCEPTOS GENERALES DE REDES LAN Y MAN “ERCO”

10

1 CAPITULO 1: CONCEPTOS GENERALES DE REDES LAN Y MAN

1.1 Introducción

Las redes de Computadoras son sistemas de elementos interrelacionados que se

conectan mediante un vínculo dedicado o conmutado para proporcionar una

comunicación local o remota sea de voz, vídeo o datos, y para facilitar el intercambio

de información entre usuarios con intereses comunes.

Entre las funciones mas generales de las redes esta el compartir recursos, y uno de

sus objetivos es hacer que todos los programas, datos y equipos estén disponibles

para cualquier usuario de la red que así lo solicite, sin importar la localización física

del recurso y del usuario. En otras palabras, el hecho de que el usuario se encuentre a

miles de kilómetros de distancia de los datos, no debe evitar que éste los pueda

utilizar como si fueran originados localmente.

Al concepto de redes con varias computadoras en el mismo edificio se le denomina

LAN1, en contraste con lo extenso de una red que cubre grandes distancias que se le

llama WAN2, y un tipo de red que cubre mayor distancia que una LAN pero menor

que de una WAN es la red MAN3 que es utilizada para interconectar dos o mas redes

LAN.

Para el diseño de una red LAN se debe contar con información como los requisitos

de la empresa, de los usuarios, conocer la infraestructura actual de la empresa, sus

activos y dispositivos que posee para tener una idea de lo que la empresa requiere y

con este poder tener un presupuesto del diseño de la red. Una vez que tenemos toda

la información necesaria se procede a realizar un análisis o estudio de los beneficios

que traerá la nueva red a la empresa y con esto ver si es factible o no su diseño.

1 Local Area Network. Redes de area local (operan en una area geográfica limitada como un edificio o campus.) 2 Wide Area Network: Redes de area amplia (Conectan redes de usuarios sobre un area geográfica grande.) 3 Metropolitan Area Network: Redes de area metropolitana (red que cubre un área metropolitana como una ciudad)


11

1.2 Redes MAN (Redes de Área Metropolitana)

Una MAN es una red que se extiende por un área metropolitana, como una ciudad o

un área suburbana. Las MAN son redes que conectan LAN separadas por la distancia

y que están ubicadas dentro de un área geográfica común.

Por ejemplo un Banco con varias sucursales puede utilizar una MAN. Normalmente

un proveedor de servicio conecta dos o más sitios LAN utilizando líneas de

comunicación privadas o servicios ópticos.

Las siguientes características diferencian a las redes MAN de las LAN y las WAN:

Las MAN interconectan usuarios en un área o región geográfica más grande

que la cubierta por una LAN, pero más pequeña que las cubiertas por una

WAN.

Las WAN conectan redes en una ciudad formando una solo red grande.

Las MAN también se utilizan para interconectar varias LAN puenteándolas

con líneas Backbone.

Figura 1: Diagrama de una red MAN


12

1.3 Red LAN (LOCAL AREA NETWORK)

Una LAN es una red que cubre una extensión reducida como es el caso de una

empresa, una universidad, un colegio, etc. No habrá por lo general dos ordenadores

que disten entre si más de un kilómetro.

Una configuración típica en una red de área local es tener una computadora llamada

servidor de ficheros en la que se almacena todo el software de control de la red así

como el software que se comparte con los demás ordenadores de la red. Los

ordenadores que no son servidores de ficheros reciben el nombre de estaciones de

trabajo. Estos suelen ser menos potentes y tienen software personalizado por cada

usuario. La mayoría de las redes LAN están conectadas por medio de cables y

tarjetas de red, una en cada equipo.

1.4 Diseño LAN

El diseño de una red sigue siendo un tema complicado a pesar de la mejora en el

rendimiento de los equipos y en la capacidad del medio, ya que existe una tendencia

hacia entornos complejos de red compuestos por tipos distintos de medios de

transmisión y de interconexión con redes externas a la propia LAN de la empresa. Y

para realizar un correcto diseño de la red se debe tener presente todos estos

conceptos, y sobre todo tratar de reducir las complicaciones que se pueden presentar

con el crecimiento de la red.

Entre los puntos mas importantes a considerar en el diseño de la red es el de asegurar

velocidad y estabilidad adecuadas. Los problemas que se presentan si una red no este

bien diseñada serán inconvenientes que afectan el crecimiento de la misma.

1.4.1 Objetivos del diseño de una red

Una red debe tener características que la hagan fiable, manejable y escalable y para

cumplirlas se debe conseguir que los componentes principales de la red tengan

requerimientos de diseño diferentes para poder cumplir con el funcionamiento

correcto de la red.


13

Establecer los objetivos que nos llevan al diseño de la red y documentarlos es el

primer paso, los mismos que serán exclusivos a cada organización o institución y

para su obtención se realizará la recopilación de información y requerimientos de la

empresa y lo que esta espera de la red.

Entre los objetivos mas generales a considerar en el diseño de una red tenemos:

Funcionalidad: se espera que la red funcione adecuadamente y permita

conocer a los usuarios sus requerimientos de trabajo, además deberá

proporcionar conectividad entre usuarios y usuario-aplicación a una

velocidad y fiabilidad razonable.

Escalabilidad: pensando en su futuro crecimiento el diseño inicial deberá

estar realizado de manera que este no afecte mucho su estructura inicial.

Adaptabilidad: Su diseño debe considerar las etnologías presentes y futuras,

y no debería incluir ningún elemento que pudiera limitar la implementación

de las tecnologías que pudieren aparecer.

Manejabilidad: La red debe ser diseñada de forma que sea fácil de

monitorizar y gestionar para asegurar una estabilidad optima en su

funcionamiento.

1.4.2 Consideraciones en el diseño de una LAN

Con el surgimiento de nuevas tecnologías de alta velocidad como Gigabit Ethernet y

arquitecturas LAN más complejas que usan conmutación y VLAN4, las

organizaciones se han visto obligadas ha actualizar sus redes, ya sea en la

planificación, el diseño y la implementación de estas nuevas estructuras, para no

verse afectadas por este avance tecnológico.

Para maximizar el ancho de banda disponible de una LAN y su rendimiento, se debe

considerar los siguientes puntos a la hora de diseñar: 4 Virtual Local Area Network


14

La ubicación y función de los servidores.

La segmentación.

Los dominios de difusión o Ancho de banda.

1.4.2.1 Función y ubicación de los Servidores

Los Servidores son dispositivos que ofrecen servicios necesarios a los usuarios como

compartición de ficheros, impresión, comunicación y servicios de aplicación.

Además estos ejecutan sistemas operativos especializados como: Netware, Windows

NT/2000/XP, UNIX y Linux. Y cada servidor suele estar dedicado a una función

específica como correo electrónico, compartición de archivos, etc.

Los servidores pueden ser clasificados en dos categorías; servidores de empresa y

servidores de grupos de trabajo.

Un Servidor de empresa ofrece servicios correo electrónico o de DNS (Sistema de

Nominación de Dominio) al ser funciones centralizadas, estos son servicios que

podrían ser necesarios para cualquier empleado de la organización.

Un servidor de grupo de trabajo soporta a un conjunto específico de usuarios

ofreciéndoles solo los servicios que estos pudieran necesitar.

La ubicación de los servidores de la empresa deberá ser en el MDF (Armario de

Distribución Principal), de esta manera se evitará trafico innecesario ya que tiene que

viajar hacia el MDF y no recorrer otras redes.

Los servidores de los grupos de trabajo deberían estar situados en los IDF (Armario

de distribución intermedia), cercanas a los usuarios que utilizan las aplicaciones de

dichos servidores, de esta manera el trafico solo debe recorrer el tramo de red hasta

llegar al IDF sin afectar al resto de usuarios.

Dentro de los MDF y los IDF, los Switches LAN de la capa 2 deberían tener

asignados 100 Mbps o más para estos servidores.


15

1.4.2.2 Segmentación

La segmentación es le proceso de dividir un único dominio de colisión en dos o más

dominios de colisión de ancho de banda. Los dispositivos de capa 2 (capa de enlace

de datos), es decir los puentes o switches pueden utilizarse para segmentar la

topología de una red y crear dominios de colisión separados, lo que hace que

aumente el ancho de banda disponible en cada estación.

Figura 2: Segmentación

La escalabilidad de un dominio de ancho de banda depende de la cantidad total de

tráfico. Es importante recordar que los puentes y switches reenvían tráfico de

difusión, mientras que los routers no lo hacen de manera habitual.

1.4.2.3 Dominios de Difusión (Ancho de Banda)

Un dominio de ancho de banda es todo aquello asociado con un puerto de un puente

o switch. En el caso de un switch Ethernet, estos dominios también reciben el

nombre de dominios de colisión. Un switch puede crear un dominio de ancho de

banda por puerto.

Las estaciones incluidas en uno de los dominios compiten por el mismo ancho de

banda. Todo el tráfico procedente de cualquier host del dominio de ancho de banda

es visible al resto de hosts. En el caso de un dominio de colisión Ethernet, dos

estaciones pueden transmitir a la vez, lo que da como resultado una colisión.


16

1.5 METODOLOGÍA DE DISEÑO DE UNA LAN

Para un correcto diseño de una LAN y que esta sirva a las necesidades de sus

usuarios, es necesario que esté diseñada de acuerdo a una serie de pasos sistemáticos

planificados:

1 Obtención de los requisitos y expectativas de los usuarios.

2 Análisis de los requisitos.

3 Diseño de la estructura LAN en las capas 1,2 y 3 (topología).

4 Documentación de la implementación lógica y física de la red.

1.5.1 Obtención de los requisitos y expectativa de los usuarios

El primer paso del diseño de una red es la obtención de los datos sobre la estructura

de la organización, se puede incluir información sobre la historia y el estado actual

de la empresa, el crecimiento previsto, las normas de funcionamiento, los

procedimientos administrativos, los procedimientos y sistemas de oficina y sobre

todo los puntos de vista de las personas que utilizarán la red, así como las

necesidades de todos los usuarios que estén o no involucrados con el funcionamiento

de la LAN.

Se debe tener presente las siguientes cuestiones:

¿Quiénes utilizarán la red?

¿Cuál es su nivel de experiencia?

¿Cuales son sus aptitudes hacia las computadoras y las aplicaciones?

Estas preguntas ayudarán a saber cual es el nivel de conocimiento del personal de la

empresa y así determinar el tipo de capacitación que se les deberá dar a los usuarios

que manejaran la red. El proceso de obtención de información ayudará a identificar

los problemas que tiene la empresa. Se debe identificar los datos y operaciones

críticos, ya que estos son considerados como información clave y el acceso a ellos es

crítico en el desarrollo diario de la misma.

Lo que sigue es determinar quien tendrá autoridad sobre el direccionamiento, la

denominación, el diseño de la topología y la configuración.


17

Dependiendo de la empresa estas podrán tener un Departamento de Sistemas de

Información de Administración (MIS) Central o Departamentos MIS5 pequeños que

deben delegar autoridad a otros departamentos.

Algunas empresas tienen un departamento de sistemas de información de

administración (MIS) central que controla todo.

Otras empresas tienen departamentos MIS pequeños que deben delegar autoridad a

otros departamentos.

Las empresas cuentan con dos tipos generales de recursos administrativos: los

recursos de hardware/software y los recursos humanos, los mismos que pueden

afectar en la implementación de un nuevo sistema LAN. Para evitar esto se debe

documentar todo el hardware y software que posee la empresa y el que necesita, se

debe analizar como se encuentran, enlazan, comportan estos recursos y revisar los

recursos financieros que la empresa dispone. La documentación de toda esta

información ayudará a estimar costos y desarrollar un presupuesto para la LAN y

conocer los problemas de actualización de la red existente.

1.5.2 Análisis de los requisitos.

El siguiente paso en el diseño de una red consiste en analizar los requisitos de la red

y de sus usuarios obtenidos en el paso anterior, se debe considerar que las

necesidades de los usuarios van cambiando continuamente ya que el avance de la

tecnología crece en forma exponencial.

La evaluación de los requisitos de los usuarios es un componente muy importante en

la fase de diseño ya que una LAN que no ofrece a sus usuarios información puntual y

precisa es de poca utilidad, por tanto es indispensable asegurarse de conocer todos

los requisitos y necesidades de la empresa y sus trabajadores para evitar diseñar redes

obsoletas.

5 Management Information System (Sistema de Información Gerencial)


18

Factores que afectan a la disponibilidad de la Red

Teniendo en cuenta que la disponibilidad es uno de los factores que mide la utilidad

de la red debemos considerar las cosas que la afectan:

Rendimiento

Tiempo de Respuesta

Acceso a recursos

Existen diferentes definiciones de disponibilidad, y estas dependerán de los que los

clientes buscan, así por ejemplo si se requiere transportar voz y video por la red,

estos servicios necesitan mayor ancho de banda del que posee la red, la solución sería

añadir mas recursos, pero esta actividad conlleva más costos. El diseño de la red

busca ofrecer la mayor disponibilidad al menor coste.

1.5.3 Diseño de la estructura LAN en las capas 1,2 y 3 (topología).

Diseño de la Topología física de la red

Una vez que tenemos los requisitos globales de la red, el siguiente paso es decidir la

topología general de la red, la misma que debe satisfacer los requisitos de los

usuarios.

Considerando las topologías que mas se usan en el mercado nos centraremos en dos

topologías Topología en Estrella y Topología en Estrella extendida. Estas topologías

utilizan tecnología Ethernet 802.3 (CSMA/CD)6.

Las partes más importantes del diseño de una topología LAN pueden dividirse en tres

categorías únicas del modelo de referencia OSI: la capa de red, la capa de enlace de

datos y la capa física.

1.5.3.1 Diseño de Capa 1

En este punto se examinará las topologías en estrella y estrella extendida de la capa

1. Se analizará los componentes más importantes que se deben considerar al diseñar

una red como son:

6 Carrier Sense Multiple Access with Collision Detection (método de control al medio)


19

El cableado físico: se debe analizar el tipo de cableado a utilizar (UTP7, cobre o

Fibra óptica) y la estructura global del cableado. Si se esta diseñando una red nueva o

recableado una existente se debe utilizar cable de Fibra Óptica en el Backbone y

como mínimo cable UTP categoría 5 en los tendidos horizontales. Se debe

considerar las normas mas recientes sobre UTP de categoría 5e y 6.

Se debe tomar en cuenta el tiempo de vida para el cual se diseña la red y según esto

elegir la calidad del cable. Además de esto las empresas deben garantizar que los

sistemas están conforme a las normas industriales definidas, como las

especificaciones TIA/EIA-568-B8.

La norma TIA/EIA-568-B especifica que cada dispositivo conectado a una red debe

estar enlazado a una ubicación central mediante cableado horizontal

Para la identificación de los MDF e IDF se debe determinar cuantos recintos de

cableado se va ha necesitar; se requiere mas de uno cuando las grandes redes se

encuentran fuera del limite de los 100 metros del UTP de categoría 5. Al haber varios

recintos se crean varias áreas de captación.

Los MDF incluyen uno o mas patch panels HCC (conexión cruzada horizontal)

Figura 3: MDF típico en una topología estrella

7 Par trenzado sin apantallar 8 Norma de cableado


20

Los recintos de cableado principal se conocen como MDF y los secundarios

como IDF, la conexión de los IDFs al MDF es mediante cableado vertical

denominado cableado Backbone, como se indica en la figura 4.

Figura 4: Topología en estrella extendida en un campus con varios edificios

Y para interconectar los IDF externos con el MDF utiliza una conexión cruzada

vertical (VCC) y como normalmente la longitud de los cables verticales supera los

100m de UTP de categoría 5, se utiliza fibra óptica.

La norma Fast Ethernet tiene diferentes normas basadas en el hilo de pares de cobre

(100BASE-TX) y en cable de fibra óptica (100BASE-FX) y se utilizan para conectar

el MDF al IDF.

Ethernet conmutada 10BASE-TX Ethernet de escritorio y los backbone Fast Ethernet

son probablemente muy adecuadas para los requisitos de ancho de banda de muchas

redes. Pero las redes más nueva podrían optar por Gigabit Ethernet con fibra para el

cableado vertical y por Fast Ethernet con categoría 5e en los enlaces horizontales.

A continuación se muestra el Diagrama lógico que es el de topología de red sin los

detalles de la trayectoria de la instalación del cableado. Este es el mapa básico de la

LAN.


21

Figura 5: Diagrama lógico de una red

Los elementos del diagrama lógico incluyen:

Las localizaciones exactas de los recintos de cableado MDF e IDF.

El tipo y la cantidad de cableado utilizado para interconectar los IDFs con el

MDF.

La documentación detallada de todos los tendidos de cable (figura 5.37), los

números de identificación y en que puerto de la HCC termina el tendido.

1.5.3.2 Diseño de la capa 2

Entre los dispositivos de la capa 2 tenemos al Switch LAN, estos dispositivos

determinan el tamaño de los dominios de colisión y de difusión. En este punto se

verá la implementación de la conmutación LAN en capa 2.

Con la Conmutación LAN se puede microsegmentar la red, eliminando las colisiones

y reduciendo el tamaño de los dominios de colisión.

La microsegmentación significa utilizar switches para mejorar el rendimiento de un

grupo de trabajo o de un backbone.

Entre las características importantes del Switch LAN tenemos la conmutación

asimétrica es decir que puede asignar ancho de banda sobre una base por puerto que


22

permite así mas ancho de banda para el cableado vertical, los enlaces ascendentes y

los servidores. Además la conmutación asimétrica permite conexiones conmutadas

entre puertos de distinto ancho de banda, por ejemplo una combinación de puertos a

10 Mbps y a 100 Mbps o una combinación de 100 Mbps y a 1000 Mbps.

Servidor

10 Mbps

10 Mbps

Enlace ascendente a 100Mbps hasta el MDF

(cableado vertical)

Cableado Horizontal

Conmutación asimétrica Figura 6: Conmutación asimétrica

Si se instala conmutación LAN en el MDF y los IDF, y el cableado vertical entre el

MDF y los IDF, el cableado vertical transportará todo el tráfico de datos entre el

MDF y los IDF y al ser cableado backbone tendrá mayor capacidad que la de los

tendidos entre los IDF y las estaciones de trabajo.

En los tendidos de cableado horizontal se utiliza UTP de categoría 5 o superior,

teniendo en cuenta que ninguna derivación de cable debe superar los 100 metros, que

permiten enlaces a 10, 100 o 1000 Mbps.

Al permitir los switch LAN asimétricos mezclar en un solo switch puertos a 10 Mbps

y 100 Mbps o puertos a 100 Mbps y 1000Mbps, se debe determinar el número de

puertos a 10Mbps, 100Mbps y a 1000 Mbps necesarios en el MDF y en cada IDF.

La determinación del número de puertos de Switch LAN dependerá de los requisitos

de los usuarios, los mismos que serán referentes al número de derivaciones de cable

horizontal por sala y al número de derivaciones en cualquier área de captación, junto

con el número de tendidos de cable vertical.


23

Figura 7: Conmutación Capa 2

Tamaño de un Dominio de Colisión

Para determinar el tamaño de un dominio de Colisión se debe determinar el número

de hosts conectados físicamente a cualquier puerto de un switch.

Otra forma de implementar la conmutación LAN es instalar hubs LAN compartidos

en los puertos del switch y conectar varios hosts a un solo puerto del switch como se

muestra en la figura.

Figura 8: Dominios de colisión de capa 2

Los hubs de medio compartido se utilizan normalmente en un entorno de switch

LAN para crear más punto de conexión final de los tendidos de cable horizontal, esta


24

es una solución aceptable siempre que se asegure que los dominios de colisión sean

pequeños y que los requisitos de ancho de banda al host se cumplan de acuerdo a los

requerimientos obtenidos en la fase de obtención de información del proceso de

diseño de la red.

Dispositivos de capa 2

Los hubs, switch y los puentes están clasificados como dispositivos de capa 2 en el

modelo OSI

La segmentación es una técnica que ayuda a garantizar que no se degrade el

rendimiento de una red al crecer.

Los usuarios se impacientan cuando una aplicación no se ejecuta rápidamente, y una

de las formas más eficaces de solucionar este problema de la congestión es dividir la

red en segmentos más pequeños, y esto lo pueden hacer los segmentos físicamente,

utilizando un puente o un switch para limitar el número de dispositivos en el

segmento de red.

Switch: concentra la conectividad, mientras consigue que la transmisión de datos sea

más eficaz.

Hub Ethernet: todos los puertos se conectan a un plano trasero común o conexión

física dentro del hub, y todos los dispositivos que están conectados al hub comparten

el ancho de banda de la red.

Para conmutar tramas de forma eficaz entre las interfaces, el switch mantiene una

tabla de direcciones y cuando una trama entra en el switch, éste asocia la dirección

MAC de la estación emisora (origen) con la interfaz que la recibió.

Las principales funciones de los Switches Ethernet son:

Asistir el tráfico entre segmentos

Conseguir mas ancho de banda por usuario creando dominios de colisión mas

pequeños.


25

Los switches Ethernet filtran el tráfico direccionando los datagramas hacia el puerto

correcto basándose en las direcciones MAC9 de capa 2. La segunda función de un

switch es garantizar que cada usuario tiene más ancho de banda mediante la creación

de dominios de colisión más pequeños.

Un Switch Fast Ethernet permite la segmentación de una LAN, dotando a cada

segmento de un enlace de red dedicado de hasta 1000 Mbps. Con frecuencia en las

redes actuales los switch Fast Ethernet o Giga Ethernet actúan como Backbone de la

LAN.

En la actualidad las empresas se encuentra en constante crecimiento, y a medida que

la red crece, la necesidad de ancho de banda también. En el cableado vertical entre el

MDF y los IDF, las fibras ópticas no utilizadas se pueden conectar desde la VCC

hasta los puertos a 100 Mbps del switch. A continuación la red que se muestra

duplica la capacidad del cableado vertical de la red al haber otro enlace.

Figura 9: Migración a un ancho de banda mayor

9 MAC: Control de Acceso al Medio


26

1.5.3.3 Diseño de la capa 3

Los routers son dispositivos de capa 3 (capa de red) se pueden utilizar para crear

segmentos LAN únicos y permitir la comunicación entre segmentos basándose en el

direccionamiento de la capa 3, como el direccionamiento IP. La implementación de

estos dispositivos permite la segmentación de la LAN en redes físicas y lógicas

únicas.

Los routers también se utilizan para la conexión con redes de área amplia (WAN)

como Internet.

Figura 10: Implementación de un Router de capa 3

El router determina el flujo de tráfico entre los segmentos de red físicos únicos

basándose en el direccionamiento de la capa 3, como la red y la subred IP. El router

reenvía paquetes de datos basándose en las direcciones de destino, por lo que es

considerado el punto de entrada y de salida de un dominio de difusión e impide que

las difusiones alcancen otros segmentos de la LAN.

Conocer el número total de difusiones, como las peticiones de ARP (protocolo de

resolución de direcciones) es muy importante en la red y mediante VLAN (LAN

Virtuales) se puede limitar el tráfico de difusión al interior de una red y crear

dominios de difusión más pequeños. Las VLAN se pueden utilizar también para

proporcionar seguridad a la red al crear grupos VLAN según su función.


27

Figura 11: Implementación VLAN

Una de las características de los routers es que proporcionan escalabilidad por que

pueden servir como Firewall para las difusiones. Considerando que las direcciones

de capa 3 normalmente tienen estructura, los routers pueden ofrecer mayor

escalabilidad dividiendo las redes y subredes, añadiendo así estructura a dichas

direcciones.

Figura 12: Los Routers generan estructura lógica

En el grafico se muestra como se puede producir una mayor estructura y

escalabilidad en las redes.


28

Tabla 1: Direccionamiento lógico asignado a una red física

Una vez que las redes se han dividido en subredes, se debe desarrollar y documentar

el esquema de direccionamiento IP que se utilizará en la red.

El direccionamiento y el enrutamiento del protocolo de red proporcionan

escalabilidad integrada.

Cuando se esta decidiendo en utilizar routers o switch se debe considerar cual es el

problema que se espera solucionar con la implementación de uno de ellos. Así si e el

problema esta relacionado con el protocolo y no con la contención lo más adecuado

son los routers.

Características de los Routers.- Estos dispositivos solucionan problemas relacionados

con:

Difusiones excesivas

Los protocolos que no escalan bien

Se pueden utilizar para crear subredes IP a fin de añadir estructura a las

direcciones

Temas de seguridad y

El direccionamiento de la capa de red.

Sin embargo se debe considerar que son más caros y difíciles de configurar.


29

1.6 Dispositivos de una LAN

HUBS

El propósito de los hubs es regenerar y retemporizar las señales de red. Esto se

realiza a nivel de los bits para un gran número de hosts utilizando un proceso

denominado concentración. Podrá observar que esta definición es muy similar a la

del repetidor, es por ello que el hub también se denomina repetidor multipuerto. La

diferencia es la cantidad de cables que se conectan al dispositivo.

Figura 13: Hub

PUENTE

Un puente es un dispositivo de capa 2 (ya pasamos de capa) diseñado para conectar

dos segmentos LAN. El propósito de un puente es filtrar el tráfico de una LAN, para

que el tráfico local siga siendo local, pero permitiendo la conectividad a otras partes

(segmentos) de la LAN para enviar el tráfico dirigido a esas otras partes.

Figura 14: Puente

SWITCH

Un switch, al igual que un puente, es un dispositivo de capa 2. De hecho, el switch se

denomina puente multipuerto, igual que antes cuando llamábamos al hub "repetidor

multipuerto". La diferencia entre el hub y el switch es que los switches toman

decisiones basándose en las direcciones MAC y los hubs no toman ninguna decisión.

Como los switches son capaces de tomar decisiones, hacen que la LAN sea mucho

más eficiente

Figura 15: Switch


30

ROUTER

El router es el primer dispositivo con que se trabaja que pertenece a la capa de red

del modelo OSI, o sea la Capa 3. Al trabajar en la Capa 3 el router puede tomar

decisiones basadas en grupos de direcciones de red en contraposición con las

direcciones MAC de Capa 2 individuales. Los routers también pueden conectar

distintas tecnologías de Capa 2, como por ejemplo Ethernet, Token-ring y FDDI

(fibra óptica). Sin embargo, dada su aptitud para enrutar paquetes basándose en la

información de Capa 3, los routers se han transformado en el núcleo de Internet,

ejecutando el protocolo IP.

Figura 16: Router

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA “ERCO”

31

2 CAPITULO II: CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMÁTICA.

2.1 Introducción

Hoy en día las redes de comunicaciones son cada vez mas importantes para las

organizaciones ya que depende de estás, para que exista un manejo adecuado de los

activos de la empresa, y por más pequeño que sea el problema que las afecte, este

puede llegar a comprometer la integridad, disponibilidad y confidencialidad de la

información.

Se debe considerar las técnicas y herramientas de seguridad existentes ya que

representan un componente muy importante para la protección de los sistemas, que

sirve a los responsables de la red para llevar una vigilancia continua y sistemática de

los sistemas de redes.

Con la elaboración de este material nos proponemos facilitar cada una de las tareas

de aquellos que se encuentran actualmente involucrados en las decisiones respecto de

las redes de información y de sus modos de administración, a su vez también

pretendemos alertar sobre la importancia que se le debe dar a la seguridad debido a

las amenazas cada vez mayores a las que la información se encuentra expuesta.

En el presente capítulo cubriremos temas como la importancia de la seguridad en las

organizaciones, seguridad física, seguridad lógica, planes y políticas de seguridad,

etc.

2.2 Conceptos de seguridad

La seguridad informática ha adquirido una mayor atención en las organizaciones con

la finalidad de mantener la confidencialidad, integridad y confiabilidad de la

información debido a las cambiantes condiciones y las nuevas plataformas de

computación disponibles. Además comprende aspectos relacionados con políticas,

estándares, controles, valoración de riesgos, capacitación y otros elementos

necesarios para la adecuada administración de los recursos tecnológicos y de la

información que se maneja por esos medios.


32

En este sentido, las políticas de seguridad informática (PSI) surgen como una

herramienta organizacional para concienciar a cada uno de los miembros de la

organización sobre la importancia y la sensibilidad de la información y servicios

críticos que favorecen el desarrollo de la organización y su buen funcionamiento.

2.2.1 Proceso para aplicar seguridad informática

Es aconsejable que toda empresa cuente con una serie de procesos basadas en normas

como la ISO 17799 para la implantación y administración de la seguridad, con el fin

de minimizar los posibles riesgos y llevar un control apropiado de los recursos

tecnológicos y de la información.

Los procesos basados en la norma ISO 17799 son los siguientes:

Figura 17: Detalle del proceso según el ISO 17799

Paso 1: Obtener apoyo de Administración Superior

Se debe contar con el apoyo de alta dirección para la implementación de normas,

políticas y procedimientos de seguridad (ISO 17799) con el fin de proteger la

confidencialidad, integridad y disponibilidad de la información escrita, almacenada,

y transferida.

Paso 2: Definir perímetro de seguridad

Es necesario definir el perímetro o dominio de seguridad, el mismo que no siempre

cubre toda su área. Sin embargo, éste debe estar bajo el control de la organización.


33

Paso 3: Crear Políticas de Seguridad de Información

Se debe crear políticas de seguridad que denote el compromiso de la gerencia con la

seguridad de la información. Este documento contiene la definición de la seguridad

bajo el punto de vista de cierta entidad.

Paso 4: Crear Sistema de Administración para la Seguridad de Información

(ISMS)

El ISMS define el perímetro de seguridad y provee una guía que detalla las

estrategias de seguridad de información para cada una de las 10 áreas de control

definidas por el ISO 17799, las cuales se mencionan a continuación:

1. Políticas de Seguridad. Orientadas al apoyo, compromiso y dirección en el

cumplimiento de las metas de seguridad de la administración.

2. Seguridad organizacional. Dirigido a la necesidad de la administración de

enmarcar, crear mantener y administrar la infraestructura de seguridad.

3. Control y clasificación de recursos

4. Seguridad del personal

5. Seguridad física y ambiental

6. Administración de la comunicación y operación

7. Controles de acceso

8. Desarrollo y mantenimiento de sistemas

9. Administración de la continuidad del negocio

10. Cumplimiento

Paso 5: Realizar Matriz de riesgo

La creación de esta matriz ayuda a evaluar los riesgos y vulnerabilidades, además, las

identifica y cuantifica. Adicionalmente, se pueden seleccionar controles para evitar,

transferir o reducir el riesgo a un nivel aceptable. Los caminos para la evaluación del

riesgo son:

• Identificar los recursos dentro del perímetro de seguridad

Los recursos tienen que ser identificados y establecer un responsable. Un valor

relativo debe ser acordado de tal forma que se pueda establecer la importancia y

permita determinar el riesgo.


34

• Identificar las amenazas a los recursos

Las amenazas de cada recurso deben ser identificadas y el riesgo debe ser realista.

Solo las amenazas que tienen una probabilidad significativa de un daño exagerado

deben ser consideradas.

• Identificar vulnerabilidades a los recursos

Vulnerabilidades son deficiencias en los recursos que pueden ser explotadas por

las amenazas para crear un riesgo. Un recurso puede tener múltiples

vulnerabilidades.

• Determinar una probabilidad realista

La probabilidad para cada combinación de amenaza y vulnerabilidad debe ser

determinada, y las probabilidades estadísticas insignificantes deben ser ignoradas.

• Calcular el daño

El impacto debe ser cuantificado numéricamente para reflejar el perjuicio de una

amenaza exitosa. Este valor permite evaluar en una escala la seriedad de un

determinado riesgo, independientemente de la probabilidad.

• Calcular el riesgo

Matemáticamente, el riesgo se puede expresar como:

Probabilidad x Daño = Riesgo.

Los resultados de este cálculo permitirán valorar el riesgo de un determinado

recurso para un número dado de amenazas y vulnerabilidades. Esta numeración

permite priorizar los recursos finitos para la mitigación del riesgo.

Paso 6: Seleccionar e implementar controles

La selección de controles dependerá de la disponibilidad de recursos y la habilidad

de la administración para aceptar ciertos riesgos en vez de implementar controles.

Paso 7: Crear Declaración de Aplicabilidad

Una Declaración de Aplicabilidad es una porción del documento ISMS y documenta

como los riesgos identificados en la matriz de riesgos de seguridad son mitigados por

la sección de control.


35

Paso 8: Auditar

La auditoria revisa la implementación de la infraestructura de seguridad de la

información y el cumplimiento de la misma.

2.2.2 Impacto de la seguridad informática en la organización

Hoy en día uno de los mayores retos que tienen las organizaciones, y en especial los

Departamentos de Sistemas e Informática, es garantizar la seguridad de la

información y de los recursos informáticos. Por tanto, la implementación de sistemas

de seguridad conlleva a incrementar la complejidad en las operaciones de la

organización tanto a nivel técnico como administrativo.

Además cabe recalcar que la mayoría de usuarios particulares y de empresas poseen

la percepción de que la seguridad de la información es una tarea difícil de aplicar,

que exige gran cantidad de dinero y de tiempo. En realidad, con muy poco esfuerzo

se puede alcanzar un nivel de seguridad razonable, capaz de satisfacer las

expectativas de seguridad de particulares, de pequeñas y medianas empresas.

2.3 Seguridad lógica

La seguridad lógica consiste en la aplicación de defensas y procedimientos para

proteger el acceso a los datos y que sólo les permita acceder a las personas

autorizadas.

Para que un sistema se pueda definir como seguro debemos de dotar de tres

características al mismo: Integridad, Confidencialidad y Disponibilidad.

Identificación de usuarios

Deberá existir una herramienta para la administración y el control de acceso a los

datos, para lo cual es necesario la aplicación de medidas de seguridad que permitan

identificar si los usuarios tienen o no permisos de acceso a las diferentes

aplicaciones.


36

Autenticación de usuarios

Es el proceso de determinar si una persona o una empresa están autorizadas para

llevar a cabo una acción dada.

Passwords

Los passwords o contraseñas son generalmente utilizados para realizar la

autenticación del usuario y sirven para proteger los datos y aplicaciones,

garantizando que el acceso lógico al equipo este restringido por procedimientos y

políticas de acceso.

2.4 Seguridad en las comunicaciones

Comunicaciones externas

Es necesario que la empresa cuente con la implementación de procedimientos

pertinentes para el control de las actividades de usuarios externos del organismo a fin

de garantizar la adecuada protección de los bienes de información de la organización

Configuración lógica de red

El riesgo aumenta con el número de conexiones a redes externas; por lo tanto, la

conectividad debe ser la mínima necesaria para cumplir con los objetivos de la

empresa.

Antivirus

Con respecto al software malicioso, tal como los virus computacionales o Caballos

de Troya, se deberá establecer un marco de referencia de adecuadas medidas de

control preventivas, detectivas y correctivas.

Firewall

La empresa al estar conectada con Internet u otras redes públicas se debe contar con

la apropiada configuración de los sistemas Firewall para controlar cualquier acceso

no autorizado a los recursos internos. Además, se deberá controlar en ambos sentidos

cualquier flujo de administración de infraestructura y de aplicaciones y proteger en

contra de negación o ataques de servicio.


37

Ataques de red

Se considera ataque a la red a cualquier acceso forzado por parte de usuarios no

autorizados que accedan con la intensión de provocar daños a la misma.

2.5 Seguridad de las aplicaciones

Software

Se debe asegurar que la instalación del software del sistema no arriesgue la seguridad

de los datos y programas ya almacenados en el mismo. Deberá ponerse gran atención

a la instalación y mantenimiento de los parámetros del software del sistema.

Determinar las características del sistema operativo de los servidores

Seguridad de bases de datos

Es la capacidad que tienen los usuarios para acceder y cambiar los datos de acuerdo a

las políticas del negocio, o de acuerdo las decisiones de los encargados de la

seguridad.

2.6 Seguridad física

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un

sistema informático, para lo cual se considera necesario la aplicación de barreras

físicas y procedimientos de control, como medidas de prevención y contramedidas

ante amenazas a los recursos e información confidencial.

Control de acceso a equipos

Se debe llevar un control de acceso a los equipos, a usuarios no autorizados que

puedan acceder a estos con intensiones de ocasionar daños, tales como robo, daño

físico y acceso a información no autorizada.

Dispositivos de soporte

Todos estos dispositivos deberán ser evaluados periódicamente por personal

encargado del Mantenimiento, también es necesario contar con procedimientos


38

detallados a seguir en caso de emergencias, indicando responsables, quiénes deben

estar adecuadamente capacitados.

Estructura del edificio

La estructura del edificio de la empresa debe contar con medidas de seguridad que

protejan a los activos de la empresa de daños físicos y lógicos que puedan atentar

contra la integridad de los dispositivos que forman parte del Sistema de Información.

2.7 Políticas de seguridad

2.7.1 Que son las políticas de Seguridad informática.

Las políticas de seguridad informática son las reglas y procedimientos que regulan la

forma en que una organización previene, protege y maneja los riesgos de diferentes

daños. Su auge ha sido estimulado por la explosión de tecnologías de manejo de

información, son los directivos, junto con lo expertos en tecnologías de la

información, quienes deben definir los requisitos de seguridad, identificando y

priorizando la importancia de los distintos elementos de la actividad realizada,

recibiendo de esta manera una mayor atención los procesos de mayor importancia

para la empresa.

Por ello, las políticas representan la manera más definitiva que la gerencia puede

utilizar para demostrar la importancia de la Seguridad Informática, y que los

trabajadores tienen la obligación de prestar atención a la misma.

2.7.2 Parámetros para Establecer Políticas de Seguridad

Es importante que al momento de formular las políticas de seguridad informática, se

consideren por lo menos los siguientes aspectos:

Efectuar un análisis de riesgos informáticos, para valorar los activos y así

adecuar las políticas a la realidad de la empresa.


39

Reunirse con los departamentos que manejan los recursos, ya que ellos tienen

la experiencia y son los más indicados para establecer el alcance de las

políticas y definir las violaciones a estas.

Comunicar a todo el personal involucrado sobre el desarrollo de las políticas,

incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y

sus elementos de seguridad.

Identificar quién tiene la autoridad para tomar decisiones en cada

departamento, pues son ellos los interesados en salvaguardar los activos

críticos de su área.

Monitorear periódicamente los procedimientos y operaciones de la empresa,

de forma tal, que ante cambios las políticas puedan actualizarse

oportunamente.

Detallar explícita y concretamente el alcance de las políticas con el propósito

de evitar situaciones de tensión al momento de establecer los mecanismos de

seguridad que respondan a las políticas trazadas.

DIAGNOSTICO INICIAL DE LA EMRESA “ERCO”

40

3 CAPITULO 3: DIAGNÓSTICO INICIAL DE LA

EMPRESA

3.1 Introducción

Para el análisis y diseño de la LAN de la empresa de Ahorro y crédito “ERCO” se

realizo un diagnostico inicial de cómo se encuentra la empresa, se menciona su

historia, misión, visión, el crecimiento a futuro, sus normas de funcionamiento,

procesos administrativos, procedimientos y sistemas de oficina y sobre todo los

puntos de vista de las personas que utilizan la red, así como las necesidades de todos

los usuarios que estén o no involucrados con el funcionamiento de la actual LAN.

Toda la información que se obtenga del estado actual de la empresa tanto

administrativa como de su red nos será de gran ayuda para conocer las deficiencias

de la red y las nuevas necesidades de los usuarios.

Historia, Misión y Visión de la empresa

Historia La Cooperativa de Ahorro y Crédito “Erco” Ltda. –COOPERCO- , es una Institución

de economía solidaria, creada el 15 de noviembre de 1965, bajo la organización de

los trabajadores de una empresa de mucha tradición y seriedad, Compañía

Ecuatoriana de Caucho y, para un mejor servicio a nuestros socios desde el año 2001

abrimos nuestros servicios al público, apoyados en una estructura organizativa de

profesionales que velan por los intereses de cada uno de nuestros socios, para ello

contamos con la oficina matriz ubicada en la Elia Liut y Calle Vieja y, oficinas en las

parroquias de Baños, Arenal, Sinincay y Cumbe, lo cual demuestra nuestro constante

crecimiento.

Misión:

Está enfocada a ofrecer servicios financieros competitivos, oportunos, de calidad y

personalizados para los sectores productivos del área rural y urbano marginal de las

provincias de Azuay y Cañar, contribuyendo así, a su desarrollo socio económico y

el bienestar de la comunidad.


41

Visión:

En el año 2010 la Cooperativa es una Institución líder, competitiva y solvente; cuenta

con una cobertura regional, mediante oficinas localizadas en las principales ciudades

de las provincias del Cañar y Azuay; está conformada por un personal y equipo

directivo comprometido y motivado; y, cuenta con una tecnología de punta. Estos

factores le permiten ofrecer diversos servicios financieros con alta satisfacción y

participación en el mercado

3.2 Estado actual de la empresa.

En la actualidad como ya se ha mencionado la Cooperativa cuenta a más de su

matriz con 4 sucursales, ubicadas en Cumbe, Sinincay, Baños y El Arenal.

Entre los servicios que actualmente brinda la empresa tenemos:

Servicios Financieros como ahorros, préstamos, captaciones y

colocaciones de dinero (Money Gram), entre otros;

Servicios de Pago y Envío de Remesas (Money Gram).

Cobro de planillas de Servicios Básicos (luz, agua, teléfono).

En cuanto a sus funciones financieras desde sus inicios, al no tener enlazadas todas

las agencias con su matriz, era necesario instalar nuevos servidores, nueva base de

datos y nuevos programas de aplicación que permitían la manipulación de la

información en forma local. Esto requería que la información se consolide, de forma

periódica semanal, ya sea semanal, quincenal o mensual, exportando de cada

agencia la información e importartandole dentro de la base de datos de Matriz, en

especial la referente a la Contabilidad.

La información referente a Clientes, Ahorros, Préstamos se maneja internamente en

cada agencia, por ejemplo: reportes de clientes, préstamos concedidos, socios

ingresados, entre otros; se debe recurrir al departamento de Sistemas con el fin de

movilizarse a cada agencia y recopilar la información solicitada. Por estos

inconvenientes es necesario enlazar puntualmente cada agencia con la matriz.


42

3.3 Análisis de la red existente.

Para la conexión de la red se utiliza un hub de ocho puertos y dos switch; uno de

ocho puertos y otro de 16 puertos, el mismo que se encuentra ubicado en el segundo

piso como se muestra en la figura 1:

La conexión de los servidores se la realiza con uno de los switch de 8 puertos, se

debe considerar que la empresa no cuenta con cableado estructurado, ni cuarto de

equipos, por lo que el nivel de seguridad de la información, de los dispositivos y

equipos es muy bajo, así se indica en el Anexo 5 los problemas antes descritos.

Figura 18: Distribución de conexiones en la red actual (Matriz)

A continuación se muestra la ubicación de las instalaciones con los respectivos

departamentos que posee la empresa. Se ha realizado el análisis acerca de la forma de

cómo se encuentran las conexiones para poder proponer las mejoras y diseñar el

Cableado Estructurado que le hace falta a la cooperativa.


43

Figura 19: Planta Baja Cooperativa de Ahorro y Crédito “ERCO”

Figura 20: Primera Planta


44

Figura 21: Segunda Plana

3.4 Identificación de los activos de la empresa

Entre los activos intangibles que posee la empresa esta la información de sus

clientes, socios, préstamos, las sucursales que posee, etc.

La información de la empresa se encuentra almacenada en una base de datos

centralizada, con acceso a esta solo por su sucursal en Cumbe, y en las demás la

información se encuentra en una base de datos en cada entidad.

En cuanto a los activos tangibles están los siguientes:

Servidores:

2 Servidores de base de Datos: el gestor de base de datos y el

front-end utilizado en las agencias es Informix 4gl, y Oracle 10g

conjuntamente con Visual Basic 6.0 en lo que se refiere a Matriz

1 Servidor de Aplicación


45

1 Servidor Web

Otros:

2 Switches

o D-Link DES-1016D

1 Hub

o 9-Port Ethernet Hub: 10Mbps 8-Port UTP+1- Port BNC

Patch panel Cat.5e E203713

Conversor Fast Fibra

3.5 Elaboración del Documento

Una vez que se ha visitado la matriz y agencias de la Cooperativa y se ha recogido la

información necesaria sobre el estado actual de la empresa y de la red se procede a

realizar el documento que dejará en constancia como se encentra la empresa en el

momento del análisis antes de la etapa de desarrollo de la nueva red.

ANALISIS Y LEVANTAMIENTO DE LA INFORMACION DE LA RED “ERCO”

46

4 CAPITULO IV: ANALISIS Y LEVANTAMIENTO DE LA

INFORMACION DE LA RED

En este capitulo se realizara el análisis del estado actual de la red de la cooperativa

“ERCO”, se revisara la red física, la topología, la tecnología, el proveedor de servicio

de conexión y el ancho de banda que les da para la conexión con su agencia Cumbe.

4.1 Ubicación de la red

La cooperativa cuenta a más de sus 4 agencias con dos enlaces uno a la Empresa

Eléctrica para los pagos de Luz y otro a Mony Gram para envió y recibo de remesas.

Cabe señalar que al tener enlazada la matriz con su Agencia en Cumbe, se puede dar

estos servicios a todos los socios que se encuentren ubicados en los alrededores de la

agencia de la Cooperativa “ERCO”. Además este enlace nos permite, no solo

comunicarse con la agencia, sino tener un enlace con instituciones externas como

Money Gram y la Empresa Eléctrica para realizar actividades como: pago de

servicios de Luz y envió de remesas, respectivamente.

Figura 22: Diagrama general de la red


47

4.2 Análisis del tráfico

Al contar con 5 servidores y diferentes departamentos como Contabilidad, Servicio

al cliente, etc., hemos considerado necesario realizar el análisis de tráfico de la red

para tener un conocimiento del manejo de la red y de cómo se están usando los

recursos de la misma.

Para el análisis hemos utilizado la herramienta IRIS™ Network Traffic Analyzer,

cuyas características principales son:

• Funciona con Windows 95/98/NT/2000/XP.

• Herramienta de captura instantánea de datos de red que permite descodificar

el tráfico en tiempo real.

• Graba y reproduce el tráfico con el fin de obtener un registro completo de

actividades sospechosas en la red.

• Identifica los problemas de rendimiento antes de que generen períodos de

inactividad en la red.

• Potentes funciones de programación, alertas y elaboración de informes

estadísticos

Creado por eEye Digital Security, uno de los principales desarrolladores de

productos de seguridad de red, Iris es un analizador de tráfico de red muy sofisticado

y fácil de utilizar. Iris permite examinar el funcionamiento interno de la red,

realizando el trabajo de investigación necesario para detectar las violaciones de

seguridad y resolver los problemas de rendimiento de forma rápida y sin esfuerzo.

Luego de generar informes estadísticos, se muestra un ejemplo del análisis realizado,

donde se puede visualizar los protocolos revisados y los puertos utilizados en la red:

ANALISI Y LEVANTAMIENTO DE LA INFORMACION DE LA RED ……“ERCO”

48

Figura 23: Análisis de tráfico de red IP: 132.150.10.16

ANALISI Y LEVANTAMIENTO DE LA INFORMACION DE LA RED ……“ERCO”

49

Figura 24: Análisis de tráfico de la red IP: 132.150.10.45


50

4.3 Revisión del Ancho de Banda

A partir del último trimestre del año 2006, la Cooperativa “ERCO” cuenta con el

servicio de Transmisión de Datos Interurbano Dedicado (Fibra óptica), provisto por

la Empresa Telconet – TelcoCarrier, la que nos permite comunicarnos con la agencia

de Cumbe. El costo fluctúa por los $200 mensuales por cada punto.

Por otro lado se cuenta con un Servicio de Transmisión de Datos o Ultima Milla para

Internet (Fibra óptica), provisto por la Empresa Suratel – Grupo TVCable, este

servicio se encuentra instalado solo en Matriz y mediante el enlace entre agencias, es

posible distribuir este servicio. El costo es de $200, para el acceso al sistema de

pagos de la empresa Eléctrica.

Y por último el servicio de transmisión de datos o última milla para la comunicación

con la Empresa Eléctrica conjuntamente con Etapa, provista por Suratel (Satnet+Tv-

Cable)– Grupo TVCable. Este servicio viene sin costo, incluido en el paquete de

cobro y pago de planillas de servicios básicos.

Como se mencionó en el punto anterior, este servicio nos brinda Telconet, a través de

Fibra Óptica, con la utilización de servidores VPN10, instalados y configurados en

cada agencia a enlazar.

Este servicio posee las siguientes características:

Ancho de Banda Simétrico de 128 Kbps

Ultima milla: Microonda de 5.8 GHz

Up time: 99.6%

4.4 Revisión de la Tecnología existente

Ethernet

El estándar que utiliza en el diseño de la red es Ethernet, utilizando cable UTP

categoría 6 (para permitir una escalabilidad posterior de la red), aplicando una

10 VPN (Red Privada Virtual)


51

topología de estrella extendida

Figura 25: Tecnología que utiliza “ERCO”

Ethernet es el nombre de una tecnología de redes de computadoras de área local

(LANs) basada en tramas de datos. El nombre viene del concepto físico de ether.

Ethernet define las características de cableado y señalización de nivel físico y los

formatos de trama del nivel de enlace de datos del modelo OSI.

DISEÑO DE LA RED “ERCO”

52

5 CAPITULOV: DISEÑO DE LA RED

El presente proyecto constituye un diseño completo de la red empresarial para la

cooperativa de Ahorro y crédito “ERCO” Ltda., por lo que se pretende dar la mejor

solución tecnológica.

La empresa actualmente tiene conectada la agencia cumbe con la matriz, y el

presente diseño pretende enlazar todas las sucursales a la matriz para llegar a tener

una base de datos centralizada, evitar redundancia de datos y dar una mejor atención

a los clientes.

5.1 Diseño mapa lógico de la red

Al tener la cooperativa 4 sucursales y dar servicios de pago de luz y Money Gram,

toda la información de sus clientes debe estar centralizada y para ello se realizará la

conexión con las demás sucursales mediante su proveedor de conexión Telconet.

Estándar de la Red

El estándar que se utilizará en el diseño de la red será fast Ethernet, utilizando cable

UTP categoría 5e (para permitir una escalabilidad posterior de la red), aplicando una

topología de estrella extendida

5.1.1 Diseño de la Topología de la red

La topología que se utiliza es la de Estrella Extendida. La figura 26 muestra la

topología que diseñada para la cooperativa.


53

Figura 26: Topología en Estrella extendida de “ERCO”

En la matriz se encuentra el MDF y el Punto de Presencia. En el MDF tenemos

creadas VLANs para los diferentes departamentos, la empresa actualmente tiene 10

computadoras y el nuevo diseño de la red permite un crecimiento de hasta 32

computadoras, la VLAN2 tiene 5 computadoras para Cajas, la VLAN3 tiene 1

computadora para Gerencia, 2 para Contabilidad, 2 para Auxiliar Contable, 1 Jefe de

Negocios y 4 para Atención al cliente. La VLAN4 tiene 3 computadoras para el

Departamento de sistemas.

EL MDF tiene una salida a Internet la cual es provista por la empresa Telconet

La empresa tendrá todas las agencias conectadas a su matriz mediante su proveedor

de servicio Telconet, con sus servicios tanto de fibra óptica y a través de fibra óptica

dentro de la provincia.

Los IDF_C, IDF_B, IDF_A y el IDF_S; puntos de conexión interna de las agencias

Cumbe, Baños, EL Arenal y Sinincay respectivamente.


54

Diseño de VLAN

Con la creación de VLAN se puede limitar el tráfico de difusión al interior de una

red, crear dominios de difusión más pequeños en el interior de la red, y crear grupos

para manejar VLAN según su función, hemos diseñado 3 VLAN para la cooperativa:

VLAN2: Cajas

VLAN3: Administración

VLAN4: Sistemas Informáticos

Distribución de VLAN

Las VLANs han sido diseñadas para unir departamentos que manejen la misma

información. A continuación se muestra como están distribuidas las VLAN con el

número de computadoras que tiene cada departamento:

La VLAN2 esta dedicada a enlazar los departamentos de Cajas:

Cajas: 5 computadoras

La VLAN3 enlaza los departamentos de Gerencia, Contabilidad, Auxiliar

Contable, Jefe de Negocios y Atención al cliente.

Gerencia: 1 computadora

Contabilidad: 2 computadoras

Auxiliar contable: 2 computadoras

Jefe de Negocios: 1 computadora

Atención al cliente: 4 computadoras

La VLAN4 para el departamento de Sistemas y enlaza todos los servidores.

Jefe de Departamento de Sistemas: 1 computadora

Desarrollo Tecnológico: 2 computadoras


55

Figura 27: Diagrama de VLAN


56

5.1.2 Diseño del mapa de direccionamiento

La red esta divida en 5 subredes con direcciones IP públicas de clase B. A

continuación se presentan las direcciones de las diferentes agencias:

Matriz: 132.150.10.0/24

Cumbe: 132.150.50.0/24

Baños: 132.150.40.0/24

El Arenal: 132.150.20.0/24

Sinincay: 132.150.30.0/24

Figura 28: Direccionamiento General de toda la Red

Subred

Dirección de

Subred

Rangos Puntos

de red

Matriz 132.150.10.0/24 132.150.10.34/27 – 132.150.10.104/27 22

Cumbe 132.150.50.0/24 132.150.50.34/27 - 132.150.50.104/27 4

Baños 132.150.40.0/24 132.150.40.34/27- 132.150.40.104/27 4

El Arenal 132.150.20.0/24 132.150.20.34/27, 132.150.20.104/27 4

Sinincay 132.150.30.0/24 132.150.30.34/27, 132.150.30.104/27 4

Tabla 2: Tabla de direcciones de la matriz y sucursales de “ERCO”


57

Tienen mascara /27 para no desperdiciar las direcciones IP, ya que cada sede no tiene

mas de 22 computadoras, permitiendo tener un máximo de 32 hosts (2^5=32).

A los Servidores se les ha asignado una dirección IP estática de modo que las

estaciones de trabajo y otros dispositivos siempre sepan como acceder a los servicios

requeridos.

Las direcciones de los Servidores se muestra en la siguiente tabla:

Servidores Dirección de Subred

Servidor FTP 132.150.10.98/27

Servidor de Base de Datos 132.150.10.99/27

Servidor Web 132.150.10.100/27

Servidor de Aplicaciones 132.150.10.101/27

Firewall 132.150.10.105/27

Tabla 3: Tabla de direcciones de los Servidores de la empresa “ERCO”

La red contará con un servidor de Aplicaciones en la cual se manejara la

información de todas las agencias.

5.1.2.1 Rango de direcciones IP para cada VLAN: Matriz

VLAN Departamento Dirección IP

VLAN2 Caja 1 132.150.10.34/27

Caja 2 132.150.10.35/27

Caja 3 132.150.10.36/27

Caja 4 132.150.10.37/27

Caja 5 132.150.10.38/27

VLAN3

Atención al Cliente 1 132.150.10.66/27




Contabilidad 132.150.10.70/27


58

Contabilidad 132.150.10.71/27

Auxiliar Contable 132.150.10.72/27

Auxiliar Contable 132.150.10.73/27

Jefe de Negocios 132.150.10.74/27

Gerencia 132.150.10.75/27

VLAN4

Servidor FTP 132.150.10.98/27

Servidor de Base de Datos 132.150.10.99/27

Servidor Web 132.150.10.100/27

Servidor de Aplicaciones 132.150.10.101/27

Departamento Sistemas 1 132.150.10.102/27



Tabla 4: Tabla de direcciones IP de las VLANs Matriz Sucursal Cumbe


VLAN1 Caja 132.150.50.34/27

VLAN2 Atención al Cliente 132.150.50.66/27

Tabla 5: Tabla de direcciones IP de la VLAN de la agencia Cumbe Sucursal Baños


VLAN1 Caja 132.150.40.34/27


Tabla 6: Tabla de direcciones IP de la VLAN de la agencia Baños


59

Sucursal El Arenal


VLAN1 Caja 132.150.20.34/27


Tabla 7: Tabla de direcciones IP de la VLAN de la agencia Cumbe Sucursal Sinincay


VLAN1 Caja 132.150.20.34/27


Tabla 8: Tabla de direcciones IP de la VLAN de la agencia Cumbe


60

Figura 29: Diagrama de Direccionamiento de la cooperativa “ERCO”


61

5.1.3 Elaboración tabla de ruteo

Figura 30: VPNs

Dado que nuestra empresa maneja información privada de los clientes es necesario

que dicha información pase de manera encriptada por las redes de Telconet, la mejor

solución que podríamos usar son las VPNs para la conexión entre las matriz y las

distintas sucursales, dicha VPN nos provee de encriptación y una alta seguridad en el

traspaso de datos desde y hacia las sucursales.

La Figura 30 nos muestra las VPNs en una conexión punto a multipunto, estas unen

las redes de la matriz con las sucursales

Tabla de ruteo:

Teniendo en cuenta que la matriz requiere seguridad interna se ha propuesto la

implementación de VLANs dentro de la misma como se indico en la Figura 27. La

tabla de ruteo del router de la matriz que incluye VLANs seria la siguiente:


62

Puerto Red

eth0.2 132.150.10.33

eth0.3 132.150.10.65

eth0.4 132.150.10.97

Tabla 9: Tabla de ruteo de matriz

A continuación se indica la Tabla de enrutamiento de la conexión de VPNs entre la

matriz y sus sucursales

Puerto Red

eth1.1 132.150.20.0/24

eth1.2 132.150.30.0/24

eth1.3 132.150.40.0/24

eth1.4 132.150.50.0/24

Tabla 10: Tabla de ruteo de las VPNs

5.2 Diseño mapa físico de la LAN

Figura 31: Diagrama general de la red


63

El modelo de la figura 31 es un diseño punto a multipunto, la conexión será provista

por Telconet, es decir todas las sucursales se conectarán a la matriz, pero para la

conexión entre sucursales deberán pasar obligatoriamente por la matriz, de esta

manera la matriz controla el flujo de los datos, desde y hasta las distintas sucursales.

Además de esto, con este diseño la seguridad estará centralizada en la matriz, dado

que esta tiene el servicio de Internet con el proveedor Satnet, la matriz compartirá y

controlara el servicio de Internet a las sucursales por medio de Telconet

Teniendo en cuenta que la información esta centralizada en la matriz, el acceso a los

servicios para las agencias de Cumbe, Baños, El Arenal y Sinincay lo realizarán a

través de su proveedor de conexión Telconet, quienes accederán a través de ésta para

tener acceso a la información de todos sus clientes, los mismos que podrán realizar

sus transacciones desde cualquier agencia de la Cooperativa. Además podrán realizar

sus pagos de Luz y envió y recepción de giros a través de Money Gram.

5.2.1 Planes de distribución de conexiones

Los planes de distribución de los cables del MDF de la matriz que se utilizarán en la

matriz de la cooperativa serán los que se indican en la tabla. El switch que se

utilizará será un Switch administrables de 24 puertas que permita VLANs.


64

MATRIZ

MDF

CONEXIÓN ID CABLE CONEXIÓN CRUZADA

TIPO

CABLE ESTADO

MDF a puerto1 301-1 HCC1/Servidor 1 UTP Cat 5e Usado





MDF a puerto6 302-6 HCC6/Jefe Sistemas UTP Cat 5e Usado

MDF a puerto7 302-7 HCC7/Depart. Sistemas UTP Cat 5e Usado

MDF a puerto8 302-8 HCC8/Depart. Sistemas UTP Cat 5e Usado

MDF a puerto9 205-9 HCC9/Atención Cliente 1 UTP Cat 5e Usado




MDF a puerto13 204-13 HCC13/Contabilidad 1 UTP Cat 5e Usado

MDF a puerto14 304-14 HCC14/Contabilidad 2 UTP Cat 5e Usado

MDF a puerto15 203-13 HCC15/Jefe de Negocios UTP Cat 5e Usado

MDF a puerto16 202-16 HCC16/Auxiliar Contable UTP Cat 5e Usado

MDF a puerto17 202-17 HCC17/Auxiliar Contable UTP Cat 5e Usado

MDF a puerto18 101-18 HCC18/Gerencia UTP Cat 5e Usado

MDF a puerto19 102-19 HCC19/Caja1 UTP Cat 5e Usado





MDF a puerto24 102-24 HCC24/desocupado UTP Cat 5e sin usar

Tabla 11: Distribución de conexiones

5.2.2 Ubicación de Cuartos de Telecomunicaciones y Equipos

Dado que la computadora más lejana esta a menos de 100m de distancia, la

tecnología que utilizaremos será Ethernet la cual si nos permite llegar hasta el último

computador del edificio sin necesidad de usar repetidores, si no es factible usar

Ethernet se manejará fibra óptica.


65

En el edificio de la matriz existirá un solo Cuarto de Telecomunicaciones donde se

albergara también los servidores de la empresa que servirán también para las

sucursales, ya que la arquitectura será centralizada.

El cuarto de telecomunicaciones se encuentra ubicado en la segunda planta de la

matriz.

5.3 Elaboración del Documento

Una vez que se ha realizado el diseño de lo que será la futura red LAN de la

cooperativa, procedemos ha realizar la documentación de todos los puntos de este

capitulo para dejar un documento de constancia del diseño de la nueva red.

DISEÑO DEL PLAN DE SEGURIDAD “ERCO”

66

6 CAPITULO VI:

DISEÑO DEL PLAN DE SEGURIDAD

6.1 Introducción

La seguridad en las Empresas e instituciones hoy en día es muy importante, es por

esto que el tema de seguridad más que una recomendación es un requisito que toda

empresa debe cumplir. La seguridad de las tecnologías de información, y por ende la

informática, se convierte en un tema de crucial importancia para el continuo y

creciente progreso de nuestra sociedad, e incluso para la propia supervivencia de la

empresa.

Desde el momento en que las empresas acceden al servicio de Internet, se abren ante

ellas toda una serie de posibilidades, sin embargo éstas traen consigo nuevos y en

ocasiones complejos tipos de ataque que pueden afectar el correcto funcionamiento

de la red y pérdidas considerables a la institución.

En base a los puntos anteriores, fue necesario realizar un análisis y revisión de todas

las debilidades y amenazas tanto físicas como lógicas que existieran en la

Cooperativa de Ahorro y Crédito, y solventarlos a través de la generación de un

documento de Políticas de Seguridad para prevenirlas.

6.2 Análisis de los requerimientos de las aplicaciones

del negocio.

Al ser “ERCO” una empresa joven y en constante crecimiento, no cuenta con una

estructura segura y fiable. Por lo que a continuación se listan los requerimientos de la

empresa:

Rediseño de la estructura de los departamentos.- la empresa debe contar con un

correcto diseño para cada uno de los departamentos en sus diferentes áreas: Atención

al cliente, Cajas, Contabilidad, Unidad de Informática, etc., con la finalidad de


67

brindar mayor seguridad y comodidad tanto para los usuarios internos como para los

clientes.

Reubicación de equipos y dispositivos de telecomunicaciones: la empresa debe

contar con una adecuada ubicación de sus equipos servidores u dispositivos de

telecomunicaciones como switches, hubs, servidores, etc.

Diseño de cableado estructurado: Es necesario que la Cooperativa cuente con el

diseño de cableado estructurado para un adecuado control y optimización de la red,

cumpliendo normas y estándares para un mejor desempeño y futura expansión de la

misma. Es necesario contar con un cuarto de equipos el mismo que debe estar en un

lugar seguro y con una adecuada ventilación, con control de acceso autorizado.

Incrementar el número de cajas: para una mejor atención a los clientes se debe

incrementar el número de cajas.

Reubicación de la Caja Fuerte: se debe procurar una adecuada protección y

medidas de seguridad para la ubicación de la caja fuerte.

Reubicación del Archivo de Documentos: documentación en papel que contiene

información muy valiosa del estado económico de los clientes y la empresa, que

actualmente están a la vista de todos, pudiendo extraviarse, pues se encuentran en el

pasillo de acceso a los departamentos de la empresa.

6.3 Identificación de los activos de la empresa

Luego del análisis realizado en el punto 3.4 del capitulo 3 sobre los

activos que la empresa tiene, no se ha detectado activos que favorezcan

políticas de seguridad como por ejemplo firewall, UPS, etc., por lo que

es fundamental contar con un documento que indique y aclare las

normas, requerimientos y procedimientos para solucionar inconvenientes

que se puedan presentar.


68

6.4 Análisis de los posibles riesgos y amenazas a la red

6.4.1 Lógicos

Entre los posibles riesgos y amenazas que se pueden presentar en la red y la empresa

tenemos:

• Virus: este posible riesgo que es muy común ya que al estar conectados a

Internet la posibilidad de adquisición de virus es mas fácil, también el uso

frecuente de dispositivos extraíbles como memorias flash, disketes, etc., son

medios de contagios mas frecuentes hoy en día.

• Ataques a la red por Internet: Los ataques desde el exterior son una de las

amenazas de que mas cuidado se debe tener, ya que estas pueden tener acceso

a la información valiosa de la empresa.

• Denegación de servicios: conocido como DoS (Denial of Service), es un

tipo de ataque que provoca la pérdida de la conectividad de la red por el alto

consumo del ancho de banda, se genera mediante la saturación de los puertos

con flujo de información, haciendo que el servidor se sobrecargue y no pueda

seguir prestando servicios.

• Fraudes informáticos: Este tipo de ataque se puede dar por usuarios mal

intencionados que pretenden alterar las transacciones bancarias en nuestro

caso, robar información, instalar programas maliciosos, borrar información,

etc. Con el único fin de perjudicar a la misma o para su propio beneficio.

• Acceso no autorizado a las aplicaciones: el sistema de la empresa debe

contar con un adecuado control para el acceso a las aplicaciones es decir, se

debe pedir su identificación (usuario y clave) para acceder a realizar cualquier

tipo de transacción, donde solo el personal autorizado tenga este privilegio de

acceso.

• Acceso no autorizado a las bases de datos: esta se puede dar al existir

usuarios mal intencionado o ingenuos que accedan a la misma con el único


69

fin de alterar o borrar la información, lo cual perjudicaría a la organización y

a sus clientes.

• Divulgación de la información no autorizada. La empresa debe

concienciar a sus empleados de la importancia de la privacidad de la

información con el fin de proteger a la empresa y a sus clientes.

• Uso de claves en switch, routers, que viene por defecto. Este riesgo se

puede dar por descuido en los administradores de la red, al momento de la

configuración de los dispositivos, manejo de contraseñas, lo cual facilitaría

un ataque.

6.4.2 Físicos

• Daños de equipos: Estos se dan debido a la falta de sistemas de ventilación,

mala ubicación del cuarto de servidores, ocasionando el daño de los mismos.

• Riesgos energía eléctrica: Estos riesgos pueden ocasionar pérdidas a la

empresa al no contar con un generador propio de energía y la falta de UPS.

• Falencias en el diseño de la infraestructura de la red: Las conexiones

existentes presentan muchas deficiencias, sobre todo por la falta de cableado

estructurado.

• Robo de equipos informáticos: Estos se pueden ocasionar debido a que los

equipos se encuentran en lugares inseguros y de fácil acceso para cualquier

persona de la cooperativa.

• Desastres naturales: por ejemplo inundaciones, debido a que no cuenta con un

diseño de cableado estructurado, que por ejemplo separe instalaciones de cables

eléctricos con las tuberías de agua.

• Mala operación de los sistemas por parte de los usuarios: esta amenaza

puede alterar la información de los clientes y de la empresa.


70

• Pérdida de claves esta se da por descuido de los usuarios, quienes pueden

provocar que la información no sea integra y puede dejar de estar disponible.

6.5 Diseño de las políticas de seguridad:

Antes de empezar a diseñar las políticas de seguridad, se tomaron en cuenta los

parámetros definidos en el punto 2.7.2, del capitulo 2.

En primer lugar consideraron los posibles riesgos y amenazas identificados en el

punto anterior, se trabajó con el personal involucrado de cada departamento (quienes

identificaron las vulnerabilidades más frecuentes).

Luego los usuarios internos fueron informados sobre el desarrollo de las políticas de

seguridad a implementarse constatando los beneficios que conllevan. Para esto es

necesario que exista un monitoreo constante de las operaciones diarias, siguiendo los

manuales de procedimientos establecidos y en caso de ver alguna anormalidad se

notifique inmediatamente a la persona encargada de cada departamento.

El propósito de desarrollar este documento de las Políticas de Seguridad informática

para La Cooperativa de Ahorro y Crédito “ERCO” es proteger su información y los

activos de la misma, tratando de conseguir confidencialidad, integridad y

disponibilidad de los datos, así mismo identificar las responsabilidades de cada uno

de los empleados de la cooperativa, para concienciarlos de la importancia y

sensibilidad de la información.

Desarrollo

Se creará un documento con las Políticas de Seguridad Informática donde se

establecerán normas y procedimientos, que se deberán acatar en la Cooperativa de

Ahorro y Crédito “ERCO” respecto a las actividades relacionadas con la seguridad

informática y las tecnologías de información.

Este documento deberá ser aprobado inicialmente por los directivos de la

Cooperativa para su implementación, las mismas que serán revisadas periódicamente

para analizar nuevas necesidades en caso de ser necesarias.


71

6.5.1 Seguridad Lógica

Identificación de usuarios

Debe existir una política formal de control de acceso a datos donde se detalle

como mínimo:

El nivel de confidencialidad de los datos y su sensibilidad,

Los procedimientos de otorgamiento de claves de usuarios para el

ingreso a los sistemas,

Los estándares fijados para la identificación y la autenticación de

usuarios.

Para dar de alta un usuario al sistema debe existir un procedimiento formal,

por escrito, que regule y exija el ingreso de los siguientes datos:

Identificación del usuario, deberá ser única e irrepetible,

Password, debe ser personal e ingresado por el usuario,

Nombre y apellido completo,

Sucursal de la empresa donde trabaja,

Grupo de usuarios al que pertenece,

Fecha de expiración del password,

Fecha de anulación de la cuenta,

Contador de intentos fallidos,

Autorización de imprimir,

Deben asignarse los permisos mínimos y necesarios para que cada usuario

desempeñe su tarea.

Deberá restringirse el acceso al sistema o la utilización de recursos en un

rango de horario definido.

El administrador del sistema deberá realizar un chequeo mensual de los

usuarios del sistema, comprobando que existan solo los usuarios que son

necesarios y que sus permisos sean los correctos.

Las PC´s deben tener instalado un protector de pantalla con contraseña.


72

Periódicamente el administrador del sistema deberá chequear las acciones

desempeñadas con las cuentas de administradores y de mantenimiento.

Autenticación:

Crear cuentas de usuarios y contraseñas de acuerdo a su jerarquía y roles

que desempeñen.

Es necesario que los usuarios registren en cualquier pantalla de ingreso de

los sistemas informáticos los siguientes datos: nombre de usuario y clave.

Mostrar los siguientes datos una vez que el usuario a ingresado, para

notificar en caso de violación de clave:

Nombre de usuario

Fecha y hora de la ultima conexión

Número de intentos fallidos en el ingreso de su clave

Es necesario mantener encriptada la siguiente información:

Listas de control de acceso

Los passwords y cuentas de usuario

Datos de autenticación.

Password:

Crear passwords seguros con las siguientes características:

Combinación de letras, números.

Tener una longitud mínima de 6 caracteres y máxima de 20.

Cambiar los passwords periódicamente y evitar anotarlos en lugares

visibles.

La fecha máxima en que debe expirar el password deberá ser de cuatro

meses, una vez cumplido este plazo el sistema pedirá automáticamente el

cambio del mismo.


73

Bloquear la interfaz de ingreso de password en caso de tener más de tres

intentos fallidos.

Evitar usar como password el nombre del usuario, el nombre de la

empresa, fechas de nacimiento, etc.

El sistema debe dar facilidad para que los usuarios modifiquen sus

passwords cuantas veces se considere necesario.

Antivirus

Es necesario que la empresa cuente con un servidor de antivirus, el cual debe

estar ejecutándose permanentemente y en continua actualización de

definiciones de virus.

Se deberá utilizar más de una herramienta antivirus en los servidores para

disminuir los riesgos de infección.

Las actualizaciones de los antivirus deberán realizarse mediante un

procedimiento automático.

Se debe contar con programas de escaneos periódicos de virus en todos los

equipos de la Cooperativa, para que estos sean detectados a tiempo.

En caso que se detecte un virus en algún equipo del sistema, se debe seguir

procedimientos formales para tomar las medidas necesarias.

Firewall

La empresa debe contar con el uso de un firewall para tener un control seguro

de los accesos a la red.

Se recomienda la configuración del Firewall Screened Host (Dual-homed

bastion Host), por que este ofrece doble nivel de seguridad al simular el

router sobre Fedora.


74

Deshabilitar los servicios y protocolos que no son necesarios para el

funcionamiento del sistema, para evitar la probabilidad de ataques o

intrusiones.

Debe ser controlado periódicamente la configuración del firewall y los

servicios de red por el personal encargado del mantenimiento. Todos los

resultados de las pruebas deben estar documentados.

Al detectarse una falla en el firewall es necesario que todos los accesos al

servidor de Internet se bloqueen.

6.5.2 Seguridad en la Comunicaciones

Dar capacitación a los usuarios de la Cooperativa con respecto a los riesgos y

medidas de seguridad que se debe tomar al momento de conectarse a Internet.

El acceso a Internet será otorgado únicamente para propósitos relacionados

con la institución y con previa autorización de la Gerencia. Y los usuarios no

autorizados no podrán acceder a este servicio.

Se deben utilizar un firewall para el control del tráfico entrante y saliente de

la red interna, para restringir el acceso no autorizado.

Fijar mecanismos de transmisión y responsabilidades con terceros (personal

de mantenimiento de equipos, personal de limpieza, proveedores de servicios

de Internet, etc.)

Monitorear periódicamente el uso de Internet en caso de que exista alguna

razón para creer que la seguridad esta siendo violada.

La gerencia tiene pleno derecho de examinar cualquier información, sin

previo consentimiento o notificación del empleado, en caso que se considere

que está utilizando inadecuadamente el equipamiento de la Cooperativa.

Se debe utilizar protocolos y servicios de comunicación que garanticen la


75

seguridad de los datos que se transmiten a través de la red.

Se deberá documentar cada una de las actividades que personal externo

realice sobre los equipos de hardware.

Se debe restringir el uso de herramientas que no ayuden con el cumplimiento

de los objetivos de la Cooperativa, tales como: herramientas de Chat, juegos,

etc

Mail.

La gerencia se encargara de determinar que empleado debe contar con una

cuenta de correo electrónico, según la tarea que el empleado desempeñe.

La empresa deberá contar con un sistema de mail interno y externo, para de

esta forma mantener su seguridad en las comunicaciones con el personal, sin

tener que exponer sus mensajes a Internet.

Se debe contar con un procedimiento para dar de baja las cuentas de correo

electrónico en caso de que esta no sea utilizada correctamente.

Los aplicativos de correo electrónico deberán brindar las condiciones de

seguridad necesaria, para impedir que un usuario reciba correos maliciosos o

de remitentes maliciosos que intenten afectar los recursos de la institución.

El administrador de mail no debe ser utilizado para enviar correo basura.

El correo electrónico no debe ser utilizado para enviar cadenas de mensajes, o

actividades no relacionadas con los propósitos de la empresa.

6.5.3 Seguridad Física

Control de acceso a equipos

Los equipos de la empresa deben contar con un password de administrador de

tal forma que solo el tenga acceso para administrar el sistema.


76

Se debe deshabilitar las disqueteras lectoras de CD y puertos USB, en

aquellas maquinas que no se necesiten.

Los servidores, rotures, etc., deberán estar en el cuarto de equipos y bajo llave

para evitar que estos sufran daños o robo.

Los gabinetes donde se ubican los switches y hub de cada una de las

sucursales, deberán permanecer guardados bajo llave, y fuera del alcance del

personal no autorizado.

El administrador de la red deberá encargarse de realizar chequeos periódicos

para comprobar la correcta instalación de los dispositivos.

Los servidores deberán apagarse automáticamente una vez que se haya

cumplido la hora laboral.

Dispositivos de Soporte.

La Cooperativa debe contar con los siguientes dispositivos de soporte básicos para

brindar una mayor seguridad para los usuarios y clientes:

Aire acondicionado: Es necesario que el cuarto de equipos cuente con aire

acondicionado para evitar el recalentamiento de los equipos y que estos se

deterioren.

Extintores: estos deben cumplir las especificaciones necesarias para

extinguir incendios en equipos eléctricos de computación. Deberán estar

instalados en lugares estratégicos de la empresa, además el cuarto de equipos

deberá contar con uno propio que estará ubicado junto a los servidores.

Alarmas: la Cooperativa a más de contar con personal de seguridad es

necesario que cuente con alarmas que se activen automáticamente ante una

emergencia en los diferentes departamentos.


77

Generador de energía: Es necesario que la Cooperativa cuente con un

generador de energía propio que se ponga en marcha cuando haya problemas

con el suministro de energía eléctrica o avisos de cortes de luz.

UPS: (Uninterruptible power supply) es necesario que exista al menos un

UPS en el cuarto de equipos para que atiendan a los servidores, para tener

tiempo de apagarlos de forma segura.

Evaluar periódicamente los dispositivos de soporte por el personal de

mantenimiento para que en caso de emergencia se encuentren disponibles.

Estructura del Edificio.

El centro de computo (Departamento de Sistemas) deberá estar ubicado en el

piso superior del edifico, para que no se encuentre afecte en caso de

inundaciones o robo, además debe contar con protecciones contra ruidos e

interferencias electromagnéticas y visuales.

La Cooperativa deberá contar con un cuarto telecomunicaciones y equipos

para una mejor administración y control de seguridad.

El diseño del Departamento de Sistemas debe considerar el futuro

crecimiento de la empresa, para que permita la expansión y predisposición a

nuevas instalaciones.

6.6 Elaboración del documento de Políticas de Seguridad

Una vez analizadas las debilidades y amenazas de la red y de la empresa,

tanto físicas como lógicas, procedemos a realizar la documentación de

las políticas diseñadas en el punto anterior.

CONCLUSIONES “ERCO”

78

CONCLUSIONES

Luego de haber realizado el proyecto es fundamental tomar en cuenta las siguientes conclusiones:

Respecto al análisis de la red:

Actualmente la empresa no cuenta con cableado estructurado, lo que ocasiona problemas en la expansión de la red, ya que no se encuentran documentados los puntos de conexión, ni se manejan estándares en lo que refiere a la localización de los dispositivos. Del mismo modo, tampoco se aplican los estándares en lo referente al cableado eléctrico, telefónico y de datos.

Los datos de los clientes en la empresa se encuentran en bases de datos independientes, lo que podría ocasionar redundancia de datos, así como falta de integridad entre los mismos.

Para mejorar la seguridad dentro de los usuarios de un mismo edificio se aconseja la implementación de VLANs, lo que permitirá que el router empresarial asigne los permisos necesarios a los diferentes grupos de usuarios.

Respecto al Plan de Seguridad:

La empresa no cuenta con un Plan de Seguridad vigente, lo cual puede provocar fallas de seguridad en los sistemas, equipos de hardware y afectar a los datos e información que se maneja en la misma.

La falta de cableado estructurado puede ocasionar perdida de datos en la

transmisión de información entre los dispositivos de red.

RECOMENDACIONES “ERCO”

79

RECOMENDACIONES Respecto al análisis de la red:

Aplicar reglas y estándares a toda la empresa, dado que existen algunos estándares a aplicar en lo que respecta al cableado, escoger el que mejor se adapte a sus necesidades.

Para eliminar tanto la redundancia de datos así como la falta concordancia, se aconseja unir por red las sucursales con la matriz, de manera que la base de datos sea centralizada o en su defecto distribuida, pero que de esta manera no existan datos erróneos.

Actualmente dentro del mismo edificio, todos los usuarios ya sea el gerente como las cajeras se encuentran en la misma red, es por ello que la seguridad dentro de la empresa es muy baja.

Respecto al Plan de Seguridad:

La Gerencia debe tomar en consideración la publicación de un documento con las políticas presentadas y que éste sea dado a conocer a nivel corporativo, es decir a todos los funcionarios, con la finalidad de disminuir errores de seguridad.

Seria fundamental contar con un presupuesto dentro de la empresa para implementar este proyecto y darle una alta prioridad con la finalidad de garantizar la información de la cooperativa, y el servicio a sus clientes.

BIBLIOGRAFIA “ERCO”

80

BIBLIOGRAFIA

GIBBS Mark. Redes para todos. Editorial Prentice Hall Hispanoamericana,

S.A. Naucalpan de Juarez, México,1995

COMER Douglas. Redes Globales de Información con internet y TCP/IP.

Editorial Prentice Hall Hispanoamericana,S.A Naucalpan de Juárez,

México,1996

TANENBAUM, Andrew C. Redes de Computadores - 3a edição.

Ed.Campus, Rio de Janeiro, 1997.

Cisco System,Inc Academia de Networking de Cisco System:Guia del

Segundo año CCNA 3 y 4. Tercera Edición. PEARSON EDUCATION, SA.

Madrid, 2004

GUSTAVUS J. Simmons (Editor), "Contemporary Cryptology. The Science

of Information Integrity", IEEE Press. 1992.

WILEY John & Sons, “Security Mechanisms for Computer Networks", Sead

Muftic 1984.

STALLING William, Comunicaciones y redes de Computadoras. Pearson

Educacion, Madrid, 7a edicion 2004, 268p

ANEXOS “ERCO”

81

ANEXOS

Anexos 1: Fotografías de la empresa

La figura muestra como se encuentra ubicado el Router en la Empresa

Figura 32: Fotografía de la ubicación física del Router y la centralilla

El acceso a la ubicación del Router y la Centralilla no es restringido y cualquier empleado puede ingresar a este ya que se encuentra en cuarto de equipos que es donde se debería encontrar.

Figura 33: Fotografía del acceso al router y la centralilla

ANEXOS “ERCO”

82

En la siguiente figura se puede observar la Oficina o departamento de Sistemas donde se encuentra el HUB que une los diferentes Servidores que tiene la empresa.

Figura 34: Fotografía del Departamento de Sistemas (Switch 8 puertos que conecta los servidores)

En la siguiente figura se puede observar como se encuentran ubicados los servidores de la empresa.

Figura 35: Fotografía de la ubicación física de los Servidores

ANEXOS “ERCO”

83

En la siguiente foto se puede observar como manejan el cableado en el Departamento de Sistemas.

Figura 36: Fotografía del cableado que tienen en el Departamento de sistemas La siguiente fotografía muestra como se encuentra el Departamento de Sistemas de la cooperativa de ahorro y crédito “ERCO”

Figura 37: Fotografía del Departamento de Sistemas

ANEXOS “ERCO”

84

Anexo 2: Cableado estructurado

Dentro del diseño de las redes LAN el cableado Estructurado es una de las partes

más importantes, y el fallo o buen funcionamiento de las redes en general depende de

la implementación de cableado que dispongan.

Considerando que la Cooperativa de Ahorro y Crédito “ERCO” no tiene cableado

estructurado hemos realizado el análisis y diseño del mismo.

1. Diseño de cableado estructurado

Para su diseño nos hemos basado en las normas y estándares que existen de cableado

estructurado para realizar un diseño óptimo de la red.

Se ha realizado el diseño del cableado en la matriz de la empresa basándose en los

subsistemas principales:

1. Punto de demarcación (demarc)

Proporciona el punto en el que el cable exterior conecta con el cableado backbone

del interior del edificio, representa el límite entre la responsabilidad del proveedor

del servicio y la del cliente.

La TIA (Asociación de Industrias de las Telecomunicaciones) y la EIA (Asociación

de Industrias Electrónicas) desarrollan y publican normas para muchas industrias,

incluyendo la industria del cableado.

La TIA/EIA-569-A especifica las normas del espacio para el demarc, las normas de

la estructura y el espacio del demarc están basadas en el tamaño del edificio.

2. Cableado Backbone

Su finalidad es proporcionar interconexiones entre cuartos de entrada de servicios de

edificios, cuartos de equipo y closet de telecomunicaciones. Incluye la conexión

vertical entre pisos en edificios de varios pisos con los medios de transmisión (cable

UTP categoría 5e), puntos principales e intermedios de conexión cruzada y

terminaciones mecánicas.

ANEXOS “ERCO”

85

A la hora de establecer la ruta del cableado de los closets de telecomunicaciones a los

nodos, es una consideración primordial evitar el paso del cable por los siguientes

dispositivos:

Motores eléctricos grandes o transformadores (mínimo 1.2 metros).

Cables de corriente alterna

Mínimo 13 cm. para cables con 2KVA o menos

Mínimo 30 cm. para cables de 2KVA a 5KVA

Mínimo 91cm. para cables con mas de 5KVA

Luces fluorescentes y balastros (mínimo 12 centímetros). El ducto debe ir

perpendicular a las luces fluorescentes y cables o ductos eléctricos.

Intercomunicadores (mínimo 12 cm.)

Equipo de soldadura

Aires acondicionados, ventiladores, calentadores (mínimo 1.2 metros).

Otras fuentes de interferencia electromagnética y de radio frecuencia.

3. Cableado Horizontal

Incorpora el sistema de cableado que se extiende desde la salida del computador

también llamada área de trabajo de telecomunicaciones (Work Area Outlet, WAO)

hasta el cuarto de telecomunicaciones o Closet de Telecomunicaciones.

El cableado horizontal consiste de dos elementos básicos:

Cable Horizontal y Hardware de Conexión. Proporcionan los medios para

transportar señales entre el computador y el closet de telecomunicaciones. No

se permiten empates en cableados de distribución horizontal.

Rutas y Espacios Horizontales (también llamado "sistemas de distribución

horizontal") son utilizados para distribuir y soportar el cable horizontal y

conectar hardware entre la salida del área de trabajo y el closet de

telecomunicaciones.

El cableado horizontal incluye:

Las salidas (cajetines/conectores) en el área de trabajo.

Cables y conectores de transición instalados entre las salidas del área de

trabajo y el cuarto de telecomunicaciones.

ANEXOS “ERCO”

86

Patch Panel (paneles de empate) y Patch Cord (cables de empate) utilizados

para configurar las conexiones de cableado horizontal en el closet de

telecomunicaciones.

Los costos en materiales, mano de obra e interrupción de labores al hacer cambios en

el cableado horizontal pueden ser muy altos. Para evitar estos costos, el cableado

horizontal debe ser capaz de manejar una amplia gama de aplicaciones de usuario.

La distribución horizontal es necesaria que sea diseñada para facilitar el

mantenimiento y la relocalización de áreas de trabajo.

El cableado horizontal debe estar en capacidad de manejar diversas aplicaciones de

usuario incluyendo, comunicaciones de voz (teléfono), comunicaciones de datos y

redes de área local.

El cableado horizontal se debe implementar en una topología de estrella. Cada

salida del área de trabajo debe estar conectada directamente al closet de

telecomunicaciones.

Entre los aspectos que se deben considerar, esta la distancia horizontal máxima del

cable, que es de 90 metros independientemente del cable utilizado. Esta es la

distancia desde el área de trabajo hasta el closet de telecomunicaciones. Al establecer

la distancia máxima, sé prevé 10 metros adicionales para la distancia combinada de

Patch Cord (3 metros) y cables utilizados para conectar el equipo en el área de

trabajo de telecomunicaciones y el closet de telecomunicaciones.

Tipos de Cable

Los tres tipos de cable reconocidos por ANSI/TIA/EIA-568-A para distribución

horizontal son:

1. Par trenzado, cuatro pares, sin blindaje (UTP) de 100 ohmios, 22/24 AWG

2. Par trenzado, dos pares, con blindaje (STP) de 150 ohmios, 22 AWG

3. Fibra óptica, dos fibras, multimodo 62.5/125 mm.

El cable a utilizar preferiblemente es el par trenzado sin blindaje UTP de cuatro pares

categoría 5e. Con relación al manejo del cable, el destrenzado de los pares en los

ANEXOS “ERCO”

87

conectores RJ45 y Patch panel debe ser menor a 1.25 cm para cables UTP categoría

5. El radio de doblado del cable no debe ser menor a cuatro veces el diámetro del

cable. Por cada par trenzado de cuatro pares categoría 5 el radio mínimo de doblado

es de 2.5 cm.

4. Closet de Telecomunicaciones y Equipos

Es el área en un edificio, utilizada para el uso exclusivo de los equipos asociados con

el sistema de cableado de telecomunicaciones. El espacio del closet de

comunicaciones no debe ser compartido con instalaciones eléctricas que no sean de

telecomunicaciones, este debe ser capaz de albergar equipo de telecomunicaciones,

terminaciones de cable y cableado de interconexión asociado.

Considerando que la distancia que existe entre la ultima computadora y el MDF no

supera los 100 metros se ha decidido utilizar el Cuarto de Telecomunicaciones y el

Cuarto de Equipos como uno solo que se llamaría “Cuarto de Telecomunicaciones y

Equipos”, también por que la magnitud de la Estructura del Edificio y de la Empresa

no es muy grande. Esto nos ayudará a tener una mejor organización de los

dispositivos y ayudará a mantener la seguridad de los mismos.

En el Cuarto de Telecomunicaciones y Equipos irán todos los servidores:

Servidor de Aplicaciones

Servidor de Base de Datos

Servidor Web

Firewall

Consideraciones en el Diseño del Closet de Telecomunicaciones

Localización: Con el propósito de mantener la distancia horizontal de cable

promedio en 46 metros o menos (con un máximo de 90 metros), se recomienda

localizar el closet de telecomunicaciones lo más cerca posible del centro del área a

servir.

ANEXOS “ERCO”

88

En el caso de cada piso del edificio hemos colocado el closet de telecomunicaciones

en una de las esquinas de cada planta, exactamente en la esquina izquierda al fondo,

como se muestra en las Figuras 5,6 y 7.

Altura: La altura mínima recomendada del cielo raso es de 2.6 metros.

Control Ambiental: Para los closets que no poseen equipos electrónicos, la

temperatura debe mantenerse entre 10 a 35 grados centígrados. La humedad relativa

debe mantenerse menor a 85%.

Ductos: El número y tamaño de los ductos utilizados para acceder al closet de

telecomunicaciones varía con respecto a la cantidad de áreas de trabajo, sin embargo

se recomienda por lo menos tres ductos de 100 milímetros (4 pulgadas) para la

distribución del cable del backbone.

Puertas: Las puertas de acceso deben ser de apertura completa, con llave y al menos

91 centímetros de ancho y 2 metros de alto.

Paredes: Al menos dos de las paredes del closet deben tener láminas de plywood A-

C de 20 milímetros de 2.4 metros de alto. Las paredes deben ser pintadas con pintura

resistente al fuego, lavables, mate y de color claro.

Tamaño: Debe haber al menos un closet de telecomunicaciones o cuarto de equipo

por piso y por áreas que no excedan los 1000 metros cuadrados. Instalaciones

pequeñas podrán utilizar un solo closet de telecomunicaciones si la distancia máxima

de 90 metros no se excede.

Prevención de Inundaciones: Los closets de telecomunicaciones deben estar libres de

cualquier amenaza de inundación. No debe haber tubería de agua pasando por el

closet de telecomunicaciones.

ANEXOS “ERCO”

89

El cuarto de telecomunicaciones debe contar con una barra de puesta a tierra que a su

vez debe estar conectada mediante un cable de mínimo 6 AWG con aislamiento

verde al sistema de puesta a tierra de telecomunicaciones según las especificaciones

de ANSI/TIA/EIA-607.

2. Detalles constructivos

Distribución Principal

La distribución principal consiste en 1 patch panel para fibra óptica donde llega la

señal externa que provee Telconet, de donde se obtiene las señales que se conectarán

a un patch panel que administra la Red a través del switch que conectará las

secciones de la red, cubriendo de esta manera la conexión de todos los puntos de

datos.

La distribución de los sectores en la parte lógica se lleva a cabo por medio del uso de

direcciones IP públicas clase C.

Distribuyéndose de la siguiente forma:

SUBRED

Dirección de

Subred Puntos de red

Matriz 132.150.10.0/24 18

Agencia Cumbe 132.150.50.0/24 4

Agencia Sinincay 132.150.30.0/24 4

Agencia Baños 132.150.40.0/24 4

Agencia El Arenal 132.150.20.0/24 4

Tabla 12: Tabla de direcciones IP y puntos de red de las agencias de “ERCO” Tienen máscara /26 para no desperdiciar las direcciones IP, ya que cada sede no tiene

más de 342 computadoras y para futuras expansiones.

Conexión Horizontal

La red Horizontal esta formada por los cables que provienen desde el patch panel de

cada uno de los switchs por piso que distribuyen según el área de los puntos de

ANEXOS “ERCO”

90

conexión en la topología en estrella.

Distribución de cable horizontal

La instalación del cableado horizontal debe realizarse una vez que se ha instalado el

cableado Backbone.

Es el cable que va desde el área de trabajo hasta el closet de telecomunicaciones,

deberá ir horizontalmente. Ees importante seguir los siguientes puntos:

Los cables deben ir paralelos a las paredes.

Los cables nunca deben situarse diagonalmente a través del techo.

Al seleccionar el recorrido del cableado, elija el camino más directo, con el

menor numero de vueltas

No permita que los cables toquen directamente la cubierta del tejado.

Área de Trabajo

El área de trabajo está formada por el cajetín, el jack de datos, y los patch cord de 3 o

5 pies.

Especificaciones de canalizaciones para el cableado estructurado

En este punto se especifican las diferentes canalizaciones recomendadas para el

diseño y construcción de redes de cableado estructurado. Por protección y seguridad,

todas las canalizaciones metálicas se deben poner a tierra.

Canalización horizontal

La canalización horizontal proporciona los espacios, trayectorias que van desde el

distribuidor de cables de piso hasta las salidas/conectores de telecomunicaciones

ubicadas en las áreas de trabajo.

La canalización horizontal en el interior del edificio debe ser instalada en lugares

secos que protejan a los cables de niveles de humedad que puedan dañarlos.

Las canalizaciones deben tener:

ANEXOS “ERCO”

91

Puesta a tierra: Toda canalización metálica que se utilice debe instalarse a

tierra.

Separación de canalizaciones eléctricas: debe existir una separación adecuada

con respecto a las trayectorias de instalaciones eléctricas.

Tuberías y cable

Con el fin de dar soporte y la protección adecuada al cableado se ha dispuesto la

utilización de tubo tipo EMT con los accesorios para unión, derivación, conexión y

soporte.

La tubería tendrá el diámetro de acuerdo a lo que exigen las normas como se puede

observar en el plano de diseño, dejando espacio para poder expandir la red a futuro si

fuera necesario. Considerando las últimas tecnologías de los cables se ha escogido el

cable UTP, categoría 6, que cumpla con las normas para este tipo de cableado.

Los elementos de conexión como jacks, cajetines, placas y patch panels serán de

categoría 6 de la marca que cumpla con lo que establece la norma.

Canalización principal de edificio

La canalización principal de edificio proporciona los espacios, trayectorias y soporte

para cables que van desde el distribuidor de cables de edificio hasta los distribuidores

de cables de piso, ubicados en cada nivel de un edificio. Esta canalización puede

estar conformada por varios componentes tales como: escaleras, portacables, tubería

(conduit) y soportes. Estos cables deben instalarse entre los siguientes puntos:

Cuarto de equipos a espacio o cuarto de acometida

Cuarto de equipos a cuarto de telecomunicaciones

Para la construcciones de edificios, y con el objeto de facilitar la instalación de la

canalización principal de edificio, hemos ubicado los cuartos de telecomunicaciones

en la misma posición en cada piso, alineados uno arriba del otro, e intercomunicados

a través de pasos de tubería o ranuras en el piso de concreto armado.

ANEXOS “ERCO”

92

Para nuestro diseño hemos optado colocar en el Cuarto de Equipos el Espacio o

cuarto de acometida, esta área estará destinada también para la instalación de cables

de telecomunicaciones y equipos de los proveedores de servicios externos en nuestro

caso Empresa Telconet.

Figura 38: Diseño físico Planta Baja

ANEXOS “ERCO”

93

Figura 39: Diseño físico Primera Planta

Figura 40: Diseño Físico Segunda Planta

ANEXOS “ERCO”

94

Figura 41: Diseño físico de Cableado Backbone

3. Dispositivos

Un Switch de 24 puertos, se utilizan de 24 puertos debido a que para VLANs

no existen Switch de menos puertos, aun cuando de momento no se

utilizarían todos los puertos, a futuro se pueden utilizar, es decir con esto

ganamos escalabilidad.

Cable UTP cat-5e para datos

Cable UTP cat-5e para voz

Canaletas 20x12

Cajetines sobrepuestos Dexon

Conectores Cat-5e p/ patch cords

Jacks cat-5e Siemon

Patch Panels Siemon x 16 pts Cat-5e

Organizadores horizontales

Patch Cords 90 cm Cat-5e

Racks de Piso Formato de 482 mm (19'') QFR1907-45

Bandeja Fija de 482,6mm (19'') QES0319-0110

Switch TRENDnet’s TEG-160WS

Switch TRENDnet’s TEG-160WS

TRENDnet’s TEG-160WS es el Switch ideal para segmentación de la red. Este tiene

ANEXOS “ERCO”

95

16 puertos de 10/100/1000Mbps, Auto-Sensing y Auto-MDIX de fácil instalación.

El TEG-160WS soporta las configuraciones del navegador de Internet, el

administrador de la red puede usar el navegador para configurar puertos Fast-

Ethernet, puertos para VLAN y QoS y monitorear el estado de cada puerto, todo esto

provee una migración sencilla, escalabilidad y flexibilidad para soportar nuevas

aplicaciones y tipos de datos.

TEG-160WS es poderoso y fácil de usar en cuanto a reducir el tráfico de broadcast

innecesario y permite seguridad en la red.

Características:

1. 24 puertos 10/100/1000Mbps Auto-negociación, y puertos de Auto-

MDIX Gigabit

2. Modo de transferencia Full/Half-Duplex para cada puerto (1000Mbps

Full-Duplex solamente)

3. Full Wire-Speed Non-Blocking Recepción y Transmisión

4. Método de almacenamiento y provisión de Switching

5. 272K bytes de RAM data buffer and 4K para la tabla de direcciones

MAC

6. IEEE 802.3x control de flujo para modo full-duplex; presiona el

respaldo de control de flujo para modo half-duplex.

7. Propietario Windows Basado utilidad administración/ controlar (similar

to SNMP Trap)

8. Puertos para VLAN y Puerto para IEEE 802.1p QoS (High/Normal)

9. Suporta Trunking y tiene un Puerto para Respaldos

10. Fácil configuración vía Navegador Web

11. Diseño estándar de 19 Rack-mount

12. 5 años de garantía

ANEXOS “ERCO”

96

4. Recomendaciones del cableado estructurado

Es importante planificar con anticipación al estimar el número de recorridos de

cables extra y derivaciones de cable en un área de trabajo. Siempre es más fácil

ignorar los cables extra instalados que no tenerlos cuando se los necesita.

Sacar cables extra en el área de backbone para el crecimiento futuro.

Extraer un cable adicional para cada estación de trabajo o desktop para su uso

a futuro. Esto ayuda a proteger contra los pares que puedan fallar durante la

instalación, y también contribuye a la expansión.

Para determinar cuanto de cableado extra de cobre extraer, hay que

determinar antes el número de recorridos necesarios, y luego añadir algunos

más, alrededor del 20%.

Utilizar placas de pared multipuesto sobre los jacks. Use jacks codificados

por color para identificar los tipos de circuito.

Para acomodar las necesidades cambiantes de los usuarios de las oficinas, se

recomienda proporcionar al menos un cable libre para la toma del área de

trabajo. Las oficinas pueden cambiar de un solo usuario a espacios de

multiusuario.

Si el hub o patch panel de un Recinto de telecomunicaciones pueden ubicarse

en una cabina de equipo completo o un rack de distribución

Si el patch panel, el hub y otro equipo están montados en una cabina de

equipo completo, se requiere al menos 76.2 cm de espacio libre por delante

para que pueda abrirse la puerta. Generalmente estas cabinas miden 1.8m de

alto, 0.74 m ancho y 0.66 m de fondo.

Si se utiliza un rack debe dejarse espacio suficiente para futuros patch panels

o dejarse suficiente espacio en el suelo para futuras instalaciones de racks al

hacer la disposición inicial.

ANEXOS “ERCO”

97

Una instalación correcta de racks y patch panels permite futuros cambios y

modificaciones en la instalación del cableado con facilidad. Esto es

importante al considerar el diseño y la disposición de las áreas de trabajo.

5. Normas y códigos del cableado estructurado

Las normas son conjuntos de reglas o procedimientos que están oficialmente

especificadas, y que sirven de indicador o modelo de excelencia. Las normas pueden

ser especificaciones de n solo distribuidor, o pueden ser normas de la industria que

soporte la interoperabilidad de muchos distribuidores.

Hay compañías, organizaciones e incluso departamentos del gobierno que regulan y

especifican los cables a usar.

La red que se construye según las normas debe trabajar bien e interoperar con otros

dispositivos de red estándar. Es importante comprender que las normas están siendo

revisadas constantemente y actualizadas periódicamente para reflejar las nuevas

tecnologías y los requisitos mas recientes de las redes de voz y datos.

Las normas se desarrollan en dirección de las organizaciones internacionales para

alcanzar una forma de estancar universal. Organizaciones como IEEE, ISO e IEC son

ejemplos de cuerpos internacionales de normalización.

La Asociación de la industria de telecomunicaciones (TIA) y la asociación de

industrias electrónicas (EIA) son asociaciones comerciales que desarrollan y

publican conjuntamente una serie de normas que abarcan áreas de cableado

estructurado de voz y datos para LAN. Tanto la EIA como la TIA están acreditadas

por el Instituto Nacional Americano de Normalización (ANSI) para desarrollar las

normas voluntarias de la industria para una variedad de productos de

telecomunicaciones. Esto significa que muchas normas se etiquetan a menudo

ANSI/TIA/EIA. Los distintos comites y subcomités de la TIA/EIA desarrollan

normas de fibras ópticas, equipo local del usuario, equipo de red, comunicaciones

inalámbricas y comunicaciones por satelite.

ANEXOS “ERCO”

98

Algunas normas del TIA/EIA del cableado estructurado son:

TIA/EIA-568-A: Norma de cableado de telecomunicaciones para edificios

comerciales

TIA/EIA-568-B: Norma de cableado

TIA/EIA-569-A: Norma de edificios comerciales para caminos de

telecomunicaciones y espacios.

TIA/EIA-570-A: Norma de cableado de telecomunicaciones para edificios

residenciales y comerciales ligeros.

TIA/EIA-606: Norma de administración para la infraestructura de

telecomunicaciones de edificios comerciales.

TIA/EIA-607: Requisitos de toma de tierra y límites de edificios comerciales para las

telecomunicaciones.

tesis seguridad red.pdf

Documents

diseo lan

plan de seguridad erco

conceptos de seguridad

seguridad informtica

metodologa de diseo

sistemas anlisis

redes lan

anlisis realizados