1 UNIVERSIDAD DE LAS FUERZAS ARMADAS - ESPEDEPARTAMENTO DE ELÉCTRICA Y ELECTRÓNICA REINGENIERÍA DE LA RED DE DATOS DEL “CENTRO DE ENTRENAMIENTO PARA EL ALTO RENDIMIENTO EN LA LOCALIDAD DE CARPUELA PROVINCIA DE IMBABURA”. Presentado por: JAVIER DAVID ESPINOSA HURTADO ING. CARLOS ROMERO DIRECTOR DE TESIS ING. PATRICIO VIZCAINO E. CODIRECTOR DE TESIS

2 OBJETIVOS ESPECIFICOSOBJETIVO GENERAL Realizar el diseño de la Red de Datos del “Complejo Deportivo Para Entrenamiento Del Alto Rendimiento En La Localidad De Carpuela”, mediante el uso eficiente de recursos existentes, infraestructura y diseños anteriores. OBJETIVOS ESPECIFICOS Realizar el levantamiento de información . Micro segmentar la red basándose en el estudio de la estructura orgánica. Brindar un nivel de seguridad adicional a la red, permitiendo limitar el tráfico en función de reglas para acceso establecidas. Asegurar la continuidad del servicio de red, la implementación de enlaces redundantes de conexión . Brindar un nivel de seguridad a los datos según su jerarquía de importancia.

3 JUSTIFICACION El Complejo Deportivo según su modelo de gestión tiene ya definida su función y operación y es necesario una reingeniería para definir sus servicios. Actualmente el complejo ha entrado en operación sin que se haya dado una solución completa en lo que respecta a la conectividad de voz y datos ya que se cuenta solo con interconexión sin ningún tipo de seguridades o determinación de servicios de red a prestar. La falta de un sistema que integre los servicios necesarios para la operación del complejo Deportivo.

4 ESTADO ACTUAL DEL COMPLEJOLas instalaciones de la institución tienen aproximadamente un uso de 1 año a partir de su construcción. El proyecto constructivo contemplaba el cableado estructurado y equipos activos los cuales fueron entregados conectados mas no configurados. Los equipos se encuentran conectados a una sola red principal de la que reciben el servicio de internet, no se han creado VLANS ni hay ningún tipo de seguridades en las mismas.

5 TOPOLOGIA FISICA DE LA RED ACTUALLa topología lógica de la red se encuentra establecida en base a un direccionamiento IP para cada uno de los equipos de la institución. Actualmente no se han creado VLAN por lo que más adelante el presente trabajo contempla su creación.

6 ASPECTOS TEÓRICOS UTILIZADOSConceptos generales de redes de datos. Fundamentos de la creación de redes LAN. Características de un sistema de cableado estructurado. Normas y estándares y componentes de Cableado Estructurado Vigentes.

7 VISTA GENERAL DEL COMPLEJO DEPORTIVO.

8 ANALISIS DE LA SITUACION ACTUALDISTRIBUCION DE LOS PUNTOS EN LA RED BLOQUE  NUMERO DE PTOS DE DATOS 1 BLOQUE CENTRO MEDICO  10 2 BLOQUE ADMINISTRATIVO 24 3 COLISEO DE USO MULTIPLE 4 GIMNASIO DE POTENCIACION 5 BLOQUE EDUCATIVO 83 6 BLOQUE RESIDENCIA 7 SERVICIOS COMPLEMENTARIOS DE RESIDENCIA 8 RESTAURANTE 9 BLOQUE RECREACIONAL TOTAL 128

9 ANÁLISIS SITUACIÓN ACTUALCableado horizontal Red de datos tendida junto a la red eléctrica. Las canalizaciones con tubo conduit hacia las salidas de usuario se encuentran saturadas. Daños físicos en algunos puntos de red. Falta completa de etiquetado de los puntos. Se encuentran salidas de puntos de voz usadas como datos por la necesidad de incremento de puntos.

10 ANÁLISIS SITUACIÓN ACTUALCableado Vertical No existe redundancia en el Backbone principal. No hay segmentación de la red. Cuartos de Telecomunicaciones Hay patch panel para voz y para datos pero hay Puertos de voz usados como datos y viceversa. Face plates sueltos o en mal estado. Las luminarias son lámparas fluorescentes y se encuentran ubicadas a distancias no apropiadas de los racks. En caso de fallas de energía no se cuenta con lámparas de emergencia dentro de los cuartos de telecomunicaciones.

11 ANÁLISIS SITUACIÓN ACTUALData center Cumple con las especificaciones de temperatura, tomas reguladas, y control de acceso Se encontró materiales ajenos a la función dentro del Data center. Elementos de parte activa. Equipo para la distribución de la red es 3com ubicado en el bloque administrativo. Los switchs a nivel de acceso tenemos los 3com 5500. El uso del CPU de los equipos activos es relativamente bajo, ninguno sobrepasa el 15%. Los equipos son suficientes para el manejo de la red.

12 PARÁMETROS DE RENDIMIENTO DE LA RED ACTUALFLEXIBILIDAD La red del CEAR Carpuela maneja una estructura de topología en estrella, mediante la cual se facilita la adición, modificación o eliminación de puntos de red. DISPONIBILIDAD A nivel de la red interna no se cuenta con enlaces redundantes hacia los principales equipos de conmutación. En caso de fallas del suministro de energía local se cuenta con UPS que evitan los cortes de energía en la red, por tanto se asegura su operatividad. ESCALABILIDAD El equipamiento del CEAR Carpuela, presenta factibilidad de crecimiento de usuarios en la red. La red del CEAR Carpuela maneja una estructura de topología en estrella, mediante la cual se facilita la adición, modificación o eliminación de puntos de red. Aunque su topología de red soporta nuevos cambios el equipamiento en muchos casos no lo soporta. DISPONIBILIDAD A nivel de la red interna no se cuenta con enlaces redundantes hacia los principales equipos de conmutación por lo cual de producirse daños o problemas en su conexión la red quedaría parcial o totalmente fuera de servicio. El backbone vertical se lo realiza a través de fibra óptica y cable par trenzado Cat 5e, los mismos que soportan el tráfico que fluye por la misma. En caso de fallas del suministro de energía local se cuenta con UPS que evitan los cortes de energía en la red, por tanto se asegura su operatividad. ESCALABILIDAD El equipamiento del CEAR Carpuela, presenta factibilidad de crecimiento de usuarios en la red.

13 PARÁMETROS DE RENDIMIENTO DE LA RED ACTUALLa capacidad de procesamiento es relativamente baja , así como el uso de CPU se encuentra en niveles muy bajos lo cual indica que se puede manejar niveles más altos de tráfico sin ningún tipo de inconveniente. DOMINIOS DE BROADCAST Los dominios de Broadcast del complejo se los encuentra definidos en base a un solo bloque, más no en base a un estudio por dependencias o funciones. SEGURIDAD No existen políticas definidas a nivel de puertos del equipamiento activo para limitar el uso de los mismos. El acceso hacia los equipos de conmutación no se encuentra debidamente configurado. RENDIMIENTO Todo el equipamiento de red del Complejo es administrable, además su capacidad de procesamiento permite manejar grandes cantidades de tráfico como se determinó anteriormente, así también el uso de CPU se encuentra en niveles muy bajos lo cual indica que se puede manejar niveles más altos de tráfico sin ningún tipo de inconveniente. Es importante considerar que el equipamiento que se maneja a nivel interno es de gama alta, el cual como se determinó soporta nuevas aplicaciones de red. DOMINIOS DE BROADCAST Los dominios de Broadcast del complejo se los encuentra definidos en base a bloques, más no en base a un estudio por dependencias o funciones, el cual no es óptimo. SEGURIDAD No existen políticas definidas a nivel de puertos del equipamiento activo para limitar el uso de los mismos a una solo dirección MAC e IP, por lo cual al momento, más de un equipo de cómputo puede utilizar un mismo punto de red sin que se tenga un control de esto. Las personas que conocen el procedimiento para cambiar la configuración de una tarjeta de red, podrían configurar a otro equipo o incluso al mismo con una dirección diferente a la asignada lo cual desemboca en un uso indiscriminado del direccionamiento IP; al no existir políticas bien definidas sobre el uso de la red, no se puede establecer sanciones cuando se incurra en el incumplimiento de normas del uso de la red. El acceso hacia los equipos de conmutación no se encuentra debidamente configurado ya que al contar con diferentes niveles de acceso como se explicó anteriormente y al permitirse el acceso por medio de sesiones no seguras, alguna persona con intenciones maliciosas podría ingresar a los mismos y realizar cambios o modificaciones de las configuraciones ocasionando la denegación del servicio, entre uno de sus inconvenientes.

14 DISEÑO DE LA TOPOLOGIA FISICA Y LOGICAEn base al estudio de la proyección de crecimiento de red en la institución. Aplicación de políticas de red. Análisis de requerimientos de usuarios. Modelo de gestión definitivo de la institución. (Creación de dependencias.

15 CABLEADO ESTRUCTURADO Cableado Horizontal – Etiquetado.REINGENIERÍA DE LA RED DE DATOS DEL CENTRO DE ENTRENAMIENTO PARA EL ALTO RENDIMIENTO DE CARPUELA. CABLEADO ESTRUCTURADO Cableado Horizontal – Etiquetado. Cableado Vertical – crear backup y proteger la fibra óptica Cuartos de Comunicaciones - Todos los puntos de red instalados cumplan con las normas de cableado estructurado Data Center - Es necesario que se tenga un especial cuidado con el cumplimiento de las normas de cableado estructurado en este cuarto, ya que el mismo constituye un punto crítico en la red.

16 POLÍTICAS DE ADMINISTRACIÓN DE LA PARTE ACTIVA REINGENIERÍA DE LA RED DE DATOS DEL CENTRO DE ENTRENAMIENTO PARA EL ALTO RENDIMIENTO DE CARPUELA. POLÍTICAS DE ADMINISTRACIÓN DE LA PARTE ACTIVA Acceso remoto debe ser encriptado utilizando protocolo SSH versión 2. Las interfaces de administración web deben ser deshabilitadas. Los administradores de red deben cambiar periódicamente las contraseñas de los equipos de parte activa. Tener una bitácora en la cual se registren todos los eventos suscitados en la red. reestructurar la segmentación del tráfico para el mejor rendimiento. implementar software libre de monitoreo.

17 REINGENIERÍA DE LA RED DE DATOS DEL CENTRO DE ENTRENAMIENTO PARA EL ALTO RENDIMIENTO DE CARPUELA.MODELO DE RED Desde las oficinas del CEAR EP ubicadas en Guayaquil se proveen servicios de datos e internet a través de un enlace FO. A futuro se implementará telefonía IP.

18 VENTAJAS DEL MODELO DE REDREINGENIERÍA DE LA RED DE DATOS DEL CENTRO DE ENTRENAMIENTO PARA EL ALTO RENDIMIENTO DE CARPUELA. VENTAJAS DEL MODELO DE RED Escalabilidad: fácil crecimiento y expansión. Rendimiento: Depende de las características de los equipos utilizados en las capas de Núcleo y Distribución. Seguridad: se permite manejar políticas tanto en los switches del nivel de distribución como en los switches del nivel de acceso permitiendo establecer políticas hasta a nivel de puerto. Redundancia: permite tener alta disponibilidad en la red, evitando tener caídas de servicio en la misma. Aislamiento de fallas: permite aislar equipos defectuosos de manera que no se vea afectado todo el rendimiento de la red, limitando el daño al segmento respectivo. Administración y gestión de red: brinda facilidad de administración al manejar una estructura por capas, además de una fácil gestión de la red. En el diseño se han considerado tres parámetros: ancho de banda, redundancias y diámetro de la red. Se considera que debe existir un ancho de banda de mayor a menor desde el nivel de núcleo hasta el nivel de acceso. Las redundancias que se proponen brindan disponibilidad a la red, por lo cual se deben duplicar las conexiones y el equipamiento. Se ha considerado las medidas del diámetro de la red en función de la mayor cantidad de equipamiento, la misma que es de tres.

19 REINGENIERÍA DE LA RED DE DATOS DEL CENTRO DE ENTRENAMIENTO PARA EL ALTO RENDIMIENTO DE CARPUELA.SEGMENTACION DE LA RED VLAN DEPENDENCIA NOMBRE # DE PUNTOS DE RED # DE PUNTOS +50% MASCARA DE RED DIRECCIONAMIENTO IP GATEWAY LOCALIZACION BLOQUES 1 SERVIDORES Y EQUIPOS SRVEQ 16 24 /27 DATA CENTER 2 DIRECCION ADMINISTRATIVA Y SEGURIDAD SEGU B1,B3,B7,B10 3 CUARTO DE CONTROL CCTRL /29 B1 4 DIRECCION LOGISTICA DIRLOGI 5 8 B1,B8 DIRECCION DE PERSONAL DIRPER1 6 SALAS DE REUNIONES SREU 7 CONTRATACION PUBLICA CONPUB SANIDAD MEDICO SANIDAD 12 /28 9 DIRECCION DE SISTEMAS ADMIN 10 DEPARTAMENTO JURIDICO JURIDICO 11 JEFATURA ADMINISTRACION GENERAL JEFATURA1 DIRECCION EDUCATIVA DOCTRINA 22 33 /26 B4,B5,B6 13 GESTION DEPORTIVA FED DEP 14 COMUNICACIÓN SOCIAL COMSOS 15 SALAS DE COMPUTO DIRINV 60 90 /25 B4,B6 RED WIRELESS WIRELESS /24 B1,B2,B4,B5, B6,B7,B8,B9, B10

20 Listas de Control de Acceso (ACL). SEGURIDAD REINGENIERÍA DE LA RED DE DATOS DEL CENTRO DE ENTRENAMIENTO PARA EL ALTO RENDIMIENTO DE CARPUELA. Listas de Control de Acceso (ACL). SEGURIDAD Manejo De Usuarios y Contraseñas. Nivel 0 (Visit). Nivel 1 (Monitor). Nivel 2 (Manager). Nivel 3 (Administrator). Listas de Control de Acceso (ACL). es utilizada para identificar flujos de tráfico, la cual al filtrar los paquetes de datos permite o deniega el tráfico cursante, de manera que se limite el tráfico en la porción de red requerida. Manejo De Usuarios y Contraseñas. Nivel 0 (Visit): de la red (como ping y traceroute), comandos para cambiar el idioma en la interfaz de usuario (language-mode) y el comando telnet. Este nivel no permite guardar los cambios de configuración. Nivel 1 (Monitor): Este nivel se permite comandos para monitoreo (display), obtener información y eventos del sistema (debugging) y realizar diagnósticos de las fallas de servicio. Este nivel tampoco permite guardar configuraciones. Nivel 2 (Manager): Este nivel permite usar comandos para enrutamiento y comandos de la capa de red, y se utilizan para proporcionar servicio de red directo al usuario. Este nivel permite guardar modificaciones y configuraciones. No permite crear usuarios. Nivel 3 (Administrator): Los comandos en este nivel son los que influyen en el funcionamiento básico del módulo de apoyo del sistema, que desempeña un papel de apoyo de los servicios. Los comandos en este nivel incluyen comandos del sistema de archivos, comandos FTP, comandos TFTP, descarga de comandos XModem, comandos de administración de usuarios, y los comandos de propiedades de nivel.  

21 SIMULACIONES Programa Packet Tracer.La versión utilizada es 5.3.1, la misma que entre sus mejoras incluye switches capa 3 necesarios para la realización de las simulaciones.

22 SIMULACIONES Configuración De Contraseñas De Acceso.Configuración De La Dirección IP Del Equipo. Configuración Del Nombre Del Equipo. Configuración De Acceso SSH. Configuración De Banners De Bienvenida. Configuración De Vlan. Configuración de ACLs. Configuración De Puertos. Configuración Del Protocolo Ospf . Habilitación De Alta Disponibilidad – Protocolo Spanning Tree .

23 OBJETIVOS FUNCIONALESSEGURIDAD Uso de contraseñas para limitar el acceso local y remoto. Uso de contraseñas cifradas y secretas. Limitación de accesos por el terminal virtual. Configuración de accesos SSH. Restricción de SNMP mediante el uso de ACL. Segmentación de red. SEGURIDAD Uso de contraseñas para limitar el acceso local y remoto.- dado que mediante al acceso a la configuración del terminal se accede a tareas de administración del equipamiento, es importante que se proteja el acceso mediante el uso de contraseñas de manera cifrada. Uso de contraseñas cifradas y secretas.- en primera instancia las contraseñas para acceso local y remoto son guardadas en texto plano; el uso de contraseñas secretas y el servicio para encapsular las mismas, permite proteger las contraseñas dentro de los archivos de configuración del equipo. Además de esta manera se protegen las contraseñas ante la presencia de analizadores de tráfico. Limitación de accesos por el terminal virtual.- es importante definir los usuarios que pueden acceder hacia la administración remota del equipo, de forma que solo personal autorizado (Administradores de red) pueda acceder a la misma. Con la aplicación de acl de acceso se permite o niega sesiones establecidas. Configuración de accesos SSH:- como es conocido telnet no es protocolo seguro, por tal motivo es necesario establecer accesos tipo ssh de forma que se permita acceder de manera segura hacia el equipamiento de manera remota, de preferencia utilizando la versión 2. Restricción de SNMP mediante el uso de ACL.- dado que para realizar el monitoreo de red hacia el equipamiento activo es necesario que se habilite SNMP en los equipos es importante que se definan las direcciones habilitadas para el acceso hacia los mismos. Segmentación de red.- el aplicar micro segmentación a nivel de red permite que se manejen grupos con características y funciones similares, asegurando su conectividad y seguridad. La aplicación de micro segmentación además prepara a la red para la aplicación de seguridad a nivel de equipos dedicados para ello. DISPONIBILIDAD Manejo de rutas redundantes.- Con la habilitación de rutas redundantes y la implementación de enlaces alternos se maneja una estructura en alta disponibilidad, de manera que se asegura la continuidad del servicio, en caso de que falle un enlace al detectarse en la topología un cambio de estado, se habilita el segundo enlace. La topología con enlaces redundantes permite brindar alta disponibilidad en la red y asegurar la prestación de los servicios de red. En las figuras se muestra el caso del envío de un paquete cuando se cuenta con toda la infraestructura activa uno de los puertos del enlace se encuentra en estado de espera, cuando uno de los enlaces falla toma el control el segundo enlace y se procede a enviar los mismos por la nueva ruta asignada para la entrega del paquete. Habilitación protocolo de Spanning Tree.- La habilitación del protocolo Spanning Tree permite que se maneje una estructura en HA libre de lazos debido a que siempre se mantiene activo un canal mientras que el segundo se mantiene a la escucha.

24 OBJETIVOS FUNCIONALESDISPONIBILIDAD Manejo de rutas redundantes.  Habilitación protocolo de Spanning Tree. ESCALABILIDAD Manejo topología jerárquica. DESEMPEÑO Eliminación de cascadas de red.  Limitación de dominios de broadcast. Optimización del direccionamiento IP. Topología de red. FLEXIBILIDAD Manejo de topología jerárquica.  Micro segmentación de red. Manejo de rutas redundantes.- Con la habilitación de rutas redundantes y la implementación de enlaces alternos se maneja una estructura en alta disponibilidad, de manera que se asegura la continuidad del servicio, en caso de que falle un enlace al detectarse en la topología un cambio de estado, se habilita el segundo enlace. La topología con enlaces redundantes permite brindar alta disponibilidad en la red y asegurar la prestación de los servicios de red. En las figuras se muestra el caso del envío de un paquete cuando se cuenta con toda la infraestructura activa uno de los puertos del enlace se encuentra en estado de espera, cuando uno de los enlaces falla toma el control el segundo enlace y se procede a enviar los mismos por la nueva ruta asignada para la entrega del paquete. Habilitación protocolo de Spanning Tree.- La habilitación del protocolo Spanning Tree permite que se maneje una estructura en HA libre de lazos debido a que siempre se mantiene activo un canal mientras que el segundo se mantiene a la escucha. ESCALABILIDAD Manejo topología jerárquica.- La aplicación del modelo permite a la red agregar nuevos dispositivos sin que ello implique la disminución del rendimiento de la misma, el uso de un modelo jerárquico de red asegura su escalabilidad sin que se cause una degradación del servicio. DESEMPEÑO Eliminación de cascadas de red.- La utilización de apilamiento a nivel de equipos de red de la capa de acceso mejora el rendimiento de la red, al manejar como un único switch más grande, reduciendo además los dominios de broadcast generados en la misma. Así también su administración se facilita. Limitación de dominios de broadcast.- el empleo de micro segmentación a nivel de red permite limitar los dominios de broadcast y mejorar el rendimiento en la misma. Optimización del direccionamiento IP.- el aplicar un diseño adecuado de segmentación de red optimiza el uso de las redes asignadas hacia la institución. Topología de red.- mediante el diseño de red se optimizó el uso de los recursos al ubicar el equipamiento en función de las características y necesidades de la red. FLEXIBILIDAD Manejo de topología jerárquica.- El diseño de un modelo aplicando una topología jerárquica permite realizar cambios, modificaciones o adiciones de equipamiento de red de manera que se adapte al crecimiento de las mismas. A nivel de una topología jerárquica el agregar equipamiento se facilita, debido a que cada una de sus capas puede crecer sin ninguna dificultad técnica, ni rendimiento a nivel de aplicación. Micro segmentación de red.- permite que la red se adapte a los cambios que se produzcan en la misma independientemente de la ubicación física a la cual se asignen a los usuarios en la institución, asegurando la conectividad con los usuarios del mismo segmento de red.

25 CONCLUSIONES Optimizacion de la red de datos.Identificar fortalezas y falencias de la red. Proveer de documentación técnica a la institución. Etiquetamiento de puntos. La aplicación de seguridad a nivel de puerto con el uso del control basado en IP y MAC Address. El uso de un software para monitoreo de la red. La aplicación de listas de control de acceso ACL para administración del equipamiento activo como para la restricción del tráfico cursado entre las diferentes vlan asignan seguridad a la red y permiten mejorar el rendimiento de la misma. La habilitación de protocolos seguros para la administración del equipo brinda mayor seguridad a la red protegiéndola ante ataques mal intencionados.

26 RECOMENDACIONES Mantener al personal encargado de la red debidamente capacitado. En todo sector de la red se deben respetar y cumplir las normas ANSI/TIA/EIA. Se recomienda llevar una bitácora de todos los acontecimientos presentados en la red. Se debe documentar todos los cambios que se realicen en la red. El personal encargado de la administración y gestión de la red debe estar actualizado y capacitado de forma continua en gestión y administración de redes además en seguridad informática para la toma de decisiones ante problemas y progresos en la red. Para todas las instalaciones de cableado estructurado que se realicen, debe utilizarse accesorios y ductos adecuados, además de una correcta identificación, teniendo en cuenta los criterios detallados en las normas ANSI/TIA/EIA. Se recomienda llevar una bitácora de todos los acontecimientos presentados en la red, tanto los incidentes producidos como las acciones que se tomen al respecto. Se debe documentar todos los cambios que se realicen en la red, tanto a nivel de usuarios, enlaces, direccionamiento aplicado, vlan asignada, perfiles, entre otros, de manera que se cuente con la información actualizada y en cualquier momento se pueda tomar decisiones en base a ella. Esta documentación facilitará las tareas de administración en caso de que el personal encargado no se encuentre presente y se deba delegar funciones. Es importante que se establezcan políticas a nivel de red de manera que se regule y controle el uso de ella y de los equipos computacionales, la misma que luego de ser aprobada debe ser socializada a todo el personal de la institución de manera que se dé cumplimiento al mismo.

27 RECOMENDACIONES Establecimiento de politicas de red para regular y controlar el uso de la red. Proveer al Data center de equipamiento de monitoreo remoto. Rutas diferentes de tendido de la fibra. Procedimiento de cambio periódico de contraseñas. Backup periódico de las configuraciones de los equipos activos. Proveer al Data center de equipamiento que permita controlar acceso asi como medir factores de temperatura y humedad. Para la redundancia se debe tomar en cuenta rutas diferentes de tendido de la red para garantizar su uso. Se debe contar con procedimientos para el cambio periódico de contraseñas del equipamiento activo.  Se recomienda realizar backup periódicos de las configuraciones del equipamiento activo, guardando las versiones anteriores (mínimo 5).