Ton
o
Revist
a
Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S.A.
73
M
S
c
.
D
e
n
is
M
o
r
e
j
ón
L
óp
e
z,
A
d
m
.
o
r
d
e
l
a
R
e
d
,
D
T
C
i
e
n
f
u
e
g
o
s
;
I
n
g
.
E
m
i
r
S
á
nch
e
z
P
e
ñ
a
,
E
s
p
.
D
p
t
o
.
S
e
r
v
i
c
i
o
s
M
ó
v
il
e
s
,
D
T
C
ama
g
ü
e
y
;
M
S
c
.
F
é
li
x
J
a
v
i
e
r
Á
l
v
a
r
e
z
H
e
rr
e
r
a
,
E
s
p
.
D
p
t
o
.
S
e
r
v
i
c
i
o
s
M
ó
v
il
e
s
,
D
T
V
ill
a
C
l
a
r
a
;
I
n
g
.
L
u
is
C
a
s
t
e
ll
a
no
s
C
a
rr
i
ón
,
J
e
f
e
d
e
G
r
upo
d
e
I
n
f
r
a
e
s
t
r
uc
t
u
r
a
y
S
opo
r
t
e
d
e
l
a
R
e
d
,
V
P
T
e
cno
l
o
g
í
a
d
e
l
a
I
n
f
o
r
ma
c
i
ón
,
E
T
E
C
S
A
;
M
S
c
.
A
l
e
x
is
G
ó
m
e
z
D
o
m
í
n
g
u
e
z,
P
r
o
f
.
F
a
cu
l
t
a
d
d
e
I
n
f
o
r
má
t
i
c
a
,
U
n
i
v
e
r
si
d
a
d
d
e C
i
e
n
f
u
e
g
o
s
;
I
n
g
.
R
i
c
a
r
do
F
e
r
n
á
nd
e
z
C
a
ñ
i
z
a
r
e
z,
J
e
f
e
d
e
B
r
i
g
a
d
a
d
e
E
l
e
c
t
r
i
c
i
d
a
d
,
C
o
m
un
i
c
a
c
i
on
e
s
y
A
l
a
r
ma
s
,
C
I
M
E
X
C
i
e
n
f
u
e
g
o
s
d
e
n
is
@
c
f
g
.
e
t
e
c
s
a
.
cu
,
e
m
i
r
@
c
m
g
.
e
t
e
c
s
a
.
cu
,
f
e
li
x
.
a
l
v
a
r
e
z@
e
t
e
c
s
a
.
cu
,
l
u
is
.
c
a
s
t
e
ll
a
no
s
@
e
t
e
c
s
a
.
cu
,
a
l
e
x
is
@
uc
f
.
e
du
.
cu
,
r
f
d
e
z
c
@
c
i
m
e
x
.
co
m
.
cu
Diseño orientado a
elevar la seguridad
en
l
a red tronca
l
de
l
a D
i
recc
i
ón Terr
i
tor
i
a
l
C
i
enfuegos de ETECSA
1
I
n
t
r
o
d
u
cc
i
ó
n
L
a
s
redes de campu
s
o rede
s
troncale
s
LAN —
L
ocal A
r
ea
Network / Redes de Área Local—
remota
s
, los servidores centralizados
aumentan considerablemente. El pro-
tagoni
s
mo se mueve, de modo signi-
que puedan ocurrir, así como una
mayor independencia en la configu-
ración de los dispositivos y se
r
vicios
constituyen el núcleo fundamentalficativo, desde las estaciones y redesde red local.
de la red telemática de cualquierlocale
s
hacia las redes troncales. DeAdemás, disponer de una infraes-
empre
s
a o in
s
titución.
S
u di
s
eñoacuerdo con esta situación, los mo-tructura de red troncal acorde a los
repercute, directamente, en mucho
s
delo
s
empleados en el diseño de re-requerimientos actuales —que abarque
aspectos que pueden afectar o ele-de
s
y la
s
tecnologías utilizadas hanel nivel físico, topológico y fun-
var su de
s
empeño, rendimiento, fia-evolucionado con rapidez y han con-cional—, garantizaría en gran me-
bilidad, e
s
tabilidad y
s
eguridad. E
s
tevertido a la red en el soporte de lasdida el cumplimiento de los objetivos
último elemento se ha convertido ene
s
trategia
s
de seguridad y gestión dede las instituciones con una depen-
uno de los principale
s
objetivo
s
de lala
s
empre
s
as.dencia elevada de la red telemática.
mayoría de las organizacione
s
mo-El pre
s
ente trabajo es parte de unUn ejemplo concreto lo constituyen
derna
s
[1].proyecto liderado por el Departa-las empresas proveedoras de servi-
Cada vez má
s
las empre
s
a
s
e
s
tánmento de Gestión de la
S
eguridadcios de telecomunicaciones —como
usando aplicaciones que
s
on determi-Informática de ETEC
S
A y enfoca-es el caso de ETEC
S
A— que, en general,
nantes para el funcionamiento y pro-do a mejorar la seguridad en su redcuentan con una red denominada
ductividad de
s
us accione
s
. El éxitode ge
s
tión (GE
S
NET). En él se des-Corporativa orientada, principalmente,
de las compañías y su
s
upervivenciacribe el desarrollo de una investiga-al intercambio de información, comu-
dependen de esta
s
aplicacione
s
y deción
s
obre los modelos de diseño ynicación y soporte de muchas aplica-
la productividad que pueden obtenertecnologías empleadas en las infraes-ciones que se emplean en el trabajo
implementándolas. De e
s
ta manera, latructura
s
de redes troncales, orien-de oficina, facturación, atención a
disponibilidad, la confiabilidad y latado primordialmente a elevar susclientes, etc. Este tipo de empresa
integridad de lo
s
dato
s
s
on funda-nivele
s
de seguridad, estabilidad,dispone de una Red de Gestión que
mentales.confiabilidad, no repudio y escala-se ocupa de la configuración y moni-
Por otra parte, las aplicacione
s
y
s
i
s
-bilidad. Con esto se garantizaría mini-toreo de los servicios de telecomu-
temas operativo
s
de
s
arrollado
s
tien-mizar la
s
afectaciones ante erroresnicaciones, interconectando elementos
den aún má
s
al u
s
o de lo
s
s
ervicio
s
dehumano
s
y brindar a los adminis-tecnológicos como las centrales telefó-
redes. En consecuencia, el empleo detradore
s
de sistemas un mayor con-nicas, equipos de transmisión, equipos
sistemas distribuido
s
, la
s
aplicacione
s
trol y
s
upervisión de los eventosde acceso y las estaciones encar-
74
Tono Revista Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S.A.
2
D
e
s
a
rr
o
ll
o
vienen de las rede
s
externa
s
o lo
s
generados internamente.
red territorial con el equipamiento
existente y con un adecuado ancho de
Š
Imposibilidad de una admini
s
tra-
ción y gestión centralizada de toda la
red.
E
s
ta
s
dificultade
s
frenan, en gran me-
dida, la
s
posibilidade
s
de operación y
comprometen la seguridad de e
s
ta red.
En con
s
ecuencia,
s
e detectó como
problema principal: la carencia de un
diseño de la red troncal que contem-
plara los elemento
s
de
s
eguridad y
garantizara la realización de la
s
opera-
cione
s
de supervi
s
ión y control, ademá
s
de brindar posibilidade
s
de configura-
ción, adaptación y expan
s
ión de la
red de acuerdo con la
s
nece
s
idade
s
de la Empre
s
a.
gada
s
de controlarlo
s
. E
s
ta
s
do
s
rede
sP
ara buscar una solución al problema, se tomó en cuenta un grupo de aspectos,
por su
s
caracterí
s
tica
s
deben e
s
tar
s
e-por ejemplo, las diferentes tecnologías que pueden utilizarse para elevar el nivel
parada
s
; pero, a la vez, deben permitirde
s
eguridad en la red troncal de esta Entidad; el diseño a de
s
arrollar e
algunos flujo
s
de información en
s
en-implementar; y la forma de validar, posteriormente, su ejecución final.
tido y sólo para u
s
uario
s
definido
s
.El propósito general fue implementar una nueva infraestructura de red
En el contexto nacional, e
s
pecí-troncal para la DT Cienfuegos a partir de modelos y tecnologías que
ficamente, en la red troncal de laeleven sus niveles de seguridad. En específico, se realizó una revisión
Dirección Territorial de ETEC
S
Ade la bibliografía técnico-especializada para conocer el estado del arte
en Cienfuego
s
, el di
s
eño actual noreferente a las tecnologías empleadas en las redes de campus: sus mo-
cumple con vario
s
de lo
s
requi
s
i-delo
s
y diseños; se seleccionaron las tecnologías de interconexión de
tos de diseño utilizado
s
con má
s
rede
s
y los modelos de diseños más efectivos que permitan alcanzar los
frecuencia; ademá
s
, pre
s
enta
s
erio
s
niveles de seguridad esperados; se realizaron pruebas y se utilizaron
problema
s
de seguridad y operativi-aplicaciones con la finalidad de reunir elementos para la definición de las
dad a causa de:técnicas y mecanismos de seguridad a emplear, y la simulación de situa-
Š
Problemas de
s
eguridad debidocione
s
reales en escenarios de pruebas; finalmente, se validó la imple-
a la au
s
encia de un mecani
s
mo quementación mediante el empleo de herramientas de software y el análisis
filtre o limite lo
s
tráfico
s
que pro-del comportamiento del sistema.
Š
Lo
s
si
s
temas detectore
s
de intru-Comúnmente cuando se habla de diseño de redes, se hace referencia a
so
s
existente
s
no abarcan todo
s
lo
s
una u otra metodología de diseño que especifica una serie de etapas de obli-
segmentos de red.gatorio cumplimento para alcanzar los niveles de funcionalidad de la red es-
Š
Imposibilidad de tener un moni-perados. Con este trabajo no se pretende hacer un diseño total de la red
toreo y control
s
obre todo
s
lo
s
flu-de e
s
ta Dirección Territorial, debido a que implicaría un análisis mucho
jo
s
de información en la red.má
s
profundo. No obstante, teniendo en cuenta que se realizarán gran-
Š
Vulnerabilidad ante fallo
s
fí
s
ico
s
de
s
cambios al diseño existente —encaminados a aumentar los niveles de
en los enlace
s
por falta de redun-
s
eguridad de la red lo que incluye elevar los niveles de estabilidad, dis-
dancia.ponibilidad, confiabilidad y no repudio de origen o destino—, se abordarán
Š
Impo
s
ibilidad de expan
s
ión de lamodelos y diseños de redes de campus con elementos fundamentales para la
s
olución propuesta.
2.1
A
n
á
li
s
i
s
de
l
o
s
d
i
s
e
ñ
o
s
e
m
p
l
e
a
d
o
s
e
n
r
ede
s
de
c
a
m
p
u
s
banda.Una red de campus es una red de empresa que se compone de muchas
Š
La falta de privilegio
s
admini
s
tra-Rede
s
de Área Local en uno o más edificios, todos conectados y, usual-
tivos sobre el enrutador exi
s
tente ob
s
-mente, en la misma área geográfica [1]. Las siguientes secciones pre-
taculiza la ge
s
tión dinámica de cualquier
s
entan varios modelos de redes que pueden ser empleados para clasificar
cambio en la red.y di
s
eñar redes de campus.
D
i
s
e
ñ
o
J
e
r
á
r
q
u
i
c
o
de
R
ed
S
e puede estructurar la red de campus de una forma jerárquica. Cisco —empresa
proveedora de equipamiento de interconexión de redes, líder a nivel mundial en
e
s
ta materia—, por ejemplo, tiene clasificado un acercamiento jerárquico
para el diseño de redes que permite a los diseñadores crear lógicamente
una red definiendo y usando Capas de
S
ervicios. La red resultante es efi-
ciente, inteligente, escalable y administrable fácilmente. El modelo jerár-
quico fracciona una red de campus en 3 capas de servicio diferentes.
E
s
ta
s
capas son:
Š
Capa de Acceso
Š
Capa de Distribución
Š
Capa de Núcleo
Cada una de ellas tiene atributos que suministran tanto funciones de red
fí
s
icas como lógicas en el punto apropiado en la red de campus. La com-
pren
s
ión de cada capa y sus funciones o limitaciones es importante para
aplicar correctamente la capa en el proceso de diseño [1].
Ton
o
Revist
a
Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S.A.
75
Diseñar una red de campu
s
utili-
zando el modelo jerárquico de tre
s
capa
s
puede
s
er un poco confu
s
o.
Una aproximación má
s
cercana a
las necesidade
s
reale
s
del di
s
eño
es utilizar una manera lógica
s
e-
gún el Método Modular. En e
s
te
método cada capa de un di
s
eño je-
rárquico de red puede
s
er dividida
en unidades bá
s
ica
s
funcionale
s
.
Esta
s
unidades o módulo
s
s
on di-
mensionado
s
apropiadamente y co-
nectados junto
s
, dejando un margen
para un futuro crecimiento y expan-
sión de la red [1].
Una red de campu
s
de empre
s
a pue-
de dividir
s
e en lo
s
s
iguiente
s
ele-
mentos básico
s
:
Š
Bloque de conmutadore
s
: e
s
un
grupo de conmutadore
s
de capa de ac-
ceso junto con
s
us conmutadore
s
de di
s
tribución.
Š
Bloque de Núcleo: e
s
el backbone
de la red de campu
s
.
Existen otros elemento
s
relaciona-
dos con e
s
te diseño, pueden
s
er de-
signado
s
por separado y añadido
s
al
diseño de red. E
s
to
s
elemento
s
s
on
los siguientes:
Š
Serve
r
Farm Block —Bloque de
Granja de Servidore
s
—: un grupo
con
s
u
s
s
ervidore
s
de empre
s
a junto
con
s
us conmutadore
s
(capa) de
distribución y acce
s
o.
Š
Management Block —Bloque
de Admini
s
tración—: un conjunto
de recur
s
os de admini
s
tración de
red junto con su
s
conmutadore
s
de
F
i
g
u
r
a
1
E
s
qu
e
ma
d
e
l
a
r
e
d
C
ama
g
ü
e
y
.
(
F
u
e
n
t
e: e
l
a
bo
r
a
c
i
ón
p
r
op
i
a
)
.
acce
s
o y di
s
tribución.
Š
Enterp
r
ise Edge Block —Bloque
de Frontera de la Empre
s
a—: e
s
una
colección de servicio
s
relacionado
s
con el acceso externo de la red, junto
con sus conmutadore
s
de acce
s
o y
distribución.
Š
Se
r
vice Provide
r
Edge block
—Bloque de Frontera con el
P
rovee-
dor de Servicio—:
s
on
s
ervicio
s
ex-
ternos de red contratado
s
o u
s
ado
s
por la red de la empre
s
a, donde e
s
to
s
son los servicios con lo
s
cuale
s
hace
de interfaz.
D
i
s
e
ñ
o
de
R
ed
M
o
d
u
l
a
r
2.2
R
ed
T
r
o
n
c
a
l
de
l
a
D
i
r
e
cc
i
ó
n
T
e
rr
i
t
o
r
i
a
l
C
a
m
a
gü
ey
La red de ETEC
S
A en Camagüey constituye el primer antecedente de
di
s
eño de red local orientado a la seguridad en la Empresa a nivel nacio-
nal.
S
u
s
s
ubredes, enfocadas a funciones específicas y Listas de Control
de Acce
s
o —del inglés, Access Control
L
ists (ACL), empleadas en equi-
po
s
de interconexión de redes para filtrar paquetes y establecer
r
eglas
que permiten o no el intercambio de información— que regulan el flujo
de información entre ellas, y garantizan una compartimentación capaz de
evitar accesos no autorizados [2]. En la figura 1 se muestra un diagrama
lógico de esta red.
2
.
2
.
1
D
e
s
c
r
i
p
c
i
ó
n
P
rimero es necesario aclarar la ubicación física de los equipos y
s
ubre-
de
s
:
Š
La red WAN —Wide Area Network / Red de Área Extensa— es la única
que
s
e ubica fuera de la provincia; particularmente, se refiere a la red WAN
de ETEC
S
A que interconecta a todas las direcciones territoriales.
Š
Lo
s
4 enrutadores se encuentran en el mismo local.
Š
La
s
redes Accesos Remotos, Localidad X y Municipios están como se
infiere fuera del edificio donde se concentran los equipos anterio
r
es.
La red LAN es conectada a la red WAN a través de 2 enrutadores —r-corp, r-corp2—
que emplean distintos enlaces, con distintas tecnologías, hacia esta última.
E
s
to
s
enrutadores realizan prácticamente la misma función de encaminar pa-
quete
s
hacia y desde la WAN, de manera que garantizan una redundancia en
e
s
e nivel. Uno de los enlaces puede sufrir avería y la comunicación se man-
76
Tono Revista Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S.A.
2
.
2
.
2
V
a
l
o
r
a
c
i
o
n
e
s
de
l
d
i
s
e
ñ
o
La
s
redes locales de la mayoría de
la
s
provincias poseen un diseño en
extremo sencillo. Cuentan con ape-
na
s
un enrutador sin la posibilidad
de administrarlo en el territorio. Eso
limita la capacidad de respuesta del
territorio, en plazos prudenciales, ante
la
s
necesidades cambiantes de requisi-
to
s
de seguridad y cambios topológicos
que no dependan del Nivel Corpora-
tivo. Lo único estandarizado, a nivel
nacional, es la presencia del segmen-
to de Red DMZ que posibilita la co-
municación entre la redes aisladas de
ge
s
tión y corporativa. Dentro de este
e
s
cenario, la idea de introducir ele-
mento
s
de capa 3 —administrados
localmente, para configurar reglas,
cambiar la forma en la que se conce-
bía la función de los administra-
diante el uso de la tecnología VLAN
—Virtual Local A
r
ea Netwo
r
k—.
En la Empre
s
a exi
s
ten 2 categoría
s
o
tipo
s
de rede
s
: Red GE
S
NET y Red
Corporativa. La primera e
s
una red de
gestión que engloba a lo
s
equipo
s
de
telecomunicacione
s
y la
s
e
s
tacio-
ne
s
con acceso a ello
s
. La
s
egunda
abarca al resto de la
s
e
s
tacione
s
y
servidores, y po
s
ee
s
ervicio
s
como
el correo electrónico,
s
itio
s
web,
s
i
s
-
temas contable
s
y de facturación, etc.
En esta red trabaja el per
s
onal que no
está involucrado con la operación de
los equipo
s
de telecomunicacione
s
.
Por norma, esta
s
rede
s
deben e
s
tar
ai
s
ladas con un punto común de con-
tacto que sería la red Zona De
s
milita-
rizada —del inglé
s
, Demilita
r
i
z
ed
Zone (DMZ)— donde
s
e ubica la in-
formación nece
s
aria para el trabajo de
ambas redes [3].
P
or lo tanto, en el
enrutador r-corp exi
s
ten regla
s
que
impiden el acceso directo entre la Red
GESNET y la Red Corporativa.
La Red Externa, que e
s
de tipo Cor-
porativa, se ideó con el objetivo de
situar allí a la
s
per
s
ona
s
de la Em-
pre
s
a que vienen a vi
s
itar el territo-
rio y, de e
s
e modo, accedan con mayor
facilidad a los
s
ervicio
s
empre
s
aria-
les —de la WAN— que a lo
s
interno
s
—de la LAN—. E
s
ta facilidad
s
e
refiere al hecho de que exi
s
ten regla
s
configuradas en el enrutador rbackb
que regulan el tráfico de información
entre la
s
di
s
tinta
s
s
ubrede
s
. El corta-
fuego
s
que
s
e divi
s
a en la figura 1
entre la Red Externa y el enrutador
r-backb es una repre
s
entación gráfica
de esta
s
regla
s
; no, un equipo inde-
pendiente. Entonce
s
, el re
s
to de la
s
Corporativa que se ubica en el edifi-
cio principal.Aesta se conectan la ma-
yoría de los usuarios.
La red Administración se com-
pone de los elementos de red como
conmutadores, enrutadores, etc. que
garantizan la gestión de la LAN ex-
clu
s
ivamente por parte de los ad-
mini
s
tradores de la red.
P
ara ello sus
interfaces de red tienen configura-
da
s
s
ub-interfaces dentro de la red
Administración y sub-interfaces dentro
de la red Estaciones Gerencia, porque
nece
s
itan comunicación con las re-
de
s
externas.
La
s
redes Accesos Remotos Loca-
lidad X y Municipios son de tipo Cor-
porativa y se conectan mediante el
enrutador r-backb2 que posee las in-
terfaces necesarias para comunicar-
la
s
.
tiene a travé
s
del otro enrutador.
S
irede
s
podrían clasificarse comodores en las redes territoriales cada
uno de lo
s
enrutadore
s
s
e avería, el otrorede
s
internas.vez más complejas y eliminar carac-
pudiera asumir su
s
funcione
s
provi-En la red Granja de
S
ervidores,terísticas del diseño de la red que ha-
sionalmente. E
s
a fue una deci
s
ión decomo
s
u nombre indica, están situa-cían más sencillo a un trabajador o
lo
s
especialista
s
y directivo
s
de la WANdo
s
lo
s
servidores territoriales. Exis-personal mal intencionado acceder a
para reforzar la di
s
ponibilidad deten, también, un grupo de reglas enelementos o servicios vitales para el
algunos territorio
s
del paí
s
que con
s
-r-backb que determinan cuáles puertosfuncionamiento de la red— resulta un
tituirían centro
s
regionale
s
.pueden ser accedidos o cuáles subre-aporte importante en aras de mejorar
E
s
importante aclarar que cada
s
ubredde
s
pueden acceder allí.la funcionalidad y la seguridad de las
de este diseño se aí
s
la fí
s
icamente me-La red Estaciones Gerencia es de tiporedes territoriales.
2.2.3
A
s
pe
c
t
o
s
p
o
s
i
t
i
v
o
s
de
l
d
i
s
e
ñ
o
Š
La red posee dos enlaces redun-
dantes de salida hacia la WAN.
Š
S
e define una subred para los
equipos de interconexión Adminis-
tración con reglas que la aíslan del
resto de las redes.
Š
S
e define una subred para los
servidores Granja de
S
ervidores que
posibilita, en lo fundamental, dife-
renciar las reglas del filtrado de
puertos respecto al resto de las re-
des que no proveen servicios a los
usuarios.
Š
S
e define una subred Externa
para los invitados.
Š
S
e mantiene el estándar de la
empresa GE
S
NET-DMZ-Corpora-
tiva para la comunicación entre las
redes de GE
S
NET y Corporativa.
2.2.4
O
b
s
e
r
v
a
c
i
o
n
e
s
Š
S
e estructuran las redes de tipo
Corporativa y no se hace en la red de
GE
S
NET que por su importancia lo
amerita. De este modo, quedan mez-
clados, por ejemplo, los equipos de
telecomunicaciones con sus estaciones
gestoras, aún cuando no todos los
gestores tienen que acceder a todos
los equipos. Esto constituye un ele-
mento muy importante porque la red
de GE
S
NET es un punto vital en el
funcionamiento de la Empresa.
Š
Los administradores de red deben
crearse sub-interfaces en sus estacio-
nes para acceder a la red Adminis-
tración.
S
i después se pretende que
los administradores puedan tener
libre acceso a otras subredes, habría
que adicionarles una sub-interfaz en
cada una de sus máquinas por cada
una de las subredes a las que necesiten
Ton
o
Revist
a
Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S.A.
77
2
.
3
A
n
á
li
s
i
s
de
l
a
r
ed
de
l
a
D
i
r
e
cc
i
ó
n
T
e
rr
i
t
o
r
i
a
l
C
i
e
n
f
u
e
g
o
s
acceder sin re
s
triccione
s
. Una for-rede
s
1 y 2. Las subredes 3 y 4 se conectan a las 2 interfaces Ethernet res-
ma má
s
flexible y e
s
calable pudieratante
s
.
ser crear una pequeña
s
ubred aparteLa
s
ubred Municipios se conecta a través del nodo de transmisión de
para lo
s
admini
s
tradore
s
a la que
s
e ledato
s
con una interfaz serial del enrutador usando el protocolo frame-relay
establezcan las regla
s
que nece
s
itan.—retran
s
misión de tramas, se emplea en redes WAN—. Esta subred se com-
pone de las subredes que se encuentran en los municipios.
Exi
s
ten
s
istemas de seguridad que se ejecutan sobre una
P
C con el objetivo de
A continuación
s
e de
s
cribirá la to-
s
upervi
s
ar el tráfico entre la red LAN y la WAN —
S
nort, AR
P
Watch, Ntop, es
pología de la red troncal,
s
u
s
elemen-decir, aplicaciones de software de libre distribución—. Estos intentan ofrecer a
tos de interconexión,
s
ubrede
s
, etc.lo
s
administradores información sobre los eventos que ocurren en la periferia
Luego
s
e hará un análi
s
i
s
crítico de lade la red local. Esta
P
C se conecta a un puerto espejo del conmutador de las
misma donde se re
s
altarán
s
u
s
prin-
s
ubrede
s
1 y 2. El conmutador fue configurado de modo tal que dirige hacia ese
cipales deficiencia
s
.puerto lo
s
tráficos que pasan a través de la interfaz conectada al enrutador para
que
s
ean
s
upervisadas ambas subredes. En el enrutador están configuradas las
Li
s
ta
s
de Control de Acceso que garantizan el aislamiento entre la
s
redes
GE
S
NET y Corporativa
2
.
3
.
1
D
e
s
c
r
i
p
c
i
ó
n
de
l
a
r
ed
t
r
o
n
c
a
l
e
x
i
st
e
n
t
e
Actualmente exi
s
ten 3 tipo
s
de
subredes en el entorno local:
2
.
3
.
2
A
n
á
li
s
i
s
de
l
a
r
ed
t
r
o
n
c
a
l
e
x
i
st
e
n
t
e
Š
Red CorporativaLa red troncal actual presenta las siguientes insuficiencias:
Š
Red GESNET1-Lo
s
técnicos del territorio carecen de privilegios administrativos sobre el
Š
Red DMZenrutador. Este enrutador es administrado de manera centralizada por los
Las subredes Subred-1,
S
ubred-2,técnico
s
de la Empresa en Ciudad de La Habana. Esta es la causa fundamental
Subred-Municipio
s
s
on de tipo Cor-por la que no se realizan un grupo de tareas que pudieran mejorar la gestión de
porativa. La Subred 3 e
s
de tipo DMZ
s
eguridad en la red.
y la Subred 4 de tipo GE
S
NET. E
s
ta
s
2-No hay un mecanismo para supervisar el tráfico entre la red WAN y todas
se conectan a la WAN por medio de unla
s
s
ubredes locales. Es cierto que existen los sistemas de seguridad perimetral;
enrutador CISCO 3640. El enrutadorpero, e
s
tos no logran abarcar todas las subredes locales. La subred Muni-
posee 4 interface
s
Ethernet (10
M
bp
s
),cipio
s
, la
s
ubred DMZ y, principalmente, la subred de GE
S
NET, no desvían sus
3 de ella
s
para conectar la
s
s
ubre-tráfico
s
hacia la
P
C donde corren dichos sistemas.
P
or lo tanto, una parte
des locales y la cuarta para conectarimportante de nuestra red queda sin supervisión perimetral.
P
or ejemplo, si
la red WAN. La
s
subrede
s
1 y 2
s
eun técnico con conocimiento de algunos controles de acceso, accediera
conectan a la misma interfaz fí
s
ica ala algún módulo de la planta digital situada en la red local de GE
S
NET y,
definir
s
e en ella
s
do
s
s
ub-interface
s
por error humano o intencional, desconfigurara o inhabilitara alguna funcionalidad,
lógicas. Cada
s
ub-interfaz lógica fueno habría trazas disponibles de su conexión a través de los elementos de red. Es
concebida para
s
ervir de gateway —e
s
nece
s
ario aclarar que existen en la planta, tanto controles de acceso por u
s
uarios
decir, se refiere a la puerta de enlacecomo
s
i
s
temas de bitácora para archivar estos accesos, pero son insuficientes pa-
para la
s
ubred corre
s
pondiente— ara alcanzar los niveles de seguridad que este caso requiere.
su subred correspondiente.3-No existen reglas de control de acceso que regulen el tráfico entre las
Por ejemplo,
s
i las
s
ubrede
s
tienen
s
ubrede
s
o hacia determinadas estaciones individuales del territorio.
la siguiente numeración I
P
:Ejem
p
lo 1: la Red DMZ local —de gran importancia estratégica debido a
Subred-1: 192.168.12.0/24
s
u comunicación directa con la Red GE
S
NET— puede ser accedida desde
Subred-2: 192.168.105.0/24cualquier punto de ETEC
S
A en el territorio nacional. Esta es una situación
Las sub-interface
s
configurada
s
no de
s
eada cuando los servicios que yacen en ella sólo son para pasar
para cada
s
ubred pudieran
s
er:información entre la Red GE
S
NET local y la Red Corporativa local.
Subinterfaz-1: 192.168.12.1Ejem
p
lo 2: una estación de trabajo local pudiera estar brindando servicios no
Subinterfaz-2: 192.168.105.1autorizado
s
de páginas Web o mensajería electrónica por sus puertos habituales a
La red WAN se compone de
s
ubre-alguno
s
u
s
uarios de la WAN. De este caso, se pueden derivar dos problemas: el de
des de tipo Corporativa y GE
S
NETtramitar o difundir información ajena a los intereses de la Empresa y la vul-
que se ubican en la
s
otra
s
provin-nerabilidad asociada a mantener servicios sin la debida configuración de seguridad
cias. E
s
ta
s
s
ubrede
s
se conectan a unaque rigen los administradores de una red y los responsables de seguridad infor-
misma interfaz física del enrutador demática. La inexistencia de ACLs impide establecer los servidores oficiales de estos
igual modo que lo hacen la
s
s
ub-
s
ervicio
s
. De manera general, sin el empleo de ACLs es difícil compartimentar un
e
s
cenario de red local.
78
Tono Revista Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S.A.
Ejem
p
lo 3:
s
i aparece un nuevo gusano —tipo de código malicioso que afecta la
s
eguridad en la red— en Internet, que se propague a través de un determinado
puerto no
s
ería po
s
ible bloquear dicho puerto en la entrada de la red te-
rritorial.
4-La red troncal e
s
poco escalable porque no puede aumentarse el número
de
s
ubrede
s
debido a que
s
ólo se disponen de 4 interfaces Ethernet en el único
enrutador exi
s
tente. El número total de estaciones es aproximadamente 300 y
e
s
te número crece cada año, así como crece el número de minipuntos y cen-
tro
s
de atención a la población. Otros números I
P
son otorgados a elementos
de red como conmutadore
s
, enrutadores y equipos de telecomunicaciones.
5-No exi
s
ten
s
ubrede
s
asociadas a determinadas funciones que posi-
bilite la compartimentación dentro de la red local.
Ejem
p
lo: un equipo de telecomunicaciones situado en la Red GE
S
NET
local puede
s
er accedido por cualquier técnico o supervisor de dicha red
aún cuando no le corre
s
ponda trabajar con ese equipo.
S
e aclara nueva-
mente que
s
iempre hay un control de acceso básico en dichos equipos.
El problema radica en que los equipos de telecomunicaciones no debie-
ran e
s
tar en la mi
s
ma
s
ubred en la que están sus operarios.
P
or la
s
razone
s
anteriormente expuestas, el diseño actual de la red tron-
cal de ETEC
S
A en Cienfuegos no reúne los requisitos de seguridad ne-
ce
s
ario
s
para alcanzar los niveles de seguridad que pretende tener la
Empre
s
a.
2
.
4
D
e
s
c
r
i
p
c
i
ó
n
de
l
a
s
o
l
u
c
i
ó
n
P
ara afrontar lo
s
problemas existentes en la topología actual de la red
troncal, e
s
preci
s
o di
s
eñarla de nuevo. Este diseño debe regirse por modelos
y e
s
tándare
s
e
s
tablecido
s
mundialmente; además, tener en cuenta otras ex-
periencia
s
como la
s
de
s
critas en este trabajo.
En la figura 2
s
e mue
s
tra el esquema topológico que se propone. El di-
s
eño incluye:
1-In
s
erción de un Conmutador Capa-3 entre el enrutador y el resto de los
conmutadore
s
de capa 2 existentes.
2-Creación de
s
ubrede
s
para distintas funciones, que estén separadas
mediante VLAN
s
comunicadas por las rutas establecidas en el Conmu-
tador Capa-3.
3-Creación de ACL
s
que controlen el tráfico entre las distintas subredes.
4-
M
ecani
s
mo para almacenar trazas del tráfico entre las diferentes sub-
rede
s
.
5-Tra
s
lado de la
s
ubred Municipios que está conectada al enrutador para
el Conmutador Capa-3, para que pueda ser supervisada tanto por el me-
cani
s
mo de almacenamiento de trazas como por el sistema de seguridad
perimetral.
6-Exten
s
ión de la
s
s
ubredes creadas hacia las áreas principales de la Em-
pre
s
a que
s
e encuentran geográficamente dispersas —Centro de Gestión y
P
lanta Telefónica—.
7-Implementación de protocolos para automatizar el manejo de enlaces
redundante
s
dentro de la red troncal.
Ton
o
Revist
a
Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S.A.
79
F
i
g
u
r
a
2
E
s
qu
e
ma
f
ísi
co
-
t
opo
l
ó
g
i
co
d
e
l
a
r
e
d
t
e
rr
i
t
o
r
i
a
l
E
T
E
C
S
A
C
i
e
n
f
u
e
g
o
s
.
(
F
u
e
n
t
e: e
l
a
bo
r
a
c
i
ón
p
r
op
i
a
)
.
A continuación
s
e ju
s
tificarán algunas de estas acciones, siguiendo el
mi
s
mo orden en que fueron expuestas.
1-
S
egún el modelo de di
s
eño jerárquico, en redes de mediana complejidad
deben exi
s
tir uno o vario
s
elementos que distribuyan y controlen los tráficos
entre la
s
s
ubrede
s
interna
s
—Capa de Distribución—. La inserción de un
Conmutador Capa-3 con 24 ó 48 interfaces Ethernet pudiera cumplir esta
labor. De e
s
te modo, el enrutador existente quedará sólo para conectar la red
territorial con el proveedor de servicios de conectividad —Departamento de
Operacione
s
de la Red de la Empresa— para que este se encargue de la
conexión con la red WAN empresarial.
El enrutador quedaría liberado de ejecutar ACLs y otras configuraciones
que re
s
ponden a intere
s
e
s
territoriales de Cienfuegos, incluso, pudieran
cambiar con alguna periodicidad.
Hay otra
s
razone
s
organizativas que conllevan a tomar esta decisión.
E
s
re
s
pon
s
abilidad de la Dirección de Infraestructura y
S
oporte de la
Red de la Empre
s
a, ubicada en la capital, mantener la conectividad entre
lo
s
territorio
s
que conforman la WAN; en ese sentido, no sería prudente
compartir lo
s
privilegio
s
administrativos en el enrutador entre técnicos
que
s
e
s
ubordinan a di
s
tintos departamentos con diferentes misiones.
P
or ejemplo, la mi
s
ión principal de esta Dirección consiste en que exista
conectividad entre el enrutador y la WAN. La misión principal de los
técnico
s
en la red territorial es garantizar la conectividad y seguridad de
la red interna.
2-
S
egún lo e
s
tablecido por el diseño modular de redes, el establecimiento
de bloque
s
—o
s
ubrede
s
— asociados a determinadas funciones garan-
tiza una compartimentación en la red interna que evita accesos no
80
Tono Revista Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S.A.
d-Subred DMZ: e
s
ta
s
ubred
s
irve
de puente (enlace) entre la
s
s
ubre-
des de GESNET y Corporativa; por
la
s
característica
s
de compartimenta-
ción de la Empre
s
a mencionada
s
no
pueden comunicar
s
e directamente.
e-Granja de Servi
d
ore
s
: en e
s
ta
subred están ubicado
s
todo
s
lo
s
s
er-
vidore
s
que ho
s
pedan lo
s
diferente
s
servicio
s
a lo
s
que acceden lo
s
u
s
ua-
rio
s
de la red.
f-Subred de A
d
mi
n
i
s
tra
d
ore
s
:
s
e
ubican la
s
PC de lo
s
admini
s
tradore
s
para evitar la configuración de
s
ub-
interfaces que pertenezcan a e
s
a
s
ub-
red.
g-Di
s
positivo
s
de Re
d
:
s
e
s
itúan lo
s
di
s
po
s
itivos como conmutadore
s
, en-
rutador, etc. con po
s
ibilidade
s
de ge
s
-
tión remota.
h-Subred Munici
p
io
s
:
s
e refiere al
enlace con alguno
s
municipio
s
que
antes se conectaban con f
r
ame-
r
elay
al enrutador 3640 y ahora
s
e conec-
tan al Conmutador Capa-3 y po
s
ibi-
lita la supervisión de e
s
to
s
tráfico
s
.
3- Se implementarán ACL
s
que per-
mitan en cada ca
s
o controlar el acce
s
o
autorizado
s
a determinado
s
s
ervicio
s
,entre subredes.
P
ara ello se considerarán las direcciones I
P
de origen y
elemento
s
de red, e
s
tacione
s
, da-de
s
tino así como los puertos utilizados por los servicios existentes, te-
to
s
, etc.niendo en cuenta habilitar la funcionalidad de logging —se refiere a la
Se proponen la
s
s
iguiente
s
s
ub-po
s
ibilidad de tener un registro de los eventos que se configuren— para
redes:algunas reglas.
a-Subred Corporativa: en e
s
ta
s
ub-4-
S
e configurará un sistema de almacenamiento de trazas centralizado con
red se encuentran la mayoría de lo
s
el empleo del protocolo syslog, en particular la implementación syslog-ng,
u
s
uario
s
del territorio y de
s
de ella
s
e
s
e configurará un servidor central con GNU/Linux y se habilitará en los dis-
accede a los servicio
s
telemático
s
comu-po
s
itivos de red el envío de las trazas hacia este [3-4].
nes —correo, acce
s
o a Internet, tran
s
-6-
S
e implementará el Estándar IEEE 802.1Q para la extensión de las
ferencia de archivo
s
, etc.—.VLANs configuradas para cada subred [5].
b-Subred de gestore
s
d
e GE
S
NET:7-
S
e habilitará un enlace redundante activado automáticamente mediante
aquí se encuentran lo
s
ge
s
tore
s
deel empleo del
P
rotocolo de Árbol Expandido —del inglés, Spanning-
T
ree
telecomunicacione
s
que atenderán lo
s
P
r
otocol (
S
T
P
)— que será previamente configurado en el conmutador, eli-
equipo
s
ubicado
s
en GE
S
NET. Cadaminando el procedimiento manual existente [5].
gestor tendrá acce
s
o a lo
s
equipo
s
2.5
Im
p
l
e
m
e
n
t
a
c
i
ó
n
que atienda e
s
pecíficamente y no a
P
ara la implementación final del diseño, se decidió dividir los trabajos en 2
todos lo
s
equipo
s
de la
s
ubred poretapa
s
, de acuerdo con su complejidad y las posibles afectaciones que pu-
igual.dieran surgir. Además para su completa terminación, es necesa
r
ia la par-
c-Subred de eq
u
i
p
o
s
d
e telecom
u
-ticipación de técnicos de distintas áreas y la reestructuración de algunos
nicaciones: se encuentran lo
s
equi-
s
ervicios.
pos que soportan lo
s
s
ervicio
s
deCon el propósito de describir la primera etapa, puede utilizarse como
tran
s
mi
s
ión, conmutación, dato
s
, etc.referencia la figura 3.
F
i
g
u
r
a
3
E
s
qu
e
ma
d
e
l
a
r
e
d
t
e
rr
i
t
o
r
i
a
l
E
T
E
C
S
A
C
i
e
n
f
u
e
g
o
s
e
n
s
u
1
r
a
e
t
a
p
a
.
(
F
u
e
n
t
e: e
l
a
bo
r
a
c
i
ón
p
r
op
i
a
)
.
Ton
o
Revist
a
Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S.A.
81
T
a
b
l
a
1
E
s
t
a
do
d
e
cu
m
p
li
m
i
e
n
t
o
.
(
F
u
e
n
t
e: e
l
a
bo
r
a
c
i
ón
p
r
op
i
a
)
.
5
R
e
c
o
m
e
n
d
a
c
i
o
n
e
s
AcciónCumplimi
e
nto
1Se c
u
m
p
l
e
c
o
m
p
l
e
t
a
m
en
t
e
2Se ef
e
ct
úa
pa
rci
a
lm
en
t
e
,
pue
s s
ó
l
o
s
e
im
p
l
e
m
en
t
an
3
V
L
ANs
3Se c
u
m
p
l
e
c
o
m
p
l
e
t
a
m
en
t
e
pa
r
a
l
o
im
p
l
e
m
en
t
ado
en
e
st
a
e
t
apa
4Se
e
f
e
ct
úa
c
o
m
p
l
e
t
a
m
en
t
e
5Se r
ea
liz
a
c
o
m
p
l
e
t
a
m
en
t
e
6Se
po
s
pone
pa
r
a
una
s
egund
a
e
t
apa
7Se
po
s
pone
pa
r
a
una
s
egund
a
e
t
apa
Por otra parte, también puede ob
s
ervar
s
e la implementación de las2-
S
e culminó la primera etapa de
accione
s
siguiente
s
:implementación descrita en este
trabajo.
3-
S
e realizó una revisión de la bi-
bliografía técnico-especializada que
permitió conocer el estado del arte
referente a las tecnologías emplea-
das en las redes de campus, modelos
y diseños empleados en las mismas.
4-
S
e seleccionaron las tecnologías
de interconexión de redes y los mo-
de seguridad empleados, simulando
situaciones reales en escena
r
ios de
pruebas.
6-
S
e validó la implementación me-
diante el empleo de herramientas de
software y el análisis del compor-
tamiento del sistema.
Durante la implementación de e
s
ta etapa
s
e realizaron pruebas en escenariosdelos de diseños más efectivos que
reales con equipos similare
s
a lo
s
empleado
s
en la solución final, así mismo sepermitieron alcanzar los niveles de
validó la implementación utilizando aplicacione
s
de software, por ejemplo,seguridad esperados.
Nmap, Ntop, comando ping de ICM
P
—Internet Control Messages
P
rotocol /5-
S
e realizaron pruebas prácticas y
Protocolo de Control de Men
s
aje
s
de Internet—, Traceroute y chequeo de lasse utilizaron aplicaciones que permi-
traza
s
generada
s
por lo
s
di
s
po
s
itivo
s
y enviada
s
al servidor syslog.tieron definir las técnicas y mecanismos
3
R
e
s
u
l
t
a
d
o
s
y
d
i
s
c
u
s
i
ó
n
este trabajo.
2-Validar la implementación final
mediante el estudio y análisis de su
comportamiento en situaciones rea-
les de la operación de la red, por
un periodo no menor de 3 meses
que facilite mejorar algunos deta-
lles propios de su funcionamiento
estable.
Es importante destacar que el co
s
to de la implementación propuesta de-
pende, fundamentalmente, del equipo de Capa-3 y este varía según las pres-
taciones exigidas.
P
or ejemplo, un
s
witch Ci
s
co Catalyst 3550, similar al
empleado en el trabajo realizado, puede co
s
tar aproximadamente 3500 CUC.
Sin embargo, los beneficio
s
obtenido
s
s
on
s
ignificativos, sobre todo, al
valorar las pérdida
s
oca
s
ionada
s
por la
s
afectaciones, tanto por errores hu-
manos como por accione
s
mal intencionada
s
, de los equipos de telecomu-
nicaciones que brindan el
s
oporte tecnológico de la Empresa, por ejemplo,A pesar del avance alcanzado en
la planta telefónica digital—. En e
s
e
s
entido, la variante propuesta elimina,este trabajo, que concluyó el diseño
en gran medida, esta
s
po
s
ibilidade
s
al proteger los equipos vitales y super-de una nueva infraestructura de red
visar el acce
s
o a los mi
s
mo
s
.troncal para esta Entidad, y con la
Un ejemplo concreto en relación con la
s
inversiones que se necesitanimplementación de la primera etapa
sería: una avería de 24 hora
s
en la Central Digital de la DT Cienfuegos ledescrita, existen una serie de reco-
cuesta a ETECSA alrededor de 6000 CUC y 60000 pesos cubanos, quemendaciones en aras de completar la
equivalen a 8400 CUC en total, e
s
to
s
in tener en cuenta el tiempo de tra-implementación final, mejorar los
bajo e
s
pecializado requerido para lograr una
s
olución. No obstante, elniveles de seguridad y operatividad
impacto
s
ocial sería incalculable pue
s
s
e afectarían, en alguna medida,de la red, además de posibilitar su eje-
los principale
s
s
ervicio
s
de información, llamadas de urgencias tanto delcución en redes con características si-
servicio de emergencia
s
y ambulancia
s
de los hospitales y centros demilares. Estas recomendaciones son
atención como lo
s
de la
P
NR,
M
ININT, bomberos y otros servicios nolas siguientes:
menos importantes relacionado
s
con trámite
s
de diversa índole.1-Realizar las acciones necesarias
Además otro elemento que realza la viabilidad de esta propuesta con-que permitan culminar satisfactoria-
siste en utilizar, en todo momento, aplicaciones de software libre y demente la implementación de la se-
gratis di
s
tribución.gunda etapa del diseño descrita en
4
C
o
n
c
l
u
s
i
o
n
e
s
El nuevo di
s
eño de la red troncal de la Dirección Territorial de Cienfuegos en
ETECSA, descrito en e
s
te trabajo, logra eliminar las deficiencias existentes y
permite, ademá
s
, elevar lo
s
nivele
s
de
s
eguridad, estabilidad, confiabilidad,
no repudio y escalabilidad de la red, con la garantía de minimizar las afec-
taciones ante errore
s
humano
s
y aumentar la operatividad de la red.
Teniendo en cuenta lo
s
objetivo
s
planteado
s
, puede concluirse que:
1-Como re
s
ultado del trabajo realizado
s
e logró el diseño de una nueva
infrae
s
tructura de red troncal para la DT Cienfuegos, estructurado en 2 etapas
de implementación.
82
Tono Revista Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S.A.
3-Explotar al máximo las posibilidades de control y supervisión que
ofrece la nueva infrae
s
tructura de la red troncal.
4-
M
ejorar la implementación final teniendo en cuenta los resultados de la
validación final; la
s
s
ugerencias de sus administradores de la red y opera-
dore
s
o u
s
uario
s
finale
s
; y las nuevas exigencias que puedan surgir por
parte de la dirección de la Empresa.
5-Que con la con
s
ecución de las 4 primeras acciones pueda obtenerse
una ver
s
ión mejorada que permita su implementación en las redes
territoriale
s
de ETEC
S
A.
6
R
e
f
e
r
e
n
c
i
a
s
b
i
b
li
o
g
r
á
f
i
c
a
s
[
1
]
H
u
c
a
by
,
D
a
v
i
d
. CC
N
P
BC
M
S
N
E
x
a
m
C
e
r
tifi
c
a
tio
n
G
u
i
d
e
.
U
S
A
:
Ci
s
c
o
P
r
e
ss
I
n
d
i
a
n
a
p
oli
s
,
2004
,
pp
.
632
.
[
2
]
O
d
o
m
,
W
e
n
d
e
ll. CC
N
A
I
C
N
D
E
x
a
m
C
e
r
tifi
c
a
tio
n
G
u
i
d
e
.
U
S
A
:
Ci
s
c
o
P
r
e
ss
I
n
d
i
a
n
a
p
oli
s
,
2004
,
pp
.
626
.
[
3
]
S
a
n
to
s
,
O
m
a
r
.
E
n
d
-
to
-
E
n
d
N
e
two
r
k
S
e
c
u
r
it
y
D
e
f
e
n
s
e
-
i
n
-
D
e
p
t
h
.
U
S
A
:
Ci
s
c
o
P
r
e
ss
I
n
d
i
a
n
a
p
oli
s
,
2008
,
pp
.
444
.
[
4
]
M
a
nn
,
S
c
ott
a
n
d
M
it
c
h
e
ll
,
E
ll
e
n
L
.
L
i
nu
x
S
y
s
t
em
S
e
c
u
r
it
y
.
U
S
A
:
P
r
e
n
ti
c
e
H
a
ll
P
T
R
,
2000
,
pp
.
564
.
[
5
]
D
o
n
a
hu
e
,
G
a
r
y
A
.
N
e
two
r
k
W
a
rr
io
r
.
U
S
A
:
O
’
R
e
ill
y
,
2007
,
pp
.
599.
