Post on 19-Jun-2015
ADMINISTRACION EFICIENTE DE LA LAN
20 Tips Prácticos para Mantener la Red de Datos Disponible y Segura
DIEGO FERNANDO GONZALEZ
OBJETIVO
• Mostrar a los asistentes algunas buenas practicas en cuanto
a la administración de redes de Datos de un tamaño
considerable , para garantizar la disponibilidad y seguridad
de la misma.
• No se hace referencia a un determinado Software,
fabricante, equipo o sistema operativo; aunque en algunos
ejemplos se hará mención a equipos activos de red
específicos.
•Administración de Red
•Oficial de Seguridad
•DBA
1. EL EQUIPO DE TRABAJO
•Administración de Servidores
•Servicios de Voz
• Responsable Hardware
•Desarrolladores
2. CONOCIMIENTO DE LA RED
Levantamiento de información Vital
• Topología Física
•Topología Lógica
•Ubicación Centros de Cableado
•Características equipos activos•Características equipos activos
•Direccionamiento IP
•Planos
Información Clara – Ubicación Segura – Actualizada
2. CONOCIMIENTO DE LA RED
3. IMPORTANCIA DEL CABLEADO
Históricamente las fallas mas habituales sobre la red son
atribuibles al cableado, es por eso que se debe tener en cuenta
lo siguiente:
•Se debe velar por tener un sistema de cableado confiable, con
el cumplimiento de normatividad, basado en estándares
internacionales y certificación de cada punto .
•Los cuartos de Telecomunicaciones han de ser amplios y
3. IMPORTANCIA DEL CABLEADO
•Los cuartos de Telecomunicaciones han de ser amplios y
seguros.
•Sistemas de puesta a tierra y energía regulada certificados.
•Integración de servicios (Voz, datos, video, sistemas de control,
automatización).
•Garantizar crecimiento y flexibilidad ante modificaciones.
•Uso de materiales y proveedores reconocidos (Panduit,
Siemon, Amp, Ortronics).
4. PLATAFORMA ESTANDARIZADA
5. SEGMENTACION …
Divide y Venceras
crearla
#
vlan 25
description Division Sistemas
#
interface Vlan-interface15
ip address 10.10.25.254 255.255.255.0
#
propagarla
#
La división de una red física en
varias redes lógicas, permite
mejorar diversos factores de
seguridad y rendimiento.
El manejo de Vlans permite
reducir el tamaño de los #
interface GigabitEthernet2/0/12
port link-type trunk
port trunk permit vlan all
#
asociarla
#
interface Ethernet2/0/1
port access vlan 25
#
reducir el tamaño de los
dominios de difusión y separa
segmentos de red lógicos para
un mejor desempeño y
administración.
6- ENRUTAMIENTO DINAMICO
Los protocolos de enrutamiento dinámico son algoritmos que permiten que los
routers publiquen, o anuncien, la existencia de la información de ruta de red IP
necesaria para crear la tabla de enrutamiento. Dichos algoritmos también determinan
el criterio de selección de la ruta que sigue el paquete cuando se le presenta al router
esperando una decisión de conmutar. Los objetivos del protocolo de enrutamiento
consisten en proporcionar al usuario la posibilidad de seleccionar la ruta idónea en la
red, reaccionar con rapidez a los cambios de la misma y realizar dichas tareas de la red, reaccionar con rapidez a los cambios de la misma y realizar dichas tareas de la
manera más sencilla y con la menor sobrecarga posible.
El uso de enrutamiento dinámico permite en el caso de redes grandes la actualización
de las tablas de enrutamiento automáticamente ante cualquier modificación de la
topología o el direccionamiento, sin necesidad de actualizar uno a uno cada uno de
los equipos enrutadores. Además mediante enrutamiento dinamico, los equipos
pueden activar rutas secundarias cuando las principales fallan, mas rápido que si un
administrador lo hiciera manualmente.
Los protocolos mas comunes son RIP, RIP2, OSPF, BGP.
6- ENRUTAMIENTO DINAMICO
EJEMPLO EN ROUTER CISCO
!
router ospf 1
log-adjacency-changes
area 0 authentication message-digest
redistribute connected subnets
redistribute static subnets
network 172.19.20.0 0.0.0.255 area 0network 172.19.20.0 0.0.0.255 area 0
!
!
interface FastEthernet0/1
ip address 172.19.20.2 255.255.255.0
ip ospf message-digest-key 1 md5 EstaEsLaClave
speed 100
full-duplex
!
7- DEFAULT VLAN
8- CONTROL DEL BROADCAST
Una Tormenta de Broadcast (Broadcast Storm) es una condición donde los dispositivos
en una red están generando principalmente tráfico Broadcast tal que dicho tráfico
cause que el rendimiento de la red se degrade drásticamente. Para evitar este
problema, se habilita el control de broadcast en las interfaces acceso de los Switches
de la LAN.
Storm Control usa umbrales para bloquear y restaurar el reenvío de paquetes
broadcast, unicast o multicast.
EJ:
A continuación se configura una interfas del Swiche, para que ante una tormenta de
Broaccast superior a 3000 pps el puerto se bloquee. Asi mismo se puede parametrizar
para que genere un log a un trap de alerta.
#
interface Ethernet1/0/45
stp edged-port enable
broadcast-suppression pps 3000
packet-filter inbound link-group 4999 rule 0
#
9 - APILAMIENTOS Y ENLACES AGREGADOS
10 – IMPLEMENTACION DEL STP
11– QOS
QoS en capa 2:
A través de los Swiches de red se da prioridad a ciertas MAC registradas, por lo general de dispositivos VoIP, sobre una Vlan especifica,
veamos el ejemplo:
#
voice vlan mac-address 0001-e300-0000 mask ffff-ff00-0000 description Siemens
voice vlan mac-address 0060-b900-0000 mask ffff-ff00-0000 description Philips
voice vlan 88 enable
vlan 18
description VoIP
#
QoS L3 -->
12- EL CANAL DE INTERNET
Vital!!!
El usuario final muchas veces usa la Lan en gran medida para
navegar por la WEB, por ello hacer uso eficiente del canal de
Internet es bastante importante.
Tener políticas claras de control de navegación, autenticación de
usuarios, control de privilegios, denegación de mensajería
Tener políticas claras de control de navegación, autenticación de
usuarios, control de privilegios, denegación de mensajería
instantánea, P2P y bloqueos de URL nocivas resulta importante.
Para este tipo de soluciones es necesario el uso de elementos de
red importantes tales como servidores proxy (Soluciones en
sistemas operativos libres y propietarios), controladores de
contenido (Algunos ejemplos: Optnet, Cyberpatrol, SurfControl)
y firewalls (Encontramos soluciones por Hardware o Software).
13- DMZ
La regla de oro: De una zona de mayor seguridad puedo solicitar servicios a
una de menor Seguridad, pero no en sentido contrario.
14- ADMINISTRACION SEGURA
HAY Q DAR EJEMPLO
•Cambiar inmediatamente password por defecto de equipos
recién instalados.
•Deshabilitar protocolos poco seguros para la administración de
equipos activos como http y telnet
En lugar de ello usar https y ssh
equipos activos como http y telnet
•En lugar de ello usar https y ssh
•Usar listas de control de acceso
•Usar autenticación contra servidores Radius con privilegios
definidos en el Directorio activo.
•Cambiar periódicamente passwords y usar claves de difícil
hallazgo mediante ataques de fuerza bruta.
15- PORT SECURITY
El sistema de seguridad Port Security permite mediante el monitoreo de puertos de
red detectar la posible conexión de equipos activos sin autorización y el bloqueo de
los mismos.
EJEMPLO SW 3COM
#
interface Ethernet1/0/5
port access vlan 27
port-security max-mac-count 1
port-security port-mode secure
port-security intrusion-mode disableport-temporarily
mac-address static 0026-540c-b6b8 vlan 27
#
16– CONEXIONES WIFI
Sistemas integrados de Movilidad
17 – MONITOREO ACTIVO
Este punto es a mi juicio el mas importante, diferencia una red en la cual se
producen daños y se atienden y una en la cual se hacen acciones para que no
se produzcan daños….
Algunas herramientas con las cuales podemos conseguir tener una red con
monitoreo activo:
SNMP
NTP
SYSLOG
IPS
17 – MONITOREO ACTIVO
DEMO
18 – PLANES DE CONTINUIDAD
•Especificar que hacer, antes, durante y después de la ocurrencia del evento.
•Responsables de cada acción.
•Teléfonos y direcciones de contacto de cada implicado.•Teléfonos y direcciones de contacto de cada implicado.
•Guías de ejecución de la operación.
19 – CONTACTO CON PROVEEDORES
20 – COMPARTIR LA INFORMACION
PREGUNTAS….
GRACIAS