Proyecto Informatizacion Cisco

PROYECTO DE CISCO 1ª Evaluación

Luís Conde García. 1º ASI

Proyecto para el Instituto Nacional del Consumo

INDICE

0. INDICE 1. DESCRIPCIÓN EN GENERAL 2. CABLEADO Y DISTRIBUCIÓN 3. TOPOLOGIA DE RED 4. MEDIOS DE NETWORKING 5. SERVIDORES DE RED 6. CONFIGURACION DE RED 7. DISPOSITIVOS Y ESTACIONES DE TRABAJO 8. POLITICAS DE SEGURIDAD 9. PRESUPUESTOS

10. MAPAS

1


1. DESCRIPCIÓN EN GENERAL

Proyecto para el concurso del Ministerio de Sanidad y Consumo por ASS Consulting S.L. para la informatización total del Instituto Nacional del Consumo de Madrid. El proyecto estará dividido en 5 fases:

1. Diseño, instalación e implementación del cableado de red. 2. Instalación y configuración de los medios de red. 3. Instalación y configuración de los servidores de red. 4. Instalación y configuración de las estaciones de trabajo. 5. Diseño e implementación de seguridad física y lógica.

2. CABLEADO Y DISTRIBUCIÓN.

La red esta distribuida por un edificio de 3 plantas. Cada planta contara con una red independiente que estará interconectada mediante un router con el resto de las plantas. El cable elegido para el cableado horizontal será de par trenzado no blindado de 5ª categoría (UTP) ya que ofrece múltiples ventajas:

• Es más fácil de instalar. • Más económico. • Ofrece protección contra las interferencias electromagnéticas (EMI) y

las radiofrecuencia (RF) gracias al propio trenzado.

La distancia máxima que hay desde el host mas lejano al armario de conexión no supera los 50 metros por lo que se respetara la distancia máxima de 100 metros que un cable UTP de 5ª categoría debe tener para que la señal no sufra atenuación por la distancia.

El cable transcurrirá por un falso suelo habilitado para ello ya que de esta

manera evitaremos el ruido y las interferencias electromagnéticas producidas por los fluorescentes y aparatos de aires acondicionado, además, el cableado deberá ser LSZH (Low Smoke Zero Halogen) para evitar la emisión de gases nocivos en caso de incendio.

.

2


El cableado vertical o backbone que unirá las tres plantas del edificio será de fibra óptica. Tendrá una longitud total de 30 metros y será del tipo multimodo con un núcleo de 62,5 micrones y un revestimiento de 125 micrones de diámetro. Como fuente de luz se usara un led con una longitud de onda de 850 nm en vez de un láser (UCSEL), ya que este último además de ser más caro, requiere de más medidas de seguridad y se suele utilizar para fibras monomodo. Los conectores serán de tipo conector suscriptor (SC).

La fibra óptica ofrece gran ancho de banda, baja atenuación, integridad e

inmunidad a las interferencias electromagnéticas. Además, gracias a la alta calidad de los enlaces de fibra óptica se pueden alcanzar distancias de hasta 2000 metros en fibra óptica multimodo y 3000 metros en las monomodo.

1


3. TOPOLOGIAS DE RED

La topología de una red se divide en dos partes: física y lógica. Topología física.

La topología elegida es la de estrella extendida. Esta, conecta todos los

cables con un punto central de concentración ofreciendo múltiples ventajas:

• La configuración de nuevos puestos se realiza hacia el exterior sin necesidad de variar el resto de los puestos. Solo se configura las conexiones del enlace particular.

• La localización y corrección de averías se simplifica. • En caso de avería se puede configurar distintas topologías tanto en

bus como en anillo simplemente reconfigurando centralizadamente las conexiones.

• Seguridad. En el caso de una avería en una estación de trabajo, el funcionamiento de la red no se vera afectado como en otras topologías, como por ejemplo en la de anillo.

Topología lógica. La topología lógica es la forma en que los host se comunican a través del medio. La topología usada será la broadcast, donde cada host envía sus datos hacia todos los demás del medio de red. Para acceder al medio los host utilizaran Carrier Sense Multiple Access/Collisión Detectión (CSMA/CD) recogido en el estandar 802.3 de IEEE o 8802-3 de ISO. Los nodos conectados a la red escuchan un tono de portadora en el cable y envían información cuando otros dispositivos no están transmitiendo. Acceso múltiple significa que muchos dispositivos comparten el mismo cable. Si dos o mas dispositivos detectan que la red esta preparada, pueden intentar acceder a

2


ella de forma simultanea provocando colisiones. Cada estación debe entonces abandonar y esperar una cierta cantidad de tiempo aleatorio antes de intentar retransmitir de nuevo. Los equipos que participaban en la comunicación pierden la prioridad.

4. MEDIOS DE NETWORKING

El edificio contara con un dominio de broadcast por cada planta del edificio interconectados entre si mediante routers a través de un enlace vertical de fibra óptica. En cada planta habrá un armario de conexiones con dos switchs Cisco Catalyst serie 2950 y un router Cisco de la serie 3600.

El método de conmutación será el por método de corte ya que debido a que

la red es de instalación reciente y cumple con todas las normativas, se prevé que haya pocos problemas de interferencia y atenuación, reduciendo de esta manera la latencia.

Cada planta tendrá su propio dominio de broadcast para reducir las

elevadas tormentas de broadcast que tendrá la red por la masiva difusión de video – online que distribuirá el departamento de prensa a sus clientes particulares. Características técnicas de los switchs.

Tipo: 2950

- Tecnología: Giga Ethernet. - Velocidad de transmisión: 6,6 millones de paquetes por segundo. - Numero de puertos:12/24. - Tipo de conector: Cisco RPS 300. - método switch: Cisco IOS. - Protocolo: TFTP/NTP/CDP. - Tipo de puertos: 10 base T/100 base T. - Full duplex: Si - Soporte SNMP: Si - Memoria: 8 MB + 8MB Flash y 16 MB DRAM - Autonegociación: Si - Sistema operative: Cisco 105 Release 12.0 - Dimensones: 444,5 X 241,8 X 43,6 mm

3


Características de los Router Cisco serie 3600

La serie de enrutadores de la serie Cisco 3600 es la solución multifuncional para oficinas de sucursales diseñada para brindar flexibilidad, modularidad, alto rendimiento y bajo coste. Estos incorporan capacidades de integración multiservicio de voz y datos.

Dentro de esta familia podemos destacar:

Hasta 40.000 pps

• Cisco 3620. (2 slots network modulo(NM) ) Hasta 70.000 pps

• Cisco 3640 (4 slots network modulo) Hasta 127.000 pps

• Cisco 3661 (1 puerto autosensing 10/100 Mbps + 6 slots NM) • Cisco 3662 (2 puertos autosensing 10/100 Mbps + 6 slots NM)

5. SERVIDORES DE RED

La red contara con una sala centralizada donde se ubicaran todos los servidores de red que darán servicio a las tres plantas del edificio. Se compondrán de:

Controlador de dominio. La red estará basada en una red de Microsoft con Windows 2003. Por lo que todos los equipos de la red pertenecerán a un único dominio. Para ello se instalaran dos servidores Windows 2003 Server como controladores de dominio o catalogo global y ambos tendrán un Servidor de Resolución de Nombres (DNS) para almacenar el directorio activo y dar servicio de resolución de nombres a toda la red, uno será el principal y otro será el secundario para ofrecer un servicio redundante a fallos.

4


Características del servidor DNS:

• Soporte registros SRV • Actualizaciones dinámicas • Zonas integradas en el AD. • Solo se permitirán transferencias de zona entre el primario y secundario.

Características físicas:

• Procesador: Pentium IV 1.5 Mhz • Memoria: 1025 MB • Disco duro: 200 GB • Tarjeta de red: Realtek Ethernet 10/100 • Controladora de HD: ultra SCSI-2

Servidor de archivos. Permitirá poner a disposición del usuario un directorio personal en el servidor donde deberá almacenar toda la información necesaria para realizar su trabajo. De esta forma se podrán diseñar unas copias de seguridad centralizadas para poder proteger la información. El servidor estará basado en Windows 2003 Server. El ROL del servidor en el dominio será de maestro de operaciones donde almacenara una copia del directorio activo. Características físicas:

• Procesador: doble procesador Pentium IV a 3,2 GHZ • Memoria: 1024 MB • Disco duro: dos discos duros de 200 GB c/u • Controladora de disco: Ultra SCSI -2 • Tarjeta de red: Realtek Ethernet 10/100

5


Servidor de impresión.

Estarán basados en Windows 2003 Server sobre una plataforma IBM serie 6000.

Desde este servidor se controlar todas las colas de impresión de todas las

impresoras de red que estén distribuidas por el edificio, controlando ademas los permisos de acceso y el uso que hace el usuario de los recursos de impresión.


• Procesador: Pentium IV a 3,2 GHZ • Memoria RAM: 1024 MB • Disco duro: 150 • Controladora de disco duro: Ultra SCASI-2 • Tarjeta de red: Realtek Ethernet 10/100

Servidor Web y DHCP (internos)

Estarán basados en Windows 2003 Server sobre una plataforma IBM serie 6000.

El servidor DHCP es el que se encarga de asignar direcciones IP

dinámicas a todos los dispositivos de red. En cada router habrá que instalar un agente relay para que llegue a todos los segmentos de red. El servidor Web se encargara de dar servicio a la intranet de la empresa, quedando completamente restringido el acceso desde el exterior. Características físicas:

• Plataforma: IBM serie 6000 • Procesador: Pentium IV a 3,2 GHZ • Memoria: 1024 MB • Disco duro:160 GB • Controladora disco: Ultra SCSI-2 • Tarjeta de red: RealTek Ethernet 10/100

6


Servidores zona desmilitarizada (DMZ). Servidor WEB y DNS

El servidor Web dará alojamiento al sitio Web de la empresa. Cualquier usuario externo podrá acceder al servidor y visitar la página Web de la empresa.

El servidor DNS dará servicio de resolución de nombres a todo Internet y

en el estará registrado el nombre del dominio de la empresa (consumo-inc.es).


• Plataforma: IBM serie 6000 • Procesador: Doble procesador Pentium IV a 3 GHZ • Memoria: 2048 MB • Disco duro: 200 GB • Controladora disco: Ultra SCSI-2 • Tarjeta de red: RealTek Ethernet 10/100

6. CONFIGURACION DE RED

Todos los equipos y dispositivos de la red formaran parte de una red Microsoft con Windows 2003 Server y Xp Professional. Todos los host pertenecerán a un mismo dominio.

Estructura del directorio activo: Todos los host formaran parte del árbol de dominio llamado: madrid.consumo-inc.es. Este, a su vez pertenecerá al bosque de dominio: consumo-inc.es. El árbol de dominio madrid.consumo-inc.es estará dividido en unidades organizativas asignadas por departamento para facilitar la administración del dominio y poder asignar las directivas de grupo por departamento.

7

http://www.consumo-inc.es/


Protocolos: La red estará basada en la suite de protocolos TCP/IP. Cada planta contara con su propio dominio de broadcast gracias al router de cada planta, pero estarán interconectados entre si a través del backbone. Direcciones de red: Planta 1: Red: 192.168.1.0 Mascara: 255.255.255.0 Planta 2: Red: 172.18.0.0 Masara: 255.255.0.0 Planta 3: Red: 10.0.0.0 Mascara: 255.0.0.0 Dentro de la suite de protocolos TCP/IP, utilizaremos SNMP para llevar un inventario de todo el hardware instalado en los equipos así como de todas las aplicaciones instaladas. De esta manera evitaremos cualquier robo de Hardware y evitaremos la instalación de software sin licencia por parte de los usuarios. SNMP será configurado con una clave privada y deshabilitado por completo en el router frontera para evitar cualquier tipo de enumeración de red. El trafico ICMP será permitido en toda la red interna pero bloqueado por completo en el router frontera y en la zona “militarizada” para dificultar al máximo la identificación desde el exterior.

8


7. DISPOSITIVOS Y ESTACIONES DE TRABAJO

Todas las estaciones de trabajo están basadas en Windows XP Professional y contaran con las siguientes características:

• Plataforma: HP • Tipo: Sobremesa • Procesador: Pentium IV Celeron a 2.6 GHZ • Memoria: 256 MB • Disco duro: 80 GB • Monitor: Phillips TFT 15” • Tarjeta grafica: NVDIA 128 MB • Tarjeta de red: realTek Ethernet 10/100 • Lector DVD LG 5816

Periféricos: La red contara con una impresora HP LaserJet modelo 2820 conectada directamente a la red por cada planta. Además, cada jefe de departamento contara con una impresora HP Business Inkjet 3000 de inyección de tinta , conectada directamente a su Pc. Características técnicas HP LaserJet 2820:

• Diferencias de modelos: Hasta 20 ppm • Velocidad de impresión color: Hasta 20 ppm en negro y 4 ppm en color • Ciclo de trabajo: 30.000 páginas al mes • Resolución: 1200 x 600 dpi • Resolución color: 600 x 600 dpi • Duplex: Manual • Memoria máxima: 224 MB • Dimensiones: 49,8 x 84,5 x 68,9 cm • Peso: 31,7 kg • Garantía: 1 año de garantía limitada

9


Características técnicas HP Business Inkjet 3000:

• Velocidad de impresión: Hasta 21 ppm en negro y 18 ppm en color • Ciclo de trabajo: 30.000 páginas al mes • Resolución: 1200 x 600 dpi • Resolución color: 2400 x 1200 dpi • Procesador: Motorola de 160 MHz y MIPS de 400 MHz

Cada jefe de departamento contara con un escáner Epson Perfection 1200U conectado directamente a su Pc para digitalizar cualquier documento que desee.

Características técnicas del escáner:

• Resolución óptica de 2400 x 4800 ppp • Unidad de transparencias integrada para negativos y diapositivas • Software de edición y retoque fotográfico, OCR y bases de datos para

tarjetas de visita • Interface: USB

8. POLITICAS DE SEGURIDAD

La seguridad se divide en dos categorías: física y lógica.

Seguridad física: La seguridad física se refiere a la protección del hardware y los soportes de datos, así como de la seguridad de los edificios e instalaciones que los albergan. En ella, se contemplan todo tipo de situaciones catastróficas como, incendios, sabotajes, inundaciones, robos, catástrofes naturales, etc., etc.

10


Protección de la sala de procesamiento de datos (CPD): La sala de procesamiento de datos (desde ahora CPD) estará situada en la 1ª planta del edificio ya que no es muy recomendable que esta este cerca de almacenes con productos inflamables o con riesgo de inundaciones como en los sótanos de los edificios. Esta, estará protegida por una puerta blindada y una pared de doble grosor capaz de resistir a un fuego como mínimo 1 hora (RF-60). El acceso estará restringido solo a personal autorizado y solo se podrá acceder a ella mediante tarjeta inteligente. La sala contara con un sistema de video vigilancia las 24 horas del día y de distintos sensores de movimientos. El acondicionamiento de la sala estará controlado por un doble sistema de aire acondicionado para mantener la sala a no más de 21 ºC y con una humedad del 50 % La sala contara con un sistema autónomo contra incendios basado en argon, también, estará equipada con distintos tipos de detectores humos y contra incendios, repartidos por toda la sala. Además, la sala deberá contar con un juego de extintores de mano de dióxido de carbono. El CPD contara con un doble sistema de suministro eléctrico preparado para que en caso de fallo el suministro secundario empiece a suministrar corriente de inmediato. Además, contara con un sistema de alimentación interrumpido (SAI) para que en el hipotético caso de un fallo grave de todas las líneas de suministro, los sistemas críticos tengan una autonomía de 30 minutos antes de apagarse. Seguridad lógica: La seguridad lógica se refiere a la seguridad del uso del software, a la protección de datos y programas, a la autorización y control de acceso a aplicaciones y datos y al establecimiento y seguimiento de auditorias.

Zona militarizada (DMZ): Debido a que los servidores Web y DNS cuentan con innumerables vulnerabilidades de seguridad y son un blanco fácil para los ataques externos, comprometiendo seriamente la seguridad de toda la red, estos serán aislados por completo del resto de la red.

11


La red contara con un segmento de red completamente independiente

que estará físicamente separado del resto de la red. En este segmento serán ubicados los servidores Web y DNS que darán servicio publico a Internet. Estos servidores estarán basados en Windows 2003 Server pero formaran parte de su propio dominio de Microsoft y tendrán su propio rango de direcciones IP. En el servidor Web estará ubicado el sitio Web de la empresa y el servidor DNS dará servicio público de resolución de nombres de dominio. En el estará registrado el dominio consumo-inc.es.

Política de respaldo de datos:

Al tener todos los datos almacenados en un servidor, se realizara una copia de seguridad diaria de todos los datos almacenados en el para proteger toda la información. Política de respaldos:

Semana Lunes Martes Miércoles Jueves Viernes 1 Cinta1

Tipo: Completa Cinta1

Tipo: incremental Cinta1



Tipo: completa 2 Cinta2















Tipo: completa

Por motivos de seguridad, la cinta que no se este utilizando en esa semana, será guardada en la caja de seguridad de una banco fuera del edificio para prever catástrofes como incendios, derrumbes o atentados, estando en todo momento una copia fuera del edificio.

Auditoria de seguridad: Para vigilar cualquier actividad sospechosa se establecerá un servicio de auditoria local en los servidores de impresión, autenticación y ficheros. El propósito de la auditoria será hacer un seguimiento exhaustivo del uso que se hace en todo momento de Internet, así, como controlar el uso que se hace de los recursos de impresión o la protección de los datos almacenados en

12


los servidores. También se hará un seguimiento de todos los intentos fallidos de validación de cuenta en los servidores de autenticación para controlar el acceso y evitar intentos de validación por fuerza bruta. Un registro de auditoria con decenas de intentos fallidos de validación (suceso 528) podría significar que alguien esta usando alguna herramienta de validación por fuerza bruta.

Directivas de cuentas: Se establecerán un conjunto de directivas de cuentas de usuario para controlar el uso de estas. De esta manera evitaremos por ejemplo cualquier intento de ataque automatizado de validación por fuerza bruta o diccionario. Toda cuenta de usuario se bloqueara durante 15 minutos al tercer intento fallido de validación. Además, se forzara una longitud mínima de contraseña de 8 caracteres y deberá ser cambiada por el usuario una vez al mes.

Directivas de grupo:

Mediante las directivas de usuario se llevara un control exhaustivo del usuario final. Cada unidad organizativa tendrá sus propios directivas de grupo y en ellas se controlara todo el entorno del usuario (panel de control, configuración del escritorio, Internet Explorer, etc., etc.).

Servicios:

Todos los servicios locales innecesarios y que puedan suponer cierta

amenaza de seguridad para la red o el equipo local, serán deshabilitados. Listado de servicios deshabilitados:

• Registro remoto. • Ayuda de Netbios sobre TCP/IP • Escritorio remoto compartido de Neetmeeting. • Servicios Web, Ftp, Telnet. • Servicios de Terminal Services. • Programador de tares. • Servicio SNMP. • Servicios simples de TCP/IP.

13


Instalación de antivirus: En cada equipo se instalara una suite completa de seguridad que

contenga: antivirus, antispyware y cortafuegos. Dicha suite se programara para que el antivirus se actualice semanalmente de un servidor de red centralizado.

Curso formativo: Por ultimo se organizaran unas pequeñas guías para dar al usuario final algunas nociones básicas de seguridad. Enseñándole cuales son las potenciales amenazas y como debe reaccionar ante una situación peligrosa.

9. PRESUPUESTOS

PRESUPUESTO

Concepto Modelo Precio/u Cantidad Total SOFTWARE Windows XP Professional 95 € 30 2.850 € Windows 2003 Server 1345,19 € 6 8.071,14 € Antivirus Panda Titanium 68,01 € 35 2.380,35 €

HARDWARE Instalación de Red SAS COMPUTING S.L. 7845,34 1 7.845,34 € Router Cisco 3620 2598,34 € 4 10.393,36 € Switch Cisco Catalyst 2950 1205,23 € 7 8.436,61 € Racks wmpvfm45 131,23 € 4 524,92 € SAI Pulsar elipse 300 876,46 € 2 1.752,92 € Servidor IBM Serie 6000 9.467,23€ 6 47.336,15 € Impresora HP LaserJet 2820 345,12 € 3 1.035,36 € Impresora Business Inkjet 3000 112,2 € 6 673,2 € escáner Epson 1200U 134,2 € 6 805,2 € Estaciones de trabajo

HP Pentium IV 834,58 € 30 25.037,4 €

Cintas de backup IBM 45 GB 2,35 € 2 4,7 € TOTAL 117.146,65 €

14


10. MAPAS Plano general de las plantas: Planta 1:

15


Planta 2:

16


Planta 3:

17


Tologia fisica de red: Planta 1:

18


Palanta 2:

19


Planta 3:

20

Proyecto Informatizacion Cisco

Documents

Transcript of Proyecto Informatizacion Cisco