Tesis ICI UNI Final
220
1 INSTITUTO DE CIENCIAS DE LA INFORMACIÓN De la UNIVERSIDAD NACIONAL DE INGENIERÍA (ICI~UNI) TESIS PARA OPTAR EL TITULO PROFESIONAL TÉCNICO EN: ELECTRÓNICA DIGITAL Y TELEMÁTICA PRESENTADO POR: ALARCÓN VALERA, Giancarlo César Lima ,Perú 2010
Transcript of Tesis ICI UNI Final
1
INSTITUTO DE CIENCIAS DE LA INFORMACIÓN De la
UNIVERSIDAD NACIONAL DE INGENIERÍA
(ICI~UNI)
TESIS
PARA OPTAR EL TITULO PROFESIONAL TÉCNICO EN:
ELECTRÓNICA DIGITAL Y TELEMÁTICA
PRESENTADO POR: ALARCÓN VALERA, Giancarlo César
Lima ,Perú
2010
2
TÍTULO DE TESIS INSTALACION, MANTENIMIENTO Y RESTRUCTURACIÓN DE
UNA SUBRED INFORMATICA APLICADO AL HOSPITAL DE
EMERGENCIAS PEDIATRICAS
3
DEDICATORIA
Resumo mi dedicatoria en este proverbio:
El hombre, ese ser tan débil, ha recibido de la naturaleza dos cosas que deberían
hacer de él el más fuerte de los animales: la razón y la sociabilidad.
El hombre es un ser sociable y criado para contribuir al bien de la sociedad.
Lucio Séneca.
4
AGRADECIMIENTO
Agradezco a los funcionarios del H.E.P , a mis profesores del
Instituto de Electrónica Digital y Telemática de la UNI., por permitirme
la realización de este modesto trabajo y a mi familia por el gran poyo brindado
Gracias
5
ÍNDICE CONTENIDO PÁGINA
Primeras hojas
Tema de tesis 2
Dedicatoria 3
Agradecimiento 4
Antecedentes del problema 12
Primera parte 12
Segunda parte 13
Tercera parte 13
El Hospital de Emergencias Pediátricas 14
Misión y visión del Hospital de emergencias Pediátrico 15
Esquema organizacional del Hospital de Emergencias Pediátrico 16
Análisis FODA Hospital de Emergencias Pediátricas. 17
Conceptos subyacentes a la preparación del sistema de seguridad 19
Objetivo 20
PRIMERA PARTE
(Marco Teórico)
CAPÍTULO I 21
(Descripción simple de nuestro trabajo: FIREWALL)
1.1 - Que es una red informática? 22
1.2 -.Administración de una red 22
1.3 - Firewall 23
1.3.1 -.Que es un Firewall? 23
1.3.2 -.Por qué utilizar un Firewall? 23
1.3.3.-.Tipos de Firewall 23
1.3.3.1 -.Firewall a nivel de capas 24
1.3.3.1.1 – Firewall de filtrado de paquetes 24
1.3.3.1.2 – Firewall de aplicación 24
1.3.3.2 -.Firewall físicos 25
1.3.3.2.1 – Firewall típicos 25
1.3.3.2.2 – Firewall con zona DMZ 26
1.3.3.2.3 – Firewall con filtrado parcial 27
1.4 - Descripción del comando IPTABLES 28
6
CAPÍTULO II 37
(Explicación de las 7 capas OSI de la ISO)
2.1 - La capa FÍSICA 37
2.1.1 - Concepto matemático 37
2.2 - La capa ENLACE DE DATOS 39
2.2.1 - Servicio sin acuse sin conexión 39
2.2.2 - Servicio con acuse sin conexión 39
2.2.3 - Servicio orientado a la conexión 40
2.2.4 - Subcapa de acceso al medio (MAC) 40
2.2.4.1 – Aloha 40
2.2.4.1.1 - Aloha puro 41
2.2.4.1.2 - Aloha ranurado 41
2.2.4.2 - Protocolo de acceso múltiple con detección de portadora 41
2.2.4.2.1 - CSMA Persistente 41
2.2.4.2.2 - CSMA No Persistente 42
2.2.4.2.3 - CSMA Persistente-p 42
2.2.4.2.4 - CSMA/CD(carrier-sense Multiple Access with collision
Detectión) 42
2.3 - La capa de RED 43
2.4 - La capa de TRANSPORTE 44
2.5 - La capa de SESIÓN 46
2.6 - La capa de PRESENTACIÓN 47
2.7 - La capa de APLICACIÓN 48
CAPÍTULO III 49
(Conceptos sobre tecnologías de información)
3.1 - Terminología usada en la transmisión de datos 49
3.1.1 – medios de transmisión 49
3.1.2 - Frecuencia, espectro y ancho de banda 49
3.1.3 - Concepto del dominio de la frecuencia 50
3.1.4 - Relación entre la velocidad de transmisión y el ancho de banda 50
3.1.5 - Transmisión de datos analógicos y digitales 51
3.1.6 - Causas de la utilización de la transmisión digital 51
3.2 - Perturbaciones en la transmisión 52
3.2.1 – Atenuación 52
3.2.2 - Distorsión de retardo 52
7
3.2.3 – Ruido 52
3.2.4 - Capacidad del canal (C) 53
3.2.5 – Diafonía o Atenuación transversal 54
3.2.6 – Tele diafonía y Para diafonía 54
3.3 - Medios de transmisión 55
3.3.1 - Medios magnéticos 55
3.3.2 - Medios de transmisión guiados 55
3.3.2.1 - Par trenzado 55
3.3.2.2 - Cable coaxial 56
3.3.2.3 - Fibra óptica 57
3.3.3 - Transmisión inalámbrica 58
3.3.3.1 - Microondas terrestres 59
3.3.3.2 - Microondas por satélite 59
3.3.3.3 - Infrarrojos 60
3.4 - Definición de las modalidades de transmisión 60
3.4.1 - Servicios de datos conmutados de multimegabits (SMDS) 60
3.4.2 - Hub vs. Switch 61
3.4.2.1 - Hub 61
3.4.2.2 - Switch 62
3.5 - Tipos de redes 62
3.5.1 - Clasificación según su tamaño y extensión 62
3.5.1.1 - Redes LAN 62
3.5.1.2 - Redes MAN 63
3.5.1.3 - Redes WAN 63
3.5.2 - Clasificación según la tecnología de transmisión 63
3.5.2.1 - Redes broadcast 63
3.5.2.2 - Redes Point to-Point 63
3.5.3 - Clasificación según la transferencia de datos soportada 64
3.5.3.1 - Redes de transmisión simple 64
3.5.3.2 - Redes de transmisión Half-Duplex 64
3.5.3.3 - Redes de transmisión Full-Duplex 64
3.6 - Topología de la red 64
3.7 - Token Ring 65
3.8 - Ethernet 65
3.8.1 - Fast Ethernet 65
3.9 - Conclusiones primera parte 66
8
SEGUNDA PARTE (Recopilación de datos)
CAPÍTULO IV 68
(Consideraciones actuales de la intranet H.E.P.)
4.1 - Consideraciones actuales de la subred H.E.P. 68
4.2 - Estrategia actual de la intranet H.E.P. 68
4.3 - Recursos físicos con lo que cuenta el H.E.P. 68
4.3.1 - Instalaciones Físicas H.E.P. 69
4.3.1.1 - Bienes muebles 69
4.3.1.1.1 - Cuadro de distribución de computadores 70
4.3.1.2 - Bienes inmuebles 73
4.3.1.2.1 - Local alquilado 73
4.3.1.2.2 - Local propio 74
4.3.2 - Seguridad Física del local 74
4.3.3 - Suministro eléctrico 75
CAPÍTULO V 76
(Organización lógica actual de la intranet H.E.P.)
5.1 - Organización actual de la intranet H.E.P. 76
5.2 - Gestión y administración lógica en la Red en los Edificios 76
5.2.1 – En el edificio rentado 76
5.2.2 – En el edificio propio 77
5.2.3 – En los dos edificios 77
5.3 - Topología de la red 78
5.4 - Distribución de los IP 78
5.5 - Sistemas operativos usuarios 78
5.6 - Departamento o áreas de servidores 78
5.6.1 - El servidor ASISTENCIAL 78
5.6.2 - El servidor de CORREOS 79
5.6.3 - El servidor SIAF 80
5.6.3.1 – Grafico Localización del servidor SIAF en la red de IPS del
ministerio de Economía 82
5.6.4 - El servidor FIREWALL 83
5.6.5 - El servidor LOGÍSTICA 83
5.6.6 - El servidor PERSONAL 83
5.6.7 - Departamentos informáticos del H.E.P. 84
9
5.6.7.1 - Departamento o área de análisis de sistema 84
5.6.7.2 - Departamento o área de programación 84
5.6.7.3 - Departamento o área de soporte técnico 84
5.7 - Recursos técnicos humanos 85
5.7.1 - Analista programador 85
5.7.2 - Programador de sistemas 85
5.7.3 - Soporte técnico 86
5.7.4 - Supervisor de procesos 86
5.7.5 - Digitador o capturista de datos 86
5.8 - Grafico Diagrama actual de la Red informática H.E.P. 87
CAPÍTULO VI 88
(Analizando mejoras en la red actual)
6.1 - En lo que concierne a estructuras Físicas y Recursos 88
6.1.1 - Instalaciones físicas 88
6.1.2 - Local de cómputo 88
6.1.3 - Computadores 89
6.1.4 - Concentradores 89
6.1.5 - Servidores 89
6.1.6 - Seguridad del local 89
6.2 - En lo que concierne a organización lógica intranet H.E.P. 90
6.2.1 - Organización lógica en los edificios 90
6.2.2 - Segmentación lógica de la red H.E.P. 91
6.2.3 - Distribución de las direcciones IP 92
6.2.4 - División de la subred 92
6.2.4.1 – Primer Análisis: Subredes de tamaño fijo 92
6.2.4.1.1 – Primera opción 93
6.2.4.1.2 - Segunda opción 94
6.2.4.2 – Segundo Análisis: Subredes de tamaño variable 95
6.2.4.3 – Tercer Análisis: subredes con mascaras diferentes 97
6.2.5 - Grafico Diagrama reestructurado de la Red informática H.E.P. a
corto plazo 99
6.2.6 - Conclusión de análisis de división de la subred (NOTA
IMPORTANTE) 100
6.2.7 - Grafico Diagrama final de la topología H.E.P. 101
6.2.8 - Asignación personalizada de los IP 102
6.3 - Recomendaciones generales 105
10
6.3.1 Servidores 105
6.3.2 - Recomendaciones para las áreas informáticas 106
6.3.3 - Planeamiento de un estándar 106
6.3.4 - Consideraciones económicas 107
6.4 - Zona de operatividad de nuestro Firewall 108
6.5 - Conclusiones segunda parte 109
TERCERA PARTE (Diseño y resultado de la investigación)
CAPÍTULO VII 111
(Nuevas características incorporadas en el kernel 2.6.18)
7.1 - Diferencias kernel 2.4.X y 2.6.18 111
CAPÍTULO VIII 115
(Preparar la instalación del Sistema Operativo)
8.1 – Evaluación de software & hardware 115
8.2 - Características de la PC a utilizar 116
8.3 - Evaluación de los medios a instalar 116
8.4 - Notas generales 117
CAPÍTULO IX 118
(Políticas y consideraciones para el diseño del Firewall)
9.1 - Planeamiento del firewall 118
9.2 - Tabla de acceso a los servidores por parte de las áreas segmentadas
Lógicamente 118
9.3 - Mantenimiento del Firewall 118
9.4 - Tabla de requisitos para el script 119
CAPÍTULO X 121
(Instalación del Sistema Operativo)
10.1 - Instalación del sistema operativo 121
10.2 - Consideraciones Post-Instalación 131
10.2.1 - Análisis y optimización de Fedora Core 131
10.2.1.1 - Análisis de servicios instalados 132
10.2.1.2 - Análisis de sistema de archivos 145
11
CAPÍTULO XI 156
(Implementación del Firewall)
11.1 - Script del Firewall 157
11.2 - Consideración post-creación y ejecución del script 176
11.3 - Análisis de resultados 177
11.3.1 - Simulación software PACKET TRACE Cisco system 177
11.3.2 - Ejecución del Firewall 178
CAPÍTULO XII 183
(Plan de trabajo H.E.P.)
12.1 - Introducción 184
12.2 - Objetivos a alcanzar 185
12.3 - Metodología a utilizar 185
12.4 - Rutinas de mantenimiento a equipos de cómputo 187
12.5 - Organización del mantenimiento de equipos de cómputo 193
12.5.1 - Diagrama de flujo rutina de mantenimiento preventivo hardware
H.E.P. 194
12.5.2 - Diagrama de flujo de rutina de mantenimiento correctivo hardware
H.E.P. 195
12.5.3 - Rutina de mantenimiento de servidores 196
12.6 - Planeamiento del servicio 197
12.6.1 - Cronograma de actividades (análisis y calculo) 197
12.6.2 - Cronograma de actividades (ejecución) 201
12.7 - Planeamiento de los recursos 202
12.8 - Planeamiento de contingencia 207
12.9 - Mejoras del servicio 214
12.10 - Formato de visita técnica a usuarios 215
12.11 - Formato de control de incidencias y requerimientos 216
12.12 - Formato de control de mantenimiento correctivo y preventivo 217
12.13 - Capacitación a usuarios, trabajadores el hospital 218
12.14 – Discusiones generales 219
12.15 - Bibliografía 220
12
ANTECEDENTES DEL PROBLEMA
(Este trabajo está comprendido en tres partes y una protocolar)
Parte protocolar.- en esta parte se expondrá una breve introducción de
nuestro trabajo que nos detallará el objetivo de nuestro trabajo y la
Institución analizada, Se describe una sucinta historia de la institución,
análisis de la misión y visión de la empresa, se muestra el esquema
organizacional del Hospital, y un sencillo análisis FODA que resume en
pocas palabras la situación actual, cabe mencionar que el presente trabajo
tomó una fotografía en el tiempo de la institución para poder tomar los datos,
cualquier cambio que podría hacer el HEP tanto en sus instalaciones como
en sus equipos de computo a partir de la fecha que se recogieron los datos
no será tomada en cuenta en este trabajo y no sentirá influencia a partir de
enero del año 2006
Primera parte.- Primero examinaremos algunos conceptos que nos ilustrarán
mas sobre nuestro trabajo, primero describiremos las funciones de un
administrador de redes informáticas, luego describiremos el concepto de
nuestro trabajo a realizar “Los Firewall” esto comprende unas descripciones
de las diferentes configuraciones típicas y examinado también en diferentes
capas de ejecución en donde el firewall trabaja, también describiremos el
concepto de las siete capas de OSI de la ISO a fin de entender todo el
proceso de comunicación en unos simples y entendibles conceptos de
teoría, ello comprenderá conceptos de Firewall, conceptos de las siete (7)
capas de OSI, ellos explicado en los diferentes estándares de comunicación
como son ISO, NETWARE, TCP/IP, conceptos de ancho de banda,
conceptos sobre perturbaciones en la transmisión, también ilustraremos
sobre los medios de transmisión de la información como router switch, hubs,
modem, conceptos sobre equipos repetidores de datos, tipos clasificación de
las redes y topologías de Redes,
13
Segunda parte.- comenzaremos con una descripción de la institución, los
antecedentes y su estructura organizacional, se detalla el número de
ordenadores que rigen en el hospital, así mismo la distribución de los
computadores en las áreas respectivas, así como las áreas críticas de
servicio asistencial, el tipo de Red utilizado, el tipo de cable y de dispositivos
de conexión. Se toman las primeras decisiones del diseño, con respecto a
las conclusiones que sacaremos después de analizar el diseño actual y
compararlo con alguna posible mejora o reestructuración del mismo.
También evaluaremos la Subred y los sistemas que corren en ella,
analizaremos el área descrita a corto y largo plazo ya que podría acontecer
algún cambio que requiera reestructuración de la Intranet, evaluaremos la
seguridad, su conexión a Internet, la plataforma de ejecución de los
programas asistenciales, las plataformas de las Bases de Datos, se
describirá los sistemas de comunicación remota con diferentes entidades
estatales como, el SIAF-Ministerio de ECONOMÍA.
Tercera parte.- en esta parte se describirá el sistema operativo para nuestro
fin, se explicará las características de nuestro kernel, las mejoras y las
restricciones que posee, desarrollaremos la política y consideraciones del
diseño de nuestro firewall, continuaremos con la instalación del sistema
operativo, evaluaremos las consideraciones post-instalación que trata de
acomodar nuestra instalación a un estable y seguro sistema operativo, y en
seguida implementamos el script, también ejecutamos una configuración
post-instalación para dar la finalización a este script, mediante el programa
“PACKET TRACER v4.1” de Cisco System simularemos la nueva
configuración de nuestra subred, también mostramos las ventanas de
instalación de nuestro firewall en el sistema operativo.
Al final desarrollaremos un plan de mantenimiento preventivo y correctivo a
los equipos de cómputo del H.E.P. implementado netamente al hardware y al
mantenimiento de los sistemas operativos instalados.
14
EL HOSPITAL DE EMERGENCIAS PEDIATRICAS
El Hospital de Emergencias Pediátricas fue creado el 12 de Julio de 1985
por RM N°: 183-85-SA/DVM con la denominación de Centro de
Emergencias, encontrándose ubicado en la octava cuadra de la Avenida
Grau del distrito de la Victoria, en el local de la antigua Asistencia Pública de
Lima.
En el año 1987 fue anexado al Hospital de Emergencias Casimiro Ulloa y
tres años después al Instituto de salud del Niño. El 03 de agosto de 1991 se
anula esta integración a solicitud de sus trabajadores considerándosele
Hospital de Apoyo especializado en Salud Infantil. A partir de dicho periodo
se inicio la repotenciación de las diferentes áreas y servicios de nuestra
institución favoreciendo una mejor atención a los usuarios, es así que se
acondicionó e implementó la Sala de Operaciones y la Unidad de Terapia
Intensiva pediátrica con la respectiva dotación de unidades móviles
(ambulancias).
En marzo de 1995 por RM N°: 206-95 SA/DM el Hospital recibe la
denominación de HOSPITAL DE EMERGENCIAS PEDIATRICAS, brindando
atención especializada a la población infantil en las especialidades de
Medicina, Cirugía, Traumatología, Neurocirugía, Anestesiología y Terapia
Intensiva, contando a la fecha con cinco (5) consultorios para la atención de
urgencias y con 45 camas para la atención en Hospitalización, (10
corresponden a la unidad de Terapia Intensiva y Unidad de Cuidados
Intermedios)
15
LA MISIÓN Y VISION DEL HOSPITAL DE EMERGENCIAS PEDIATRICAS
Los ejecutivos de la institución dieron y precisaron la definición de la misión
de su institución, tomando como base las definiciones anotadas en
cuestionario, como resultado de dicha tarea, se estableció una serie de
enunciados en los cuales las palabras claves giraban en torno a los
siguientes conceptos y criterios: 1.- Niño, familia y comunidad.
Razón de ser de nuestro servicio.
2.- Servicios.
Brindar con excelencia el servicio a nuestro público objetivo.
3.- Desarrollo Integral
Condición indispensable para el individuo en una sociedad.
4.- Tecnología
Que posibilite cumplir y satisfacer las necesidades de nuestro público
objetivo actual y potencial
5.- Valores
Actitud orientada al éxito, amor, tolerancia, solidaridad y humildad
6.- Autoconcepto de ventajas competitivas.
H.E.P. reúne a los mejores profesionales, tiene objetivos claros, la
estructura organizacional estimula la creatividad y comunicación
Disciplina y decisión.
7.- Aspiraciones
Todas sus acciones y servicios deben ser reconocidas como una
expresión de calidad, ser la mejor Institución, Llegar a todos los
elementos Integrantes de la comunidad.
8.- Calida de vida.
Como una constante a ser alcanzada en cada producto final.
9.- Riesgo social.
Situación en la que se encuentran muchos niños, familias y gran parte
de la comunidad.
10.- Imagen pública deseada.
H.E.P. es un servicio social digno de ser copiado por otras instituciones.
16
ESQUEMA ORGANIZACIÓNAL DEL HOSPITAL DE EMERGENCIAS PEDIATRICAS
La institución cuenta con un modelo organizacional propio de las organizaciones del Estado, este no cuenta con un modelo
moderno donde la gerencia informática es la máxima autoridad, modelo representado en el siguiente esquema
DIAGRAMA ACTUAL
Dirección
Personal Logística Economía Presupuesto Cuerpo Medico
UTIP UTAB
Admisión Cajas
Estadística & Informática
Farmacia
Secretaria
Sub-Almacén
17
ANÁLISIS FODA HOSPITAL EMERGENCIAS PEDIATRICAS
FORTALEZA
Especialización en Emergencias y Urgencias Pediátricas (Traumatología,
Cirugía, Pediatría, Neurocirugía, Laboratorio, Rayos X, Farmacia, Unidad
de Terapia Intensiva Pediátrica).
Accesibilidad al HEP.
Atención las 24 horas las 365 días del año
Equipamiento de instrumentos.
Recursos Humanos especializados.
Permanencia de médicos en el HEP.
todas las áreas están conectadas mediante un sistema cliente de red con
Red Novell Netware.
OPORTUNIDAD
Organizar el sistema de ambulancias.
Sistema nacional de urgencias.
Convenios o firma de alianzas estratégicas con instituciones sin
especialidad pediátricas.
Demanda de aplicaciones en especialidades asistenciales
Transición epidemiológica.
Aparición de nuevos sistemas de seguros.
Proyectos de inversión en salud.
Nuevas políticas del sector salud.
DEBILIDAD
Infraestructura (tanto externa como interna, almacenes).
Alta rotación del personal asistencial.
Carencia de documentos de gestión actualizadas.
Carencia de guías terapéuticas.
Resistencia al cambio de procedimientos.
18
Carencia de estructuras de costos.
Registros inadecuados y Sub Registros de diagnostico.
Red informática no adecuada al crecimiento y desarrollo laboral.
No cuenta con una pagina Web, pero cuentan con los recursos
necesarios para poder publicar una Web.
No cuenta con un plan publicitario, para así hacer conocer el servicio
que se ofrece.
Falta mejorar la infraestructura del local, tener módulos adecuados.
AMENAZAS
Zona de riesgo delictivo y altamente contaminado
Desconocimiento del significado de lo que es Urgencias y emergencias,
por la comunidad.
Cambio de la Política
Medidas de austeridad y presupuesto reducido.
ANÁLISIS FODA, Conceptos extraidos de documentación del H.E.P.
19
CONCEPTOS BÁSICOS SUBYACENTES A LA PREPARACIÓN DEL
SISTEMA DE SEGURIDAD
Con el fin de poder ofrecer un entorno de trabajo entendible, describiremos
aquí algunos conceptos que se tendrá en cuenta en todo el desarrollo del
trabajo.
Llamaremos:
LAN (local Area Network) a una Red privada dentro de un solo edificio o
campus hasta de unos cuantos kilómetros de extensión.
WAN (Wide Area Network) a la Red total del planeta, el Internet.
SUBRED a la colección de enrutadores Switch’s y líneas de
comunicación que mueve paquetes de un Host a otro Host.
NODOS a los puntos de convergencia de las Subredes.
INTERREDES a Redes de diferentes tipos de hardware y software, que
siendo necesario para su comunicación un ensamblador y
desensamblador de paquetes a que llamaremos PAD (Packets Assemble
Disassemble).
Modelo OSI (Open System Interconnection) al modelo de referencia de la
ISO, modelo de siete capas que se detallará mas adelante.
Modelo de referencia TCP/IP al modelo de 4 capas de la WAN.
Topología ETHERNET a la topología de transmisión de datos que rige el
estándar de la IEEE 802.3
HOST a los computadores que están en la ventana del Internet, un Host
posee una dirección IP pública.
H.E.P. a las siglas de Hospital de Emergencias Pediátricas.
PROXY, viene a ser un servicio de control de trafico de redes
NAT a (Netware Address Translater) una configuración que crea
conexiones entre puentes de redes
CPD a centro de procesamiento de datos
20
OBJETIVO
El objetivo enfocado en este trabajo de investigación tiene la visión de
propiciar el uso de estos Sistemas Operativos de Licencia GNU (software
libre) apelando no solo a su casi ningún costo económico sino también a su
robusta plataforma, arquitectura y diseño en que fueron edificados.
Internet es una de las entidades con una total denominación en el mundo de
la computación de estos tiempos donde millones de computadores (Host)
están enlazadas a disposición de conexión entre ellos, conllevando riesgo de
robo o maltrato de cualquier otra índole de nuestra información, es por eso
que este trabajo se centra en la edificación de un Sistema de Seguridad en
la Intranet de la institución, una caída de los sistemas comprometería
seriamente le servicio Asistencial, datos y cargaría deficiencias en la
Intranet, Así mismo se tomará en cuenta y se pondrá en conocimiento en
este trabajo las limitaciones encontradas en la edificación del sistema de
seguridad en el transcurso del diseño.
El motivo de este documento no es edificar un sistema 100% seguro sino
otorgar una buena seguridad a la institución así como utilizar sus recursos
de Internet de una forma eficiente, maximizando el rendimiento de los
sistemas y aplicaciones.
Se examina este trabajo bajo un concepto de MODELO DE REFERENCIA
HÍBRIDO que resulta del análisis de examinar los estándares más comunes
existentes y en donde hace trabajo explicito nuestro sistema de seguridad.
Este sistema constará de cuatro capas:
1. Capa ENLACE 2. Capa RED
3. Capa TRANSPORTE 4. Capa APLICACION
Nuestro diseño del Sistema de Seguridad estará examinado en estas cuatro
últimas capas descritas y principalmente las capas de RED y TRANSPORTE
21
PRIMERA PARTE MARCO TEÓRICO
22
CAPÍTULO I 1.1 - Que es una red informatica?
Una Red Informática es un conjunto de computadores interconectadas con
arreglo lógico, sin importar la distancia, por medios de cables apropiados de
cobre, fibras de vidrio, ondas de radio, modulaciones digitales,
comunicaciones satelitales, etc., que comparten información
electrónicamente (en ello comprende impresoras, recursos compartidos,
bases de datos, documentación etc.)
1.2 - Administración de una red?
El administrador de Red es la persona responsable de supervisar y controlar
el hardware, software y la interconexión entre los Sistemas Operativos y sus
aplicaciones de una Red informática, nuestro fin no es desplayarnos en los
conceptos de la administración simplemente resumir sus generalidades, aquí
mencionamos:
EL Administrador se encarga de la comunicación entre los
Sistemas Operativos y aplicaciones, la administración y conservación
de la información.
El Administrador trabaja en la detección y corrección de problemas
que hacen ineficiente o imposible la comunicación y en la eliminación
de las condiciones que pudieran llegar a provocar el problema
nuevamente, ya que tanto las fallas de hardware como de software
pueden generar problemas, el administrador de Red debe supervisar
ambos.
El Administración de una Red informática debe ver los errores de
comunicación que puede suscitarse entre diferentes topologías de
Redes informáticas (Redes heterogéneas), es decir, la Red consta de
componentes de hardware y software fabricado por varias compañías.
Auditar la Seguridad de la Red mediante aplicaciones, utilidades y
procesos especializados tanto dentro y fuera de la Intranet.
23
EL Administrador de una Red Informática debe poseer una cultura
ética alta y profesionalismo al confiarle cualquier tipo de información.
Controlar cambios y actualizaciones en la red de modo que
ocasionen las menos interrupciones posibles, en el servicio a los
usuarios.
El Administrador de encarga de diseñar los planes de trabajo del
mantenimiento de los sistemas, bases de datos, mantenimiento de
equipos informáticos, manejo del personal a su cargo
1.3 – Firewall
1.3.1 - que es un firewall?
se puede definir como firewall a una serie de sistemas e instrucciones
que opera entre dos redes y su función es analizar el flujo de
información entre ambas y ejecutar acciones según las conveniencias y
acuerdos
1.3.2 – Por que utilizar un firewall?
la ventaja del internet ha hecho que la comunicación y la información
sea más versátil de manejar y a la vez peligrosa, el firewall permite
darle parte de seguridad a los datos de alguna institución que desee ser
reservada y evitarse de intrusos que la pongan en riesgo, un firewall no
lo es todo, solo soluciona parte de la seguridad de una red.
1.3.3 - Tipos de firewall
Dependiendo de las necesidades de la Red puede ponerse uno o más
Firewall para establecer distintos perímetros de seguridad, también
resulta frecuente algún servidor al Internet como un servidor Web, o de
Correos, es el caso que se debe aceptar cualquier conexión a ellos.
Existen dos tipos de Firewall a nivel de capas y tres clases de diseños
físicos de Firewall a nivel de las capas mas bajas.
24
1.3.3.1 - Firewall a nivel de capas
1.3.3.1.1 - Firewall de filtrado de paquetes, que actúan en el
nivel o capa de Red y en la capa de transporte. Es decir, en
el caso concreto de la pila TCP/IP, permite filtrar por dirección
IP, y también por puertos TCP o UDP, el uso de estos
cortafuegos es totalmente transparente a las aplicaciones
(por ejemplo, para un navegador Web), como ejemplo de
ellos podemos citar routers con características de filtrado de
paquetes, o el modelo de filtrado IPTables de los núcleos del
sistema operativo Linux superiores a la v2.2 (aunque ya ha
tomado total protagonismo en la serie de los núcleos v2.6).
1.3.3.1.2 - Firewall de aplicación, también conocidos como
proxys, actúan a un nivel más alto de la pila (a nivel de
sesión, como los proxys socks, o a nivel de aplicación, como
los proxys de filtrado de contenido). A diferencia de los
Firewall de filtrado de paquetes, suelen ser siempre
soluciones de software. La configuración de estos
cortafuegos no es transparente a las aplicaciones (los
clientes necesitan de una configuración especial para poder
hacer uso de estos cortafuegos). Además de actuar como
“guardianes”, controlando el tráfico de Red y dando la cara o
estando al frente ante cualquier peticion por parte de
cualquier cliente tanto externo como interno, seria en este
caso el resolvedor de peticiones y una interface frente al
servidor de la aplicación y el cliente, este tipo de cortafuegos
tienen muchas más aplicaciones: permiten mejorar el tiempo
de respuesta de algunas páginas (pues actúan como caché y
guardan copias de los datos), así como permiten el filtrado de
contenidos y el registro de los lugares visitados por los
distintos clientes Web a los que se da servicio. Como ejemplo
25
de esta familia o variante de cortafuegos, podemos citar
Wingate, Squid, CyberGuard, WathGuard, Sunscreen EFS
Firewall de SUN Microsystem, etc.
1.3.3.2 - Firewall físicos
1.3.3.2.1 - Firewall típico.- consta de un servidor Firewall con
dos tarjetas de Red que separa a dos Redes Lan, una
Interfase Ethernet conectada al router con un único cable y la
otra interfase Ethernet al Switch principal.
26
1.3.3.2.2 - Firewall con zona DMZ.- este esquema de
configuración permite crear otra zona en la cual es una zona
expuesta al Internet y esta separada de la Red, cualquier
ataque que sea dirigido a los servidores mantendrá la Red de
datos protegida, el esquema para este diseño seria el
siguiente.
Otra variante de Firewal con zona DMZ, este tipo de diseño
permite independizar el trafico externo e interno, asi mismo
alijera la carga de toda la transmisión, reglas independientes
pueden ejecutarse tanto en cada servidor Firewall, reglas
pertinentes para cada tipo de Redes, el esquema para este
diseño seria:
27
1.3.3.2.3 - Firewall de filtrado parcial.- este tipo de diseño
permite solo filtrar o proteger parte de la Red dejando zonas
libres para acceso total, esto se aplicaría a los ISP en el que
se coloca el Firewall para proteger determinados servidores o
usuarios y dejar a los usuarios o servidores libres al Internet,
el esquema para este diseño seria:
28
1.4 - Descripción del comando IPTABLES:
Interviene en un conjunto de reglas de filtrado de paquetes que regulan y
controlan el tráfico entre dos redes (o el tráfico individual de un equipo). Este
conjunto de reglas se pueden establecer en un hardware específico o bien
establecerlo en un computador con Linux caso en nuestro Firewall.
Iptables es la utilidad que vamos a utilizar para crear e insertar en el núcleo
las distintas reglas de filtrado que vamos a establecer sobre los paquetes.
IPTABLES - TABLAS
Existen tres tablas independientes (aunque puede que no todas estén
presentes, dependiendo de la configuración del kernel):
FILTER: Es la tabla que se usa por defecto. Se utiliza para especificar
filtros de paquetes. Contiene 3 chains predefinidas:
INPUT: Se consulta para los paquetes cuyo destino es la propia
maquina.
FORWARD: La atraviesan los paquetes enrutados a través de esta
maquina (tanto el origen como el destino son externos).
OUTPUT: Para paquetes generados localmente. Todos los paquetes
que entran o salen de la maquina atraviesan exactamente una chain
predefinida, excepto aquellos cuyo origen y destino sea la propia
maquina, que atraviesan 2: INPUT y OUTPUT.
NAT: Se utiliza para el seguimiento de conexiones; esta tabla se consulta
cada vez que se ve un paquete que inicia una nueva conexión, con el
objetivo de alterar algún parámetro de esa conexión. Tiene tres cadenas
predefinidas:
PREROUTING: Se consulta con los paquetes que entran en la maquina,
tan pronto como llegan, antes de decidir que hacer con ellos.
29
OUTPUT: Se utiliza para alterar paquetes generados localmente, antes
de enrutarlos.
POSTROUTING: Para alterar todos los paquetes que están a punto de
salir de la maquina.
MANGLE: Tabla especial, destinada a alterar determinados parámetros
de los paquetes, como el campo TOS, el TTL, etc.
Anteriormente había solo dos chains: PREROUTING y OUTPUT, pero a
partir del kernel 2.4.18 hay 5:
PREROUTING INPUT
FORWARD OUTPUT
POSTROUTING
Su significado es el mismo que el de las chains con el mismo nombre de
las tablas Filter y Nat.
IPTABLES - TARGETS: Acciones predefinidas
Cuando un paquete no se ajusta a una regla, se continúa examinando la
siguiente hasta que se ajusta con alguna. Si se ajusta, se examina el
“target”, que puede ser una acción predefinida, como:
ACCEPT: El paquete puede seguir su camino normal.
DROP: El paquete se descarta, no se le deja pasar.
REJECT: Rechaza la conexión:”unreachale”
RETURN: Se dejan de examinar reglas en esta chain y se continúa
por la chain que llamo a esta. (Otras QUEQUE, LOG)
Si se llega al fin de una chain predefinida, se ejecuta un target por
defecto, llamado “chain policy”.
30
IPTABLES - LISTADO DE REGLAS Sintaxis:
iptables [-t tabla] [-opciones] [-parámetro] [chain] [criterio] -j [target]
tabla:
-Nat
-Mangle
opciones disponibles:
-v: Información detallada. Muestra toda la información disponible de las
chains y de cada regla.
-n: Salida numérica. No intenta convertir direcciones IP a nombres de
maquinas.
-x: Mostrar el valor exacto de cada numero, en lugar de mostrar múltiplos
de 1000 (K), 1000K (M) ó 1000M (G).
chain:
INPUT
OUTPUT
FORWARD
POSTROUTING
PREROUTING
Borrado de contadores
iptables [-t tabla] [-v] -Z [chain]
Borra los contadores de una determinada chain, o de todas ellas.
iptables [-t tabla] [-v] -F [chain]
Borra todas las reglas de una determinada chain, o de todas ellas.
Creado y borrado de chains iptables [-t tabla] [-v] -N chain
Crea una nueva chain
iptables [-t tabla] [-v] -X [chain]
31
Borra una chain determinada, o todas las definidas por el usuario.
iptables [-t tabla] [-v] -E <old-chain> < new-chain>
Renombra una chain.
iptables [-t tabla] [-v] -P <chain target>
Establece el target de una chain predefinida, esto es, lo que deben hacer
los paquetes que lleguen al final de ella.
“-A” añade una regla al final de la lista.
“-I” inserta una regla al principio de la lista, o en el punto especificado.
“-R” reemplaza una regla (especificada por su numero en la lista) por
otra.
“-D” borra una regla determinada, especificada por su numero
de orden o por su especificación
“-L”: Muestra un listado de todas las reglas de una chain, o de todas
ellas.
Especificación de reglas Con las opciones “-A”, “-I”, “-R” y “-D” de iptables hay que especificar
una regla; se puede hacer con las siguientes opciones:
“-p [!] protocolo”: El protocolo del paquete a comprobar.
Puede ser “tcp”, “udp”, “icmp”, “all”, o un valor numérico.
“-[s d] [!] dirección[/mascara]”: Dirección IP origen (s)o destino (d)
del paquete. Si se utiliza una mascara, la dirección coincide si es una
de las que esten en esa red.
“-[io] [!] iface”: Nombre del interfaz de entrada (i) o de salida (o)
“[!] -f”: El paquete es un fragmento distinto del primero.
“-m extension”: Activa una extensión para poder especificar mas
parámetros del paquete.
“-j target”: Se utiliza para especificar el target de dicha regla, esto es,
lo que se debe hacer cuando un paquete coincida con lo indicado en
ella.
32
ACCEPT aceptará el paquete. REJECT o DROP lo desecharán, la
diferencia entre ellos reside en que DROP descartará el paquete
silenciosamente y REJECT emitirá un paquete ICMP Port Unreachable,
indicando que está cerrado. REDIRECT redirigirá el paquete a donde se
indique en el criterio del comando y por último LOG lo logeará para su
posterior análisis.
Extensiones de las reglas
Tal como se han descrito, los paquetes describen los parámetros más
básicos de la cabecera IP de cada paquete.
Pero puede ser necesario tener un control mas estricto; por ejemplo,
especificar los números de puerto en protocolos TCP o UDP.
“udp”: Añade las opciones:
“--sport [!] port [:port]”: Especifican puerto (o rango de puertos)
origen.
“--dport [!] port [:port]”: Especifican puerto (o rango de puertos)
origen.
“tcp”: Añade las opciones:
“--sport [!] port ”: Especifican puerto
“--dport [!] port ”: Especifican puerto
“--tcp-option [!] numero”: Especifica una determinada opción TCP.
“icmp”: Añade la opción
“--icmp-type tipo”, que especifica que tipo ICMP debe tener el
paquete. echo-reply destination unreachable, echo-request, time-
exceeded
“tos”: Añade la opción “
--tos valor”, que especifica que valor debe tener el campo TOS de la
cabecera IP.
33
“ttl”: Añade las opciones:
“--ttl-eq valor”: El campo TTL ha de ser exactamente el especificado.
“--ttl-gt valor”: El campo TTL ha de ser mayor que el specificado.
“--ttl-lt valor”: El campo TTL ha de ser menor que el especificado.
“state”: Añade la opción “
--state valor”, que indica el estado en el que debe estar la conexión
correspondiente a dicho paquete. Los tipos de estado son:
-INVALID: El paquete no se ha identificado por alguna razón,
dirección desconocida
-NEW: El paquete corresponde a una conexión nueva.(en una
dirección)
-ESTABLISHED: El paquete esta asociado a una conexión
establecida.(ambas direcciones)
-RELATED: El paquete corresponde una conexión nueva, pero
relacionada con una que ya esta establecida (como un canal de
datos de FTP, o un error de ICMP).
Extensiones de target Aparte de las target predefinidas, hay otras que se pueden usar como
extensión. Por ejemplo, las siguientes extensiones solo son validas en la
tabla NAT:
“MASQUERADE”: Solo es valida en la chain POSTROUTING.-Indica que
la dirección origen del paquete (y de todos los futuros de esta misma
conexión) ha de ser cambiada por la dirección IP local de esta maquina.
Muy usado en conexiones con IP dinámica, es lo que normalmente se
entiende como simplemente “NAT”.
“SNAT”: Solo es valida en la chain POSTROUTING.- Indica que la
dirección y puerto origen de este paquete (y de todos los futuros de esta
misma conexión) sea modificado según reespecifica con la opción “--to-source”.
34
“DNAT”: Solo es valida en las chains PREROUTING y OUTPUT.-
Cambian la dirección IP destino de un paquete (y de todos los futuros de
esta misma conexión) por el especificado con la opción “-to destination”.
Interpretaciones:
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
Acepta todo paquete que forme parte de una conexión realizada
Iptables -A INPUT -m state -m tcp -p tcp --dport 32:761 --state RELATED -j ACCEPT
Para conexiones pasivas
Iptables -A INPUT -p tcp -i eth0 --dport 80 -j DROP
Cerrar conexiones entrantes desde eth0 y hacia el puerto (local) 80 (HTTP)
iptables -t NAT PREROUTING -i eth0 -p tcp -s <172.20.0.1/24> j SNAT -to
<192.168.1.1>
Los paquetes entrantes del host 172.20.0.1/24 se natearán con 192.168.1.1
35
Tabla nat
Esta tabla debe ser usada sólo para hacer NAT (Network Address
Translation) a los diferentes paquetes. En otras palabras, debe ser
empleada solamente para traducir el campo origen del paquete o el
campo destino. Ten en cuenta que tal como hemos dicho antes, sólo el
primer paquete de un flujo alcanzará esta cadena. Después, al resto de
paquetes del mismo flujo de datos se les aplicará la misma acción que al
primero. Los objetivos que hacen este tipo de cosas son:
DNAT
SNAT
MASQUERADE
El objetivo DNAT (Destination Network Address Translation) se emplea
principalmente en los casos donde se tiene una IP pública y se quiere
redirigir los accesos al firewall hacia algún otro host (en una "zona
desmilitarizada", DMZ, por ejemplo). Dicho de otro modo, cambiamos la
dirección de destino del paquete y lo re-enrutamos a otro host.
SNAT (Source Network Address Translation) es principalmente usada
para cambiar la dirección de origen de los paquetes. La mayoría de las
veces querrás esconder tus redes locales, DMZ, etc. Un ejemplo muy
bueno podría ser cuando queremos sustituir las direcciones IP de la red
local que está tras el cortafuego, por la dirección IP del propio cortafuego,
que posee una IP pública hacia fuera. Con este objetivo el firewall
automáticamente hará SNAT y de-SNAT sobre los paquetes, lo cual
hace posible que las conexiones provenientes de la LAN salgan a
Internet. Por ejemplo, si tu red usa 192.168.0.0/máscara_de_red, los
paquetes nunca regresarán de Internet, porque IANA ha designado dicho
rango de direcciones (entre otras) como privadas y sólo para ser usadas
en redes locales aisladas.
El objetivo MASQUERADE se usa exactamente para lo mismo que
SNAT, pero MASQUERADE requiere un poquito más de trabajo del
36
procesador. La razón es que cada vez que llega un paquete al objetivo
MASQUERADE, automáticamente chequea qué dirección IP debe
asignarle, en lugar de hacer como SNAT, que simplemente utiliza la
dirección IP configurada. MASQUERADE hace posible trabajar con las
direcciones IP Dinámicas por DHCP que tu ISP pueda proporcionarte a
través de conexiones a Internet vía PPP, PPPoE o SLIP.
37
CAPÍTULO II EN ESTE CAPÍTULO SE EXPLICARÁ EL MODELO DE LAS SIETE CAPAS
UNA POR UNA A FIN DE ENTENDER TODO EL PROCESO DE
COMUNICACIÓN, DESDE LA SEÑAL ELÉCTRICA HASTA LA EJECUCIÓN
DE LAS APLICACIONES
2.1 - LA CAPA FÍSICA
La capa física tiene que ver con la transmisión de bits por bits por el canal de
comunicación, tiene que ver con la autenticidad de los paquetes
transmitidos, si en un extremo se transmite un bit en el otro extremo debe
recibirse un bit también, sea su valor cero (0) ó un uno (I) o con cualquier
tipo de codificación, y las características que encierran un bit como valor de
duración en segundos, nivel de voltaje, cantidad de corriente transmitida
(potencia), así también material o medio de transporte, estándares para
corrección de errores y eliminación de ruido eléctrico y reglas de manipuleo.
Nuestro Firewall no es aplicable a esta capa, esta capa solo se encarga de
procesar una corriente de niveles de voltaje, sus modulaciones y
codificaciones, no es posible diferenciar datos aquí, cualquier Firewall libre o
propietario no esta apto ni es de importancia implicarse aquí.
2.1.1 - CONCEPTO MATEMÁTICO
Tal vez nuestra percepción de las cosas no nos ayude a entender bien
los principios físicos que nos rige, es por ello que se tiene que recurrir a
algoritmos para poder manipularlos sin que sufran alteraciones en su
concepto físico natural, por ello un dispositivo electrónico o eléctrico no
ve a la corriente eléctrica como nosotros la vemos, un pulso eléctrico de
valor constante en un intervalo de periodo que seria así para nuestro
concepto:
Un dispositivo eléctrico lo ve como una sucesión de senos y cosenos
de periodos constantes, según el matemático francés Jean-Baptiste
Fourier
38
)01()....2cos(.)....2(.).2/1()(11
cftfnbtfnsenactGnn
nn
donde f= 1/t es la frecuencia fundamental y an y bn son amplitudes de
seno y coseno del n-ésimo (término) armónico tal descomposición se
llama serie de Fourier, la función se puede reconstruir a partir de una
serie de Fourier, eso es si se conoce el periodo T y se dan las
amplitudes se puede encontrar la función original del tiempo efectuando
las sumas de la ecuación (cf-01)
Una señal de datos que tenga una duración finita se puede manejar con
solo imaginar que el patrón completo se repite una y otra vez
eternamente (en intervalos de T a 2T que es el mismo de 0 a T)
Las amplitudes an se pueden calcular para cualquier g(t), multiplicando
ambos lados de la ecuación (cf-01) por sen(2nft) e integrando de 0 a
T. Puesto que:
T nkparankparaTdtnftsenkftsen
0
!__0__2/)2().2(
Únicamente sobrevive un término de la sumatoria: an. La sumatoria de
bn se desvanece por completo. De manera similar al multiplicar la
ecuación (cf-01) por cos(2kft) e integrar entre 0 y T podemos deducir
bn. Con solo integrar ambos miembros de la ecuación como esta, se
puede encontrar c, los resultados de estas operaciones son las
siguientes:
TTT
dttgT
cdtfttgT
bdtftsentgT
a nnn000
).(2)2cos().(2)2().(2
39
2.2 - CAPA DE ENLACE DE DATOS
La tarea principal de esta capa es la de tomar toda una banda base en bruto
y trasformarla en un alinea que parezca libre de errores de trasmisión no
detectados a la capa de Red. Esta tarea la cumple al hacer que el emisor
divida los datos de entrada en marcos de datos y que transmita los marcos
en una forma secuencial y procese los marcos de acuse de recibo que
devuelve el receptor, esto se realiza porque en la capa física solo se
transmite una corriente de bits sin preocuparse por el significado o su
estructura, corresponde a la capa de enlace de datos crear y reconocer los
limites de los marcos, esto se puede lograr añadiendo bits especiales al final
y al principio del marco.
Algún tipo de ruido puede dañar el marco recibido o transmitido, en estas
condiciones la capa de enlace puede retransmitir el marco, estos tipos de
inconvenientes no solo acarrea retraso en la transmisión sino posibles
duplicados de marcos enviados, la capa de enlace de datos posee el
software necesario para tratar de resolver estos inconvenientes
El software de la capa de enlace de datos también posee rutinas para tratar
de equilibrar la velocidad de transmisión, esto introduce un buffer que es
regulado así como el manejo de errores.
La capa de enlace de datos esta diseñada para ofrecer varios servicios y
estos varían en sistema en sistema, estos servicios son tres:
2.2.1 - Servicio sin acuse sin conexión.- consiste en que la maquina de
origen envié marcos independientes a la maquina de destino sin pedir
que esta los reconozca o acuse su recibo, no se establece una
conexión primero ni se libera después de la comunicación, tampoco
intenta recuperación de un marco perdido por ruido.
2.2.2 - Servicio con acuse sin conexión.- consiste en que la maquina de
origen acepta una comunicación aunque no se usa conexión pero cada
marco enviado es reconocido individualmente, de esta manera el
40
transmisor sabe si el marco ha llegado bien, si no ha llegado a tiempo
puede retransmitirse.
2.2.3 - Servicio orientado a la conexión.- es el servicio mas elaborado a
la capa de Red, con este servicio los computadores establecen una
conexión antes de transferir datos, cada marco esta enumerado y la
capa de enlace garantiza que cada marco llegara a su destino
correctamente y sean recibido en el orden adecuado.
Las Redes de difusión tienen una consideración adicional en la capa de
enlace de datos de cómo controlar el acceso al canal compartido una
subcapa especial de la capa de enlace de datos se encarga de este
problema (la subcapa de acceso al medio)
2.2.4 - SUBCAPA DE ACCESO AL MEDIO (MAC) Existen dos
categorías en la forma de comunicación en Redes digitales, una es
conexiones punto a punto y las que usan canales de difusión.
En cualquier Red de difusión el asunto es la manera de determinar
quien puede usar el canal cuando hay competencia por él, en la
determinación de quien tiene el turno se procede a utilizar protocolos
para resolver el problema.
La subcapa MAC tiene especial importancia en las LAN casi todas usan
un canal multiacceso como base a su comunicación, las WAN en
cambio usan enlace punto a punto excepto en las Redes satelitales
Estos son los protocolos que tratan de resolver el problema del acceso
al medio:
2.2.4.1 - ALOHA.- un método creado por Norman Abramson y sus
colegas en la universidad de Hawai, usaron la radio transmisión
basada en tierra, idea aplicable a cualquier sistema en el que
usuarios no coordinados compiten por el uso de un solo canal
compartido.
Existen dos versiones de ALOHA, la analizaremos a continuación:
41
2.2.4.1.1 - ALOHA PURO.- La idea básica de un sistema
ALOHA es sencilla, permite que los usuarios transmitan
cuando tengan datos por enviar. Por supuesto habrá
colisiones y las macros se destruirán sin embargo debido a la
propiedad de retroalimentación de la difusión, un trasmisor
siempre puede saber si el marco fue destruido o no
escuchando el canal de la misma manera que los demás
usuarios, en el ALOHA puro los marcos se transmiten en
momentos completamente arbitrarios.
2.2.4.1.2 - ALOHA RANURADO.- Diseñado por Robert (1972)
su propuesta fue de dividir el tiempo en intervalos discretos
correspondiente cada uno a un marco, este enfoque requiere
que los usuarios acuerden límites de ranura. Una manera de
lograr la sincronización seria tener una estación especial que
emitiera una señal al comienzo de cada intervalo, como un
reloj.
2.2.4.2 - PROTOCOLO DE ACCESO MULTIPLE CON
DETECCION DE PORTADORA
En esta sección analizaremos algunos protocolos para mejorar el
desempeño.
Los protocolos en los que las estaciones detectan una portadora
(es decir una transmisión) y actúan de acuerdo con ello se llaman
protocolos de detección de portadora, se detallará los más
importantes:
2.2.4.2.1 - CSMA Persistente.- Cuando una estación tiene
datos por transmitir, primero escucha el canal para ver si otra
esta transmitiendo en ese momento, si el canal esta ocupado
la estación esperara hasta que se desocupe, cuando este se
desocupe se transmite un marco, si ocurriese una colisión el
42
canal espera un tiempo aleatorio para repetir la transmisión,
el protocolo se llama persistente porque la estación con una
probabilidad de uno cuando encuentra el canal en reposo.
2.2.4.2.2 - CSMA No Persistente.- En este protocolo se hace
un intento consciente por ser menos egoísta que su
compañero CSMA Persistente, antes de enviar una estación
detecta el canal, si nadie mas esta trasmitiendo la estación
comienza a hacerlo. Sin embargo, si el canal ya esta en uso
la estación no observa continuamente el canal a fin de
tomarlo de inmediato al detectar el final de la transmisión
previa, en cambio espera un periodo de tiempo aleatorio y
repite el algoritmo.
2.2.4.2.3 - CSMA Persistente-p.- Cuando una estación esta
lista para enviar, escucha el canal, si el canal esta en reposo
la estación transmite con una probabilidad p, con una
probabilidad q=1-p se espera hasta la siguiente ranura, si
esta ranura también esta en reposo la estación transmite o
espera nuevamente con probabilidades p y q,. este proceso
se repite hasta que el marco ha sido transmitido o hasta que
otra estación comience a transmitir
2.2.4.2.4 - CSMA/CD (Carrier-Sense Multiple Access with
Collision Detection.).-En este protocolo con diferencia a sus
primos anteriores cuando dos computadores encuentran una
colisión abortan sus transmisiones, la terminación pronta de
marcos dañados ahorra tiempo y ancho de banda este
protocolo es utilizado ampliamente en las LAN de la subcapa
MAC. ALOHA, Conceptos extraidos de REDES DE COMPUTADORAS 3ra ed.
AUTOR: Andrew S. Tanenbaum.
43
Existen muchos protocolos más como son los protocolos libres de colisiones,
protocolos de contención limitada, protocolo de recorrido de árbol adaptable,
protocolos de acceso múltiple de longitud de onda, protocolos de LAN
inalámbricas, protocolos de acceso múltiple con prevención de colisión
(MACA), protocolo de acceso múltiple por división de colisiones etc. Que no
son prioridad de estudio y análisis en este trabajo.
Esta capa esta fuertemente vinculada con la capa de Red, cada marco de la
capa de enlace es controlado y modificado según rutinas de comunicación el
cual los protocolos que ambos soportan como TCP, UDP, PPP, ICMP,
SNMP, etc. Nuestro Firewall se centrará en la examinación de los marcos
entrantes y los paquetes salientes
2.3 - LA CAPA DE RED
La capa de Red se ocupa de controlar el funcionamiento de la Subred. Una
consideración de diseño es determinar como se encaminan los paquetes de
la fuente a su destino. Las rutas se puedes basar en tablas estáticas que se
“alambran” en la Red y rara vez cambian. También se pueden determinar al
inicio de cada conversación o ser altamente dinámicas determinándose de
nuevo con cada paquete para reflejar la carga actual de la Red.
La capa de Red para lograr su cometido, la capa de Red debe conocer la
topología de la Subred de comunicación es decir el grupo de enrutadores y
escoger las trayectorias adecuadas a través de ella también debe tener
cuidado de escoger las rutas de modo de evitar la carga extra de algunas de
las líneas de comunicación y de los enrutadores mientras deja a otros sin
trabajo. Si en la Subred se encuentran presentes demasiados paquetes a la
vez, se estorbarán mutuamente, formando cuellos de botella. El control de
tal congestión pertenece también a la capa de Red.
En vista de que los operadores de la Subred podrían esperar remuneración
por su labor, con frecuencia hay una función de contabilidad integrada a la
capa de Red. Cuando menos, el software debe contar cuantos paquetes,
caracteres o bits que envía cada cliente para producir información de
44
facturación. Cuando un paquete cruza una frontera nacional con tarifas
diferentes de cada lado, la contabilidad se puede complicar.
Cuando un paquete viaja de una Red a otra para alcanzar su destino,
pueden surgir muchos inconvenientes. El tipo de direcciones que usa la
segunda Red puede ser diferente con respecto a la primera, puede ser que
la segunda no acepte en absoluto el paquete por ser demasiado grande, los
protocolos pueden diferir entre otras cosas, la capa de Red debe resolver
todos estos problemas para lograr que se interconecten Redes
heterogéneas.
En nuestro modelo TCP/IP esta capa esta definida como la capa de
INTERRED, la capa de INTERRED define un formato de paquete y protocolo
oficial llamado IP (protocolo de Internet) el trabajo de esta capa es entregar
paquetes IP a donde se supone que deben ir. Aquí la consideración más
importante es claramente el ruteo de los paquetes y también evitar la
congestión. Por lo anterior es razonable decir que la capa de Interred es muy
parecida a la capa de Red OSI.
2.4 - LA CAPA DE TRANSPORTE
La función básica de la capa de transporte es aceptar datos de la capa de
sesión, dividirlos en unidades mas pequeñas si es necesario, pasarlos a la
capa de Red y asegurar que todos los pedazos lleguen correctamente al otro
extremo, además todo esto de debe hacer de manera eficiente y en forma
que aísle a la capas superiores de los cambios inevitables en la tecnología
del hardware
En condiciones normales, la capa de transporte crea una conexión de Red
distinta para cada conexión de transporte que requiera la capa de sesión.
Sin embargo, si la conexión de transporte requiere un volumen de
transmisión alto, la capa de transporte podría crear múltiples conexiones de
Red, dividiendo los datos entre las conexiones para aumentar el volumen.
Por otro lado si es costoso crear o mantener una conexión de Red, la capa
de transporte puede multiplexar varias conexiones de transporte en la misma
conexión de Red para Reducir el costo. En todos los casos, a capa de
45
transporte debe lograr que la multiplexación sea transparente para la capa
de sesión. La capa de transporte determina también que tipos de servicios
proporciona a la capa de sesión y finalmente a los usuarios de la Red. El tipo
mas popular de conexión de transporte es un canal de punto a punto libre de
errores que entregan mensajes o Bytes en el orden en que se enviaron. Sin
embargo, otras posibles clases de servicios de transporte son el transporte
de mensajes aislados sin garantía respecto al orden de entrega y la difusión
de mensajes a múltiples destinos. El tipo de servicio se determina al
establecer la sesión.
La capa de transporte es una verdadera capa de extremo, del origen al
destino. En otras palabras, un programa en el computador fuente sostiene
una conversación con un programa similar en el computador de destino,
haciendo uso de los encabezados de mensajes y de los mensajes de
control. En las capas bajas los protocolos se usan entre cada computador y
sus vecinas inmediatas, y no entre los computadores de origen y destino,
que pueden estar separadas por muchos enrutadores.
Además de multiplexar varias corrientes de mensajes por un canal, la capa
de transporte debe cuidar de establecer y liberar conexiones a través de la
Red. Esto requiere alguna clase de mecanismo de asignación de nombres,
de modo que un proceso en una computador pueda describir con quien
quiere conversar, También debe haber un mecanismo para regular el flujo de
información, a fin de que un nodo rápido no pueda saturar a uno lento. Tal
mecanismo se llama controla de flujo, el control de flujo entre dos nodos es
distinto del control de flujo entre enrutadores.
Esta capa también pertenece al modelo de referencia TCP/IP como
representante el protocolo de transporte TCP (Transmisión Control Protocol)
confiable y orientado a la conexión que permite que una corriente de bytes
originada en un computador de entregue sin errores en cualquier otro
computador. Este protocolo fragmenta la corriente entrante de bytes en
mensajes discretos y pasa cada uno a la capa de Interred el receptos
ensambla los paquetes así mismo regula la transmisión para no saturar
cualquier receptor lento.
46
El segundo protocolo de esta capa es el UDP (user datagrama protocol),
protocolo orientado sin conexión no confiable para aplicaciones que no
necesitan la asignación de secuencia ni el control de flujo. Este protocolo se
usa también para consultas de petición y respuesta de una sola ocasión y en
transmisiones donde la entrega pronta es mas importante que la entrega
precisa como las transmisiones de vos y video.
Aquí también se centrara nuestro Firewall
2.5 - LA CAPA DE SESIÓN
La capa de sesión permite a los usuarios de computadores diferentes
establecer sesiones entre ellos. Una sesión permite el transporte ordinario
de datos, como lo hace la capa de transporte, pero también proporciona
servicios mejorados que son útiles en algunas aplicaciones.
Se podría usar una sesión para que el usuario se conecte a un sistema
remoto de tiempo compartido o para transferir un archivo entre dos
computadores. Uno de los servicios de la capa de sesión es de manejar el
control del dialogo, las sesiones pueden permitir que el trafico valla en
ambas direcciones al mismo tiempo, o solo en una dirección a la vez. Si el
tráfico puede ir únicamente en un sentido a la vez la capa de sesión pude
ayuda a llevar el control de los turnos.
Un servicio de sesión relacionado es el manejo de fichas, para algunos
protocolos es esencial que ambos lados no intenten la misma operación al
mismo tiempo. A fin de controlar estas actividades, la capa de sesión
proporciona fichas que se pueden intercambiar. Solamente estas actividades
la capa de sesión proporciona fichas que se pueden intercambiar. Solamente
el lado que posea la ficha podrá efectuar la operación crítica.
Otro servicio de sesión es la sincronización que considere los problemas que
pueden ocurrir cuando se trata de efectuar una transferencia de archivos de
2 horas de duración entre dos computadores que tiene un, tiempo medio
entre ruptura de una hora, cada transferencia, después de abortar, tendría
que empezar de nuevo desde el principio y probablemente fallaría también la
siguiente vez. Para eliminar este problema, la capa de sesión ofrece una
47
forma de insertar puntos de verificación en las corrientes de datos, de modo
que después de cada interrupción solo se deban repetir los datos que se
transfirieron después del último punto de verificación.
2.6 - LA CAPA DE PRESENTACIÓN
La capa de presentación realiza funciones que se piden con suficientes
frecuencia para justificar la búsqueda de una solución general, en lugar de
dejar que cada usuario resuelva los problemas en particular y a diferencia de
todas las capas inferiores que se interesan solo en mover bits de manera
confiable de acá para allá, la capa de presentación se ocupa de la sintaxis y
la semántica se la información que se transmite. Un ejemplo típico de
servicio de presentación es la codificación de datos en una forma estándar
acordada. La mayor parte de posprogramas de usuario no intercambian
cadenas de bits al azar intercambian cosas como nombres de personas,
fechas, cantidades de dinero y cuentas. Estos elementos se representan
como cadenas de caracteres, enteros, cantidades de puntos flotantes y
estructuras de datos compuestas de varios elementos mas simples. Los
diferentes computadores tienen códigos diferentes para representar cadenas
de caracteres como ASCII y Unicode, enteros como por ejemplo en
complemento a uno y en complemento a dos y demás. Con el fin de hacer
posible la comunicación entre computadores con representaciones
diferentes, las estructuras de datos por intercambiar se pueden definir de
forma abstracta junto con un código estándar que se use en el cable. La
capa de presentación maneja estas estructuras de datos abstractas y las
convierte de la representación que se usa dentro de la computadora a la
representación estándar de la Red y viceversa.
48
2.7 - LA CAPA DE APLICACIÓN
La capa de aplicación contiene varios protocolos que se necesitan con
frecuencia por ejemplo existen cientos de tipos de terminales incompatibles
en el mundo considere la situación de un editor de pantalla completa que
debe trabajar en una Red con muchos tipos diferentes de terminal cada uno
con formatos diferentes de pantalla, secuencia de escape para insertar y
eliminar texto, mover el cursor, etc. Una forma de resolver este problema es
definir una terminal virtual de Red abstracta que los editores y otros
programas puedan manejar. Para cada tipo de terminar se debe escribir un
programa para establecer la correspondencia entre las funciones de la
terminal virtual de Red y las de la terminal real, por ejemplo cuando el editor
mueva el cursor de la terminal virtual a la esquina superior izquierda de la
pantalla, este software debe emitir la secuencia apropiada de ordenes a la
terminal real para poner su cursor en ese lugar. Todo el software de terminal
virtual esta en la capa de aplicación.
Otra función de la capa de aplicación es la transferencia de archivos. Los
diferentes sistemas de archivos tienen convenciones diferentes para
nombrar los archivos, formas diferentes de representar líneas de texto. La
transferencia de un archivo entre dos sistemas diferentes requiere la
resolución de estas y otras incompatibilidades. Este trabajo también
pertenece a la capa de aplicación, lo mismo que el correo electrónico, la
carga remota de trabajos, la búsqueda en dirección y otros recursos de uso
general y especial.
49
CAPÍTULO III EN ESTE CAPÍTULO SE DETALLARÁ ALGUNOS CONCEPTOS SOBRE
TECNOLOGIAS DE TRANSMISION A FIN DE ILUSTRAR MEJOR Y
ENTENDER MAS NUENTRO TRABAJO
3.1 - TERMINOLOGÍA UTILIZADA EN TRANSMISIÓN DE DATOS
3.1.1 - Los medios de transmisión
Guiados si las señales de datos van encaminadas a lo largo de
un camino físico.
No guiados si el medio es sin encauzar (aire, agua, etc.).
Simplex si la señal es unidireccional,
Half-duplex si ambas estaciones pueden trasmitir pero no a la
vez;
Full-duplex si ambas estaciones pueden transmitir a la vez.
3.1.2 - Frecuencia, espectro y ancho de banda
Conceptos en el dominio temporal. Una señal, en el ámbito temporal,
puede ser continua o discreta. Puede ser periódica o no periódica. Una
señal es periódica si se repite en intervalos de tiempo fijos llamados
periodo. La onda seno es la más conocida y utilizada de las señales
periódicas. En el ámbito del tiempo, la onda seno se caracteriza por la
amplitud, la frecuencia y la fase.
))(2(.)( faseftsenAtS
La longitud de onda se define como el producto de la velocidad de
propagación de la onda por su fase.
50
3.1.3 - Conceptos del dominio de la frecuencia.
En la práctica, una señal electromagnética está compuesta por muchas
frecuencias. Si todas las frecuencias son múltiplos de una dada, esa
frecuencia se llama frecuencia fundamental. El periodo (o inversa de la
frecuencia) de la señal suma de componentes es el periodo de la
frecuencia fundamental. Se puede demostrar que cualquier señal está
constituida por diversas frecuencias de una señal seno (Fourier).
El espectro de una señal es el conjunto de frecuencias que constituyen
la señal. El ancho de banda es la anchura del espectro. Muchas
señales tienen un ancho de banda infinito, pero la mayoría de la
energía está concentrada en un ancho de banda pequeño.
Si una señal tiene una componente de frecuencia 0, es una
componente continua (corriente continua).
3.1.4 - Relación entre la velocidad de transmisión y el ancho de banda.
El medio de transmisión de las señales limita mucho las componentes
de frecuencia a las que puede ir la señal (incluye tecnología del
hardware), por lo que el medio sólo permite la transmisión de cierto
ancho de banda, En el caso de ondas cuadradas (binarias), estas se
pueden simular con ondas senoidales en las que la señal sólo contenga
múltiplos impares de la frecuencia fundamental. Cuanto más ancho de
banda, más se asemeja la función seno (multifrecuencia) a la onda
cuadrada. Pero generalmente es suficiente con las tres primeras
componentes. Se puede demostrar que al duplicar el ancho de banda,
se duplica la velocidad de transmisión a la que puede ir la señal.
Al considerar que el ancho de banda de una señal está concentrado
sobre una frecuencia central, al aumentar esta, aumenta la velocidad
potencial de transmitir la señal.
Pero al aumentar el ancho de banda, aumenta el coste de transmisión
de la señal aunque disminuye la distorsión y la posibilidad de
ocurrencia de errores
51
3.1.5 - Transmisión de datos analógicos y digitales
Los datos analógicos toman valores continuos y los digitales, valores
discretos.
Una señal analógica es una señal continua que se propaga por ciertos
medios. (cables electricos, aire, agua, etc.)
Una señal digital es una serie de pulsos que se transmiten a través de
un cable ya que son pulsos eléctricos.
Los datos analógicos se pueden representar por una señal
electromagnética con el mismo espectro que los datos.
Los datos digitales se suelen representar por una serie de pulsos de
tensión que representan los valores binarios de la señal.
La transmisión analógica es una forma de transmitir señales analógicas
(que pueden contener datos analógicos o datos digitales). El problema
de la transmisión analógica es que la señal se debilita con la distancia,
por lo que hay que utilizar amplificadores de señal cada cierta distancia.
La transmisión digital tiene el problema de que la señal se atenúa y
distorsiona con la distancia, por lo que cada cierta distancia hay que
introducir repetidores de señal.
3.1.6 - Causas de la utilización de la transmisión digital
La tecnología digital se ha abaratado mucho.
Al usar repetidores en vez de amplificadores, el ruido y otras
distorsiones no es acumulativo.
La utilización de banda ancha es más aprovechada por la tecnología
digital.
Los datos transportados se pueden encriptar y por tanto hay más
seguridad en la información.
Al tratar digitalmente todas las señales, se pueden integrar servicios de
datos analógicos (voz, vídeo, etc.) con digitales como texto y otros.
52
3.2 - Perturbaciones en la transmisión
3.2.1 - Atenuación
La energía de una señal decae con la distancia, por lo que hay que
asegurarse que llegue con la suficiente energía como para ser captada
por la circuitería del receptor y además, el ruido debe ser
sensiblemente menor que la señal original (para mantener la energía de
la señal se utilizan amplificadores o repetidores). Debido a que la
atenuación varía en función de la frecuencia, las señales analógicas
llegan distorsionadas, por lo que hay que utilizar sistemas que le
devuelvan a la señal sus características iniciales (usando bobinas que
cambian las características eléctricas o amplificando más las
frecuencias más altas).
3.2.2 - Distorsión de retardo
Debido a que en medios guiados, la velocidad de propagación de una
señal varía con la frecuencia, hay frecuencias que llegan antes que
otras dentro de la misma señal y por tanto las diferentes componentes
en frecuencia de la señal llegan en instantes diferentes al receptor.
Para atenuar este problema se usan técnicas de ecualización.
3.2.3 - Ruido
El ruido es toda aquella señal que se inserta entre el emisor y el
receptor de una señal dada. Hay diferentes tipos de ruido: ruido térmico
debido a la agitación térmica de electrones dentro del conductor, ruido
de intermodulación cuando distintas frecuencias comparten el mismo
medio de transmisión, diafonía se produce cuando hay un acoplamiento
entre las líneas que transportan las señales y el ruido impulsivo se
trata de pulsos discontinuos de poca duración y de gran amplitud que
afectan a la señal.
53
3.2.4 - Capacidad del canal (C)
Se llama capacidad del canal a la velocidad a la que se pueden
transmitir los datos en un canal de comunicación de datos. La velocidad
de los datos es la velocidad expresada en bits por segundo a la que se
pueden transmitir los datos. El ancho de banda es aquel ancho de
banda de la señal transmitida y que está limitado por el transmisor y por
la naturaleza del medio de transmisión (en hertzios). La tasa de errores
es la razón a la que ocurren errores. Para un ancho de banda
determinado es aconsejable la mayor velocidad de transmisión posible
pero de forma que no se supere la tasa de errores aconsejable. Para
conseguir esto, el mayor inconveniente es el ruido. Para un ancho de
banda dado W, la mayor velocidad de transmisión posible es 2W, pero
si se permite (con señales digitales) codificar más de un bit en cada
ciclo, es posible transmitir más cantidad de información.
La formulación de Nyquist nos dice que aumentado los niveles de
tensión diferenciables en la señal, es posible incrementar la cantidad de
información transmitida.
MWC .2log.2
El problema de esta técnica es que el receptor debe de ser capaz de
diferenciar más niveles de tensión en la señal recibida, cosa que es
dificultada por el ruido, cuanto mayor es la velocidad de transmisión,
mayor es el daño que puede ocasionar el ruido.
Shannon propuso la fórmula que relaciona la potencia de la señal (S),
la potencia del ruido (N), la capacidad del canal (C) y el ancho de
banda (W).
)/1.(2log. NSWC
Esta capacidad es la capacidad máxima teórica de cantidad de
transmisión, pero en la realidad, es menor debido a que no se ha tenido
en cuenta nada más que el ruido térmico.
54
3.2.5 - Diafonía o atenuación transversal, tal como su nombre lo indica,
significa dos fonías. Esto quiere decir que la señal transmitida por un
par logra ultrapasar a los demás pares adyacentes del cable,
produciendo de esta forma interferencias entre las líneas del cable. Es
frecuente cuando se está hablando por teléfono, escuchar otras
conversaciones ajenas a la propia. Este efecto que se produce en la
comunicación telefónica, se reconoce con el nombre de diafonía. Las
principales causas que generan la diafonía, son los desequilibrios
capacitivos y el bajo aislamiento entre los pares del cable, lo que
normalmente son producidos al realizar los empalmes.
Es importarte llamar la atención en este punto, dado que la diafonía, a
diferencia de otros defectos, son muy difíciles de localizar y reparar, por
lo tanto los técnicos encargados de realizar las uniones en los cables
deberán tomar todas las medidas pertinentes, con el objeto de evitar
que se produzcan desequilibrios capacitivos (pares split) o bajo
aislamiento en los cables. Este problema genera además acoplamiento
de señales en pares usados en transmisión de datos, y disminución de
velocidad de propagación de la señal.
La diafonía se define como la relación de potencia o voltaje que existe
entre el par interferido y el par interferente. Esta relación se expresa
con una potencia de 1mW la cual corresponde a 0dBm.
Se entiende por par interferente al que lleva la señal y el par interferido
donde se escucha la señal.
3.2.6 – Tele diafonía y Para diafonía
Dependiendo la longitud de los cables, existen dos conceptos para
determinar la diafonía. Uno el que se refiere a la diafonía cercana al
lugar de medición denominada Paradiafonía, y el otro, referido a la
diafonía lejana, la cual se conoce como Telediafonía.
55
3.3 - MEDIOS DE TRANSMISIÓN
El propósito de la capa física es de transportar una corriente de bits sin tener
conocimiento de lo que se transfiere ni importarle su significado, Existen
diferentes tipos se enumerará algunas.
3.3.1 - Medios Magnéticos.- La forma más común de transportar
aunque en cantidades de Terabytes resulta incomparable e insuperable
por cualquier compañía de transmisión de datos, un cálculo simple nos
dará cuenta.
Una cinta de video de 8mm puede guardar hasta 30GB, una caja con
una cantidad de 1000 de estas cintas ocuparía 0.125 m3 o el 12.5% de
un metro cúbico transportadas por avión en 12 horas llegarían a
cualquier parte de Norteamérica y la taza de transmisión seria de
30000GB/43200s resultaría una velocidad de transferencia de 694.44
MB/s * 8 = 5555.56Mbps insuperable por cualquier portadora de Red en
el mundo.
La necesidad de transportar información y los recursos disponibles es
la que indica el tipo de transmisión.
3.3.2 - Medios de transmisión guiados
En medios guiados, el ancho de banda o velocidad de transmisión
dependen de la distancia y de si el enlace es punto a punto o
multipunto.
3.3.2.1 - Par trenzado.-Es el medio guiado más barato y más
usado. Consiste en un par de cables, embutidos para su
aislamiento, para cada enlace de comunicación. Debido a que
puede haber acoples entre pares, estos se trenza con pasos
diferentes. La utilización del trenzado tiende a disminuir la
interferencia electromagnética.
56
Este tipo de medio es el más utilizado debido a su bajo coste (se
utiliza mucho en telefonía) pero su inconveniente principal es su
poca velocidad de transmisión y su corta distancia de alcance.
Con estos cables, se pueden transmitir señales analógicas o
digitales.
Es un medio muy susceptible a ruido y a interferencias. Para evitar
estos problemas se suele trenzar el cable con distintos pasos de
torsión y se suele recubrir con una malla externa para evitar las
interferencias externas.
Pares trenzados apantallados y sin apantallar:
Los pares sin apantallar son los más baratos aunque los menos
resistentes a interferencias (aunque se usan con éxito en telefonía
y en Redes de área local). A velocidades de transmisión bajas, los
pares apantallados son menos susceptibles a interferencias,
aunque son más caros y más difíciles de instalar.
3.3.2.2 - Cable coaxial.- Consiste en un cable conductor interno
(cilíndrico) separado de otro cable conductor externo por anillos
aislantes o por un aislante macizo. Todo esto se recubre por otra
capa aislante que es la funda del cable. Este cable, aunque es
más caro que el par trenzado, se puede utilizar a más larga
distancia, con velocidades de transmisión superiores, menos
interferencias y permite conectar más estaciones.
Se suele utilizar para televisión, telefonía a larga distancia, Redes
de área local, conexión de periféricos a corta distancia, etc.
Se utiliza para transmitir señales analógicas o digitales.
Sus inconvenientes principales son: atenuación, ruido térmico,
ruido de intermodulación. Para señales analógicas, se necesita un
amplificador cada pocos kilómetros y para señales digitales un
repetidor cada kilómetro.
57
3.3.2.3. - Fibra óptica.- Se trata de un medio muy flexible y muy
fino que conduce energía de naturaleza óptica. Su forma es
cilíndrica con tres secciones radiales: núcleo, revestimiento y
cubierta. El núcleo está formado por una o varias fibras muy finas
de cristal o plástico. Cada fibra está rodeada por su propio
revestimiento que es un cristal o plástico con diferentes
propiedades ópticas distintas a las del núcleo. Alrededor de este
conglomerado está la cubierta (constituida de material plástico o
similar) que se encarga de aislar el contenido de aplastamientos,
abrasiones, humedad, etc.
Es un medio muy apropiado para largas distancias e incluso
últimamente para LAN's.
Sus beneficios frente a cables coaxiales y pares trenzados son:
Permite mayor ancho de banda.
Menor tamaño y peso.
Menor atenuación.
Aislamiento electromagnético.
Mayor separación entre repetidores.
Su rango de frecuencias es todo el espectro visible y parte del
infrarrojo.
El método de transmisión de la fibra optica consiste en que los
rayos de luz inciden con una gama de ángulos diferentes posibles
en el núcleo del cable, entonces sólo una gama de ángulos
conseguirán reflejarse en la capa que recubre el núcleo. Son
precisamente esos rayos que inciden en un cierto rango de
ángulos los que irán rebotando a lo largo del cable hasta llegar a
su destino. A este tipo de propagación se le llama multimodal. Si
se Reduce el radio del núcleo, el rango de ángulos disminuye
58
hasta que sólo sea posible la transmisión de un rayo, el rayo axial,
y a este método de transmisión se le llama monomodal.
Los inconvenientes del modo multimodal es que debido a que
dependiendo al ángulo de incidencia de los rayos, estos tomarán
caminos diferentes y tardarán más o menos tiempo en llegar al
destino, con lo que se puede producir una distorsión (rayos que
salen antes pueden llegar después), con lo que se limita la
velocidad de transmisión posible.
Hay un tercer modo de transmisión que es un paso intermedio
entre los anteriormente comentados y que consiste en cambiar el
índice de refracción del núcleo. A este modo se le llama Multimodo
de índice gradual.
Los emisores de luz utilizados son:
LED (de bajo coste, con utilización en un amplio rango de
temperaturas y con larga vida media) y
ILD (más caro, pero más eficaz y permite una mayor velocidad
de transmisión).
3.3.3 - Transmisión inalámbrica.- Se utilizan medios no guiados,
principalmente el aire. Se radia energía electromagnética por medio de
una antena y luego se recibe esta energía con otra antena.
Hay dos configuraciones para la emisión y recepción de esta energía:
direccional y omnidireccional. En la direccional, toda la energía se
concentra en un haz que es emitido en una cierta dirección, por lo que
tanto el emisor como el receptor deben estar alineados. En el método
omnidireccional, la energía es dispersada en múltiples direcciones, por
lo que varias antenas pueden captarla. Cuanto mayor es la frecuencia
de la señal a transmitir, más factible es la transmisión unidireccional.
Por tanto, para enlaces punto a punto se suelen utilizar microondas
(altas frecuencias). Para enlaces con varios receptores posibles se
utilizan las ondas de radio (bajas frecuencias). Los infrarrojos se utilizan
para transmisiones a muy corta distancia (en una misma habitación).
59
3.3.3.1 - Microondas terrestres.-Suelen utilizarse antenas
parabólicas. Para conexionas a larga distancia, se utilizan
conexiones intermedias punto a punto entre antenas parabólicas.
Se suelen utilizar en sustitución del cable coaxial o las fibras
ópticas ya que se necesitan menos repetidores y amplificadores,
aunque se necesitan antenas alineadas. Se usan para transmisión
de televisión y voz.
La principal causa de pérdidas es la atenuación debido a que las
pérdidas aumentan con el cuadrado de la distancia (con cable
coaxial y par trenzado son logarítmicas). La atenuación aumenta
con las lluvias.
Las interferencias es otro inconveniente de las microondas ya que
al proliferar estos sistemas, pude haber más solapamientos de
señales.
3.3.3.2 - Microondas por satélite.- El satélite recibe las señales y
las amplifica o retransmite en la dirección adecuada. Para
mantener la alineación del satélite con los receptores y emisores
de la tierra, el satélite debe ser geoestacionario.
Se suele utilizar este sistema para:
Difusión de televisión.
Transmisión telefónica a larga distancia.
Redes privadas.
El rango de frecuencias para la recepción del satélite debe ser
diferente del rango al que este emite, para que no haya
interferencias entre las señales que ascienden y las que
descienden. Debido a que la señal tarda un pequeño intervalo de
tiempo desde que sale del emisor en la Tierra hasta que es
devuelta al receptor o receptores, ha de tenerse cuidado con el
control de errores y de flujo de la señal.
Las diferencias entre las ondas de radio y las microondas son:
60
Las microondas son unidireccionales y las ondas de radio
omnidireccionales.
Las microondas son más sensibles a la atenuación producida por
la lluvia.
En las ondas de radio, al poder reflejarse estas ondas en el mar u
otros objetos, pueden aparecer múltiples señales "hermanas".
3.3.3.3 - Infrarrojos.- Los emisores y receptores de infrarrojos
deben estar alineados o bien estar en línea tras la posible reflexión
de rayo en superficies como las Redes. En infrarrojos no existen
problemas de seguridad ni de interferencias ya que estos rayos no
pueden atravesar los objetos (Redes por ejemplo). Tampoco es
necesario permiso para su utilización (en microondas y ondas de
radio si es necesario un permiso para asignar una frecuencia de
uso).
3.4 - DEFINICIÓN DE LAS MODALIDADES DE TRANSMISIÓN
3.4.1 - Servicios de datos conmutados de multimegabits (SMDS).- fue
diseñado por BELLCORE y se diseño para transmisión de datos
digitales en forma de ráfagas al unir varias LANs, su velocidad estándar
es de 45Mbps.
El servicio básico de SMDS es un simple servicio de entrega de
paquetes sin conexión, el formato del paquete consta de tres campos:
el origen y el destino que tiene un código de 4 bits seguido de un
numero telefónico de hasta 15 dígitos cada digito se codifica en un
campo de 4 bits y el campo de datos que es de longitud variable
máximo hasta 9188 Bits y puede contener en su carga cualquier tipo de
paquete de cualquier formato y topología, SMDS opera en la capa
física.
61
3.4.2 - Hub vs. Switch Todos los ordenadores de los tres edificios están conectados entre sí
mediante Hubs, exceptuando los tres Switch que conecta los
ordenadores del edificio rentado con los del edificio propio A
continuación vamos a analizar las diferencias que existen entre un Hub
y un Switch, así como las ventajas que nos aporta uno frente al otro.
3.4.2.1 - HUB.- Ventajas.- Un Hub es un dispositivo muy simple, esto influye en
dos características importantes:
El precio, es bastante bajo.
El retardo, un Hub casi no añade ningún retardo a los mensajes ya
que como hemos explicado anteriormente simplemente repite las
tramas que le llegan.
Desventajas: Como ya sabemos un Hub es un dispositivo de nivel 1 según la
torre ISO de la OSI, ya que actúan como repetidores.
A pesar de que en éste nivel solo hay un destinatario de la
información, para asegurarse de que la recibe, el Hub envía la
información a todos los ordenadores que están conectados a él.
Este tráfico añadido genera más posibilidades de colisión.
Una colisión se produce cuando un ordenador quiere enviar
información y la emite de forma simultánea a otro ordenador. Al
chocar los dos mensajes se pierden y es necesario retransmitir.
Además a medida que añadimos ordenadores a la Red, también
aumentan las probabilidades de colisión.
Otro gran inconveniente de la utilización de los Hubs, es que el
hub funciona a la velocidad del dispositivo más lento de la Red,
con lo cual si tenemos un router para el acceso a Internet de 10
MB/seg., nuestra Red funcionará a 10 MB/seg. aunque nuestro
puerto sea de 10/100 MB/seg.
62
3.4.2.2 - SWITCH.- es un dispositivo de la capa de enlace, es decir de nivel 2.
El Switch sabe en todo momento que ordenadores tiene
conectados a cada uno de sus puertos. Cuando se enchufa no
conoce las direcciones de los ordenadores de sus puertos, las
aprende a medida que circula información a través de él.
Cuando un Switch no conoce la dirección MAC de destino envía la
trama por todos sus puertos, al igual que un Hub (“Flooding”,
inundación.) Cuando hay más de un ordenador conectado a un
puerto de un Switch este aprende sus direcciones MAC y cuando
se envían información entre ellos no la propaga al resto de la Red,
a esto se llama filtrado.
Si en nuestra Red nos planteáramos sustituir los Hubs por los
Switch’s obtendríamos considerables ventajas.
Resumiendo, éstas son las características que hacen a un Switch
mucho más potente y eficaz que un simple Hub.
3.5 - TIPOS DE REDES
Vamos a explicar de forma resumida algunas de las más importantes dentro
cada criterio de clasificación:
3.5.1 - Clasificación según su tamaño y extensión:
3.5.1.1 - Redes LAN (Local Área Network):
Son Redes de área local, cuya extensión varía entre 10 metros y 1
Km. Son Redes pequeñas, suelen utilizarse en colegios, oficinas y
empresas no muy grandes. La velocidad de transmisión típica de
una Red LAN está entre 10 y 100 MBS.
63
3.5.1.2 - Redes MAN (Metropolitan Área Network):
Son Redes de área metropolitana, su tamaño es superior a una
LAN, soliendo abarcar la longitud de una ciudad. Son Redes
típicas de empresas y organizaciones que poseen distintas
oficinas repartidas en una misma área metropolitana, por lo que su
tamaño máximo comprende un área de aproximadamente 10Km.
3.5.1.3 - Redes WAN (Wide Área Network):
Son Redes de área amplia, tienen un tamaño superior a una
MAN, y consisten en una serie de hosts o de Redes LAN
conectadas por una Subred. Ésta Subred está formada por unas
líneas de transmisión interconectadas por medio de routers, que
se encargan de dirigir los paquetes hacia la LAN o host adecuado,
enviándose éstos de un router a otro. Su tamaño puede oscilar
entre 100 y 1000Km. REDES, Conceptos extraidos de REDES DE COMPUTADORAS 3ra ed.
AUTOR: Andrew S. Tanenbaum.
3.5.2 - Clasificación según la tecnología de transmisión:
3.5.2.1 - Redes Broadcast:
Todas las computadors de la Red comparten el mismo canal de
comunicación. Por lo cual cada paquete de datos enviado por
cualquier computador es recibido por todas las de la Red.
3.5.2.2 - Redes Point-to-Point:
En estas Redes existen bastantes conexiones entre parejas
individuales de computadors. Por tanto para poder transmitir los
paquetes desde una computador a otra a veces es necesario el
uso de routers, ya que el paquete tiene que atravesar
computadors intermedias con lo cual el router debe trazar una ruta
previa.
64
3.5.3 - Clasificación según la transferencia de datos soportada:
3.5.3.1 - Redes de transmisión simple:
Aquellas Redes en las que los datos únicamente viajan en un
sentido.
3.5.3.2 - Redes Half-Duplex:
Aquellas en las que es posible que los datos viajen en uno u otro
sentido pero no simultáneamente. Es decir solo puede haber
transferencia en un sentido a la vez.
3.5.3.3 - Redes Full-Duplex:
Aquellas en las que los datos pueden viajar en ambos sentidos al
mismo tiempo, se puede utilizar dos canales para transmitir las
señales o en el mismo canal se pueden transmitir las dos señales
simultaneamente.
3.6 - TOPOLOGÍA DE LA RED
Llamamos topología de Red a la disposición de los diferentes componentes
de una Red. Ésta topología depende de factores como el número de
computadores a interconectar, el tipo de acceso al medio físico que
deseemos, etc.
Podemos distinguir tres topologías diferentes:
Topología física: disposición real de los computadores,
dispositivos de Red y cableado en la Red.
Topología lógica: forma en que los computadores se
comunican a través del medio físico.
Topología matemática: mapas de nodos y enlaces, formando
patrones.
65
Para no alargar mucho éste cápitulo, únicamente vamos a recordar las
topologías LAN más comunes, debido a que son las que más nos interesan
conocer:
3.7 - Token Ring:
La Red Token Ring es una implementación del estándar IEEE 802.5, su
diferencia respecto a la Red Ethernet vienen dada más por el método de
transmitir la información que por la forma de conectar los ordenadores. En
éste tipo de Redes la información se envía en un Token, el cual va pasando
de un ordenador a otro. Cuando un ordenador quiere enviar información a
otro, debe esperar a que le llegue el Token vacío, y utilizarlo entonces para
enviar la información. Cuando éste Token llega a su destinatario, éste lo
envía de vuelta al emisor con el mensaje de que fue recibida la información.
Luego se libera el Token para poder volver a utilizarlo.
Aquí debido a que una computadora requiere el Token para enviar
información no hay colisiones, el problema reside en el tiempo que debe
esperar una computadora para obtener el Token sin utilizar.
3.8 - Ethernet
Es una implementación del estándar 802.3, al contrario que ocurría en las
Redes Token Ring, en las Redes Ethernet existe un gran porcentaje de
colisiones debido a que en una Red de éste tipo hay muchos ordenadores
intentando enviar datos al mismo tiempo, y como solamente puede haber un
único mensaje en tránsito por el cable, se produce la colisión, pudiendo
llegar a saturar la Red.
3.8.1 - Fast Ethernet
La Red Fast Ethernet es una ampliación del estándar Ethernet que
llega hasta 1000Mbits/seg. (125 MB/seg.), además tiene la ventaja de
que es totalmente compatible con Ethernet, de hecho muchas tarjetas
de Red pueden usarse en ambos tipos de Redes sin hacer ningún
cambio.
66
3.9 - Conclusiones
Espero que esta primera parte halla ilustrado sobre una simple teoria que
servirá de base para lo que describiremos más adelante, esta primera parte
se ha resumido mucha teoria y solo se ha expuesto teoria que nos concierne
y como conocimiento básico para diseño y entendimiento de un sistema de
Red y seguridad informática, algunos parrafos del texto antes escrito tiene su
origen en el libro:
REDES DE COMPUTADORAS 3ra Ed.
AUTOR: Andrew S. Tanenbaum
Libro de amplio espectro en conceptos y tecnologias de comunicaciones de
datos.
67
SEGUNDA PARTE (Recopilación de datos)
68
CAPITULO IV
4.1 - Consideraciones actuales de la subred
Tenemos una empresa institucional de salud, en concreto un Hospital
Estatal, el cual tiene una red local diseñada hace más o menos unos veinte
años. En ésta segunda parte del trabajo nos vamos a encargar de describir,
y analizar el diseño de la red tanto en equipamiento físico como organización
lógica, esto ocurrirá en los próximos dos capítulos siguientes.
4.2 - Estratégica actual de la subred H.E.P.
Me atrevería a decir que la estrategia seguida en este centro de cómputo no
ha estado prevista ni se le ha dado la importancia por las autoridades
pertinentes a partir de los cambios sucesivos de gobierno y de manejo de las
instituciones hospitalarias, es mas, se ha creado como una obligación de
incluirla necesariamente referente al avance tecnológico. Como hoy
sabemos el área de informática es de vital importancia en los manejos
empresariales y en la eficiencia del manejo de la información,
El porqué construirlo es la base para la inversión de crear esta unidad de
Informática, actualmente se dispone de varios conceptos y modelos cuando
se responde a este cuestionamiento, pueden inferirse los caminos a seguir
para la construcción del mismo sustentando que los sistemas
computacionales son herramienta de solución para problemas de cálculo de
operaciones, investigación de procesos estadísticos, gestión de integración
con sistemas departamentales, gestión de recursos económico-financieros,
logístico y gestión de procesos asistenciales.
4.3 - Recursos físicos con los que cuenta el H.E.P.
A continuación desarrollaremos los recursos con que brinda el HEP. Material
importante donde suceden los hechos.
69
4.3.1 - Instalaciones físicas HEP.
4.3.1.1 - Bienes muebles:
La institución destina gran parte de su presupuesto a la compra de
material médico pero tiene un presupuesto mínimo para el
mantenimiento de la Intranet que posee, a continuación
mencionaremos los equipos de la Red
Computadores:
Edificio Propio : 63
Edificio Alquilado : 33
Concentradores:
Hub’s : 04
Switch’s : 03
Servidores:
Servidores : 07
70
4.3.1.1.1 - CUADRO DE DISTRIBUCIÓN DE TOTAL COMPUTADORES
ÁREA # Total de
Equipos en Red
Usuarios de Internet
Brindan Servicio Asistencial
Ingreso de datos a los Sistemas
Ejercen Transferencia de
Información
01 Personal 08 03 --- 02 05
02 Logística 10 03 --- 08 09
03 Planificación 04 02 --- --- 02
04 Control Interno 02 02 --- --- 02
05 Patrimonio 05 01 --- 05 01
06 Dirección
Administrativa 02 01 --- 01 01
07 Almacén General 02 01 --- 02 01
08 Economía 11 05 --- 04 07
09 Farmacia 07 01 03 05 05
10 Diagnóstico por
Imágenes 01 01 01 01
11 Rayos X 01 --- 01 01 01
71
ÁREA # Total de
Equipos en Red
Usuarios de Internet
Brindan Servicio Asistencial
Ingreso de datos a los Sistemas
Ejercen Transferencia de
Información
12 Dirección Ejecutiva
03 01 --- 02 02
13 Servicios Generales
01 01 --- 01 01
14 Estadística & Informática
05 02 --- 05 05
15 Epidemiología 03 01 --- 02 02
16 Pediatría 05 03 --- 02 04
17 Nutrición 01 --- --- --- ---
18 SIS 02 01 --- 02 02
19 Enfermería 01 01 --- --- 01
20 Servicio Social 01 01 --- --- 01
21 Recursos Humanos
02 02 --- --- 02
22 Soporte
Informático 06 03 --- --- 06
72
ÁREA # Total de
Equipos en Red
Usuarios de Internet
Brindan Servicio Asistencial
Ingreso de datos a los Sistemas
Ejercen Transferencia de
Información
23 Cajas
recaudación 02 --- 02 02 02
24 Admisión 01 --- 01 01 01
25 UTAB 01 --- 01 01 01
26 UTIP 01 01 --- --- 01
27 Laboratorio 03 01 --- 02 03
28 Cuerpo Médico 02 02 --- --- 02
29 Auditorio 01 --- --- --- 01
30 Emergencia 01 --- 01 01 01
31 Almacén Farmacia
01 --- --- 01 01
32 Total Servidores 07 02 --- --- 05
73
4.3.1.2 - Bienes Inmuebles:
El hospital posee Dos (2) locales o edificios, en donde desarrollan
sus actividades, consta de un local Propio otro local Alquilado,
Muy buena parte de los trabajadores se encuentra en el local
alquilado, se mencionará las áreas que pertenecen a cada local
así analizaremos con más detalle y precisión.
4.3.1.2.1 - Local alquilado: Es de puramente trabajo
administrativo
Área de Personal.- : Área administrativa
Área de Logística : Área administrativa
Área de Planificación : Área administrativa
Área de Control Interno Área Administrativa
Área de Patrimonio : Área administrativa
Dirección Administrativa : Área administrativa
Área de Almacén General : Área administrativa
74
4.3.1.2.2 - Local propio: Se ejecuta tanto la asistencia médica
a usuarios como trabajo administrativo
Área de Economía Área administrativa
Área de Farmacia Área asistencial
Dirección Ejecutiva Dirección
Área de Servicios Generales Área Mantenimiento
Área de Estadística e Informática Área administrativa
Área de Epidemiología Área administrativa
Área de Jefatura Asistencial Área administrativa
Área de Nutrición Área administrativa
Área Seguro Integral de Salud Área administrativa
Área de Enfermería Unidad Enfermería
Área de Servicio Social Área administrativa
Área de Recursos Humanos Área administrativa
Área de Soporte Técnico Informático Área Soporte Técnico
Área de Cajas Recaudación Dinero
Área de Admisión Ingreso de datos
Área UTAB Unidad Médica
Área UTIP Unidad Médica
Área de Laboratorio Unidad Laboratorio
Área Cuerpo Médico Área administrativa
Auditorio Auditorio H.E.P.
Área Emergencia Unidad Médica
Área de Almacén de Farmacia Almacén General
4.3.2 - Seguridad física del local.
El Hospital de Emergencias Pediátricas no cuenta con un seguro de
incendios muy sofisticado, solo extintores de polvo químico seco, pero
se esta gestionando un sistema contra incendios automatizado,
corresponde a la institución adquirirla.
75
La infraestructura es precaria y de poca seguridad frente a sismos y/o
inundaciones por lluvias fuertes, aunque es un sitio central y estratégico
para la localización de los servidores todavía no posee las
características pertinentes para un centro de cómputo, la dirección de
Estadística e Informática esta gestionando acondicionar el lugar
correctamente.
4.3.3 - Suministro eléctrico.
El H.E.P. no posee un sistema independizado eléctrico pero los
servidores cuentan son un sistema de UPS (Units Power Supply) para
caídas del sistema eléctrico, ni posee un transformador de aislamiento,
pero hasta el momento no ha tenido ningún percance eléctrico. Los
nodos como Switch y los puntos críticos del hospital como ventas,
Cajas, Farmacia y Admisión cuentan con UPS así salvaguardan su
información.
76
CAPITULO V
5.1 - Organización lógica actual de la intranet H.E.P.
Un Centro de Procesamiento de Datos (CPD) o Centro de cómputo, es el
conjunto de recursos físico, lógicos, y humanos necesarios para la
organización, realización y control de las actividades informáticas de una
empresa, a continuación describiremos el arreglo lógico de la Intranet dentro
del HEP, el CPD cumple diversas funciones que justifican los puestos de
trabajo establecidos que existen en él, las cuales se engloban a través de los
siguientes departamentos, es este caso solo analizaremos los
departamentos que se presenten en el desarrollo del análisis
5.2 - Gestión y administración lógica en la Red en los edificios
Las funciones de gestión y administración de un centro de procesamiento de
datos engloban operaciones que deben ser supervisadas y organizadas
mediante proyectos que a su vez siguen un estándar la cual nos otorgan
seguridad y un máximo performance.
Describiremos la organización lógica rigiéndonos en como la encontramos y
en el próximo capitulo expondremos mejoras seguidas de un estándar.
5.2.1 - En el edificio rentado:
Tenemos 34 ordenadores, todos repartidos en las diferentes áreas del
edificio en el tercer piso, todos ellos se conectan a un Switch y un Hub,
El Switch de 24 puertos y el Hub de 12 puertos se unen mediante cable
Crossower, el Switch se conecta al edificio en el área de Soporte
Informático mediante un cable UTP Categoría 5e de aproximado 65
metros al Switch principal.
En el primer piso de éste edificio se encuentra el Almacén General El
Almacén posee un pequeño Hub de 4 Puertos el cual se conecta al hub
del tercer piso, con todo ello están repleto los puertos Ethernet, los Hub
77
son Base10TX y los Switch son Base10/100TX, Las tarjetas de Red de
los computadores son de transmisión 10/100TX.
5.2.2 - En el edificio propio:
Se encuentra el resto de los computadores servidor local y el Router
CISCO CONECTADO AL MODEM DTU para conectarse a Internet. El
Router provee las direcciones IP Publicas en el rango de 17: IP
162.192.5.(6-19)/26.
Tenemos implementado un servidor LINUX Fedora Core 6 de versión
8.0 de Kernel 2.4, el Servidor Linux esta configurado como Firewall y
posee dos tarjetas de Red 100/10X que están conectadas ambos
puertos Ethernet a un mismo Switch, el programa Squid se ejecuta en
el servidor y no se hace la función de NAT con ninguna regla, ninguna
configuración de reglas de IPTables protege la Intranet, las reglas del
Firewall se examinan en la primera parte
Allí mismo tenemos otros dos concentradores un HUB y un Switch que
conecta los servidores y los demás computadores de la Intranet, de
ellos se conectan dos HUB y un Switch distribuidos en toda la red que
abastecen las áreas de economía y asistencial.
Por tanto tenemos un total de 63 ordenadores conectados en Red y
distribuidos por todo el edificio y conectados en red.
5.2.3 - Entre los dos edificios
Los dos edificios están unidos por un cable UTP Categoría 5e a una
distancia entre concentradores de aproximadamente 65 metros y no
tiene ninguna clase de blindaje ni protección y cada edificio se
compone en varios departamentos ya mencionados. Los dos edificios
se encuentran unidos y en nuestro análisis se tornará como una
Intranet general y unificada, todos los computadores pueden verse ente
sí por grupos de trabajo Windows a través de la Intranet.
78
5.3 - Topología de la red
Como ya sabemos, existen diversos tipos de redes explicadas en la Primera
Parte, nuestra Red es una LAN de tipo Fast Ethernet 100/10 Mbps con una
tecnología de transmisión broadcast (Ethernet). Todos los ordenadores
disponen ya de tarjetas de red Ethernet o Fast Ethernet, con lo cual nosotros
seguiremos manteniendo ésta topología.
5.4 - Distribución de los IP
Estos están distribuidos en una forma genérica y no sigue ningún tipo de
segmentación, la clase asignada es la C (/24) con el IP como Red:
192.168.1.0 y hasta un total de 96 computadores conectados a Red, los IP
para servidores están reservadas dentro de los primero 10 Números.
5.5 - Sistemas Operativos Usuarios
En la mayoría de los computadores de velocidades de procesamiento de
300MHz a 1,2GHz poseen WINDOWS98 y en los procesadores de
tecnología Pentium IV posee Windows XP, esta diferencia de Sistemas
Operativos se deduce de los recursos que posee un computador para que
pueda soportar correctamente las interfaces visuales, sistemas y sus
aplicaciones, asimismo conforme se vaya realizando las actualizaciones en
el hardware de los computadores se Irán cambiando la versión de los
sistemas operativos.
5.6 - Departamento o área de Servidores
En esta área se examinará totalmente los servidores instalados repartidos en
los diferentes departamentos:
5.6.1 - El servidor ASISTENCIAL.-
Es el servidor principal de la institución, el Sistema Operativo de este
servidor consta de un NOVEL 5.0 del fabricante NETWARE (servidor
dedicado), este servidor provee volúmenes de redes que son los
directorios para la ejecución de los programas asistenciales y controles
79
de la institución, estos volúmenes de redes se asignan a los usuarios
mediante unos clientes, tanto el cliente 3.31 para Win9x y el cliente
4.83 para WinXP/2K, en esta versión de cliente por la experiencia
llevada, se ha concluido que el cliente 4.83 es más estable que el 4.9;
El protocolo de comunicación TCP/IP de esta versión de sistema
Operativo es el protocolo utilizado para el establecimiento del modo de
comunicación cliente-servidor; en lo que concierne a la seguridad, el
Sistema Operativo ejecuta un NLM (Netware Load Module) que es
proveído por la empresa HACKSOFT y su actualización se dá mediante
futuras versiones lanzadas por el fabricante.
En lo que concierne al HARDWARE donde se ejecutan estos sistemas,
es un servidor IBM NetFinity 3500 con un procesador de 350 MHz
posee 64MB de memoria RAM PC100, disco duro de tecnología SCSI
de 8GB y una tarjeta de Red Ethernet de 100/10TX.
El criterio de protección a fallos de hardware es nulo en este servidor ya
que no posee ningún arreglo de servidor BACKUP o RAID de Discos
Este servidor se encuentra instalado físicamente en el área de soporte
técnico informático
5.6.2 - El servidor de CORREOS.-
El servicio de correos le corresponde al software PEGASSUS, un
software instalado y configurado sobre el Sistema Operativo Windows
NT 4.0 SP6 por la empresa proveedora del acceso a Internet. La
empresa proveedora de Internet brinda en su servicio un dominio propio
a la institución y sistemas públicos de DNS, el dominio es:
(.emergenciaspediatricas.sld.pe)
Este servidor utiliza el protocolo de comunicaciones de Internet TCP/IP
aunque el protocolo nativo de Windows NT 4.0 sea NetBEUI, este
posee un IP público desprotegido por el Firewall ya que en el diseño
visto anteriormente, Fig. (X), muestra una mala instalación física o mal
arreglo lógico.
80
En este sistema se ha creado las cuentas de usuarios a todos aquellos
que son permitidos tenerlas, también política de la institución; los
usuarios utilizan el OUTLOOK EXPRESS de Windows como el cliente
manejador de correos.
La seguridad de este sistema depende del Software antivirus THE
HACKER, este software antivirus se actualiza vía Internet de forma
automática, también cuenta con su Service Pack #6 que es e ultimo de
su generación.
Se ha examinado la seguridad de los datos y no cuenta con ningún
sistema se seguridad a fallos de Hardware, no posee servidor BDC ni
ningún sistema RAID de discos.
En lo que concierne al HARDWARE donde se ejecutan estos sistemas,
es un servidor IBM NetFinity 3500 con un procesador de 350 MHz
posee 64MB de memoria RAM PC100, disco duro de tecnología SCSI
de 8GB y una tarjeta de Red Ethernet de 100/10 TX.
Este servidor se encuentra instalado físicamente el área de Estadística
e Informática
5.6.3 - El servidor SIAF.-
(servicio integral de administración financiera) Este servicio consta de
un programa que el Ministerio de Economía otorga a las instituciones
públicas para la administración económica y contable de su
presupuesto y manejo de sus recursos económicos , este programa se
ejecuta sobre el Sistema Operativo WINDOWS 98Se es manejado
desde los usuarios con un enlace directo a una unidad de red
compartida (por lo general “S”) por el servidor, al archivo ejecutable (de
nombre Siafmain.exe); la cantidad de usuarios conectados esta
determinada por la política de la institución y no se tratará aquí; los
datos cargados a este programa son enviados al servidor del ministerio
de economía y finanzas (MEF) vía la subred Ethernet al Internet y solo
en caso de emergencia cuando falle el servicio de Internet, los datos se
envían vía MODEM en conexión con un proveedor de servicios del
81
propio Internet; el protocolo de enlace es un RAS (Remote Access
Service) por el puerto no privilegiado 43XX.
En la configuración de Red de este servidor se involucra a dos
protocolos de Red IP, un protocolo esta configurado con una dirección
de la clase “C” (192.168.1.35) y una dirección pública para las
conexiones vía RAS. Posee una dirección pública (161.132.229.195).
No existe protección cuando el servicio RAS es activado vía MODEM,
ya que debería ser filtrada toda conexión con el Internet, esto se puede
ver en la siguiente figura
Este sistema solo es ejecutable correctamente en plataforma Windows
98 y no se tiene versión más actual lanzada por el MEF hasta el
momento, solo es actualizada periódicamente llevando el computador
al Ministerio de Economía y Finanzas (MEF)
La seguridad de los datos es ejecuta mensualmente y son grabados en
un CDRom y enviados al ministerio de economía; el servidor también
no cuenta con algún plan de contingencia a fallas de Hardware.
En lo que concierne al HARDWARE donde se ejecutan estos sistemas,
este es una PC ensamblada de Tecnología Intel con Chipset 865, la
velocidad de procesamiento es de 3.2GHz el disco duro es de 80GB
(IDE) de 7200 RPM con SATA 133MHz, cuenta con una memoria de
512MB PC2700 y una tarjeta de Red Ethernet de 100/10 TX. De marca
3COM 905Cx, por supuesto el Windows 98Se no tiene su núcleo
actualizado a los chips 865 de transferencia de información de la tarjeta
principal y su rendimiento es limitado. Este servidor se encuentra
instalado físicamente en el área de Economía
82
5.6.3.1 - Localización del servidor SIAF en la red del ministerio de Economía
83
5.6.4 - El servidor FIREWALL.-
Este servidor esta diseñado para brindar una protección contra
atacantes de Redes desde el exterior y Regular el tráfico interno-
externo de la Intranet, así como hacer conexiones nuevas o
modificarlas, este servidor no filtra tráfico de correo ni trafico Web, no
define algún tipo de Firewall ni ejecuta plantillas de restricciones de
direcciones prohibidas, tampoco ejecuta Script para restringir
conexiones a determinadas horas de trabajo, no realiza supervisión de
conexiones registradas o fallos a logueos externos e internos
5.6.5 - El servidor Logística.-
Recién implementándose, correrá una plataforma Windows y se
ejecutará un manejador de base de datos SQL 2000, en el área de
logística se ejecutará sistemas en plataforma Windows 2000 Server, no
se ejecuta el servicio de Active Directory
5.6.6 - El servidor Personal.-
Este servidor ejecuta en su Sistema Operativo Windows 2000 Server
un motor de base de datos en SQL Personal que es la fuente de
información para los clientes de personal que ejecutan un programa en
Power Builder 8.0, En la configuración de Red el servidor posee un IP
de la clase C (/24) dentro del rango reservado para servidores. Se ha
examinado la seguridad de los datos cuenta con un sistema se
seguridad a fallos de Hardware integrada en la Mainboard, posee un
sistema RAID de discos Nro 2. En lo que concierne al HARDWARE
donde se ejecutan estos sistemas, es un servidor IBM xSeries 225 con
un procesador de 3.2 GHz posee 128MB de memoria RAM PC2700,
dos disco duro de tecnología SCSI de 36GB con RAID 2 y una tarjeta
de Red Ethernet de 1000/100/10 TX. BROADCOM.
Este servidor se encuentra instalado físicamente el área de Soporte
Técnico.
84
5.6.7 - Departamentos informáticos del H.E.P.
5.6.7.1 - Departamento o área de Análisis de Sistemas.
El H.E.P. no tiene analistas de sistemas especialistas
determinando los cambios requeridos para los sistemas, sino los
mismos integrantes y trabajadores del hospital que todos los días
trabajan con los sistemas son los mejores analistas, solo se es
suficiente un buen analista programador que recaude toda la
información y la moldee a los requerimientos de la institución.
5.6.7.2 - Departamento o área de Programación.
El H.E.P. posee sistemas que están realizados en plataforma
CLIPPER, el programador recauda casi diariamente de la oficina
de estadística e informática reajustes y algunos nuevos cambios
sustanciales a los sistemas, estos sistemas son CAJA,
ADMISION, FARMACIA, LOGIS, el programador también se
encarga de realizar los Backup de los sistemas, también de asistir
a los operadores con capacitaciones sobre las modificaciones.
5.6.7.3 - Departamento o área de Soporte Técnico.
Área responsable de la gestión del hardware y del software dentro
de las instalaciones del H.E.P. entendiendo por gestión: estrategia,
planificación, instalación y mantenimiento. El departamento de
soporte técnico Planifica la modificación e instalación de nuevo
software y hardware, también evaluar los nuevos paquetes de
software y nuevos productos de hardware, dar el soporte técnico
necesario para el desarrollo de nuevos proyectos, evaluando el
impacto de los nuevos proyectos en el sistema instalado. Asegurar
la disponibilidad del sistema, y la coordinación necesaria para la
resolución de los problemas técnicos, esto concierne a todos los
programas asistenciales y estadísticos.
85
Realizar la coordinación con los técnicos del proveedor con el fin
de resolver los problemas técnicos y garantizar la instalación de
los productos en caso se adquieran.
Proponer las notas técnicas y recomendaciones para el uso
óptimo de los sistemas instalados.
Esta área realiza también mantenimiento a los equipos de
cómputo a todo el hospital en forma periódica y con más
frecuencia a los computadores que prestan servicio asistencial,
incluye impresoras en general.
5.7 - Recursos técnicos humanos
EL área de informática del hospital HEP muestra un conjunto de material
humano indispensable para el desarrollo básico normal, los describiremos a
continuación:
5.7.1 - Analista programador.
Corresponde a los mismos trabajadores que lidian todos los días con
los programas asistenciales que conocen mejor su funcionamiento ellos
son digitadores, médicos, técnicos y personal administrativo, etc. Ellos
comunican al analista programador mediante la unidad de estadística e
informática los mejores cambios y acomodamientos de los sistemas, el
programador se encarga de actualizarlos.
5.7.2 - Programador de Sistemas.
EL programador del H.E.P. es una persona experta en la programación
en Clipper 3.4 con amplia conocimientos en desarrollo hospitalario y de
gestión administrativa estatal.
El programador debe sustentar con trabajos realizados anteriormente
toda su experiencia.
86
5.7.3 - Soporte Técnico
El técnico de soporte informático del H.E.P. que es una persona
experta realiza configuraciones de los sistemas operativos, también
esta al tanto con las últimas tecnologías y así asesora en cualquier
adquisición de un bien informático, también realiza configuraciones de
hardwares de computadora, aplicativos y utilitarios, también es de su
competencia desarrollar el plan de trabajo que se detallará mas
adelante.
5.7.4 - Supervisor de Procesos
Corresponde al jefe de la unidad de Estadística e Informática dirigir y
administrar procesamiento de datos y relacionarse con los demás
departamentos a fin de coordinar con el área de programación y
Soporte Técnico, formula y administra todo el procesamiento de la
información que maneja el Centro de Cómputo, también supervisa las
actividades de ingreso de datos de documentos.
5.7.5 - Digitador o Capturista.
Las personas que se dedican a ingresar datos en los sistemas
hospitalarios ellos convierten los datos de su forma original (un papel)
con dispositivos de teclado para proporcionar los datos directamente a
la computadora. No obstante la importancia del trabajo de los
preparadores de Datos su educación no requiere una formación técnica
formal, un mecanógrafo competente puede adquirir en pocas semanas
de instrucción especializada las habilidades necesarias para el manejo
de datos electrónicos.
87
5.8 - RED ACTUAL DEL HOSPITAL EMERGENCIAS PEDIATRICAS
88
CAPITULO VI ANALIZANDO MEJORAS EN LA RED ACTUAL
6.1 - En lo que concierne a estructuras físicas y recursos
6.1.1 - Instalaciones físicas.- si tendríamos que ver y maximizar
nuestras expectativas, nunca acabaríamos por darle lo mejor y las
cosas nunca tendrían fin, la primera es el tiempo, nunca acabaríamos
por terminar lo que mejor nos parezca cada vez que hallamos acabado
el trabajo y la segunda no habría presupuesto para nuestra
imaginación.
Por tal motivo toda esta configuración se mide en función del
presupuesto dado, en los datos a proteger y en la propia
infraestructura. Tanto en el local propio como en el local alquilado se
tiene ya tendida una subred con cables UTP Cat5e que es el estándar
aceptable hasta el momento, un mantenimiento de los conectores y
homogenizarlos a una categoría A o B bastaría para optimizarla, la
supervisión de los cables no atraviesen campos magnéticos alternos
fuertes como fluorescentes, motores eléctricos de potencia, cables de
alta corriente, también ruidos altos, sobrecalentamiento por el sol o
estén expuestos a áreas donde puedan ser maltratados
6.1.2 - Local de cómputo.- la estrategia no habría contemplado a las
áreas de cómputo desde la formación de las unidades, es así que no
dispone de un local adecuado para beneficio de la institución.
El estándar TIA/EIA-569 especifica que cada piso deberá tener por lo
menos un centro de cableado y que por cada 1000 m 2 se deberá
agregar un centro de cableado adicional, cuando el área del piso
cubierto por la red supere los 1000 m 2 o cuando la distancia del
cableado horizontal supere los 90 m. y para aproximadamente 1000m2
de campus deberá tener un tamaño de armario de 3,0*3,4 m2 de área
89
del local, En este caso el HEP esta dentro de los limites reglamentarios
algo desordenados como ya veremos.
6.1.3 - Computadores.- Los computadores adquiridos son de tecnología
actual con velocidades de procesador de 1.0GHz a 3.2GHz, tecnología
INTEL X86, con el tiempo se están adquiriendo más computadores con
tecnología actual, acorde con las aplicaciones actuales que demandan
regular consumo de recursos.
6.1.4 - Concentradores.- Los concentradores son de diferentes
velocidades, marcas y tecnologías, homogenizar las velocidades para
un tráfico homogéneo realmente mejorará la transmisión de datos,
desechar los switch de 10Mbps y colocando en lugar de ellos switch de
mayores velocidades se optimiza la transmisión de datos,
configuraciones en cascada mejora también la transmisión como se
verá mas adelante en las simulaciones.
6.1.5 - Servidores.- existen adquisiciones de servidores con
velocidades y hardware competente de marca IBM Xseries 225, los
servidores no son para manejo multimedia, están diseñados para un
exclusivo rendimiento y manejo de los recursos de red
6.1.6 - Seguridad del Local.- no es de importancia la seguridad física y
marcarla con gran detalle en este trabajo, pero en nuestro local solo
tres cosas importantes mencionaremos:
Toma independiente.- Toda la red eléctrica del centro de
cómputo debe estas independiente de las otras redes para no
mezclar ruido entre los equipos de cómputo y al no afectar los
posibles cortos circuitos y sobrecargas que hagan saltar llaves
térmicas vinculadas.
90
Transformador de aislamiento.- Es un importante artefacto que
se coloca a la entrada de una red de datos primordialmente,
este componente eléctrico de potencia filtra las corrientes
parásitas y limpia la señal eléctrica de sus armónicos
haciéndola mas limpia, la instalación de este transformador
debe ser supervisada por un experto en el campo eléctrico a fin
de no sobrecargarla.
Refrigeración a los equipos de computo.- En la física del estado
sólido, el rendimiento varia en una forma inversamente
proporcional a la temperatura de su medio, esto indica que los
chip controladores de las computadoras ejercen mejor función
en un medio de menor temperatura. Un medio de baja
temperatura mejoraría el rendimiento y alargaría la vida de los
componentes, actualmente posee un sistema de refrigeración
en el cuarto de servidores pero no se controla la humedad del
mismo, un deshumedecedor servirá para este fin.
6.2 - En lo que concierne a organización lógica intranet:
6.2.1 - Organización lógica en los Edificios
Con lo cual, a pesar de ser una red pequeña con pocos ordenadores
conectados, es necesario una división en partes de la misma por varias
razones, cuando la red se vaya extendiendo, también irá aumentando
de forma similar el dominio de colisión, afectando seriamente al
rendimiento de la red. Esto se puede mitigar segmentando la red,
dividiendo la misma en una serie de segmentos significativos de tal
forma que mediante Switch podremos limitar estos dominios de colisión
enviando las tramas tan sólo al segmento donde se encuentra el Host
de destino.
Conforme aumenta el número de Hosts, aumenta también el número de
transmisiones Broadcast en forma proporcional. Esto se debe a que los
91
Hosts envían de forma constante peticiones ARP, envíos RIP,
peticiones DNS, etc.
Por tanto puede llegar un momento en el que dicho tráfico puede
congestionar toda la red de forma inaceptable al consumir un ancho de
banda excesivo.
Entonces por razones de rendimiento y para solucionar estos
problemas es necesario dividir la red en una serie de subredes, de tal
forma que cada una de ellas va a funcionar luego a nivel de envío y
recepción de paquetes como una red individual, aunque todas
pertenezcan a la misma red principal (pero no por tanto al mismo
dominio o subred).
De esta forma a nivel administrativo podremos considerar subredes
bien diferenciadas, consiguiendo con ello un control del tráfico de la red
y una limitación de las peticiones de broadcast que la atraviesan.
A continuación segmentaremos la red de computadores reagrupando por localización, se describe en la siguiente tabla la configuración:
6.2.2 - SEGMENTACIÓN LÓGICA DE LA RED HEP
Dominios Áreas involucradas Totales
PC
A Logística, planificación, Control interno,
Patrimonio, Dirección Administrativa,
almacén General
25
B
Farmacia, Diagnostico por Imágenes,
Rayos X, Dirección Ejecutiva,
Servicios Generales,
Estadística e Informática, Epidemiología
21
C Personal y Economía 19
D Resto de áreas 31
92
6.2.3 - Distribución de las Direcciones IP (actual)
Para la asignación de las direcciones actualmente se utiliza una Red
privada de clase C:
Red : 192.168.1.0
Máscara : 255.255.255.0
Con ésta red se tiene 256 direcciones, pero solo 254 son
aprovechables para Hosts, ya que la primera dirección (192.168.1.0)
define la propia red, y la última (192.168.1.255) se utiliza para
direcciones broadcast.
Por tanto con una red de éste tipo podemos tener hasta 254 Hosts en
red, como es obvio, ya que nuestra red se compone de 93
ordenadores, una red de clase C colma todas las IP que tenemos en
nuestra Red
Las direcciones desde 192.168.1.1 hasta 192.168.1.10, serán
reservadas para servidores.
El servidor Firewall tiene la dirección 192.168.1.1 (eth1), y el resto de
servidores siguen una numeración aleatoria.
Mas adelante analizaremos más variables en donde comprometerán la
Red, por lo tanto vistas todas las ventajas que aporta el uso de
subredes, vamos a realizar los diseños.
6.2.4 - División de la subred:
Y luego veremos en cada uno de ellos sus ventajas e
inconvenientes para finalmente decidirnos por la mejor opción.
6.2.4.1 - Primer análisis: Subredes con máscaras de tamaño fijo,
Como hemos visto anteriormente, para el diseño de la red
tenemos una red privada de clase C, es decir con 254 direcciones
posibles.
93
Ya que tenemos cuatro departamentos cada uno con un número
de ordenadores no superior a 40, nos bastará con cuatro
subredes, (A, B, C, D), además la disposición de los
computadores y del arreglo físico de los computadores nos lleva
agruparlos cómodamente en cuatro grupos en las cuales
trataremos de segmentarla de tal forma reduzca el broadcast de la
red, darle seguridad a las dependencias entre si.
6.2.4.1.1 - Primera opción:
Tenemos la red 192.168.1.0, si le aplicamos la máscara
255.255.255.224 o /27, (3 bits de subred y 5 bits de Host), la
divide en 8 (23) subredes de 32 (25) direcciones cada una.
hostdebitsreddebits __5_,__3)(
REDdebits ___823
HOSTdebits ___3225
Teniendo en cuenta que las direcciones con el valor todo ceros y todo unos del campo Host y del campo subred
están reservadas, nos quedarían 6 subred es de 30
direcciones cada una, con el inconveniente de que cada una
de ellas tiene únicamente 30 direcciones aprovechables
REDdebits ___628223
HOSTdebits ___30232225
Con lo cual tendríamos muy limitada la ampliación de Hosts,
también en el edificio D tenemos 31 computadores con
tendencia a aumentar el cual no nos permite alcanzar el
rango deseado.
94
6.2.4.1.2 - Segunda opción:
De la misma forma que en la opción anterior tenemos la red
192.168.1.0, si le aplicamos la máscara 255.255.255.192 o
/26, (2 bits de subred y 6 bits de Host), la divide en 4
subredes de 64 direcciones cada una.
hostdebitsreddebits __6_,__2)(
REDdebits ___422
HOSTdebits ___6426
Evidentemente con 62 direcciones (64 menos las dos
direcciones reservadas) en cada subred tenemos suficiente,
ya que actualmente el número de Hosts no supera los 40 en
total. El problema ahora viene determinado por el número de
subredes, ya que en éste caso si será necesario utilizar
subnet-zero para poder aprovechar íntegramente las 4
subredes, ya que de no poder cometer esta pequeña
infracción nos quedarían únicamente 2 subredes, que
obviamente no son suficientes para cubrir los servicios de los
cuatro departamentos, si queremos asignarles a cada uno de
ellos una subred diferente.
REDdebits ___224222
HOSTdebits ___62264226
Una vez vistos ambos casos, se ve claramente que ninguna
de las opciones es la adecuada, y también pudiendo con el
tiempo llevarnos a una reestructuración de la red pero que no
sería a corto plazo, si observamos la relación de ordenadores
hecha anteriormente, podemos ver que los edificios están
ligeramente descompensados en lo que al número de
ordenadores se refiere En un pequeño cálculo del promedio
tenemos (31+19+25+21)/4=24, las varianzas respectivas
difiere en pequeño numero de las cantidades originales.
95
6.2.4.2 - Segundo análisis: Subredes con máscaras de tamaño
variable, Ésta técnica consiste en dividir una red en subredes de
diferentes tamaños, de ésta forma si tenemos varias oficinas o
departamentos cada una con un número determinado de Host, no
es necesario asignarles a todos ellas subredes del mismo tamaño.
En caso de no existir esta posibilidad, analicemos que problemas
tendríamos. Supongamos nuestras 4 subredes A, B, C y D de 25,
21, 19 y 31 computadores respectivamente, Anteriormente hemos
propuesto para la distribución de las direcciones IP, 2 opciones,
ambas con subredes con mascaras de tamaño fijo. En las dos
opciones se puede observar que el número de direcciones de las
subredes que hemos elegido viene determinado por el
departamento con mayor número de ordenadores, de ésta forma
siendo D el departamento con más ordenadores, se elige una
subred que cubra las necesidades de éste departamento es decir,
que tenga suficientes direcciones para todos sus ordenadores, de
ésta forma los departamentos A, B y C, teniendo menos
computadores Host que el departamento D, tienen el mismo
número de direcciones que éste para asignar a sus ordenadores,
así aprovechando de esta forma una gran cantidad de direcciones
IP, mediante este análisis se puede pensar que
independientemente de las distribuciones equitativas de los IP,
puede escogerse tamaños variables que tenga importancia solo el
tamaño de las redes.
Una vez explicadas esta ventaja de las subredes con máscara de
tamaño variable vamos a ver como nos quedaría la distribución de
las direcciones utilizando esta técnica.
96
Parte A-- 25 computadores
Le asignamos una subred de 62 direcciones:
Subred (ID) Máscara Subred/bits de máscara 192.168.1.64 255.255.255.192 192.168.1.64/26
Parte B-- 18 computadores
Le asignamos una subred de 30 direcciones:
Subred (ID) Máscara Subred/bits de máscara 192.168.1.64 255.255.255.224 192.168.1.64/27
Parte C-- 19 computadores
Le asignamos una subred de 30 direcciones:
Subred (ID) Máscara Subred/bits de máscara 192.168.1.96 255.255.255.224 192.168.1.96/27
Parte D-- 34 computadores
Le asignamos una subred de 62 direcciones:
Subred (ID) Máscara Subred/bits de máscara 192.168.1.128 255.255.255.192 192.168.1.128/26
Como podemos observar ahora cada segmento tiene una subred
que se ajusta a sus necesidades, con lo cual no desaprovecha
direcciones. En el caso de que los departamentos amplíen el
número de ordenadores, también tendremos que reestructurar el
diseño de la red, ya que hemos elegido unas subredes con
tamaño ajustado al número de Host que tenemos actualmente.
Esto podemos solucionarlo fácilmente siendo algo radical y
colocando a cada segmento lógico en una subred diferente y total
en su conjunto, Nos quedaría entonces:
97
6.2.4.3 - Tercer análisis: Subredes con máscaras iguales e ID
diferente
Edificio A-- 25 ordenadores
Le asignamos una subred de 254 direcciones:
Subred (ID) Máscara Subred/bits de máscara 192.168.1.0 255.255.255.0 192.168.1.0/24
Edificio B-- 18 ordenadores
Le asignamos una subred de 254 direcciones:
Subred (ID) Máscara Subred/bits de máscara 192.168.2.0 255.255.255.0 192.168.2.0/24
Edificio C-- 19 ordenadores
Le asignamos una subred de 254 direcciones:
Subred (ID) Máscara Subred/bits de máscara 192.168.3.0 255.255.255.0 192.168.3.0/24
Edificio C-- 34 ordenadores
Le asignamos una subred de 254 direcciones:
Subred (ID) Máscara Subred/bits de máscara 192.168.4.0 255.255.255.0 192.168.4.0/24
98
Como se puede ver en todas las configuraciones el ID es diferente
significando que las PC no se podrán ver siendo necesario rutar
los paquetes. También eliminando el tráfico BROADCAST
considerablemente.
En la zona DMZ también se considerará una red de (ID) diferente
para todos los casos
Subred (ID) Máscara Subred/bits de máscara 192.168.5.0 255.255.255.0 192.168.5.0/24
99
6.2.5 - REESTRUCTURACIÓN DE LA INTRANET HEP. A CORTO PLAZO
100
6.2.6 - Conclusión
Las segundas opciones de los dos análisis (fijo y variable) son buena
configuración para nuestra red.
Partiendo del hecho de la ventaja de que la división en subredes no
tiene porque hacerse necesariamente de forma homogénea en todo el
espacio de direcciones se ha planteado estas opciones de
configuración y segmentación donde está supeditada a que los nodos
de concentración de estas subredes deben tener características de
router.
NOTA IMPORTANTE: para tomar en cuenta estas tres
configuraciones (cualquiera que sea fija, variable o diferente) de
segmentar la red en 4 utilizando bits prestados, estamos incurriendo en
la necesidad de adquirir switch con características de enrutadores
(ROUTER) para así poder encaminar los paquetes de los diferentes
segmentos, nosotros en nuestro trabajo consideramos que solo
tendríamos que utilizar los switch que tenemos disponibles ya que no
es importante destacar la compra de equipos de cómputo, se trabajará
en una red general de 192.168.1.0/24 pero se tiene la certeza que una
reestructuración de este tipo podría agilizar la red considerablemente y
darle mucha seguridad.
La segunda topografía seria la ideal y seria una reestructuración a largo
plazo ya que tendría que invertirse en re-cablear varias áreas.
101
6.2.7 - TOPOLOGIA FINAL HEP.
102
6.2.8 - Asignación personalizada de los IP para la configuración del
FIREWALL.-
Los segmentos A, B, C y D llevar una misma máscara y misma
cantidad de IP, red segmentada.
SEGMENTOS NÚMEROS DE
HOST ASIGNADOS SUBRED MÁSCARA
A 62 192.168.1 255.255.255.0
B 62 192.168.1 255.255.255.0
C 62 192.168.1 255.255.255.0
D 62 192.168.1 255.255.255.0
Se asignará Pull de IP a las unidades a fin de tenerlas registradas y
tener la facilidad de poder alterar las tablas del firewall según se hagan
ajustes
# PC UNIDAD ÁREA NÚMERO DE
IP / MASK
6 Servidores Sist 192.168.1.(1..10)/24
8 Personal C 192.168.1.(11..19)/24
11 Economía C 192.168.1.(20..31)/24
19 TOTAL C C 192.168.1.(11..62)/24
10 Logística A 192.168.1.(65..74)/24
4 Planificación A 192.168.1.(75..78)/24
2 Control Interno A 192.168.1.(79..80)/24
5 Patrimonio A 192.168.1.(81..85)/24
2 Dirección
Administrativa A 192.168.1.(86..87)/24
103
# PC UNIDAD ÁREA NÚMERO DE
IP / MASK
2 Almacén General A 192.168.1.(88..89)/24
25 TOTAL A A 192.168.1.(65..126)/24
7 Farmacia B 192.168.1.(129..135)/24
1 Diagnóstico
por Imágenes B 192.168.1.136/24
1 Rayos X B 192.168.1.137/24
3 Dirección
Ejecutiva B 192.168.1.(138..140)/24
1 Servicios
Generales B 192.168.1.141/24
5 Estadística &
Informática B 192.168.1.(142..146)/24
3 Epidemiología B 192.168.1.(147..149)/24
21 TOTAL B B 192.168.1.(129..190)/24
5 Pediatría D 192.168.1.(193..197)/24
1 Nutrición D 192.168.1.198/24
2 SIS D 192.168.1.(199..200)/24
1 Enfermería D 192.168.1.201/24
1 Servicio
Social D 192.168.1.202/24
2 Recursos
Humanos D 192.168.1.(203..204)/24
6 Soporte
Informático D 192.168.1.(205..210)/24
2 Cajas
recaudación D 192.168.1.(211..212)/24
1 Admisión D 192.168.1.213/24
1 UTAB D 192.168.1.214/24
1 UTIP D 192.168.1.215/24
104
# PC UNIDAD ÁREA NÚMERO DE
IP / MASK
3 Laboratorio D 192.168.1.(216..218)/24
2 Cuerpo
Médico D 192.168.1.(219..220)/24
1 Auditorio D 192.168.1.221/24
1 Emergencia D 192.168.1.222/24
1 Almacén
Farmacia D 192.168.1.223/24
31 TOTAL D D 192.168.1.(193..254)/24
Nota: en caso de que se haga caso a las reestructuraciones de la
subred y se tome en cuenta la segmentación se tendría que cambiar en
la tabla anterior el sufijo o máscara de la configuración que se tome y
que se crea correcta en todas las anteriores mostradas.
Ejemplo: En tal caso un ejemplo:
Actualmente:
31 TOTAL D D 192.168.1.(193..254)/24
Red segmentada: (utilización de switch ruteables).
31 TOTAL D D 192.168.1.(193..254)/26
105
6.3 - Recomendaciones generales para:
6.3.1 - Servidores
El servidor ASISTENCIAL.- Muy pronto será migrado a plataforma
Netware 6.5 y a un servidor más potente de marca IBM xSeries 225
modelo: 6487, se ejecutará solo el protocolo IP así no habrá doble
protocolo en la comunicación.
El servidor CORREOS.- se recomienda para este servidor reemplazarlo
por uno de mejor tecnología ya que ha sido reparado una vez por
deficiencias en los filtros. Talvez también se podría migrar a un Linux y
un sendmail a fin de estabilizar el servidor ya que durante mi estadía
como soporte técnico en la institución se ha realizado levantamientos y
reinstalaciones del sistema operativo NT4.0.
El servidor SIAF.- es una simple PC que se renueva con el tiempo,
conforme avance la tecnología en PC este servidor ira migrando
constantemente, y el ministerio y su unidad de informática tendrá que
darle soporte a su SIAF ya que no es instalable en el sistema operativo
Xpsp2.
El servidor FIREWALL.- se configurará y expondrá un Firewall
configurado para nuestros propósitos. (TERCERA PARTE).
El servidor LOGISTICA.- Servidor de última tecnología, poco a poco se
expondrá a mejoras en la programación y haciéndolo más versátil para
los usuarios, este tipo de servicio tiene que supervisar el área de
Informática ya que fue otorgado a tercero mediante licitación pública. El
sistema operativo WINDOWS 2000 deberá estar actualizado en su
totalidad y con sus services pack
106
El servidor PERSONAL.- recientemente comprado, también se instalará
un Windows 2000 y tiene que estar supervisado por el área de
Informática ya que terceros desarrollarán el programa y su instalación
de la base de datos, las mejoras dependen del buen contrato realizado.
El sistema operativo WINDOWS 2000 deberá estar actualizado en su
totalidad y con sus services pack al igual que el sistema SQL 2000
6.3.2 - Departamento o Área de Informática.-
Aparte de lo que ya el programador realiza en la institución en su
contrato rige cláusulas donde tiene que innovar los sistemas a forma
visual, también coopera en soporte informático mientas este a su
alcance sus conocimientos de soporte, no expondremos mas en las
funciones y contribuciones del programador en este trabajo ya que no
es el fin.
Departamento o Area de Soporte
Se expondrá en un anexo un plan de trabajo realizado en el HEP.
Como mejora y orden en las ejecuciones en la institución concerniente
a su hardware informático.
6.3.3 - Planteamiento de un estándar.
Existen innumerables de estándares de seguridad y de sistemas así
como procedimientos genéricos con técnicas que le resuelven
seguridad a cualquier tipo de organización, no se desarrollará algunas
de estos porque seguiremos la configuración de seguridad propia de
Fedora Core 6 para la construcción de Firewall.
Algunas normas para el conocimiento simple concepto se mencionan
aquí:
NORMA ISO/IEC 17799.- Ofrece las recomendaciones para realizar la
gestión de la seguridad de la información, la versión española e esta
norma es la UNE 717799.
107
NORMA MULTIPARTE ISO/IEC 13335 (GMITS).- En esta norma se
recogen las etapas del ciclo de gestión de la seguridad proporcionando
orientaciones organizativas y técnicas, la versión española de esta
norma multiparte es la UNE 71501.
NORMA BRITANICA BS-7799-2.- La cual fija requisitos para
establecer, implementar y mantener un sistema de gestión de la
seguridad de los sistemas de información
6.3.4 - Consideraciones económicas.
No es prioridad en este documento realizar los cálculos para gestionar
cambios de hardware que requieran costo económico, El Hospital de
Emergencias Pediátricas debe evaluar generando proyectos de
actualizaciones de hardware incluyendo la sub red, cualquier
optimización que se realice aquí solo es de tipo lógico incluyendo el
software para servidores Linux ya que su descarga de Internet es
gratuita y solo se debe a su licencia GNU, el único costo que debe
hacer la institución es la adquisición de Switch para actualizar y
homogeneizar el hardware de la su subred
108
6.4 - Zona de operatividad del firewall aplicado
Los cortafuegos o Firewall de filtrado de paquetes funcionan el mas capas
de transporte y de red, trabajando sobre la información de las cabeceras de
los paquetes IP, esto quiere decir que no se analiza el área de DATOS, en la
siguiente tabla se tendrá en consideración que nuestro firewall solo protege
parte de la red y que para una protección más sofisticada necesitamos de
más armas así cubrir todas las capas o pilas de la comunicación.
A continuación un gráfico que contiene las tecnologías que se utilizan por
capas
Fuente: Imagen extraída de Internet
109
6.5 - CONCLUSIÓN:
Como hemos visto en los planos de la distribución se empleará un Firewall
con zona DMZ con tres Interfaces de Red, se implementará un Proxy
configurado a pedido de la unidad de Estadística e Informática y el Firewall
se configurará examinado la Red.
En nuestra tercera parte llevaremos toda esta configuración y será
implementada en un firewall de protección en la capa tres (3) de la OSI de
ISO.
110
TERCERA PARTE (Diseño y resultado de la investigación)
111
CAPÍTULO VII
DESCRIPCION DE LINUX FEDORA 6 (actualidades)
7.1 - El Kernel v-2.6.18, características incorporadas en diferencia con el
kernel 2.4.X
Soporte ACL
El soporte ACL añadido al kernel en los primeras dos lanzamientos
beta demostraron ser inestable y causar que el kernel retrocediera.
Fedora Core por lo tanto ha eliminado el soporte ACL del kernel para
Fedora Core 9. Los ingenieros del Kernel continuarán trabajando para
mejorar el soporte ACL, el cual estará disponible para futuras entregas.
Los paquetes attr y acl necesitados para soportar ACLs están todavía
incluidos para hacer las cosas más fáciles para usuarios y
desarrolladores que deseen probar ACLs. Fedora Core puede, a
nuestra discreción, proporcionar el soporte para ACL para esta entrega
de Fedora Core con fines de actualización, si las pruebas futuras
demuestran que el soporte para ACL ha mejorado lo suficiente su
calidad.
Nuevo planificador de procesos (Scheduler)
Cuando el número de procesos es mayor que el número de
procesadores es necesario alternar cada proceso para cada procesador
así mismo se verá como si tolos los procesos se estuviesen ejecutando
al mismo tiempo, el Scheduler o planificador del Kernel 2.4 tiene unas
deficiencias en la asignación de procesos, cuando un proceso es
asignado a un cpu el scheduler del K2.4 usa un bloqueo de
procesamiento para poder asignar otro proceso al procesador ocioso,
así cuando existan dos procesadores, para asignar un proceso al
procesador1, se tendrá que esperar que el procesador2 acabe su tarea,
así a mayor numero de procesadores más contención se crea.
112
Muy aparte del algoritmo para seleccionar el proceso a ejecutarse
tampoco es escalable con respeto al número de procesos, para decidir
que proceso ha de ejecutarse se recorre toda la lista de procesos no
existe problema para esto pero cuando la cantidad de procesos se
eleva considerablemente (10000), se tendrá que consumir parte de
CPU afectando el rendimiento por lo que también es un algoritmo no
óptimo.
Para solucionar el problema de la asignación de procesos, el nuevo
kernell2.6 en su Scheduler no hay una lista global de procesos sino una
lista para cada procesador, así cada procesador será autónomo y
escogerá que proceso le es más conveniente de su lista y tratarlo.
Podría ser que en una CPU sus procesos se acabasen para ello existe
un hilo que se encarga de balancear los procesos de todas las CPU.
Y con respecto al problema de escalabilidad de procesos de crea una
máscara de bits sobre cada Array eso conlleva a una ejecución de dos
instrucciones de procesador para encontrar el próximo proceso lo cual
hace un algoritmo muy eficiente.
Otra cosa nueva que trae este Scheduler es una nueva política de
planificación de procesos conocida como “batch Sheduling” significa
que esta tarea no se ejecutara hasta que todos los procesos hayan
agotado sus “timeslices”, es decir se efectúa prioridades (nice), pero
siempre existe la probabilidad de que un proceso con (nice 0) se
ejecute antes de un proceso con (nice 10), con el Batch scheduling se
asegura de que una tarea no interfiera en absoluto con el resto del
sistema. (Proceso reescrito por Ingo Molnar, desarrollador Linux)
Inversión de prioridades
EL batch scheduling trae algunos efectos negativos que cabe resaltar,
como es la inversión de prioridades, algo que NO esta solucionado en
Linux (si en otros sistemas operativos como NT).
Explicaremos para dar un ejemplo,
113
Pongamos que tenemos tres procesos: A, B, C. El proceso A es una
tarea que se ejecuta con prioridad alta, la B con una normal (nice 0), y
la C como “batch scheduling” (muy baja). Pongamos que la tarea C
adquiere un bloqueo y que necesita ser liberado para que A se ejecute.
Ahora pongamos que la tarea B necesita ejecutarse; como la tarea C
no se ejecutara hasta que la B termine, el resultado es que la tarea B
se ejecutara y la A no, es decir la tarea B acaba ejecutándose como si
tuviera la prioridad de A (de allí inversión de prioridades). La solución a
esto es la “herencia de prioridades” si se quiere que la tarea A se
ejecute lo que se necesita es dar la prioridad de A a C.
Aparte de todo esto, los algoritmos que se han diseñado de nuevo en
muchos casos consiguen asegurar una buena interactividad, que no
haya “casos esquina”, por lo que se consigue una mayor eficiencia en
la mayoría de los problemas que venían dándose en el kernel 2.4.X
consiguiendo una buena planificación de los procesos del sistema.
Hilos para POSIX
Fedora Core 9 incluye la Native POSIX Thread Library, una nueva
implementación de hilos POSIX para Linux. Esta librería proporciona
mejoras de rendimiento e incrementos en la escalabilidad para los
procesadores i686 o superiores. Esta librería de hilos está diseñada
para ser compatible a nivel binario con las implementaciones viejas de
LinuxThreads; sin embargo, las aplicaciones que cuentan con las
partes donde la implementación de LinuxThreads se desvía del
estándar POSIX necesitarán reparaciones. Algunas de las diferencias
notables incluyen: El manejo de señales ha sido modificado del manejo
de señales por-hilo a manejo de señales de procesos POSIX. Getpid()
devuelve el mismo valor en todos los hilos.
El soporte NPTL para todas las aplicaciones enlazadas dinámicamente
se pueden desactivar mediante el uso de la siguiente opción en el
momento de arranque
114
7.1.5 - Mejora del algoritmo de asignación de PID’s
Según parece la complejidad del algoritmo que daba un PID para
asignarlo al siguiente proceso que crear era de complejidad cuadrática
O(n2) y lo que hacia era que cuantos más procesos había en la
máquina, más costosos en tiempo fuera obtener un PID libre.
Evidentemente no es habitual (por ahora) tener en la maquina tantos
procesos como para que se note la merma en el rendimiento sólo para
encontrar el siguiente PID. Pero con los recientes avances en el
soporte multihebra del núcleo (principalmente la NPTL) y con sus
pruebas de decenas de miles de Threads simultáneos se esta logrando
buen rendimiento.
7.1.6 - Soporte Hiperthreading
También se ha añadido en el kernel 2.6.x es el soporte Hiperthreading
para aquellas máquinas que lo soporten, especialmente en
ordenadores personales más de cara al usuario como podría ser el
Pentium Xeon Intel.
Soporte USB2.0
Nos permite unas tasas mayores de transferencia gracias a esta
implementación
Soporte AGP3.0
Nos permite una velocidad gráfica de 8X.
Para obtener un listado de la documentación disponible. Para más detalles consulte el sitio Web de OProfile
en http://oprofile.sourceforge.net.
115
CAPÍTULO VIII
PREPARAR LA INSTALACIÓN DEL SISTEMA OPERATIVO
Fedora Core esta diseñado para ejecutarse en muchas plataformas que a lo
largo de su evolución en la comunidad Linux se ha estado agregando, sin
embargo es de necesidad antes de cada instalación, tener el conocimiento
sobre que hardware se ejecutara un LINUX, es de muy mal pesar no
completar la instalación sabiendo que no conseguirá controlador para
determinado hardware aun mas si es necesario para el fin del proyecto.
8.1 - Evaluación de software & hardware
Requerimientos de hardware
La siguiente información representa los requerimientos mínimos de hardware
necesarios para instalar exitosamente Fedora Core 9:
CPU:
Mínimo: clase Pentium
Recomendado para modo texto: 200 MHz clase Pentium o superior
Recomendado para gráficos: Pentium II 400 MHz o superior
Espacio en disco duro:
Instalación personalizada texto (mínima): 128MB de RAM
Recomendación de 256MB de RAM
Instalación personalizada (todo): 9.0GB
116
8.2 - Se cuenta con una PC de las siguientes características:
PIEZA MARCA MODELO HCL
MAINBOARD INTEL D845GVFNL, I845GV OK
PROCESADOR INTEL De 2.55 GHz 512KB CACHE FCPGA OK
MEMORIA RAM SPECTECK 512 RAM DE BUS 333MHz OK DISCO DURO SEAGATE HH DD 40GB IDE 5200rpm OK
FLOPPY SONY CAPACIDAD 1.44MB OK LECTOR OPTICO LG LECTOR DE CD-R OK
INTERFACE VIDEO INTEL INCORPORADO 64 MB OK
TRES (3) INTERFACE RED 3COM 3C905 – TXNM OK
INTERFACE SONIDO CHIP VIA INCORPORADO OK
TECLADO MULTIMEDIA CYBERLINK PS/2 MULTIMEDIA
BEIGE OK
MOUSE C/SCROLL GENIUS Netscroll, PS2, 2 botones OK
MONITOR SAMSUNG LG 15" SYNCMASTER 591S OK
Lista de compatibilidad de hardware (HCL):
Algunos componentes de hardware (tales como tarjetas de vídeo y de red)
pueden requerir modos específicos de instalación y/o uso luego de la
instalación, en nuestro caso nuestra PC servidor Firewall tiene total
compatibilidad.
8.3 - Evaluación de los medios a instalar
El programa de instalación de Fedora Core tiene la habilidad de evaluar la
integridad de los medios de instalación. Funciona con métodos de
instalación basados en CD, DVD, disco duro ISO y NFS ISO. El programa de
instalación Anaconda posee una rutina de auto chequeo de los CD a instalar
antes de reportar algún error relacionado con la instalación (muchos de los
errores reportados son debido a CD que no fueron grabados
117
apropiadamente o con fuentes de dudosa reputación). Para usar esta prueba
se puede ejecutar en el intérprete de comandos boot: Linux mediacheck o
simplemente instale y ejecute la opción (Test-CD) en Anaconda, nosotros
ejecutaremos la segunda opción.
8.4 - Notas Generales
En esta sección se describe precauciones que de no tomarlas en cuenta,
podrían afectar la ejecución de las aplicaciones del servidor:
Se han observado ciertos problemas cuando se actualizan sistemas que
tienen instalados paquetes con versiones distintas aun siendo de la
misma versión del kernell pero diferente revisión este problema se
corregiría instalando paquetes de la misma versión tanto paquetes
dependientes así se evitará una sobre posición de las versiones entre los
RPM de Fedora Core. Estos problemas ocurrirían mas frecuentes en una
actualización de kernell, actualización de servicios o migraciones.
No se debe instalar jamás el entorno grafico para una aplicación servidor
ya que divide rendimiento al equipo y habilita procesos que podrían abrir
agujeros de seguridad, tanto también como consumo de memoria para el
X Window.
118
CAPITULO IX
Política y consideraciones para el diseño del Firewall
9.1 - PLANEAMIENTO DEL FIREWALL
Se desea implementar un cortafuego (Firewall), tomando en consideración la
seguridad de la intranet del Hospital de Emergencias Pediátricas y su
respectiva topología planteada anteriormente; la protección será hacia los
servidores propios del H.E.P, desde la WAN y la misma intranet, bloqueando
posibles conexiones maliciosas y permitiendo conexiones necesarias para
los servicios que demanda el H.E.P
9.2 - TABLA DE ACCESO MAYORITARIO A LOS SERVIDORES
AREA DE ACCESO SERVIDOR
ECONOMÍA SIAF
TODO A, C, B, SOPORTE
INFORMÁTICO, CAJAS,
RECAUDACIÓN, ADMISIÓN,
LABORATORIO, EMERGENCIA,
ALMACÉN FARMACIA.
ASISTENCIAL
TODA LA INTRANET CORREOS
SOPORTE. DATOS
TODO PERSONAL PERSONAL
TODO LOGÍSTICA LOGÍSTICA
9.3 - Mantenimiento del Firewall
Se crearán un Script donde figurarán las reglas propias del Firewall, ello para
considerar como si fuera un demonio, es decir un servicio, que se podría
inicializar, detener y reiniciar cuando se vea conveniente, también el caso de
119
inicializarlo de manera automática cada vez que se encienda o reinicie el
servidor Firewall.
9.4 - ESQUEMA, REQUISITOS Y CONDICIONES PARA EL SCRIPT
Regla Número: Descripción de la regla aplicada
TRAFÍCO DE CABECERA
PRESENTACIÓN:
Se expone un breve saludo y algunos
comentarios indicando autor, política por
defecto, etc.
LIMPIEZA DEL FIREWALL
Se ejecutan comandos en la cual se limpia
toda regla y toda cadena creada igualmente
cadenas iniciadas temporalmente
configuradas en memoria
DECLARACIÓN DE VARIABLES
Para un fácil manejo y mantenimiento de
nuestro script se declaran variables, en ello
nos indica los datos de nuestra Red
POLÍTICA POR DEFECTO
Mas difícil y con mayor trabajo pero más
seguro, denegamos todo totalmente o le
indicamos al kernell que no deje pasar algún
paquete que no se identifique con alguna regla
y este a merced de esta
HABILITACIÓN DEL LOOPBACK
Indispensable, tráfico ilimitado en la interfase
loopback
120
TRAFÍCO LAN WAN
Permitir acceso al Internet:
HTTP cliente p(80), HTTPS cliente p(443)
NNTP NEWS cliente p(119)
POP cliente p(110)
IMAP cliente p(143)
SMTP cliente p(25)
WHOIS cliente p(43)
Actualización de antivirus por puerto XYZ
Acceso para la máquina de soporte en:
FTP cliente p(21), TELNET cliente p(23)
IRC cliente (6667)
ICQ cliente (4000)
TRAFÍCO DMZ LAN
Servidor: Acceso desde el área:
SIAF ECONOMIA Y ESTADISTICA
ASISTENCIAL TODOS
CORREO TODOS
DATOS SOPORTE
PERSONAL PERSONAL Y ESTADÍSTICA
LOGISTICA LOGISTICA Y ESTADÍSTICA
TRAFÍCO WAN DMZ
Servidor Acceso hacia:
SIAF COMUNICACIÓN CON EL MEF
DATOS ACCESO A INTENET
121
CAPÍTULO X 10.1 - INSTALACIÓN DEL SISTEMA OPERATIVO (BÁSICO)
Comienza teniendo una máquina íntegramente y dedicada para un Linux
Firewall con Fedora Core 6, se deja bootear el DVD el cual aparece:
Se instalará el S.O. en forma texto a fin de poder escoger los paquetes y
solo instalar lo básico para nuestro Firewall, obviando así el modo gráfico
con la opción “F2”, nos dará más opciones de instalación.
El sistema Operativo comienza con el escaneo del CD así chequeamos la
integridad total del instalador antes de ejecutarse “Anaconda”, que es el
122
programa instalador de FEDORA CORE, si existe algún controlador o
tecnología importante en el kernell que no este presente en la base de datos
del Linux FEDORA CORE 6, el sistema se plantará y no seguirá su
reconocimiento anunciando que debemos obtener un Linux más actualizado
Bienvenida a la Instalación modo texto.
Enseguida escogemos el lenguaje del Sistema Operativo (Español).
123
Escogemos el lenguaje del teclado (Español Latinoamericano).
Este mensaje nos indica un disco sin formato y dispuesto a formatearle.
124
Creamos una disposición personalizada de las particiones hda
El entorno gráfico que muestra el espacio libre, Antiguamente en los Linux
7.0 y 7.01 podíamos crear tantas particiones, podíamos crear e
independientemente los espacios en el disco de tal forma que separábamos
cada sistema de archivos independientemente para así poder trabajar
separadamente como: /usr, /etc, /boot, /mnt, /users..etc, el manejo
independiente daba alguna estrategia de seguridad, en nuestro FEDORA no
hay muchas posibilidades de crear este tipo de archivos ya casi por defecto
todos los archivos importantes se copian en “/”, directorio raíz
125
Creamos la partición “/boot”, sistema de archivos ext3, 200MB de boot y tipo
primaria.
Creamos la partición “swap” aproximado de el doble de la memoria real
2x512=1024Mb
126
Y finalizamos con el montaje final “/” la raíz donde se albergara todo el
sistema de archivo ext3
Vemos la culminación de las particiones listas para el formateo
127
Usamos el gestor de arranque GRUB
Localización del MBR en el sector de inicio del disco duro: /dev/hda.
128
El nombre de nuestro FIREWALL
Escribimos la contraseña del root (súper usuario) para nuestro caso:
“123456789*”, un password regularmente seguro
129
Para la selección de paquetes seleccionamos los tres puntos y
personalizamos la selección de software: -ningún tipo de servidor, -algunas
aplicaciones de ofimática y -algunos paquetes de software importantes
Luego de loguearnos como root podemos inicializar nuestro entorno gráfico
para alguna Instalación y/o descargo de paquetes Internet y luego bajar el
servicio gráfico, lo inicializamos con [root..]# startx <-|
130
Nuestro entorno gráfico KDE
Con un clic derecho y terminando la sesión finalizamos el KDE
131
10.2 - CONSIDERACIONES POST-INSTALACIÓN
10.2.1 - Análisis y optimización de FEDORA CORE servicios a
ejecutar
En esta parte describiremos aquellos servicios que debemos
desinstalar, se analizará uno por uno y solo los servicios que estén
ejecutándose luego de la instalación, Describiremos algunos comandos
que nos ayudará en nuestro análisis:
Para instalar un paquete RPM:
[root@HEP /]# rpm -ivh ipchains-1.5.rpm
Para desinstalar un paquete RPM:
[root@HEP /]# rpm-e <ipchains>
Para ver la versión del paquete:
[root@HEP /]# rpm -q <iptables>
Para ver la información general del paquete:
[root@HEP /]# rpm -qi <iptables>
Para listar los paquetes semejantes:
[root@HEP /]# rpm -ql <iptables>
Para listar a que proceso se liga el archivo:
[root@HEP /]# rpm -qf /etc/passwd
Con estos comandos nos ayudamos a saber que tipo y que realiza cada proceso que se hallo en el archivo de Instalación: “install.log” en la carpeta /root/
132
10.2.1.1 - Análisis de servicios instalados: examinación de
demonios en ejecución
Servicio: acpid Recomendación: NO ejecutar
Demonios: acpid Descripción: Demonio que envia eventos ACPI a programas
Consideraciones: No importante
Servicio: at Recomendación: SI ejecutar
Demonios: at, atd,
Descripción:
At y batch leen comandos desde la entrada estándar o
desde un archivo especificado. At le permitirá especificar
que un comando debe ejecutarse a una hora particular
Consideraciones: Debe instalar este paquete si va a necesitar una utilidad
para el control de tareas orientada al tiempo, necesaria
Servicio: autofs Recomendación: NO ejecutar
Demonios: Autofs,
Descripción: Herramienta para montar y desmontar sistemas de
ficheros automáticamente
Consideraciones: Ejecutar cuando se necesite solamente
Servicio: avahi Recomendación: NO ejecutar
Demonios: avahi, avahi-daemon, avahi-dnsconfd
Descripción:
avahi es un sistema que facilita el descubrimiento de
servicios en una red local, esto significa que puede
conectar su notebook o computadora a la red e
instantáneamente poder ver a otra gente con la que
pueda chatear, encontrar impresoras compartidas, o
archivos compartidos.
Consideraciones: peligroso
133
Servicio: portmap Recomendación: NO ejecutar
Demonios: portmap,
Descripción:
El programa portmapper es una herramienta de seguridad
que previene el robo de NIS, NF y otra información
sensitiva a través de portmapper. Un portmapper
administra conexiones RPC, que se usan en los
protocolos como NFS y NIS
Consideraciones: debe instalarse en cualquier máquina que actúe como un
servidor para protocolos que usan RPC.
Servicio: cpuspeed Recomendación: NO ejecutar
Demonios: cpuspeed,
Descripción: Demonio que controla la velocidad del procesador para
diferentes aplicaciones y programas
Consideraciones: No importante
Servicio: crontabs Recomendación: SI ejecutar
Demonios: crontab, cron,
Descripción:
El paquete crontab contiene archivos crontab de root. se
usa para instalar, desinstalar y listar las tablas usadas por
el demonio cron. El demonio cron chequea los archivos
crontab para ver cuándo se prevee ejecutar un comando
en particular. Si los comandos se planifican, éste los
ejecuta
Consideraciones: Crontabs maneja una función básica del sistema, por lo
que debe ser instalado en su computadora.
134
Servicio: cups Recomendación: No ejecutar
Demonios: Cups
Descripción:
Entre sistemas operativos UNIX®. Fué desarrollado por
Easy Software Products para promover una solución de
impresión estándar para todos los vendedorese y
usuarios de UNIX. CUPS provee las interfases de línea
de comando de System V y Berkeley
Consideraciones: Ejecutar cuando sea necesario
Servicio: dhcdbd Recomendación: NO ejecutar
Demonios: Dhcp,
Descripción:
dhcdbd provides a D-BUS interface to the ISC dhclient
software. El demonio provee acceso a DHCP, y guarda
la configuración persistentemenet Otras aplicaciones del
D-AUTOBÚS pueden recibir notificaciones de cambios en
la configuración de DHCP del cliente
Consideraciones: peligroso
Servicio: diskdumputils Recomendación: SI ejecutar
Demonios: Diskdump,
Descripción: La utilidad diskdump implementa el kernel para guardar la
imagen de memoria en la partición específica
Consideraciones: importante
Servicio: dump Recomendación: NO ejecutar
Demonios: dump
Descripción: Es un comando para programas y chequear backups de
discos o sistemas de archivos
Consideraciones: No importante
135
Servicio: firstboot Recomendación: NO ejecutar
Demonios: firsboot
Descripción:
La utilidad firstboot corre luego de la instalación. Guía al
usuario a través de una serie de pasos que le permitirán
configurar fácilmente la computadora.
Consideraciones: No importante
Servicio: gpm Recomendación: NO ejecutar
Demonios: gmp-,
Descripción:
Gpm provee soporte para ratón en aplicaciones Linux
basadas en texto como el editor Emacs y el sistema de
adminsitración de archivos Midnight Commander. Gpm
también provee operaciones cortar y pegar en consola,
usando el ratón, y permite a un programa abrir menúes
pop-up al apretar un botón del ratón
Consideraciones: No importante
Servicio: hsqldb Recomendación: NO ejecutar
Demonios: hsqldb
Descripción:
HSQLdb es un motor de bases de datos relacional escrito
en JavaTM, con un driver JDBC, que soporta un
subconjunto del SQL ANSI-92.
Consideraciones: No importante
Servicio: httpd Recomendación: NO ejecutar
Demonios: httpd
Descripción: El Servidor HTTP Apache es un servidor web poderoso,
eficiente y extensible.
Consideraciones: No importante
136
Servicio: Ip6tables Recomendación: NO ejecutar
Demonios: iptables-ipv6
Descripción:
El paquete iptables-ipv6 agrega soporte de IPV6 (la
próxima versión del protocolo IP) a iptables. Iptables
controla el código de filtrado de paquetes del kernel de
Linux, y permite configurar cortafuegos y
enmascaramiento de IP.
Consideraciones: No utilizado todavía
Servicio: iptables Recomendación: SI ejecutar
Demonios: iptables
Descripción:
La utilidad iptables controla el código de filtrando de
paquetes de red en el kernel de Linux. Si quiere
configurar un firewall o el enmascaramiento IP debería
instalar este paquete.
Consideraciones: UTIL
Servicio: irda Recomendación: NO ejecutar
Demonios: irda
Descripción:
IrDA (TM) (Asociación de Datos Infrarrojo) es un estándar
de la industria para la comunicación inalámbrica por
infrarrojo entre dispositivos. Las velocidades de IrDA van
desde los 9600 bps a 4 Mbps, y se puede usar en los
dispositivos modernos com notebook, adaptadores de
red, PDAs, impresoras y teléfonos celulares.
Consideraciones: No utilizable
137
Servicio: isdn Recomendación: NO ejecutar
Demonios: isdn4k-utils
Descripción: El paquete isdn4k-utils contiene una colección de
utilidades para la configuración de subsistemas RDSI.
Consideraciones: No utilizable
Servicio: kudzu Recomendación: NO ejecutar
Demonios: kudzu
Descripción: Kudzu es la herramienta para reconocer el hardware
durante el arranque del ordenador.
Consideraciones: Luego de la Instalación no es necesario
Servicio: mdadm Recomendación: NO ejecutar
Demonios: mdadm
Descripción:
mdadm se usa para crear, administrar y monitorear
dispositivos MD de Linux (RAID por software). Como tal,
provee una funcionalidad similar al paquete raidtools. Sin
embargo, mdadm es un programa simple, y puede
realizar casi todas las funciones sin un archivo de
configuración, aunque se puede usar uno para ayuda en
algunas tareas comunes.
Consideraciones: No importante
Servicio: netdump Recomendación: NO ejecutar
Demonios: Netdump
Descripción:
El cliente netdump hace que el kernel envíe volcados de
memoria y/o mensajes de consola mediante paquetes
syslog a un sistema remoto. Se requiere alguna
configuración manual
Consideraciones: No se ejecutarán sistemas remotos
138
Servicio: nfs-utils Recomendación: NO ejecutar
Demonios: nfs, showmount,
Descripción:
El paquete nfs-utils provee un demonio para el servidor
NFS del kernel y herramientas relacionadas, que
proveen un nivel más alto de performance que los
servidores NFS de Linux tradicionales usado por la
mayoría de los usuarios. Este paquete también contiene
el programa showmount. Showmount consulta el
demonio de montaje en un equipo remoto por
información acerca del servidor de NFS (Sistema de
Archivo en Red) en el equipo remoto.
Consideraciones: peligroso
Servicio: Hpparm Recomendación: NO ejecutar
Demonios: Hdparm
Descripción:
Hdparm es una utilidad útil para configurar un disco
rígido (E)IDE. Por ejemplo, hdparm se puede usar para
mejorar la performance de un disco rígido y retocarlo
para que éste gaste menos energía.
Consideraciones: No necesario
Servicio: procmail Recomendación: NO ejecutar
Demonios: Procmail
Descripción:
El programa procmail es usado por Red Hat Linux para
enviar correo local. Procmail puede ser utilizado para
filtrar de forma automática, el pre-ordenamiento y para la
gestión de los trabajos a través del correo electrónico.
Procmail es utilizado también por el procesador de listas
de correo SmartList
Consideraciones: No utilizado
139
Servicio: nscd Recomendación: NO ejecutar
Demonios: nscd
Descripción:
Nscd captura búsquedas en el servicio de nombre y
puede mejorar dramáticamente la performance con
NIS+, y a la vez ayudar con el DNS.
Consideraciones: No se ejecuta servicios DNS
Servicio: ntp Recomendación: NO ejecutar
Demonios: ntp
Descripción:
El Network Time Protocol (NTP) se utiliza para
sincronizar la hora de un ordenador con otra de
referencia. El paquete ntp contiene utilidades y
demonios de sistema que sincronizan la hora del
ordenador con la hora Coordinated Universal Time
(UTC) por medio del protocolo y de un servidor NTP. El
paquete ntp incluye ntpdate (un programa para obtener
la hora y fecha del ordenador remoto via red) y ntpd
(demonio de sistema que continuamente ajusta la hora)
Consideraciones: No es de necesidad
Servicio: quota Recomendación: NO instalar
Demonios: quota
Descripción:
El paquete quota contiene las herramientas de
administración del sistema para monitorizar y limitar el
uso del disco a un usuario o un grupo.
Consideraciones: El sistema administrará su sistema de archivos
140
Servicio: pcsc-lite Recomendación: NO ejecutar
Demonios: pcsc
Descripción:
Demonio para proveer una interfase SCard de
Windows(R) en un factor de forma muy pequeño para la
comunicación con smartcards y lectores. PC/SC Lite usa
el mismo API winscard que se usa en Windows(R). Este
paquete incluye el demonio de PC/SC Lite, un
administrador de recursos que coordina las
comunicaciones con los lectores de tarjetas inteligentes
y las tarjetas inteligentes que se conectan al sistema.
Consideraciones: No necesario
Servicio: setuptool Recomendación: SI ejecutar
Demonios: setuptool
Descripción:
Es un programa de menú en modo texto amigable al
usuario que le permite acceder a todos los programas de
configuración en modo texto incluídos en el sistema
operativo Red Hat Linux.
Consideraciones: Ya se configuro, no se instalará
Servicio: psacct Recomendación: SI ejecutar
Demonios: psacct
Descripción:
Contiene diversas utilidades para visualizar la actividad
de los procesos, incluye los comandos ac, lastcomm,
accton y sa. El comando ac visualiza las estadísticas de
los usuarios conectados. El comando lastcomm visualiza
la información sobre comandos precedentemente
ejecutados. El comando lastcomm resume la información
sobre los comandos precedentemente ejecutados.
Consideraciones: necesario
141
Servicio: rdisc Recomendación: NO ejecutar
Demonios: rdisc
Descripción:
El Este paquete contiene varias utilidades para controlar
y configurar los dispositivos conectados al bus PCI. Las
utilidades ofrecidas en este paquete requieren la versión
2.1.82 o una posterior del kernel (necesita del soporte
para la interfaz /proc/bus/pci).programa RDist mantiene
un copias idénticas de archivos en múltiples equipos. Si
es posible, RDist preservará el dueño, grupo, modo, y
mtime de los archivos y puede actualizar programas que
se estén ejecutando.
Consideraciones: No importante
Servicio: readahead Recomendación: NO ejecutar
Demonios: readahead
Descripción:
readahead lee el contenido de una lista de archivos en
memoria, lo que hace que sean luego leídos del caché
cuando se necesiten realmente. El objetivo es acelerar
el proceso de arranque.
Consideraciones: No necesario
Servicio: setserial Recomendación: NO ejecutar
Demonios: setserial
Descripción:
Setserial es una utilidad del sistema para mostrar o
configurar la configuración de un puerto serie. Setserial
permite modificar el puerto de E/S, la interrupción, la
velocidad del dispositivo serie.
Consideraciones: No importante
142
Servicio: pciutils Recomendación: NO ejecutar
Demonios:
Descripción:
Este paquete contiene varias utilidades para controlar y
configurar los dispositivos conectados al bus PCI. Las
utilidades ofrecidas en este paquete requieren la versión
2.1.82 o una posterior del kernel (necesita del soporte
para la interfaz /proc/bus/pci).
Consideraciones: No necesario
Servicio: sendmal Recomendación: NO ejecutar
Demonios: sendmail
Descripción:
El programa Sendmail es un Agente de Transporte de
Correo (MTA) ampliamente utilizado. Los MTAs envían
correo de una máquina a otra. Sendmail no es un cliente
que se utilice para leer el correo. Sendmail es un
programa para transferir correo vía Internet
Consideraciones: No se ejecutará sendmail en la maquina firewall
Servicio: smartmontools Recomendación: SI ejecutar
Demonios: Smartctl, smartd
Descripción:
El paquete smartmontools contiene dos programas
utilitarios (smartctl y smartd) para controlar y monitorear
los sistemas de almacenamientos usando el sistema de
tecnología de automonitoreo, análisis y reporte (SMART
en inglés) que viene en la mayoría de los discos ATA y
SCSI modernos. En muchos casos, estas utilidades
proveerán una advertencia avanzada de la degradación
del disco y sus fallas.
Consideraciones: util
143
Servicio: telnet Recomendación: NO ejecutar
Demonios: telnet
Descripción:
telnet es un protocolo popular para entrar en sistemas
remotos a través de Internet. El paquete telnet contiene
un cliente telnet de línea de comando.
Consideraciones: peligroso
Servicio: ftp Recomendación: NO ejecutar
Demonios: ftp
Descripción:
Proporciona el cliente FTP para la línea de comando en
UNIX. FTP es un protocolo utilizado para transferir
archivos a través de Internet y para archivar ficheros.
Consideraciones: peligroso
Servicio: syslog Recomendación: SI ejecutar
Demonios: syslogd, klogd,
Descripción:
El paquete sysklogd contiene dos utilitarios del sistema
(syslogd y klogd) que proveen soporte para el registro de
eventos del sistema. Syslogd y klogd, demonios que
envían los mensajes del sistema a diferentes lugares,
como logs de sendmail, logs de seguridad, errores, etc.
Consideraciones: utilidad
Servicio: tomcat5 Recomendación: NO ejecutar
Demonios: tomcat5
Descripción:
Tomcat es un contenedor servlet que se usa en la
Implementación de Referencia oficial para las
tecnologías Servlet de Java y JavaServer Pages. Las
especificaciones de Servlet de Java y de JavaServer
Pages se desarrollaron en Sun bajo la Comunidad Java.
Consideraciones: No necesario
144
Servicio: vnc Recomendación: NO ejecutar
Demonios: Vnc
Descripción:
Es un sistema de pantalla remota que permite ver el
entorno de escritorio de cómputos no sólo de la máquina
en donde está corriendo, sino de cualquier lugar en
Internet y de una amplia variedad de arquitecturas de
computadora. Este paquete contiene un cliente que le
permitirá conectar a otros escritorios que corran un
servidor VNC.
Consideraciones: peligroso
Servicio: eject Recomendación: NO ejecutar
Demonios: eject
Descripción:
Permite al usuario expulsar medios removibles
(normalmente CD-ROMs, discos flexibles, discos Jaz o
Zip de IOmega) usando control por software. Eject
tambien puede controlar algunos intercambiadores
multidiscos de CD.
Consideraciones: No necesario
Servicio: mailcap Recomendación: NO ejecutar
Demonios: mailcap
Descripción:
Al archivo mailcap lo usa el programa metamail. Metamail
lee el archivo mailcap para determinar cómo debe
mostrar material multimedia y que no sea texto plano.
Básicamente, mailcap asocia cualquier tipo de archivo
particular con un programa particular que un agente de
correo u otro programa puede llamar para que manejen
ese archivo.
Consideraciones: No necesario
145
Servicio: ypbind Recomendación: NO ejecutar
Demonios: ypbind
Descripción:
El Servicio de Información de Red (NIS) es un sistema
que proporciona información acerca de la red (login,
contraseñas, directorios de usuario, información sobre
grupos) a todos los ordenadores de la red. NIS puede
permitir el login a usuarios en cualquiera de los
ordenadores de la red, siempre que en la máquina se
estén ejecutando los programas cliente de NIS y la clave
de usuario esté guardada en la base de datos passwd de
NIS. NIS también se conocía como Sun Yellow Pages
(YP).
Consideraciones: No se ejecutará ningún servicio NIS
10.2.1.2 - Análisis y optimización de FEDORA CORE sistema
de archivos
Recurso en análisis BIOS
Comentario en la seguridad
Es recomendable deshabilitar cualquier medio o recurso o
puerto de booteo en el equipo donde instalaremos el
FIREWALL, en la Bios podemos deshabilitar puertos boot
como FDD, RED; USB, CDROM, SERIAL,
Acciones a seguir
Deshabilitar todas estas opciones de booteo y solo dejar
la del disco duro principal así mismo proteger la entrada a
la Bios con una contraseña segura
Rutina de ejecución Ingreso a Bios F10, DEL, F2 depende del hardware
146
Recurso en análisis DESCONECTAR EL SERVIDOR DE LA RED
Comentario en la seguridad
Es recomendable cuando se instala aplicaciones, se
configura o se le de algún tipo de mantenimiento al
servidor es recomendable desconectarlo de la red, en
nuestro caso se desconectará antes de aplicar las
opciones de seguridad.
Acciones a seguir Desconectamos la res con network stop
Rutina de ejecución [root@HEP /]# /etc/rc.d/init.d/network stop ↲
Recurso en análisis ESCOGER UN BUEN PASSWORD
Comentario en la seguridad
Un buen password es la característica primaria para una
buena seguridad comenzándola a configurar para ese fin,
Acciones a seguir
Recomendamos:
debe tener seis (6) caracteres como mínimo
no debe de ser alguna palabra del diccionario español
ni de otro idioma
debe tener en su contenido: letras, números y
caracteres.
Debe de cambiarse periódicamente, eso depende de
que tipo de servidor estamos trabajando y qué protege
Y el servidor por ultimo debe bloquear el login por más
de dos intentos fallidos
Rutina de ejecución Criterio personal
Recurso en análisis LA CUENTA ROOT
Comentario en la seguridad
La cuenta root es la máxima cuenta con los privilegios
totales sobre el sistema, se recomienda tomar
precauciones cuando el login es con la cuenta root
Acciones a seguir NUNCA INICIAR UN LOGIN REMOTO CON LA CUENTA
147
ROOT
Rutina de ejecución
Ingresar primero con una cuenta usuario y luego ejecutar
el comando “su” e identificar que las PC cuenten con
encriptamiento
Recurso en análisis TIME OUT PARA CUENTAS DESCONECTADAS
Comentario en la seguridad
Así mismo el administrador tiene que tener la certeza que
sus propios trabajadores no desatiendan su cuenta
cuando se distraigan o simplemente termine su trabajo y
dejen desatendida la consola Linux, en /etc/profile
añadimos una línea que terminará la aplicación cuando el
tiempo de inactividad cumpla dos horas, en forma
individual se puede configurar en el archivo oculto
“.bashrc”
Acciones a seguir Inserción de línea en archivo /etc/profile después de la
línea “HISTSIZE=1000” se agrega “TMOUT=7200”
Rutina de ejecución “TMOUT=7200”
Recurso en análisis El uso del comando “linux single” en modo fallos
Comentario en la seguridad
Se debe deshabilitar toda esta característica que Linux
posee para cuando se trata de ingresar al sistema en
forma de fallos, esto sucede al iniciar el grub
Acciones a seguir Se ingresará una línea en el archivo “/etc/inittab” a fin de
pedir una contraseña de root antes de ingresar al sistema
Rutina de ejecución
Antes:
id:3:initdefault:
Ahora se tiene que visualizar así:
id:3:initdefault: ~~:S:wait:/sbin/sulogin
Ahora para que los cambios tengan efecto, reiniciamos el
servicio con el comando:
148
[root@HEP /]# /sbin/init q ↲
Recurso en análisis Configurando el archivo grub.conf
Comentario en la seguridad
Grub posee algunas detalles que talvez para cualquier
persona que instale un Fedora Linux y le sirva de
administrador de sus aplicaciones no sea de importancia
algunas líneas que añadiremos minimizando las
posibilidades de cualquier inseguridad vulnerable
Acciones a seguir Añadimos o modificamos en el “/etc/grub.conf”:
Rutina de ejecución
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
prompt removemos esta línea.
timeout=00 inicia grub inmediatamente.
lmessage=/boot/message removemos esta línea si la
encontramos.
default=linux
restricted añadimos esta línea en protección..
password=<contraseña> siempre nos pedirá el
password que le pongamos
image=/boot/vmlinuz-2.6.18...
luego damos los derechos solo al root a modificarla:
[root@HEP /]# chmod 600 /etc/grub.conf ↲
Actualizamos el grub.conf ejecutando
[root@HEP /]# /sbin/grub -v ↲
Ahora inmunizamos el grub contra accidentes
[root@HEP /]# chattr +i /etc/grub.conf ↲
149
Recurso en análisis Deshabilitando Ctrl.-Alt-Delete, comando shutdown
Comentario en la seguridad
Para prevenir accidentes es mejor deshabilitar el juego de
teclas que por defecto es un comando de apagado
inmediato:
[root@HEP /]# shutdown -t3 -r now ↲
Acciones a seguir
ca::ctrlaltdel:/sbin/shutdown -t3 -r now línea
principal
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now añadirle un
prefijo de comentario y listo, reiniciamos el servicio con:
Rutina de ejecución [root@HEP /]# /sbin/init q ↲
150
Recurso en análisis SEGURIDAD PARA EL ARCHIVO “/etc/service”
Comentario en
la seguridad
Este archivo contiene los puertos por defecto y sus
aplicaciones vinculadas, es solo derecho íntegro de
modificación para el administrador root.
Acciones a seguir Inmunizamos el archivo con el comando “chattr”
Rutina de ejecución [root@HEP /]# chattr +i /etc/services ↲
Recurso en análisis SEGURIDAD PARA EL ARCHIVO /etc/securetty
Comentario en la seguridad
Este archivo importante permite cuales tty y vc (consola
virtual) dispositivos de root son permitidos a login en el
servidor
Acciones a seguir Añadiremos prefijos de comentario en el resto de los TTY
y VC
Rutina de ejecución
vc/1 #vc/2 #vc/3 #vc/4 #vc/5 #vc/6 #vc/7 #vc/8
#vc/9 #vc/10 #vc/11
tty1 #tty2 #tty3 #tty4 #tty5 #tty6 #tty7 #tty8 #tty9 #tty10 #tty11
Recomendable que solo el administrador pueda hacer
login y luego utilizar el comando “su”, si es necesario
ingresar como root.
151
Recurso en análisis CUENTAS ESPECIALES y BUIL-IN
Comentario en
la seguridad
Es importante deshabilitar cualquier cuenta que venga
por defecto, ejecutamos las siguientes líneas a fin de
eliminarlos.
Acciones a seguir Desinstalaremos paso a paso
Rutina de ejecución
[root@HEP /]# userdel -r adm
[root@HEP /]# userdel -r lp [root@HEP /]# userdel -r shutdown
[root@HEP /]# userdel -r halt [root@HEP /]# userdel -r news
[root@HEP /]# userdel -r mail [root@HEP /]# userdel -r uucp
[root@HEP /]# userdel -r operator [root@HEP /]# userdel -r games
[root@HEP /]# userdel -r gopher [root@HEP /]# userdel -r ftp
[root@HEP /]# userdel -r rpm [root@HEP /]# userdel -r dbus
[root@HEP /]# userdel -r avahi [root@HEP /]# userdel -r rpc
[root@HEP /]# userdel -r mailnull [root@HEP /]# userdel -r smmsp
[root@HEP /]# userdel -r nscd [root@HEP /]# userdel -r vcsa
[root@HEP /]# userdel -r haldaemond [root@HEP /]# userdel -r rpcuser
[root@HEP /]# userdel -r nfsnobody [root@HEP /]# userdel -r sshd
[root@HEP /]# userdel -r netdump [root@HEP /]# userdel -r pcap
152
[root@HEP /]# userdel -r xfs [root@HEP /]# userdel -r ntp
[root@HEP /]# userdel -r apache [root@HEP /]# userdel -r hsqldb
[root@HEP /]# userdel -r tomcat [root@HEP /]# userdel -r gdm
Al final en /etc/passwd solo debe figurar estas líneas:
root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin: daemon:x:2:2:daemon:/sbin: sync:x:5:0:sync:/sbin:/bin/sync nobody:x:99:99:Nobody:/:
153
Recurso en análisis GRUPOS ESPECIALES y BUIL-IN
Comentario en
la seguridad
También es importante deshabilitar cualquier cuenta que
venga por defecto, ejecutamos las siguientes líneas a fin
de eliminarlos.
Acciones a seguir Desinstalaremos paso a paso
Rutina de ejecución
[root@HEP /]# groupdel adm
[root@HEP /]# groupdel lp [root@HEP /]# groupdel news
[root@HEP /]# groupdel mail [root@HEP /]# groupdel uucp
[root@HEP /]# groupdel games [root@HEP /]# groupdel dip
[root@HEP /]# groupdel lock [root@HEP /]# groupdel utempter
[root@HEP /]# groupdel screen
Al final en /etc/group solo deben figurar estas lineas:
root:x:0:root bin:x:1:root,bin,daemon daemon:x:2:root,bin,daemon sys:x:3:root,bin tty:x:5: disk:x:6:root mem:x:8: kmem:x:9: wheel:x:10:root man:x:15: nobody:x:99: users:x:100: floppy:x:19: slocate:x:21: utmp:x:22:
PASO FINAL Luego creamos el usuario ADMIN y un password
aceptable para los inicios remotos y administración.
154
[root@HEP /]# useradd ADMIN ↲
[root@HEP /]# passwd ADMIN ↲ Y finalizamos inmunizando los archivos antes
configurados
[root@HEP /]# chattr +i /etc/passwd [root@HEP /]# chattr +i /etc/shadow
[root@HEP /]# chattr +i /etc/group [root@HEP /]# chattr +i /etc/gshadow
Para deshabilitar esta inmunidad a los archivos suficiente
con ejecutar los mismos comandos con la opción -i:
[root@HEP /]# chattr -i /etc/passwd
[root@HEP /]# chattr -i /etc/shadow [root@HEP /]# chattr -i /etc/group
[root@HEP /]# chattr -i /etc/gshadow
Recurso en análisis MONTANDO LA PARTICIÓN /boot COMO LECTURA
Comentario en la seguridad
A fin de que cualquier modificación sea realizada tanto
por algún programa maligno o personal extraño le
daremos la asignación de solo lectura
Acciones a seguir Introduciremos el parámetro “ro”
Rutina de ejecución
Antes:
LABEL=/boot /boot ext3 defaults 1 2
Después:
LABEL=/boot /boot ext3 defaults,ro 1 2
Y luego ejecutamos para culminar:
[root@HEP /]# mount /boot –oremount
155
Recurso en análisis PROTECCIÓN DEL DIRECTORIO: /etc/rc:d/init:d/
Comentario en la seguridad
Directorio donde se escriben archivos de configuración, y
rutinas, estos deben tener derecho exclusivo del root
Acciones a seguir Restringir los derechos a los demás.
Rutina de ejecución [root@HEP /]# chmod -R 700 /etc/init.d/*
156
CAPÍTULO XI
11.1 - EL FIREWALL SCRIPT
157
# CAPITULO XI
# IMPLEMENTACIÓN SCRIPT FIREWALL
# SCRIPT FIREWALL PARA UN SERVER PROXY
#-----------------------------------------------------------------------------
# CABECERA
# ********
# SCRIPT FIREWALL PARA UN SERVER PROXY
#-----------------------------------------------------------------------------
# Copyright (C) 2007.
# Última modificación GIANCARLO ALARCÓN (FOR H.E.P.)
# Tesis ICI ~ UNI
# Usado para proveer el servicio de red Firewall.
#-----------------------------------------------------------------------------
# Limpieza total de cualquier regla cargada en memoria
/etc/init.d/iptables panic
#-----------------------------------------------------------------------------
# DECLARAMOS VARIABLES PARA EL MANTENIMIENTO
# ******************************************
NICK_EXTERNA=eth0 #: interfase Internet (WAN)
NICK_DMZ=eth1 #: Interfase de los servidores (DMZ)
NICK_INTERNA=eth2 #: interfase intranet (LAN)
NICK_LOOPBACK=lo #: Llamado local de nombre.
158
TODA_SUBRED_LAN=192.168.1.0/24 #: Dirección de IP y rango máscara de la INTRANET
IP_NICK_EXTERNA=162.192.5.6 #: IP de NICK WAN
IP_NICK_DMZ=192.168.2.1 #: IP de NICK DMZ
IP_NICK_INTERNA=192.168.1.1 #: IP de NICK LAN
IPPUBLICOS=162.192.5.7-162.192.5.19 #: RANGO DE IP PUBLICOS DEL ISP
IP_SERVIDOR_ASISTENCIAL=192.168.1.2 #: IP de servidor asistencial
IP_SERVIDOR_CORREO=192.168.1.3 #: IP de servidor de correos
IP_SERVIDOR_PERSONAL=192.168.1.4 #: IP de servidor personal
IP_SERVIDOR_LOGISTICA=192.168.1.5 #: IP de servidor logística
IP_SERVIDOR_DATOS=192.168.1.6 #: IP de servidor datos
IP_SERVIDOR_SIAF=192.168.1.7 #: IP de servidor SIAF
DNS_PRIM=200.48.225.130 #: DNS primario
DNS_SEC=200.48.225.146 #: DNS secundario
LOOPBACK=127.0.0.0/8 #: direcciones reservadas del LOOPBACK.
CLASE_A=10.0.0.0/8 #: red privada clase A.
CLASE_B=172.16.0.0/12 #: red privada clase B.
CLASE_C=192.168.0.0/16 #: red privada clase C.
CLASE_D=224.0.0.0/4 #: direcciones multicast clase D.
CLASE_E=240.0.0.0/5 #: direcciones reservadas clase E.
BROADCAST_FUENTE=0.0.0.0 #: direcciones fuente Broadcast.
BROADCAST_DESTINO=255.255.255.255 #: direcciones destino Broadcast.
P_PRIVILEG=0:1023 #: rango de puertos si privilegiados
159
P_NOPRIVILEG=1024:65535 #: rango de puertos no privilegiados
P_CORREO=5338 #: puerto del proveedor del correo
P_SIAF=970:1090 #: rango de puertos del MEF
SSH_PUERTOS_LOCALES="1022:65535" #: Rango de puertos para clientes locales
SSH_PUERTOS_REMOTOS="513:65535" #: Rango de puertos para clientes remotos
TRACEROUTE_PORTS_FUENT="32769:65535" #: Rango de puertos fuentes
TRACEROUTE_PORTS_DEST="33434:33523" #: Rango de puertos destino
# USUARIOS DE LOGISTICA 192.168.1.[65-74]
SR_MANUEL_VALERA=192.168.1.65
SR_LUIS_CABEZAS=192.168.1.66
SR_PERCY_ATAURIMA=192.168.1.67
SRA_STEPHANY_GUILLEN=192.168.1.68
# USUARIOS DE ECONOMIA...
#-----------------------------------------------------------------------------
# POLÍTICA POR DEFECTO ES “DENY” (denegar todo)
# *********************************************
#-----------------------------------------------------------------------------
# Explícitamente se acepta para las conexiones ENTRANTES y SALIENTES.
# Remueve toda regla existente que viene operando en el filtro
iptables -F && echo "Regla 001 OK"
iptables -F INPUT && echo "Regla 002 OK"
iptables -F OUTPUT && echo "Regla 003 OK"
160
iptables -F FORWARD && echo "Regla 004 OK"
#-----------------------------------------------------------------------------
# Remueve alguna cadena definida por el usuario.
iptables -X && echo "Regla 005 OK"
iptables -t nat -X && echo "Regla 006 OK"
iptables -t mangle -X && echo "Regla 007 OK"
#-----------------------------------------------------------------------------
# Remueve cadenas de PRE, OUTPUT y POSTROUTING
iptables -t nat -F && echo "Regla 008 OK"
iptables -t nat -F PREROUTING && echo "Regla 009 OK"
iptables -t nat -F OUTPUT && echo "Regla 010 OK"
iptables -t nat -F POSTROUTING && echo "Regla 011 OK"
#-----------------------------------------------------------------------------
iptables -t mangle -F && echo "Regla 012 OK"
iptables -t mangle -F PREROUTING && echo "Regla 013 OK"
iptables -t mangle -F OUTPUT && echo "Regla 014 OK"
iptables -t mangle -F POSTROUTING && echo "Regla 015 OK"
#-----------------------------------------------------------------------------
# Conjunto de políticas para denegar cualquier conexión.
iptables -P INPUT DROP && echo "Regla 016 OK"
iptables -P FORWARD DROP && echo "Regla 017 OK"
iptables -P OUTPUT DROP && echo "Regla 018 OK"
161
#-----------------------------------------------------------------------------
# LOOPBACK
# Tráfico ilimitado para la interfase LOOPBACK.
iptables -A INPUT -i $NICK_LOOPBACK -j ACCEPT && echo "Regla 019 OK"
iptables -A OUTPUT -o $NICK_LOOPBACK -j ACCEPT && echo "Regla 020 OK"
#-----------------------------------------------------------------------------
# TRÁFICO INCONSISTENTE
# *********************
# Destrucción de paquetes mal formados XMAS.
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP && echo "Regla 021 OK"
iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j DROP && echo "Regla 022 OK"
#-----------------------------------------------------------------------------
# Destrucción de paquetes mal formados NULL.
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP && echo "Regla 023 OK"
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP && echo "Regla 024 OK"
#-----------------------------------------------------------------------------
# Paquetes “Block faked” o "spoofed," consiguen consumir el Firewall.
iptables -A FORWARD -i $NICK_INTERNA -s ! $TODA_SUBRED_LAN -j DROP && echo "Regla 025 OK"
#-----------------------------------------------------------------------------
# BLOQUEAR ALGUNA CONEXIÓN QUE VIENE DESDE EL INTERNET VIA PPP0.
iptables -A FORWARD -i $NICK_EXTERNA -m state --state NEW,INVALID -j DROP && echo "Regla 026 OK"
#-----------------------------------------------------------------------------
162
# RECHAZA PAQUETES “spoofed”
# ignora direcciones de fuentes evidentemente ilegales
# Rechaza paquetes entrantes pretendiendo que son de dirección de red externa
iptables -A INPUT -s $IP_NICK_EXTERNA -j DROP && echo "Regla 027 OK"
#-----------------------------------------------------------------------------
# Rechaza paquetes entrantes reclamando que son de clase A, B o C. para eth0
iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_A -j DROP && echo "Regla 028 OK"
iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_B -j DROP && echo "Regla 029 OK"
iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_C -j DROP && echo "Regla 030 OK"
# Rechaza paquetes entrantes reclamando que son de clase A, B o C. para eth2
iptables -A INPUT -i $NICK_INTERNA -s $CLASE_A -j DROP && echo "Regla 031 OK"
iptables -A INPUT -i $NICK_INTERNA -s $CLASE_B -j DROP && echo "Regla 032 OK"
iptables -A INPUT -i $NICK_INTERNA -s $CLASE_C -j DROP && echo "Regla 033 OK"
#-----------------------------------------------------------------------------
# Rechazar paquetes de direcciones SOURSE en broadcast. para eth0
iptables -A INPUT -i $NICK_EXTERNA -s $BROADCAST_DESTINO -j DROP && echo "Regla 034 OK"
iptables -A INPUT -i $NICK_EXTERNA -d $BROADCAST_FUENTE -j DROP && echo "Regla 035 OK"
# Rechazar paquetes de direcciones SOURSE en broadcast. para eth2
iptables -A INPUT -i $NICK_INTERNA -s $BROADCAST_DESTINO -j DROP && echo "Regla 036 OK"
iptables -A INPUT -i $NICK_INTERNA -d $BROADCAST_FUENTE -j DROP && echo "Regla 037 OK"
#-----------------------------------------------------------------------------
# Rechaza clase D direcciones multicast para eth0
163
iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_D -j DROP && echo "Regla 038 OK"
# Rechaza clase D direcciones multicast para eth2
iptables -A INPUT -i $NICK_INTERNA -s $CLASE_D -j DROP && echo "Regla 039 OK"
#-----------------------------------------------------------------------------
# Rechaza clase E direcciones IP reservadas. para eth0
iptables -A INPUT -i $NICK_EXTERNA -s $CLASE_E -j DROP && echo "Regla 040 OK"
# Rechaza clase E direcciones IP reservadas. para eth2
iptables -A INPUT -i $NICK_INTERNA -s $CLASE_E -j DROP && echo "Regla 041 OK"
#-----------------------------------------------------------------------------
# Rechaza direcciones especiales definida por la IANA.
# 0.*.*.* - Can't be blocked for DHCP users.
# 127.*.*.* - LoopBack
# 169.254.*.* - Link Local Networks
# 192.0.2.* - TEST-NET
# 224-255.*.*.* - Clases D & E, plus no localizada.
# para eth0
iptables -A INPUT -i $NICK_EXTERNA -s 0.0.0.0/8 -j DROP && echo "Regla 042 OK"
iptables -A INPUT -i $NICK_EXTERNA -s 127.0.0.0/8 -j DROP && echo "Regla 043 OK"
iptables -A INPUT -i $NICK_EXTERNA -s 169.254.0.0/16 -j DROP && echo "Regla 044 OK"
iptables -A INPUT -i $NICK_EXTERNA -s 192.0.2.0/24 -j DROP && echo "Regla 045 OK"
iptables -A INPUT -i $NICK_EXTERNA -s 224.0.0.0/3 -j DROP && echo "Regla 046 OK"
# para eth1
164
iptables -A INPUT -i $NICK_DMZ -s 0.0.0.0/8 -j DROP && echo "Regla 047 OK"
iptables -A INPUT -i $NICK_DMZ -s 127.0.0.0/8 -j DROP && echo "Regla 048 OK"
iptables -A INPUT -i $NICK_DMZ -s 169.254.0.0/16 -j DROP && echo "Regla 049 OK"
iptables -A INPUT -i $NICK_DMZ -s 192.0.2.0/24 -j DROP && echo "Regla 050 OK"
iptables -A INPUT -i $NICK_DMZ -s 224.0.0.0/3 -j DROP && echo "Regla 051 OK"
# para eth2
iptables -A INPUT -i $NICK_INTERNA -s 0.0.0.0/8 -j DROP && echo "Regla 052 OK"
iptables -A INPUT -i $NICK_INTERNA -s 127.0.0.0/8 -j DROP && echo "Regla 053 OK"
iptables -A INPUT -i $NICK_INTERNA -s 169.254.0.0/16 -j DROP && echo "Regla 054 OK"
iptables -A INPUT -i $NICK_INTERNA -s 192.0.2.0/24 -j DROP && echo "Regla 055 OK"
iptables -A INPUT -i $NICK_INTERNA -s 224.0.0.0/3 -j DROP && echo "Regla 056 OK"
#-----------------------------------------------------------------------------
# TRÁFICO LAN -- WAN
# *******************
#-----------------------------------------------------------------------------
# Todo Tráfico interno es externamente enmascarado.
iptables -t nat -A POSTROUTING -o $NICK_EXTERNA -j MASQUERADE #SNAT --to $IPPUBLICOS && echo "Regla 057 OK"
#-----------------------------------------------------------------------------
# Enmascaramiento de la NICK_INTERNA y NICK_DMZ hacia la NICK_EXTERNA
iptables -t nat -A POSTROUTING -s $TODA_SUBRED_LAN -o $NICK_EXTERNA -j SNAT --to $IPPUBLICOS && echo "Regla 058 OK"
iptables -t nat -A POSTROUTING -s $IP_SERVIDOR_SIAF -o $NICK_EXTERNA -j SNAT --to $IPPUBLICOS && echo "Regla 059 OK"
#-----------------------------------------------------------------------------
165
# HTTP (cliente) REdireccionar puerto 80
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 80 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 060 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --sport 80 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 061 OK"
#-----------------------------------------------------------------------------
# HTTPS (cliente) PREnateo puerto 443
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 443 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 062 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 443 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 063 OK"
#-----------------------------------------------------------------------------
# Permite todo paquete interno fuera de nuestra red.
iptables -A FORWARD -m state --state NEW,ESTABLISHED -i $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 064 OK"
#-----------------------------------------------------------------------------
# POP (cliente) PREnateo puerto 110
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 110 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 065 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 110 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 066 OK"
#-----------------------------------------------------------------------------
# IMAP cliente (143)
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 143 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 067 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 143 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 068 OK"
#-----------------------------------------------------------------------------
# SMTP cliente (25)
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 25 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 069 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 25 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 070 OK"
166
#-----------------------------------------------------------------------------
# TELNET cliente (23)
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 23 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 071 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 23 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 072 OK"
#-----------------------------------------------------------------------------
# FTP cliente (21)
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 21 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 073 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 21 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 074 OK"
#-----------------------------------------------------------------------------
# IRC cliente (6667)
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 6667 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 075 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 6667 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 076 OK"
#-----------------------------------------------------------------------------
# ICQ cliente (4000)
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 4000 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 077 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 4000 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 078 OK"
#-----------------------------------------------------------------------------
# DNS servidor de nombres solo-forward
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -p tcp --dport 21 -o $NICK_EXTERNA -j ACCEPT && echo "Regla 079 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport 21 -o $NICK_INTERNA -s $TODA_SUBRED_LAN -j ACCEPT && echo "Regla 080 OK"
#-----------------------------------------------------------------------------
# Usuarios con NICK_DISPOSITIVO MODEM "ppp0".
167
iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to $IP_NICK_EXTERNA && echo "okey 4" && echo "Regla 081 OK"
#-----------------------------------------------------------------------------
# TRÁFICO LAN -- DMZ
# ******************
#-----------------------------------------------------------------------------
# Accediendo al servidor SIAF del H.E.P
iptables -A FORWARD -s $SR_MANUEL_VALERA -d $IP_SERVIDOR_SIAF -p tcp -j ACCEPT && echo "Regla 082 OK"
iptables -A FORWARD -s $SR_LUIS_CABEZAS -d $IP_SERVIDOR_SIAF -p tcp -j ACCEPT && echo "Regla 083 OK"
iptables -A FORWARD -s $SR_PERCY_ATAURIMA -d $IP_SERVIDOR_SIAF -p tcp -j ACCEPT && echo "Regla 084 OK"
iptables -A FORWARD -s $SRA_STEPHANY_GUILLEN -d $IP_SERVIDOR_SIAF -p tcp -j ACCEPT && echo "Regla 085 OK"
iptables -A FORWARD -s $IP_SERVIDOR_SIAF -d $TODA_SUBRED_LAN -p tcp -j ACCEPT && echo "Regla 086 OK"
#-----------------------------------------------------------------------------
# Accediendo al servidor Asistencial del H.E.P (Novel)
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_ASISTENCIAL -p tcp -j ACCEPT && echo "Regla 087 OK"
iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_ASISTENCIAL -d $TODA_SUBRED_LAN -p tcp -j ACCEPT && echo "Regla 088 OK"
#-----------------------------------------------------------------------------
# Accediendo al servidor de Correo del H.E.P
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_CORREO -p tcp -j ACCEPT && echo "Regla 089 OK"
iptables -A FORWARD -i $NICK_INTERNA -d $IP_SERVIDOR_CORREO -p tcp --dport 25 -j ACCEPT && echo "Regla 090 OK"
iptables -A FORWARD -i $NICK_DMZ -d $TODA_SUBRED_LAN -p tcp --sport 25 -j ACCEPT && echo "Regla 091 OK"
iptables -A FORWARD -i $NICK_INTERNA -d $IP_SERVIDOR_CORREO -p tcp --dport 110 -j ACCEPT && echo "Regla 092 OK"
iptables -A FORWARD -i $NICK_DMZ -d $TODA_SUBRED_LAN -p tcp --sport 110 -j ACCEPT && echo "Regla 093 OK"
168
iptables -A FORWARD -i $NICK_INTERNA -d $IP_SERVIDOR_CORREO -p tcp --dport 143 -j ACCEPT && echo "Regla 094 OK"
iptables -A FORWARD -i $NICK_DMZ -d $TODA_SUBRED_LAN -p tcp --sport 143 -j ACCEPT && echo "Regla 095 OK"
iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_CORREO -d $TODA_SUBRED_LAN -p tcp -j ACCEPT && echo "Regla 096 OK"
iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --dport 25 -j DNAT --to $IP_SERVIDOR_CORREO:25 && echo "Regla 097 OK"
iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --dport 110 -j DNAT --to $IP_SERVIDOR_CORREO:110 && echo "Regla 098 OK"
iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --dport 143 -j DNAT --to $IP_SERVIDOR_CORREO:143 && echo "Regla 099 OK"
#-----------------------------------------------------------------------------
# Accediendo al servidor Personal del H.E.P
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_PERSONAL -p tcp -j ACCEPT && echo "Regla 100 OK"
#-----------------------------------------------------------------------------
# Accediendo al servidor de Logística del H.E.P
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_LOGISTICA -p tcp -j ACCEPT && echo "Regla 101 OK"
iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_LOGISTICA -d $TODA_SUBRED_LAN -p tcp -j ACCEPT && echo "Regla 102 OK"
#-----------------------------------------------------------------------------
# Accediendo al servidor Datos del H.E.P
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_DATOS -p tcp -j ACCEPT && echo "Regla 103 OK"
iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_DATOS -d $TODA_SUBRED_LAN -p tcp -j ACCEPT && echo "Regla 104 OK"
iptables -A FORWARD -i $NICK_INTERNA -s $TODA_SUBRED_LAN -d $IP_SERVIDOR_DATOS -p tcp --dport 23 -j ACCEPT && echo "Regla 105 OK"
#-----------------------------------------------------------------------------
# permite el paso de cualquier IP de la intranet que consulte el DNS, ya sea por protocolo tcp o udp
iptables -A FORWARD -s $TODA_SUBRED_LAN -i $NICK_INTERNA -p tcp --dport 53 -j ACCEPT && echo "Regla 106 OK"
iptables -A FORWARD -s $TODA_SUBRED_LAN -i $NICK_INTERNA -p udp --dport 53 -j ACCEPT && echo "Regla 107 OK"
169
#-----------------------------------------------------------------------------
# En la respuesta del DNS traduce la IP de destino hacia la intranet
iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --sport 53 -j DNAT --to-destination $IP_NICK_INTERNA && echo "Regla 108 OK"
iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p udp --sport 53 -j DNAT --to-destination $IP_NICK_INTERNA && echo "Regla 109 OK"
#-----------------------------------------------------------------------------
# TRÁFICO WAN -- DMZ
# ******************
#-----------------------------------------------------------------------------
# salida del server SIAF al MEF
iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_PERSONAL -o $NICK_EXTERNA -p tcp -j ACCEPT && echo "Regla 110 OK"
iptables -A FORWARD -i $NICK_EXTERNA -o $NICK_DMZ -s $IP_SERVIDOR_PERSONAL -p tcp -j ACCEPT && echo "Regla 111 OK"
iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --sport 970:1090 -j DNAT --to-destination $IP_NICK_DMZ && echo "Regla 112 OK"
#-----------------------------------------------------------------------------
# salida del server correo al proveedor
iptables -A FORWARD -i $NICK_DMZ -s $IP_SERVIDOR_CORREO -p tcp --dport $P_CORREO -o $NICK_EXTERNA -j ACCEPT && echo "Regla 113 OK"
iptables -A FORWARD -i $NICK_EXTERNA -p tcp --dport $P_CORREO -o $NICK_DMZ -s $IP_SERVIDOR_CORREO -j ACCEPT && echo "Regla 114 OK"
iptables -t nat -A PREROUTING -i $NICK_EXTERNA -p tcp --sport $P_CORREO -j DNAT --to-destination $IP_NICK_DMZ && echo "Regla 115 OK"
#-----------------------------------------------------------------------------
# Guardamos felizmente todo lo anterior escrito solamente
# ********************************************************
#-----------------------------------------------------------------------------
/etc/init.d/network stop
170
rm -f /etc/sysconfig/iptables
iptables-save
/etc/init.d/iptables save
chkconfig --level 2345 iptables on
/etc/init.d/network start
clear
#-----------------------------------------------------------------------------
#/etc/init.d/iptables panic
#-----------------------------------------------------------------------------
#
#-----------------------------------------------------------------------------
Ejecución de los comandos [root/HEP]# sh final-script
Logramos configurar y poner en funcionamiento nuestro firewall, en tal caso guardamos en nuestro archivo de configuración explicado en la siguiente parte. Ejecutando:, podemos visualizar las reglas cargadas [root/HEP]# iptables –L -n: Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00 DROP all -- 162.192.5.6 0.0.0.0/0 DROP all -- 10.0.0.0/8 0.0.0.0/0 DROP all -- 172.16.0.0/12 0.0.0.0/0 DROP all -- 192.168.0.0/16 0.0.0.0/0 DROP all -- 10.0.0.0/8 0.0.0.0/0 DROP all -- 172.16.0.0/12 0.0.0.0/0 DROP all -- 192.168.0.0/16 0.0.0.0/0
171
DROP all -- 255.255.255.255 0.0.0.0/0 DROP all -- 0.0.0.0/0 0.0.0.0 DROP all -- 255.255.255.255 0.0.0.0/0 DROP all -- 0.0.0.0/0 0.0.0.0 DROP all -- 224.0.0.0/4 0.0.0.0/0 DROP all -- 224.0.0.0/4 0.0.0.0/0 DROP all -- 240.0.0.0/5 0.0.0.0/0 DROP all -- 240.0.0.0/5 0.0.0.0/0 DROP all -- 0.0.0.0/8 0.0.0.0/0 DROP all -- 127.0.0.0/8 0.0.0.0/0 DROP all -- 169.254.0.0/16 0.0.0.0/0 DROP all -- 192.0.2.0/24 0.0.0.0/0 DROP all -- 224.0.0.0/3 0.0.0.0/0 DROP all -- 0.0.0.0/8 0.0.0.0/0 DROP all -- 127.0.0.0/8 0.0.0.0/0 DROP all -- 169.254.0.0/16 0.0.0.0/0 DROP all -- 192.0.2.0/24 0.0.0.0/0 DROP all -- 224.0.0.0/3 0.0.0.0/0 DROP all -- 0.0.0.0/8 0.0.0.0/0 DROP all -- 127.0.0.0/8 0.0.0.0/0 DROP all -- 169.254.0.0/16 0.0.0.0/0 DROP all -- 192.0.2.0/24 0.0.0.0/0 DROP all -- 224.0.0.0/3 0.0.0.0/0 Chain FORWARD (policy DROP) target prot opt source destination DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00 DROP all -- !192.168.1.0/24 0.0.0.0/0 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:80 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp spt:80 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:443 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:443 ACCEPT all -- 192.168.1.0/24 0.0.0.0/0 state NEW,ESTABLISHED ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:110 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:110 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:143 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:143 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:25 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:25 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:23 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:23
172
ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:21 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:21 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:6667 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:6667 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:4000 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:4000 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:21 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:21 ACCEPT tcp -- 192.168.1.65 192.168.1.7 ACCEPT tcp -- 192.168.1.66 192.168.1.7 ACCEPT tcp -- 192.168.1.67 192.168.1.7 ACCEPT tcp -- 192.168.1.68 192.168.1.7 ACCEPT tcp -- 192.168.1.7 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 192.168.1.2 ACCEPT tcp -- 192.168.1.2 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 192.168.1.3 ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:25 ACCEPT tcp -- 0.0.0.0/0 192.168.1.0/24 tcp spt:25 ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:110 ACCEPT tcp -- 0.0.0.0/0 192.168.1.0/24 tcp spt:110 ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:143 ACCEPT tcp -- 0.0.0.0/0 192.168.1.0/24 tcp spt:143 ACCEPT tcp -- 192.168.1.3 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 192.168.1.4 ACCEPT tcp -- 192.168.1.0/24 192.168.1.5 ACCEPT tcp -- 192.168.1.5 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 192.168.1.6 ACCEPT tcp -- 192.168.1.6 192.168.1.0/24 ACCEPT tcp -- 192.168.1.0/24 192.168.1.6 tcp dpt:23 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 192.168.1.0/24 0.0.0.0/0 udp dpt:53 ACCEPT tcp -- 192.168.1.4 0.0.0.0/0 ACCEPT tcp -- 192.168.1.4 0.0.0.0/0 ACCEPT tcp -- 192.168.1.3 0.0.0.0/0 tcp dpt:5338 ACCEPT tcp -- 192.168.1.3 0.0.0.0/0 tcp dpt:5338 Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
173
ahora visualizamos el contenido del archivo de configuración donde rc.d cojerá para cargar en el núcleo las reglas, Ejecutando: [root/HEP]# vi /etc/sysconfig/iptables # Generated by iptables-save v1.3.5 on Wed Feb 27 08:54:00 2008 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A INPUT -s 162.192.5.6 -j DROP -A INPUT -s 10.0.0.0/255.0.0.0 -i eth0 -j DROP -A INPUT -s 172.16.0.0/255.240.0.0 -i eth0 -j DROP -A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -j DROP -A INPUT -s 10.0.0.0/255.0.0.0 -i eth2 -j DROP -A INPUT -s 172.16.0.0/255.240.0.0 -i eth2 -j DROP -A INPUT -s 192.168.0.0/255.255.0.0 -i eth2 -j DROP -A INPUT -s 255.255.255.255 -i eth0 -j DROP -A INPUT -d 0.0.0.0 -i eth0 -j DROP -A INPUT -s 255.255.255.255 -i eth2 -j DROP -A INPUT -d 0.0.0.0 -i eth2 -j DROP -A INPUT -s 224.0.0.0/240.0.0.0 -i eth0 -j DROP -A INPUT -s 224.0.0.0/240.0.0.0 -i eth2 -j DROP -A INPUT -s 240.0.0.0/248.0.0.0 -i eth0 -j DROP -A INPUT -s 240.0.0.0/248.0.0.0 -i eth2 -j DROP -A INPUT -s 0.0.0.0/255.0.0.0 -i eth0 -j DROP -A INPUT -s 127.0.0.0/255.0.0.0 -i eth0 -j DROP -A INPUT -s 169.254.0.0/255.255.0.0 -i eth0 -j DROP -A INPUT -s 192.0.2.0/255.255.255.0 -i eth0 -j DROP -A INPUT -s 224.0.0.0/224.0.0.0 -i eth0 -j DROP -A INPUT -s 0.0.0.0/255.0.0.0 -i eth1 -j DROP -A INPUT -s 127.0.0.0/255.0.0.0 -i eth1 -j DROP -A INPUT -s 169.254.0.0/255.255.0.0 -i eth1 -j DROP -A INPUT -s 192.0.2.0/255.255.255.0 -i eth1 -j DROP -A INPUT -s 224.0.0.0/224.0.0.0 -i eth1 -j DROP -A INPUT -s 0.0.0.0/255.0.0.0 -i eth2 -j DROP -A INPUT -s 127.0.0.0/255.0.0.0 -i eth2 -j DROP -A INPUT -s 169.254.0.0/255.255.0.0 -i eth2 -j DROP -A INPUT -s 192.0.2.0/255.255.255.0 -i eth2 -j DROP -A INPUT -s 224.0.0.0/224.0.0.0 -i eth2 -j DROP
174
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A FORWARD -s ! 192.168.1.0/255.255.255.0 -i eth2 -j DROP -A FORWARD -i eth0 -m state --state INVALID,NEW -j DROP -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --sport 80 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 443 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -m state --state NEW,ESTABLISHED -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 110 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 143 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 143 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 23 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 23 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 21 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 6667 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 6667 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 4000 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 4000 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp --dport 21 -j ACCEPT -A FORWARD -s 192.168.1.65 -d 192.168.1.7 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.66 -d 192.168.1.7 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.67 -d 192.168.1.7 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.68 -d 192.168.1.7 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.7 -d 192.168.1.0/255.255.255.0 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.1.2 -i eth2 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.2 -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.1.3 -i eth2 -p tcp -j ACCEPT -A FORWARD -d 192.168.1.3 -i eth2 -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -m tcp --sport 25 -j ACCEPT -A FORWARD -d 192.168.1.3 -i eth2 -p tcp -m tcp --dport 110 -j ACCEPT -A FORWARD -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -m tcp --sport 110 -j ACCEPT -A FORWARD -d 192.168.1.3 -i eth2 -p tcp -m tcp --dport 143 -j ACCEPT -A FORWARD -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -m tcp --sport 143 -j ACCEPT -A FORWARD -s 192.168.1.3 -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.1.4 -i eth2 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.1.5 -i eth2 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.5 -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -j ACCEPT
175
-A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.1.6 -i eth2 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.6 -d 192.168.1.0/255.255.255.0 -i eth1 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.1.6 -i eth2 -p tcp -m tcp --dport 23 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -p tcp -m tcp --dport 53 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth2 -p udp -m udp --dport 53 -j ACCEPT -A FORWARD -s 192.168.1.4 -i eth1 -o eth0 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.4 -i eth0 -o eth1 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.3 -i eth1 -o eth0 -p tcp -m tcp --dport 5338 -j ACCEPT -A FORWARD -s 192.168.1.3 -i eth0 -o eth1 -p tcp -m tcp --dport 5338 -j ACCEPT -A OUTPUT -o lo -j ACCEPT COMMIT # Completed on Wed Feb 27 08:54:00 2008 # Generated by iptables-save v1.3.5 on Wed Feb 27 08:54:00 2008 *nat :PREROUTING DROP [0:0] :POSTROUTING DROP [0:0] :OUTPUT DROP [0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.3:25 -A PREROUTING -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.1.3:110 -A PREROUTING -i eth0 -p tcp -m tcp --dport 143 -j DNAT --to-destination 192.168.1.3:143 -A PREROUTING -i eth0 -p tcp -m tcp --sport 53 -j DNAT --to-destination 192.168.1.1 -A PREROUTING -i eth0 -p udp -m udp --sport 53 -j DNAT --to-destination 192.168.1.1 -A PREROUTING -i eth0 -p tcp -m tcp --sport 970:1090 -j DNAT --to-destination 192.168.2.1 -A PREROUTING -i eth0 -p tcp -m tcp --sport 5338 -j DNAT --to-destination 192.168.2.1 -A POSTROUTING -o eth0 -j MASQUERADE -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth0 -j SNAT --to-source 162.192.5.7-162.192.5.19 -A POSTROUTING -s 192.168.1.7 -o eth0 -j SNAT --to-source 162.192.5.7-162.192.5.19 -A POSTROUTING -o ppp0 -j SNAT --to-source 162.192.5.6 COMMIT # Completed on Wed Feb 27 08:54:00 2008 # Generated by iptables-save v1.3.5 on Wed Feb 27 08:54:00 2008 *mangle :PREROUTING DROP [0:0] :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] :POSTROUTING DROP [0:0] COMMIT # Completed on Wed Feb 27 08:54:00 2008
176
11.2 - Consideración post-creación y ejecución del script
Se instala una versión más actual de iptables: iptables-1.3.7-2.i386.rpm
Con los siguientes comandos que se instaló el paquete rpm anteriormente
señalado, para nuestro FEDORA CORE 6
Cambiamos los permisos del directorio el ejecutable iptables, los comandos
son:
[root@HEP /]# chmod 700 /etc/rc.d/init.d/iptables
[root@HEP /]# chown 0.0 /etc/rc.d/init.d/iptables
Con este comando podemos actualizar el servicio de iptables, en nuestro
acaso ya tenemos actualizado el iptables:
[root@HEP /]# rpm -Uvh iptables-1.3.7-2.i386.rpm
Por defecto se creó un script /etc/sysconfig/iptables el cual va ser usado por
el script rc.d y tomará las reglas que sean configuradas en ese file, luego
creamos un nuevo Script llamado firewall luego se guarda de la siguiente
manera:
[root@HEP /]# iptables-save
Para trasladar esas nuevas reglas que hemos creado en nuestro Firewall y
siempre después de modificar algunas reglas se deberá hacer lo siguiente:
[root@HEP /]# iptables-save > /etc/sysconfig/iptables,
Luego salvamos la nueva configuración de las reglas en iptables, que por
defecto ya existe un file con el nombre iptables en la ruta que se muestra,
con lo cual se podrá inicializar, detener o reestablecer el iptables como un
servicio más:
[root@HEP /]# /etc/init.d/iptables save
Luego establecemos los niveles de ejecución para los cuales se podrá
habilitar el script con las nuevas reglas creadas, algunos de ellos serán
monousuario, multiusuario, consola de texto o gráficas
[root@HEP /]# chkconfig --level 2345 iptables on Cada vez que reinicie el
servidor Red Hat el script rc.d reestablecerá las reglas almacenadas en
el/etc/sysconfig/iptables
177
11.3 - ANÁLISIS DE RESULTADOS
11.3.1 - SIMPLE SIMULACIÓN CON EL SOFTWARE “PACKET TRACER 4.1” de Cisco System.
Interfase del programa
INTERFACE DEL DISEÑO
178
Diseñaremos la Red ANTIGUA y la MEJORADA y simularemos una
comunicación en Red.
DISEÑO: RED ANTIGUA
_____________________________________________________________
Al ejecutar esta configuración vemos como las PC que están con la llama
roja nos indica que reciben paquetes que no es necesario que reciban
gracias a una mala configuración de Hub Switch, ya que el Hub reenvía toda
la información por todos sus puertos excepto por donde entro.
179
DISEÑO: RED MEJORADA
_____________________________________________________________
En esta red mejorada, vemos como cada host recibe el paquete que es para
el y no saturándose de paquetes descartados gracias a una correcta
configuración Hub-Switch, que proponemos en muestra configuración final
de nuestra SUBRED Mejorada.
180
11.3.2 - Ejecución del Firewall
181
182
183
CAPÍTULO XI
PLAN DE TRABAJO HEP (Preparado y aplicado por el área
De Soporte Informático HEP.)
184
12.1 -Introducción
El Hospital de Emergencias Pediátricas utiliza como una de sus estrategias,
el mejoramiento de la calidad de la atención integral de la salud. Este
compromiso con la sociedad en general, y con el paciente en particular,
impone un reto que para todos los servicios involucrados en el que hacer de
la salud; de entre los cuales no escapa el servicio de conservación y
mantenimiento que debe brindarse a las instalaciones físicas y equipos
informáticos, Aunque estén lejos naturalmente de la Línea Médica, impone
un papel preponderante en la calidad de servicio a la ciudadanía Por esta
razón, todo buen gerente hospitalario, conociendo los beneficios que
produce implementar un adecuado programa de Mantenimiento de Equipos Informáticos (MEI), debe apoyar y propiciar las condiciones para
ejecutar un programa de MEI de calidad.
Este documento implica un mantenimiento a equipos de informática y a su
INTRANET de Datos, esto incluye todos los tipos de estaciones de trabajo,
anexos y sus recursos que podrían existir, así mismo el trámite
administrativo que podría culminar cualquier servicio. Estos son:
Computadores de ingresos de
datos.
Computadores de personal
administrativo.
Computadores Asistenciales
Computadores en áreas críticas.
Computadores Servidores de
Aplicaciones
Impresoras en áreas asistenciales
Impresoras en áreas
administrativas
Impresoras en áreas críticas
Impresoras servidoras
Supresores de picos
Estabilizadores híbridos y sólidos
UPS
Monitores
Hubs
Switcher
Scanners
La Intranet H.E.P.
La subred H.E.P.
185
12.2 - Objetivos a alcanzar Nuestro objetivo esta enfocado al tratamiento de la informática, sus recursos
y su respaldo hacia las actividades para la que se ha utilizado y domina así
mismo para sistemas no informáticos pero que dependen de ello.
La misión de este servicio es concretar objetivos, gestionar recursos, y
ayudar a la institución a lograr sus metas con comodidad y seguridad
sobretodo con efectividad y a la vanguardia de la tecnología
Los Mantenimientos realizados alargarán la vida útil de cada equipo
informático destinado a uso y manejo hacia el usuario, así se hará efectivo el
servicio y coste del hospital por ello.
12.3 - Metodología a utilizar La metodología a utilizar esta basada en un conjunto de sistemas que harán
de nuestro servicio el más eficiente, estos sistemas son:
Sistemática
Controlada
Empírica
Crítica
Sistemática porque nuestro servicio esta orientados a procesos como son
las ejecución de las rutinas de mantenimiento preventivo & correctivo y
sistemas como los programas de toma de control remoto y manejo de los
servidores Windows así dando un orden en la ejecución de cualquier
Seguridad: Seguridad de los datos y fuentes fidedignas mostradas en el plan de contingencia
Versatilidad: Facilitar a los usuarios al tratamiento de los datos y su canalización hacia ellos
Rapidez: Rapidez en la búsqueda de consultas y bases de datos estadísticas en general
Flexibilidad: Acomodo de los datos y recursos a diferentes usuarios y su facilidad para el acceso
Costos: También nuestro objetivo es demostrarle que su inversión será provechosa en lo que concierne al servicio y así ser recomendados
186
problema y conservando los estándares dando eficiencia en el tiempo de
ejecución y calida del servicio;
Controlada porque cada rutina esta creada para poder tomar el control
totalmente en cualquier momento del proceso y definir nuevos procesos que
se ajusten al mejor beneficio del sistema llevado a cabo, esto da flexibilidad
al proceso y permite tener alternativas de rápida actuación e improvisación
originando soluciones rápidamente;
Empírica porque la experiencia esta basada en las ocurrencias que
diariamente enriquece nuestro bagaje intelectual y de conocimiento, así
conociendo más profundamente la institución, esto repercute y se verá un
tiempo progresivo de disminución en cada atención correspondiente a todo
el servicio en todo el año;
Crítica porque estamos supeditados tomar y examinar en nuestro beneficio
cualquier tipo de crítica constructiva, esto servirá de fortalecimiento a nuestro
servicio, en beneficio de la Institución.
187
12.4 - A continuación describiremos los procedimientos generales de las
rutinas del mantenimiento de equipos informáticos según la metodología
expuesta operaciones normales comprendidas en el servicio para cada
equipo informático, los trabajos y servicios que se detallan a continuación se
consideran incluidos en el mantenimiento, cualquier cambio de pieza o parte
o software, esta será adquirida por el Hospital de Emergencias Pediátricas
RUTINAS DE MANTENIMIENTOS GENERALES PARA HARDWARE DE COMPUTADOR (PC-SERVIDOR)
1. Inspección de condiciones ambientales
2. Inspección externa del equipo *
3. Limpieza integral externa
4. Inspección interna
5. Limpieza integral interna incluye Teclado y Mouse
6. Chequeo de hardware con utilitarios y diagnosticadotes y
comportamientos estadísticos de los dispositivos
7. Se comunicará para su compra el reemplazo de ciertas
partes caso se encontraran errores de Hardware
8. Ajuste y calibración de ser el caso
9. Revisión de seguridad eléctrica
10. Pruebas funcionales completas
11. Sugerir nivel de referencia a tierra
12. Informe respectivo final
RUTINAS DE MANTENIMIENTOS GENERALES PARA SOFTWARE
DE UN COMPUTADOR
1. Inspección de condiciones de operación
2. Inspección del funcionamiento del software y rendimiento
del sistema
3. chequeo de comportamiento de virus informáticos y
eliminación
4. Mantenimiento del sistema de archivos y estructura de
188
directorio
5. Verificación de conflictos de controladores del sistema
6. Verificación del buen funcionamiento de los controladores
del sistema
7. Reinstalación de ciertas aplicaciones de encontrarse fallas
8. Reinstalación del sistema operativo total de encontrarse
fallas graves
9. Revisión de seguridad eléctrica y nivel de referencia a tierra
10. Pruebas funcionales completas
11. Informe respectivo final
RUTINAS DE MANTENIMIENTOS GENERALES PARA
IMPRESORAS
1. Inspección de condiciones ambientales
2. Inspección del funcionamiento de la Impresora
3. Limpieza de Tarjeta Eléctrica (alargamiento de vida de
componentes)
4. En caso de tintas verificación de Inyectores
5. En caso de láser verificación de fusor
6. En caso de Matricial Verificación de impedancias de
bobinas
7. Verificación de los Voltajes de la fuente de poder
8. Verificación de filtros alterados
9. Desmontaje y limpieza de todo el sistema mecánico
10. Limpieza de Tarjeta Eléctrica
11. Verificación de buen estado de transistores de conmutación
12. Sugerir Nivel de Referencia a Tierra
13. Informe respectivo final
RUTINAS DE MANTENIMIENTOS GENERALES PARA SUPRESORES DE PICOS
1. Inspección de condiciones ambientales
2. Inspección de correcto funcionamiento de contactos
189
3. Inspección del filtro interno
4. Limpieza interna integral del dispositivo
5. Inspección de interruptor de encendido
6. Inspección de recalentamiento
7. Sugerir nivel de referencia a Tierra
8. Informe respectivo final
RUTINAS DE MANTENIMIENTOS GENERALES PARA
ESTABILIZADORES
1. Inspección de condiciones ambientales
2. Inspección de regulación de voltaje de entrada (Rango
asignado)
3. Inspección de regulación de voltaje de salida (Rango
asignado)
4. En caso de tipo Híbrido revisión de contactores en correcto
estado de funcionamiento
5. En caso de tipo Sólido verificación de disparadores internos
TRIAC
6. Verificación de filtros alterados
7. Verificación correcta de diodos
8. Verificar impedancia del transformador
9. Inspección de sobrecarga de estabilizadores por parte del
usuario
10. Verificación de tomacorrientes en buenos contactos
11. Sugerir nivel de referencia a tierra
12. Informe respectivo final
RUTINAS DE MANTENIMIENTOS GENERALES PARA UPS
1. Inspección de condiciones ambientales
2. Verificación de regulación de voltaje de salida (Rango
asignado)
3. Inspección interna y limpieza integral
4. Verificación de baterías malogradas
190
5. Verificación de filtros alterados
6. Inspección de sobrecarga de UPS por parte del usuario
7. Verificación de tomacorrientes en buenos contactos
8. Informe respectivo final
RUTINAS DE MANTENIMIENTOS GENERALES PARA MONITORES
1. Inspección de condiciones ambientales
2. Inspección externa del equipo *
3. Limpieza integral externa
4. Inspección interna
5. Desarmado total de monitor y limpieza integral
6. Chequeo de FLYBACK
7. Resoldado de placa principal y lógica de video
8. Verificación en continuidad en diodos y rectificadores
9. Verificación de filtros alterados
10. Ajuste y calibración de color e imagen
11. Revisión de seguridad eléctrica
12. Pruebas funcionales completas de resolución
13. Sugerir nivel de referencia a tierra
14. Informe respectivo final
RUTINAS DE MANTENIMIENTOS GENERALES PARA HUBS Y
SWITCHES
1. Inspección de condiciones ambientales
2. Inspección externa del equipo
3. Limpieza Externa del equipo
4. Verificación de puntos Ethernet
en óptimas condiciones y marcar los malos
5. Colocar numeración o identificación a los puntos
conectados
6. Revisión de seguridad eléctrica
7. Sugerir nivel de referencia a Tierra
8. Informe respectivo final
191
RUTINAS DE MANTENIMIENTOS GENERALES PARA EL
CABLEADO ESTRUCTURADO
Verificación de la categoría de cada punto forma de conexión y
distribución de cables par trenzado
Verificación de antigüedad de los cables y su estado de
conservación
Verificar si su trayectoria es la correcta y rehacer el tendido si
hubiese alguna anomalía en el tendido del cable
Verificación de los puertos del Switch y su comunicación
continua hacia los servidores y estaciones de trabajo
Verificación y limpieza de los conectores RJ45
Reorganizar la distribución de los conectores en el PANEL y su
correcto etiquetado de cada punto
RUTINAS DE MANTENIMIENTOS GENERALES PARA SCANERS Y WEBCAMS
1. Inspección de condiciones ambientales
2. Limpieza externa del Equipo
3. Verificación de puerto de comunicación
4. Calibración de Lámpara
5. Configuración de drivers en el S.O.
6. Informe respectivo final
RUTINAS DE MANTENIMIENTOS GENERALES PARA LOS
SISTEMAS OPERATIVOS DE LOS SERVIDORES
El mantenimiento de un servidor depende de su Sistema Operativo en
caso de:
LINUX.- Se establecerá procesos solo para las aplicaciones y servicios
brindados y borrado de temporales, en la protección del sistema se
instalará y periódicamente se realizará ejecución de antivirus.
Optimización del sistema Firewall.y Proxy.
NOVEL.- Se establecerá rutinas de borrados de archivos temporales y
archivos suprimidos tanto como reorganización a una buena estructura
192
de los usuarios y políticas de seguridad y derechos para los usuarios.
Se realizarán periódicamente backup de los sistemas y archivos de los
usuarios., Se realizará actualización de antivirus.
WINDOWS.- Se realizará defragmentación de las particiones así como
borrados de archivos suprimidos y temporales, actualización de
antivirus, actualización del sistema operativo y parches service pack,
se realizarán periódicamente backup de los archivos de usuario y de
sistemas.
MANTENIMIENTO PREVENTIVO/CORRECTIVO DE EQUIPOS
INFORMÁTICOS
Se realizará el mantenimiento a los equipos e impresoras en
procedimientos según el cronograma de actividades realizados según
el equipo y la tecnología a tratar así mismo se tendrá en cuenta nuestra
experiencia en componentes electrónicos con tiempo de vida a finalizar
y tecnologías delicadas a la corriente estática, el mantenimiento
preventivo solo será de Limpieza de piezas, ajustes, diagnóstico de
posibles fallas futuras, y mantenimiento de sistemas efectuados en un
equipo o instalación a fin de minimizar el riesgo de fallo y asegurar la
continua operación de los mismos, logrando de esta manera extender
su vida media. Esto incluye el cuidado periódico que debe realizar el
propio operador del equipo, como protección del medio básicamente y
correcta operación del equipo.
193
12.5 - Organización del mantenimiento de equipos informáticos en el hospital
de emergencias pediátricas
Generalidades
para asegurar que el servicio brindado en el hospital de Emergencias
Pediátricas sea continuo y eficaz, y adicionalmente se optimice el
rendimiento de los equipos informáticos, es necesario disponer de un
sistema que sea capaz de gerenciar programas de conservación y
mantenimiento de los recursos físicos, acorde con el desarrollo y
necesidades de los mismos, y que sea parte integral del sistema de salud
considerado como un todo, además el sistema de mantenimiento de equipos
informáticos, además debe ser consistente con los recursos y políticas de la
institución.
En el nivel central, el supervisor solo dependerá de la unidad de Estadística
e Informática, habrá fluidez de conversación entre el departamento de
Estadística e informática y los técnicos de soporte informático. El área de
Soporte Técnico Informático emitirá los informes respectivos después de
cada servicio dirigido solo a la unidad de Estadística e Informática al jefe a
cargo.
Estructura y organización del mantenimiento de equipos informáticos.
El sistema de Mantenimiento Preventivo General constará de TRES (3)
rutinas de ejecución
Se realizará el mantenimiento a los equipos e impresoras en procedimientos
según el cronograma de actividades El mantenimiento preventivo se convertiría en correctivo si durante el procedimiento originaría algún
cambio de repuesto inmediato o a corto plazo.
194
12.5.1 - Mantenimiento preventivo de equipos informáticos
Inicio MEI(p)
Ejecutar la ordenprogramada
Desplazar el equipo al tallery ejecutar el mantenimiento
Registrar el tiempodel mantenimiento
Anotar cualquieranomalia encontrada
Realizar pruebasdel equipo
Pedir autorización al usuario paradesplazar el equipo, le otorgan?
realizar pruebas de estadoy verificación e informar a
usuario de las mismas
Limpieza y ordenamientodel lugar de trabajo
Desplazar el equipo a launidad (caso sea en taller)
Firma del reporte demantenimiento por el usuario
el equipo requiere dealgun repuesto?
Fin
RUTINA DE MANTENIMIENTO PREVENTIVO H.E.P.
si
si
Informar a la unidad deestadística e informática
informa si esdesplazado el equipo
si
Ejecutar elmantenimiento in situ
Si el equipo requiererepuesto se convierte enmantenimiento correctivo
MEI(c)
K
H
195
12.5.2 - Mantenimiento correctivo de equipos informáticos
De acuerdo al programa de mantenimiento preventivo. Cualquiera que
sea la manera, todo mantenimiento correctivo debe iniciar en el
cronograma de actividades. A continuación se presenta el diagrama de
flujo:
MEI(c)
RUTINA DE MANTENIMIENTO CORRECTIVO H.E.P.
Es posible reparar elrepuesto defectuoso
si
Cuenta con elrepuesto almacén
Solicítelo y ejecuteel cambio
Son adquiribles?
si
Realice la prueba defuncionamiento y cerciórese
de la calidad del trabajo
Espere hasta que launidad de Estadística eInformática lo adquiera
Recomiendebaja del equipo
H
K
VIENE DELMANTENIMIENTO
PREVENTIVO
si
Generar informetécnico
196
12.5.3 - Mantenimiento de servidores (hardware)
Los mantenimientos de los servidores constan de rutinas
especializadas que se han descrito anteriormente, los diagramas de
mantenimiento para equipos críticos de servicios
Inicio MEI(s)
Inspeccione, revise estado ymagnitud del trabajo solicitado
Recibir orden detrabajo
Verificar inventario
Analizar elSistema Operativo
Cuenta el servidor conun respaldo en paralelo?
Verificar el hardwaredespues de apagado
Ejecutar el servicio demantenimiento general
para servidores
RUTINA DE MANTENIMIENTO PREVENTIVO/CORRECTIVOSERVIDORES H.E.P.
El servidor es decaracter crítico
Coordinar fecha,hora y tiempo de
demora paraapagar el
servidor enhoras de muybajo uso de
recursos
Puesta en linea yactualización de base de
datos del controladorbackup
Fin
si
si
197
12.6 - Planeamiento del servicio
12.6.1 - Cronograma de actividades, análisis y cálculo
El mantenimiento a computadores se realizará por área:
Según las bases anexo “A” se tiene un total de 103 computadores y 54
impresoras en general, los he dividido de tal forma que sea más fácil el
mantenimiento en los siguientes grupos:
Asistenciales (farmacia, Admisión, Caja) 6 computadores
El área asistencial cuenta con 6 computadores:
2-Cajas, 1-Adm., 3-Farmacia, A estos computadores se les realizará el
mantenimiento trimestral, se tomará en cuenta una computador de
Reten para que este servicio no quede desamparado.
Se aprovechará los días que una de estas puede abastecer para que
recargue el trabajo momentáneamente caso no exista computador
Reten
Jefaturas (jefaturas de áreas) 23 computadores
A estos usuarios se les realizará el mantenimiento semestralmente
previa coordinación con los usuarios respectivos
Usuarios finales 79 computadores (aproximadamente)
A estos usuarios se les realizará un mantenimiento semestralmente
previa coordinación con los usuarios respectivos o sus jefaturas
198
La cantidad de equipos de cómputo a realizar el mantenimiento;
asumiendo 103 computadores promedio más 54 impresoras
(103+54=157) pero como todos tienen una frecuencia de dos veces
por año y agregándole el 20% más de productividad, nos da una
cantidad relativa de PC (103*1.2 + 54)*2=355.2 Equipos informáticos
anualmente, reportando el mantenimiento o avance trimestralmente;
es el siguiente:
1 año = 4 trimestres; y son 103 computadores + 54 impresoras con
frecuencias de dos veces por año y 20% mas de productividad
requerida por la oficina de estadística e informática
=355.2 equipos anualmente y entre 260 días útiles del año
Diariamente nuestra constante de mantenimiento es de 355.2/260=~
1.37 PC’s por día, así nuestra constante diferencial será de = 1.3
PC’s/Día
Antidiferenciando nuestra constante nos dará una regla que
utilizaremos para registrar el avance del mantenimiento a los
equipos:
#PC’s= 1.3 (día) + C,
“C” viene a ser la cantidad de equipos que por ser nuevos o en
garantía no se realizarán el mantenimiento, esto se calculará en el
primer día de trabajo.
Todo el registro se introducirá en una tabla de Excel, así el jefe
superior inmediato a soporte técnico supervisará todo el proceso
todo el tiempo
Se coordinará para que se efectúe el mantenimiento diariamente con
frecuencia de tres Equipos en dos días, así de no descuidar el
servicio a usuarios y otros mantenimientos.
Se entregará cada trimestre un informe correspondiente a todos los
servicios brindados tanto como los mantenimientos de PC’s e
Impresoras.
199
Mantenimiento de la intranet (sub-red)
La estructura de la intranet del hospital de emergencias pediátricas esta
a la actualidad de los estándares internacionales para cableado
estructurado, la categoría 5e para el cableado y velocidades de
transmisión de paquetes de 100tx en mbps, rigen en la intranet, eso
conlleva a tomar todas las precauciones en los mantenimientos
preventivos y correctivos y la asistencia técnica
Mantenimiento a puntos de red:
El cambio de cada conector debe hacerse después de dos años, en
este sentido cada cambio será analizado por el técnico.
Los conectores se cambiarán de acuerdo al avance del mantenimiento
de las pc’s
Las instalaciones de nuevos puntos se harán en forma planificada para
no afectar mantenimientos importantes
El mantenimiento del cableado estructurado
Se hará conjuntamente con los mantenimientos preventivos de los
computadores y servidores, en caso cuando se aproveche en el
mantenimiento, este mantenimiento será evaluado por el técnico.
El mantenimiento a las impresoras
El mantenimiento de las impresoras esta incluido en el mantenimiento
de equipos de cómputo.
En el área asistencia como son las impresoras de CAJA, ADMISIÓN,
FARMACIA, se le realizará un mantenimiento cada 15 días por ser
impresoras de uso ininterrumpido previo cambio por una de RETEN
(temporal)
Se Abstendrá del mantenimiento a las impresoras que tengan todavía
garantía de mantenimiento del vendedor o fabricante, el mantenimiento
200
será registrado en hoja de Excel a fin de su control por el jefe inmediato
superior de la unidad de estadística e informática
El mantenimiento a los monitores
A los monitores se les realizará su mantenimiento preventivo a partir del
modelo de fabricación con 2 años de antigüedad tanto para las marcas
Samsung y LG o GOLDSTAR
Se incluirá revisión del Monitor en cada mantenimiento así no
afectamos en dos veces al usuario.
El mantenimiento a los UPS
No se les realizará el mantenimiento preventivo a los UPS que cuenten
con garantía de fabricante o vendedor todavía
Se incluirá un UPS para mantenimiento preventivo cada 15 días
El mantenimiento a los estabilizadores
Se les realizará el mantenimiento preventivo a los estabilizadores
aprovechando el mantenimiento a los computadores y también cuando
lo requieran
El mantenimiento a los switch y Hub
Se realizará el mantenimiento superficial así como conectores internos
cada 6 meses
201
12.6.2 - CRONOGRAMA DE ACTIVIDADES Ejecución
PRIMER TRIMESTRE COMPUTADORES A REALIZARLES MANTENIMIENTO #PC’s= 1.3 (día) + C En un trimestre existen 260/4 dias = 65 dias #PC’s= 1.3 (65) + C 84.5 TOTAL ACCESORIOS DE PC A REALIZARLES MANTENIMIENTO
IMPRESORAS A REALIZARLES MANTENIMIENTO
GENERACION DE REPORTE TRIMESTRAL SEGUNDO TRIMESTRE COMPUTADORES A REALIZARLES MANTENIMIENTO #PC’s= 1.3 (día) + C En un trimestre existen 260/4 dias = 65 dias #PC’s= 1.3 (65) + C 169 TOTAL. ACCESORIOS DE PC A REALIZARLES MANTENIMIENTO
IMPRESORAS A REALIZARLES MANTENIMIENTO
GENERACION DE REPORTE TRIMESTRAL TERCER TRIMESTRE COMPUTADORES A REALIZARLES MANTENIMIENTO #PC’s= 1.3 (día) + C En un trimestre existen 260/4 dias = 65 dias #PC’s= 1.3 (65) + C 253.5 TOTAL ACCESORIOS DE PC A REALIZARLES MANTENIMIENTO
IMPRESORAS A REALIZARLES MANTENIMIENTO
GENERACION DE REPORTE TRIMESTRAL CUARTO TRIMESTRE COMPUTADORES A REALIZARLES MANTENIMIENTO #PC’s= 1.3 (día) + C En un trimestre existen 260/4 dias = 65 dias #PC’s= 1.3 (65) + C 338 TOTAL ACCESORIOS DE PC A REALIZARLES MANTENIMIENTO
IMPRESORAS A REALIZARLES MANTENIMIENTO
GENERACION DE REPORTE TRIMESTRAL
Los equipos se escogerán de acuerdo a como estén dispuestos por los
usuarios, constante C hallada en el inicio del servicio.
202
12.7 - Planeamiento de los recursos
Recursos requeridos:
Una vez que conocemos el objetivo del departamento de mantenimiento,
entonces los recursos necesarios e indispensables para lograrlo serían:
Recursos humanos:
Supervisor: asignado por licitación publica en concurso
Técnicos: asignado por licitación publica en concurso
Se designa a dos técnicos (2) que se encargarán del soporte de acuerdo a
las especificaciones establecidas en la convocatoria
El personal Técnico–Profesional.
Está capacitado en ensamblaje, mantenimiento y reparación de
computadoras e Impresoras, experto en software de comunicación de datos,
experto en administración e implementación de redes, los mismos que
acudirán de inmediato cuando sean solicitados, coordinando con el titular
encargado.
El Personal cuenta con conocimiento de Redes NOVEL y MICROSOFT así
como LINUX, SQL Server
El personal cuenta con técnicos de vasta experiencia en impresoras de
todos los modelos MATRICIAL, TINTA, LASER
Los servicios de mantenimiento preventivo y correctivo para las
computadoras, impresoras y demás servicios, se realizarán en las
instalaciones del HEP
Horario de trabajo.
Realización de estos servicios se realizarán todos los días de la semana, de
Lunes a Viernes, en el horario que estipula las bases que constan de lunes a
203
viernes y nueve horas diaria, previa coordinación con el Jefe superior
inmediato.
Funciones
Supervisor: asignado por licitación publica en concurso
Funciones del Supervisor del centro de cómputo
Dirigir, evaluar y controlar el funcionamiento de los equipos de
cómputo, servidores de aplicación, Web y comunicaciones, de la red
de la Institución
Planificar, dirigir, controlar y ejecutar las actividades de instalación,
mantenimiento y optimización de los sistemas operativos, del
manejador de base de datos, del software de base y de las
comunicaciones;
Llevar registros de fallas, problemas, soluciones, acciones
desarrolladas, respaldos, recuperaciones y trabajos realizados.
Aplicar en forma estricta las normas de seguridad y control
establecidas.
Mantener informado al jefe inmediato sobre el funcionamiento del
centro de cómputo.
Soporte Técnico a usuarios.
El soporte, tanto para los usuarios como para el propio sistema, se ocupa de
seleccionar, instalar y mantener el sistema operativo adecuado, la gestión de
los equipos de proceso informático, el estudio y evaluación de las
necesidades y rendimientos del sistema y, por último, la ayuda directa a
usuarios en caso también fuera del horario.
204
Departamento o área de Soporte Técnico.
Área responsable de la gestión del hardware, software, impresoras
y periféricos en general dentro de las instalaciones del Centro de
Cómputo, entendiendo por gestión estrategia, planificación,
instalación y mantenimiento.
Planificar la modificación e instalación de nuevo software y
hardware.
Evaluar los nuevos paquetes de software y nuevos productos de
hardware.
Dar el soporte técnico necesario para el desarrollo de nuevos
proyectos, evaluando el impacto de los nuevos proyectos en el
sistema instalado.
Asegurar la disponibilidad del sistema, y la coordinación necesaria
para la resolución de los problemas técnicos en su área.
Realizar la coordinación con los usuarios y jefatura proveedor con el
fin de resolver los problemas técnicos y garantizar la instalación de
los productos.
Proponer las notas técnicas y recomendaciones para el uso óptimo
de los sistemas instalados.
Planear, investigar y determinar, en coordinación con las áreas
usuarios, los requerimientos de sistematización y tecnología
informática, así como la asignación de recursos informáticos
Realizar el mantenimiento de las aplicaciones que sean
desarrolladas en la Institución;
Mantener actualizada la documentación de las aplicaciones que
sean desarrolladas en la Institución;
Desarrollar y actualizar periódicamente el modelo de datos lógico y
físico de toda la Institución
Definir la metodología y estándares de desarrollo de las
205
aplicaciones para la Institución;
Apoyar a la unidad de Estadística e Informática en la elaboración
del Planeamiento Estratégico Informático
Capacitar al personal usuario en la utilización de los nuevos
sistemas desarrollados en la Institución;
Configurar, administrar y supervisar las redes locales y/o remotas,
equipos periféricos, así como las diferentes bases de datos de la
Institución;
Administrar, organizar y operar todos los recursos del Centro de
Cómputo y Comunicaciones de la Institución.
Apoyar a la unidad de estadística e informática en la elaboración del
Planeamiento Estratégico
Realizar las copias de respaldo (Back-up) de la información y
procesos de cómputo que se realizan en la Dirección, conforme a
parámetros preestablecidos.
Velar porque el sistema computarizado se mantenga funcionando
apropiadamente y estar vigilante para detectar y corregir fallas en el
mismo.
Elaborar periódicamente informes y estadísticas del sistema de red,
software y hardware;
El personal se reportará a su Jefe superior Inmediato todos los días
a la hora indicada
206
Recursos económicos
El equipo de trabajo no se responsabiliza por ningún costo que pueda ocurrir
en los servicios caso solo negligencia comprobada.
La adquisición de cualquier repuesto será adquirida por el hospital de
Emergencias Pediátricas
Recursos materiales
El equipo cuenta con herramientas para los mantenimientos descritos
anteriormente y serán distribuidas con cada servicio dado, el servicio se
realizará en forma detallada y efectiva con los instrumentos a mención:
Multímetro digital de amplio rango de medición.
Pistola soldadora calibrable.
Utilitarios en general y lo último en diagnosticadotes de
hardware.
Taladro de mano, accesorios.
Desarmadores de todas las medidas y estándares.
Generadores de señales para identificador de cables.
Crimpin ponchadores RJ45 – RJ11 Dos unidades.
Pizarra acrílica para apuntes y trabajos pendientes.
Manuales, programas y utilitarios.
Se proveerá dos (2) computadora PIV en caso de
emergencia urgente a los servicios asistenciales.
Radios de comunicación (local).
Software de control remoto de PC’s y monitoreo.
Equipos para trabajos de taller, montaje, desmontaje,
medición etc.
Equipo de protección para el trabajador.
Documentación técnica consistente en general.
207
12.8 - Planeamiento de contingencia
Seguridad de la información
Acceso no autorizado
Sin adecuadas medidas de seguridad se puede producir accesos no
autorizados a:
Área de Sistemas.
Computadoras personales y/o Terminales de la red.
Información confidencial.
Control de acceso al área de sistemas.
El acceso normal será dado solamente a la gente que regularmente trabaja
en esta área. Cualquier otra persona, de otro modo puede tener acceso
únicamente bajo control.
Se implementará: el acceso al área de soporte informático y sistemas se
identifica en el área de recepción institucional, asignándole un letrero
Acceso limitado a los terminales.
Las restricciones que pueden ser aplicadas, la determinación de los períodos
de tiempo para los usuarios o las terminales, la designación del usuario por
terminal o del terminal por usuario, la limitación del uso de programas para
usuario o terminales y límite de tentativas para la verificación del usuario. Se
establecerán en políticas, permisos y derechos del servidor NOVELL, caso
sistemas WINDOWS en su Active Directory
Control de acceso a la información.
Algunos usuarios o extraños (personal no autorizado) pueden encontrar
alguna forma mediante la cual, logren el acceso al sistema o la base de
datos y descubrir información clasificada o datos no autorizados.
208
Se considera en las rutinas de las políticas seguidas tanto para Windows
2000 y Netware y Linux configuraciones de control.
Revelación o infidencia
La información, que es de carácter confidencial, es vendida a personas
ajenas a la institución. Para tratar de evitar este tipo de problemas se tendrá
en cuenta lo siguiente:
Control del uso de información en paquetes abiertos o cintas y otros
datos residuales
Mantener datos sensitivos fuera del trayecto de la basura
Preparar procedimientos de control para la distribución de información.
Cambios periódicos de contraseñas de forma forzosa
Seguridad en redes
Las funciones de seguridad de red
En el intento de proteger una red de computadoras, existen varias funciones
comunes a las cuales deben dirigirse. La siguiente es una lista de tres
problemas básicos:
La autenticación de cliente y servidor.
La autorización de cliente y servidor
Contabilidad de cliente y servidor
Esto nos dice que se tendrá en cuenta cualquier acceso a un tipo de usuario
a los sistemas y bases de datos deberá contar con las tres anteriormente
mencionadas características de reglas
Protección del servidor
Dada la importancia del servidor y la cantidad de datos que pasan por él, es
necesario efectuar copias de seguridad, del servidor. Cabe recordar que las
copias de seguridad del servidor de archivos son un elemento especialmente
valioso, debiéndose quedar guardados en un lugar cerrado, seguro y con las
condiciones ambientales necesarias. Un conjunto de copias de seguridad se
debe trasladar regularmente a otro lugar seguro (de preferencia otro local).
209
Protegiendo la red
Una posible solución para poder impedir la copia de programas y datos fuera
de la red en disquetes, y que a través de los disquetes ingresen virus y otros
programas dañinos a la red, es dotar a los usuarios vulnerables con
estaciones de trabajo sin floppy disk.
Caso de virus, troyanos, spywares, adwares
Dado el caso crítico de que se presente virus en las computadoras se
procederá a lo siguiente:
Para servidor:
Se contará con antivirus para el sistema que aíslan el virus que ingresa al
sistema llevándolo a un directorio para su pronta investigación
El antivirus muestra el nombre del archivo infectado y quién lo usó.
Estos archivos (exe, com, ovl, nlm, etc.) serán reemplazados del diskett
original de instalación o del backup.
Si los archivos infectados son aislados y aún persiste el mensaje de que
existe virus en el sistema, lo más probable es que una de las estaciones es
la que causó la infección, debiendo retirarla del ingreso al sistema y proceder
a su revisión.
Casos de emergencia para los equipos de cómputo
De las emergencia físicas, error físico de disco de un servidor (sin raid).
Dado el caso crítico de que el disco presenta fallas, tales que no pueden ser
reparadas, se debe tomar las acciones siguientes:
1. Ubicar el disco malogrado.
2. Dar alerta a los usuarios que deben salir del sistema, utilizar mensajes por
red y teléfono a jefes de área.
3. Deshabilitar la entrada al sistema para que el usuario no reintente su
ingreso.
4. Bajar el sistema y apagar el equipo.
210
5. Retirar el disco malo y reponerlo con otro del mismo tipo, formatearlo y
darle partición.
6. Restaurar el último backup en el disco, seguidamente restaurar las
modificaciones efectuadas desde esa fecha a la actualidad.
7. Recorrer los sistemas que se encuentran en dicho disco y verificar su
buen estado.
8. Habilitar las entradas al sistema para los usuarios.
Errores de memoria RAM
En este caso se dan los siguientes síntomas:
El servidor no responde correctamente, por lentitud de proceso o por no
rendir ante el ingreso masivo de usuarios.
Ante procesos mayores se congela el proceso.
Arroja errores con mapas de direcciones hexadecimales.
Es recomendable que el servidor cuente con ECC (error correct checking),
por lo tanto si hubiese un error de paridad, el servidor se auto corregirá.
Todo cambio interno a realizarse en el servidor será fuera de horario de
trabajo fijado por la compañía, a menos que la dificultad apremie, cambiarlo
inmediatamente.
Se debe tomar en cuenta que ningún proceso debe quedar cortado, y se
deben tomar las acciones siguientes, acciones tomadas por nuestro
personal:
1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes
por red y teléfono a jefes de área.
2. El servidor debe estar apagado, dando un correcto apagado del
sistema.
3. Ubicar las memorias malogradas.
4. Retirar las memorias malogradas y reemplazarlas por otras iguales o
similares.
5. Retirar la conexión del servidor con el concentrador, ésta se ubica
211
detrás del servidor, ello evitará que al encender el sistema, los usuarios
ingresen.
6. Realizar pruebas locales, deshabilitar las entradas, luego conectar el
cable hacia el concentrador, habilitar entradas para estaciones en las
cuales se realizarán las pruebas.
7. Probar los sistemas que están en red en diferentes estaciones.
8. Finalmente luego de los resultados, habilitar las entradas al sistema
para los usuarios.
Para computadoras fuera de la intranet
Se revisará las computadoras que no estén en red con antivirus de disquete.
De suceder que una computadora se haya infectado con uno o varios virus
ya sea en la memoria o a nivel disco duro, se debe proceder a realizar los
siguientes pasos:
1. - Utilizar un disquete o Usb que contenga sistema operativo igual o mayor
en versión al instalado en el computador infectado. Reiniciar el computador
con dicho disquete.
2. - Retirar el disquete con el que arrancó el computador e insertar el
disquete antivirus, luego activar el programa de tal forma que revise todos
los archivos y no sólo los ejecutables.
3. - De encontrar virus, dar la opción de eliminar el virus. Si es que no puede
hacerlo el antivirus, recomendará borrar el archivo, tomar nota de los
archivos que se borren. Si éstos son varios pertenecientes al mismo
programa, reinstalar al término del Scaneado. Finalizado el Scaneado,
reconstruir el Master Boot del disco duro
Seguridad en redes Novell
Netware ofrece un potente conjunto de mecanismos de seguridad para los
administradores de red, conscientes de los aspectos de seguridad,
contempla una serie de alternativas de seguridad que se tendrá en cuenta al
administrarlo:
212
Seguridad a nivel de cuentas.
Seguridad a nivel de claves de acceso.
Seguridad de directorios.
Seguridad de archivos.
Seguridad entre redes.
La seguridad en Netware está implementada como una pequeña base
de datos de propósito especial denominada Bindery (entorno).
Cada servidor de archivos posee una base de entorno y la utiliza para
administrar la seguridad de sus recursos locales, servicios y cuentas. Este
entorno ofrece las bases sobre las que se basan diversos mecanismos de
seguridad, incluyendo:
Seguridad de cuentas
Seguridad de claves de acceso
Seguridad de directorios
Seguridad de archivos y
Seguridad entre redes
El objetivo principal de este mecanismo es ofrecer al Hospital de
Emergencias Pediátricas, la posibilidad de diseñar un entorno operativo
protegido y seguro, basado en los requisitos individuales de cada usuario,
grupo de trabajo, departamento y organización de una instalación.
Seguridad en redes Unix-Linux
La administración del sistema es el conjunto de tareas, cuyo propósito es
lograr que el sistema UNIX esté disponible para los usuarios, en forma
ordenada y segura. Estas tareas incluyen:
213
El registro de usuarios
La eliminación de usuarios
La configuración del Kernel
El control del acceso a partes del sistema de archivos
El respaldo y la restauración de archivos y
La instalación de nuevos paquetes de software.
Si se configura por cuenta propia un sistema UNIX-LINUX, será preciso
realizar estas tareas al instalar el sistema y más adelante, al usuario.
214
12.9 - MEJORAS DEL SERVICIO
Inventario técnico
El inventario técnico de equipos o simplemente “inventario técnico” del
hospital de emergencias pediátricas será desarrollado como un registro
descriptivo permanente de las principales características y rutinas de
mantenimiento de los equipos, sobre el cual se basa la planeación,
programación, adquisición y control de suministros, y la ejecución de otras
acciones operativas propias del servicio de mantenimiento.
Se tendrá en cuenta las siguientes características el formato de la ficha
técnica de mantenimiento:
CARACTERISTICA DEL COMPONENTE O ARTEFACTO:
TECNOLOGIA:
MODELO:
SERIE:
CONSERVACION DEL EQUIPO
ESTADO DEL EQUIPO
Toma de pc’s a control remoto
Esto se realiza tomando el control del escritorio del computador afectado así
acortando los tiempos de atención al usuario, caso el problema no requiera
presencia del técnico o pueda darse solución no habiendo necesidad
presencial.
Equipos de radio se tendrá equipos de radio que faciliten y agilicen el trabajo
y localización de los técnicos.
Reingeniería de la sub red
Se presentará a la oficina de Estadística e Informática ligeros informes de
reestructuración del sistema de la Sub Red y así optimizar las velocidades
de respuestas de las transacciones CLIENTE – SERVIDOR así también dar
seguridad a los Servidores desde la Internet
215
12.10 - FIRMA DE REPORTE DE VISITA
Se procederá a finalizar el servicio con una ficha de conformidad con las
características que se indique a fin de justificar y dar conformidad del
servicio brindado.
En el formato a utilizar es el siguiente:
216
12.11 - CONTROL DE INCIDENCIAS Y REQUERIMIENTOS
Se procederá al finalizar cada atención a llevar un cuadro estadístico de todas las atenciones diariamente en el transcurso
de todo el servicio y el jefe de la unidad de Estadística e Informática. Supervisará.
El formato del cuadro estadístico se muestra a continuación:
SOPORTE
INFORMÁTICO
FECHA HORA INICIO HORA FINAL INC. REQ. USUARIO ESTADO FINAL DEL SERVICIO COD DE CIERRE DURACION
217
12.12 - CONTROL DEL MANTENIMIENTO CORRECTIVO Y PREVENTIVO
Se procederá al llevar diariamente el registro del mantenimiento preventivo y correctivo y el jefe de la unidad de Estadística
e Informática. Supervisará.
El formato del cuadro estadístico se muestra a continuación:
SOPORTE INFORMÁTICO
Nro FECHA HORA INICIO
HORA FINAL
Nr0 INVENTARIO
TIPO DE MANTENIMIENTO.
DETALLES DEL MANTENIMIENTO
ESTADO FINAL
COD DE
CIERRE DURACION
218
12.13 - Capacitación en el manejo de los equipos informáticos.
Dicha Capacitación consistirá en el correcto manejo, operación funcional y
conservación por los equipos de cómputo en general, dirigido a los
profesionales, usuarios u otros que designe el cliente (en el lugar de uso).
Esta capacitación se realizará en el transcurso del servicio previa
coordinación, y se realizará en tres (6) clases de 1 horas c/clase.
El programa de capacitación incluye lo siguiente:
Principios generales de funcionamiento.
Partes que comprende el Equipo Informático
Operación y Funcionamiento apropiados
Consideraciones sobre su instalación
Mantenimiento Preventivo, Limpieza y conservación.
Cronograma de Capacitación: se coordinará con el jefe de la unidad
responsable
219
12.14 - DISCUSIONES GENERALES
Hemos llegado al final de nuestro trabajo, no estoy dando una absoluta
seguridad en este documento, y solo es parte de un pequeño mapa de
seguridad para una Red. El administrador de una Red de datos debe de
recurrir a todas las formas de poder hacer daño una red sea dentro de la Lan
que es cuando más ocurre hasta los insignificantes detalles a fin de
salvaguardar su red del peligro, si es que merece tanta seguridad, pero
espero que este documento sirva de algún apoyo para quien desee
implementar algo similar.
FIN
220
12.15 - BIBLIOGRAFÍA Y REFERENCIAS
En la WEB:
http://fedora.redhat.com/docs/release-notes/
http://www.silug.org
http://fedoraproject.org/wiki/Docs/CustomKernel
http://www.pello.info/ (Manual de Firewall)
(En orden, en que fueron utilizados)
En Libros: REDES DE COMPUTADORAS
AUTOR: Andrew S. Tanenbaum
EDICIÓN: Tercera.
FIREWALL LINUX
AUTOR: Robert L. Ziegler
EDICIÓN: Primera.
MANUAL DE FIREWALL
AUTOR: Marcus Goncalves
EDICIÓN: Segunda.
Securing & Optimizing Linux: The Hacking Solution
AUTOR: Gerhard Mourani and Open Network Architecture, Inc.
EDICIÓN: Segunda
(En orden, en que fueron utilizados)
