ZI
17
1 Escuela de Ingeniería en Telemática Laboratorio de redes Caso III: WSSRA Prof.: Christiam Gómez Pablo Porras Gustavo Serrano Diego Salazar III Cuatrimestre 2013 Contenido INTRODUCCION ............................................................................................................................. 3
-
Upload
diego-murillo -
Category
Documents
-
view
73 -
download
15
description
Zona
Transcript of ZI
1
Escuela de Ingeniería en Telemática
Laboratorio de redes
Caso III: WSSRA
Prof.: Christiam Gómez
Pablo Porras
Gustavo Serrano
Diego Salazar
III Cuatrimestre 2013
Contenido
INTRODUCCION ............................................................................................................................. 3
2
Marco Teórico ............................................................................................................................... 4
WSSRA ....................................................................................................................................... 4
BENEFICIOS ............................................................................................................................ 4
MIDDLEWARE ............................................................................................................................ 5
Caso ............................................................................................................................................... 6
Diseño ........................................................................................................................................ 6
Zona Internet ......................................................................................................................... 6
Diseño Actual ................................................................................................................................ 7
PRINCIPAL .................................................................................................................................. 8
MIDDLEWARE SOA .................................................................................................................... 9
FIREWALL SERVICES................................................................................................................. 10
POLITICAS ................................................................................................................................ 11
SSL ONLINE BANKING ............................................................................................................. 12
PUERTOS DE LA ARQUITECTURA ................................................................................................. 13
EQUIPO A UTILIZAR ..................................................................................................................... 15
PRECIOS ....................................................................................................................................... 16
CONCLUSION ............................................................................................................................... 17
3
INTRODUCCION
Con la constante compra de equipo y el desordenado crecimiento de la tecnología dentro de una empresa hace necesario buscar una solución que proporcione una arquitectura sólida en temas de seguridad, integridad, espacio, consolidación, almacenamiento, entre otros; por lo tanto surge el Windows Server System Reference Architecture (WSSRA) que proporciona las directrices arquitectónicas a escala de empresa
4
Marco Teórico
WSSRA
La arquitectura de la referencia sistema del servidor de Windows es una arquitectura
de la tecnología que riguroso se ha probado y se ha demostrado en un ambiente
partnered del laboratorio proporcionar la dirección excepcional del planeamiento y de
la puesta en práctica que aborda ediciones fundamentales de la infraestructura tales
como seguridad, disponibilidad, capacidad de conversión a escala y manejabilidad de
la plataforma.
WSSRA consiste en los paquetes transferibles siguientes:
• Documentos de la descripción
• Modelos de la arquitectura
• Guías de puesta en práctica
• Juego de herramientas del despliegue
BENEFICIOS
• Estandarizar plataforma
• Reducción de costo y tiempo de implementación
• Niveles de disponibilidad que cumplen con los SLAs
• Niveles de seguridad que cumplen con los requerimientos de negocio
5
MIDDLEWARE
Middleware es un software que asiste a una aplicación para interactuar o comunicarse
con otras aplicaciones, software, redes, hardware y/o sistemas operativos. Éste
simplifica el trabajo de los programadores en la compleja tarea de generar las
conexiones que son necesarias en los sistemas distribuidos. De esta forma se provee
una solución que mejora la calidad de servicio, seguridad, envío de mensajes,
directorio de servicio.
Funciona como una capa de abstracción de software distribuida, que se sitúa entre las
capas de aplicaciones y las capas inferiores (sistema operativo y red). El middleware
abstrae de la complejidad y heterogeneidad de las redes de comunicaciones
subyacentes, así como de los sistemas operativos y lenguajes de programación,
proporcionando un API para la fácil programación y manejo de aplicaciones
distribuidas. Dependiendo del problema a resolver y de las funciones necesarias, serán
útiles diferentes tipos de servicios de middleware. Por lo general el middleware del
lado cliente está implementado por el Sistema Operativo, el cual posee las bibliotecas
que ejecutan todas las funcionalidades para la comunicación a través de la red.
6
Caso
Un banco X desea diseñar y luego implementar una infraestructura, de tal manera que permita un crecimiento ordenado, basado en las mejores prácticas, políticas y procedimientos.
Adicionalmente, este banco a la vez quiere comenzar a expandir sus negocios, por lo que ha decidido comenzar a brindar servicios a través de Internet, estos servicios incluyen transferencia de dinero, pago de agua, luz y teléfono.
Se le ha contratado a usted para que diseño toda la infraestructura de comunicaciones y de seguridad tanto para el acceso de los clientes al Banco, la interacción que debe de haber entre el Banco con el AyA, ICE y la CNFL, así como todo el reordenamiento, un nuevo diseño y procedimientos de implementación de su infraestructura interna. Además del diseño a nivel de redes para comunicar el Sitio Principal con el Sitio de Alterno para contingencia.
Diseño
La infraestructura base de WSSRA será dividida en tres grandes bloques, la zona internet (comprende el acceso de usuarios externos hacia la página Web del Banco y la salida de usuarios internos hacia Internet), la zona de conexión (comprende la conexión con Sucursales, Sociedades Anónimas y Convenios) y la zona Interna (comprende todos los servidores internos y usuarios internos). Basado en lo anterior y dependiendo de la zona que se le asignó, deberá realizar un diseño que incluya los siguientes tópicos:
Zona Internet
Diseño infraestructura para una página WEB (incluir todos los elementos necesarios (capa presentación, aplicación, base de datos).
Diseño de la infraestructura de seguridad para el ingreso de usuarios externos a la página a realizar transacciones y salida de usuarios internos para navegar a internet.
Políticas de seguridad a implementar (nivel físico, nivel de red y nivel aplicativo).
Diagrama de la solución
Características técnicas de los equipos a utilizar en el diseño y explicar el porqué de su uso
7
Diseño Actual
Figura 1.0 – Diseño internet actual
La arquitectura actual que se presenta en este caso de estudio, plantea el análisis de la
conexión actual de un banco con el mundo exterior; tanto en la prestación de servicio
a los clientes externos, así como la conectividad requerida por los clientes internos y
empleados del banco hacia el mundo exterior. El diagrama que se ilustra en la figura
1.0 presenta una solución un poco rígida ya que basa la mayoría de su conectividad en
servidores cumpliendo con funciones de equipo de red tales como VPN o proxy server.
8
PRINCIPAL
Figura 1.1 – Propuesta de diseño
En la propuesta de diseño se enfoca mayormente el tema de seguridad y redundancia,
mostrándose así un esquema en el cual se virtualiza totalmente toda la solución de
firewall y se introducen equipos como proxy appliances y IPS’ para brindar un nivel
mayor de seguridad a la red en todos los servicio y conectividad brindada.
9
MIDDLEWARE SOA
Figura 1.2 – SOA (Service Oriented Architecture).
La figura 1.2 muestra la propuesta de servicios y conectividad en lo que a Middleware
se refiere, esta solución está basada en el servicio Oracle J2EE la cual pretende cubrir
las 3 capas de interacción tanto con la red como con el cliente. Este tipo de
arquitectura presenta en su parte de presentación un esquema Web basado en el
servicio iPlanet, su parte de aplicación y encargada de todo lo relacionado a consultas,
transferencias y calculo a nivel aplicativo se encuentra el sistema EJB, por ultimo toda
la información será resguardada con el uso de un clúster de bases de datos Oracle11g.
Esta también cuenta con un dominio de acceso para una integración total con servicios
como autenticación con RSA y single sign-on.
10
FIREWALL SERVICES
Figura 1.3 – Firewall
Los firewalls a utilizar trabajan a nivel de capa de presentación, es decir se puede
inspeccionar el más mínimo detalle en caso de que haya una malformación de tráfico
tratando de aprovechar alguna vulnerabilidad del sistema. Estos sistemas están
totalmente virtualizados con el fin de abaratar costos pero manteniendo el mismo
nivel de seguridad que un dispositivo real.
11
POLITICAS
Figura 1.4 – Politicas de conectividad
A nivel de políticas, estas pueden variar de banco en banco y están totalmente
apegadas a la necesidad del negocio; sin embargo existen varias reglas que son
comunes para cualquier empresa que provee servicio al mundo exterior, tal es el caso
de un único NAT estático para accesar servicios internos.
12
SSL ONLINE BANKING
Figura 1.5 – Online Banking
De las herramientas de mayor aprovechamiento cuando de cuando ahorrar tiempo se
trata, el online banking o e-banking es de los mayores exponentes en esta materia,
capaz de brindar servicios tales como pagos en línea o solicitud de una cuenta sin tener
que moverse de su casa esta herramienta tiene que contar con los mayores niveles de
seguridad posibles con el fin de evitar ataques tales como el phising o un man-in-the-
middle attack. En la figura 1.5 se estudia una solución con conectividad sobre SSL con
un certificado digital para todas las ramificación de conectividad permitidas por el
banco.
13
PUERTOS DE LA ARQUITECTURA
Type Firewall Port and Port Range
Protocol / Application
Inbound / Outbound
Browser request FW0 80 HTTP / Load balancer
Both
Browser request FW0 443 HTTPS / Load balancer
Both
Oracle WebLogic Administration Server access from web tier
FW1 7001 HTTP / Oracle HTTP Server and Administration Server
Inbound
Enterprise Manager Agent - web tier to Enterprise Manager
FW1 5160 HTTP / Enterprise Manager Agent and Enterprise Manager
Both
Oracle HTTP Server to WLS_ODS
FW1 7006 HTTP / Oracle HTTP Server to WebLogic Server
Inbound
Oracle HTTP Server to WLS_OAM
FW1 14100 HTTP / Oracle HTTP Server to WebLogic Server
Inbound
Oracle HTTP Server WLS_OIM
FW1 14000 HTTP / Oracle HTTP Server to WebLogic Server
Inbound
Oracle HTTP Server WLS_SOA
FW1 8001 HTTP / Oracle HTTP Server to WebLogic Server
Both
Oracle Process Manager and Notification Server (OPMN) access in web tier
FW1 OPMN remote port
HTTP / Administration Server to OPMN
Outbound
Oracle HTTP Server proxy port
FW1 9999 HTTP / Administration Server to Oracle HTTP Server
Outbound
14
Access Server 10g access FW1 6021 OAP Both
Access Server 11g FW1 5574-5575
OAP Both
Oracle Coherence Port FW1 8000 - 8090
TCMP Both
Oracle WebLogic Administration Server access from directory tier
FW2 7001 HTTP / Oracle Internet Directory, Oracle Virtual Directory, and Administration Server
Outbound
Enterprise Manager Agent - directory tier to Enterprise Manager
FW2 5160 HTTP / Enterprise Manager Agent and Enterprise Manager
Both
Oracle Virtual Directory proxy port
FW2 8899 HTTP / Administration Server to Oracle Virtual Directory
Inbound
Database access FW2 1521 SQL*Net Both
Oracle Internet Directory access FW2 389 LDAP Inbound
Oracle Internet Directory access FW2 636 LDAP SSL Inbound
Oracle Virtual Directory access FW2 6501 LDAP Inbound
Oracle Virtual Directory access FW2 7501 LDAP SSL Inbound
Oracle Identity Federation access
FW2 7499 HTTP Both
APM FW2 7001 HTTP Both
OIN FW2 7001 HTTP Both
Load balancer to Oracle HTTP Server
N/A 7777 HTTP N/A
Session replication within a WebLogic Server cluster
N/A N/A N/A N/A
Node Manager N/A 5556 TCP/IP N/A
La tabla anterior refleja todos los servicios que se deben estudiar solamente para el
servicio de SOA, la no inclusión de estos puertos afectara directamente el desempeño
total de los servicios, si el cliente así lo desea puede variar estos puertos con el fin de
15
evitar alguna vulnerabilidad en el sistema, pero esto podría tener una afectación
directa en la manera que los sistemas se comunican en el backend.
EQUIPO A UTILIZAR
EQUIPO
Cisco 3900
Checkpoint VSX-1 12000 Appliances
IPS/IDS 4200
F5 LTM 1600
Cisco 6500
Cisco 4500
BluecoatSG Proxy
HP ProLiant BL460c Gen8 Server Blade (VMware and HP-UX)
16
PRECIOS
EQUIPO CANTIDAD PRECIO POR UNIDAD
TOTAL
Cisco 3900 2 13000 26000
Checkpoint VSX-1 12000 Appliances 2 23000 46000
IPS/IDS 4200 2 5170 10340
F5 LTM 1600 2 15000 30000
Cisco 6500 2 2500 5000
Cisco 4500 2 1200 2400
BluecoatSG Proxy 2 10000 20000
HP ProLiant BL460c Gen8 Server Blade (VMware and HP-UX)
4 3300 13200
TOTAL 152940
17
CONCLUSION
Debido a la alta demanda de usuarios y clientes para accesar a múltiples servicios de
una empresa, desde puntos desconocidos atreves de internet, estos y otros motivos
hacen que la seguridad que se implemente en la red sea altamente confiable, por la
gran cantidad de datos e información que se maneja de suma importancia es por esto
que estudian diversas arquitectura que buscan el buen manejo de la infraestructura
para el mejor servicio.
