Universidad Interamericana, Recinto de Guayama | Diseño de una Red Mediana | |

Luis Lugo
16 de enero de 2013 |

Introducción

En este trabajo estaré diseñando una red mediana para un colegio técnico el cual contiene pocos estudiantes. Este diseño usa conmutadores en las capas 2 y 3 proveyendo servicios a usuarios y a la misma vez seguridad para toda la red. La organización tiene alrededor de 700 usuarios y existen diferentes dominios dentro de esta red.

Diseño

Este diseño debe tener varios requerimientos específicos para poder completar lo que es una red mediana segura. Uno de estos requerimientos y el mayor de estos es que la red debe de proveer conectividad para tres servidores y alrededor de 700 clientes. De la misma manera, la red va a permitir que si en alguna ocasión alguno de estos equipos necesita separarse el otro, esto sea posible. En esta red otro de los requerimientos importantes es el de evitar ataques, ya que como la red va a estar comunicándose entre dos edificios, esta es más susceptible a ataques que provengan de afuera.
El centro o “core” de esta red es un solo conmutador de capa 3 con interfaz de “Ethernet” este conmutador “core” le provee los servicios de índole de ambas capas (2 y 3) hacia los equipos necesarios. La red tiene 4 sub redes diferentes, una de estas es para los servidores, otra para los clientes, otra para el sistema de red inalámbrico y la última para la administración. Se diseñó un NDIS para monitorear el tráfico en el conmutador “core” ya que la mayoría del trafico va a estar fluyendo por aquí, siempre es bueno tener un monitoreo de todo lo que pasa. Este conmutador “core” actúa doblemente como un conmutador de la capa de “core” y también actúa como un conmutador de la capa de “distribution”. Dos conmutadores de capa 2 son los que se ocupan de la capa de “access” que es la que se usa para los usuarios. Estos conmutadores de capa 2 hacen uso de VLANS para manejar y controlar diferentes dominios que están a nivel de usuario. Los puntos de acceso de la WLAN también son conectados a través de estos conmutadores. Ya que se tiene ambas redes, WLAN y VLAN, el tráfico de estas es separado para que no sea confundido.

El servidor “LTC” es utilizado p ara las necesidades que puedan tener las identidades de la red “edge”, de WLAN y cualquier acceso de la administración a cualquier equipo. Se usó el protocolo de seguridad 802.1x el cual es manejado por este mismo servidor y es el que provee toda la autenticación.
La seguridad individual dividida por los diferentes equipos y sus roles

Refiriéndose a todos los conmutadores de la red, primero se les trabaja con su configuración para evitar que sean tan vulnerables teniendo la configuración con la que vienen de fábrica. Se configura el protocolo de control L2 en el cual se configura el STP BPDU en todos los puertos de las computadoras para así prevenir problemas de “spanning tree”. Otro de los mecanismos de seguridad que se implementan es el de la seguridad de los puertos, limitando el número de direcciones MAC por cada puerto en cada conmutador. También se utiliza seguridad en los VLAN haciendo buen uso de los que es “VLAN hopping” para manejar el tráfico en estas redes. Por último se trabaja con lo que es DHCP y se utilizan las listas de acceso de las VLANs.
Ahora bien, solo en el conmutador “core”, se configura el filtrado RFC 2827 usando URPF. Se configuran listas de acceso para bloquear tráfico innecesario.
Nos vamos dos servidores internos y aunque estos se trabajan con un poco menos de importancia en la seguridad, no se deben de olvidar. Ya que es una red mediana y solamente tenemos 2 servidores internos, es una tarea fácil, hacerlos seguros. Lo más primordial que se hizo fue poner a que las contraseñas caduquen cierto tiempo, proteger las comunicaciones sensitivas entre cliente y servidor, se actualizo el sistema operativo pero solo los updates que ya están comprobados de no hacer más daño de lo que ayudan. Se instaló un antivirus en cada equipo en la red incluyendo los servidores y los usuarios. Se configuro un sistema local de IDS para contrarrestar los ataques a los servidores. Por último se trabajó con un sistema de filtrado de correos electrónicos para evitar la propagación de ataques por medio de este medio.
Luego de proteger los servidores, nos movemos al equipo que es usado por los usuarios. Casi siempre por donde empiezan los ataques es por esos equipos. Es por esto que se configuro para que cada usuario tuviera una contraseña para poder entrar al sistema. Luego se configuro para poder instalar updates remotos directamente desde los servidores. Al igual que los servidores también se instala software de antivirus y un firewall en todas las computadoras.
El equipo NIDS que se corre desde el conmutador “core” y monitorea todo el tráfico entre dominios también se debe implementar un tipo de seguridad. Al igual que los conmutadores, se configuro de tal manera que es más fuerte ahora y no se basa en la configuración de fábrica. Además de esto se le indica al NIDS de donde leer las clasificaciones de ataques más comunes para que este pueda detectarlos con mejor acierto.
Para el servidor central el “LTC” se configuro RADIUS/TACACS+ para proteger toda la información que se guarda en este servidor, incluyendo credenciales de usuario, de las VPN y de administración.
Por último los puntos de acceso de la red inalámbrica o WLAN se configuraron también de manera que no llevan la configuración de fábrica.

Evaluación de amenazas

Dejándome llevar por los tipos de ataques más conocidos y la seguridad que he implantado en el diseño de esta red mediana, el mecanismo para evitar y combatir ataques es bastante rígido. En ataques de “spoofing” se detecta con “RADIUS/TACACS+”. Ataques de índole como virus, “worms” y trojanos se pueden detectar con el NIDS y se le pone un alto con lo que son los sistemas de filtrado de correo y los antivirus instalados. Ataques tipo “snifer” son detenidos por mecanismos como la seguridad en los puertos de los equipos y teniendo VLAN privadas. En los ataques de acceso directo se pueden detectar gracias al NIDS y se detienen usando el mecanismo de contraseñas, “firewalls”, VLAN privadas y listas de control de acceso. Ataques de programación de control remoto se detectan fáciles con el NIDS y se detienen con los antivirus instalados en los equipos, los firewalls y el filtrado de correos. Por ultimo ataques peligrosos de “buffer overflow” se pueden detectar usando el NIDS y se detienen gracias a la configuración extensa en los sistemas operativos para hacerlos más cerrados.

Conclusión

En este trabajo diseñe lo que es una red mediana en específico para un colegio técnico con no más de 700 clientes a la red. De la forma que lo diseñe, pudo haber tenido más seguridad, que es en lo que se basa esto, pero me deje llevar que también tiene que ver el costo. Por ejemplo pude haber añadido un “firewall” entre los servidores en vez de listas de control de acceso, para así hacerlo más protegido, pero esto también significaba más costo. Aunque el costo no era un factor en esto, si lo es en vida real y de eso me deje llevar. El diseño es de una red seguro y se probó con los tipos de ataques más famosos que ocurren en estas redes y existen varios mecanismos para detectar y/o detener estos ataques.

Bibliography
Chung, J., Pueblas, M., Nadimi, A., Hamilton, D., & Farrington, S. (2010). Cisco SAFE Reference Guide. Cisco Systems, Inc. .