ARTCULO DESIGNING SWITCHED LAN INTERNETWORKS

A continuacin se muestran distintos esquemas y detalles del diseo de redes (algo inconexos, pero bueno

Se asigna un puerto a cada mquina, para asegurar ancho de banda dedicado.

In Figure 12-4, 10-Mbps Ethernet connects the hosts on each floor to switches A, B, C, and D. 100-Mbps Fast Ethernet connects these to Switch E. VLAN 10 consists of those hosts on Ports 6 and 8 of Switch A and Port 2 on Switch B. VLAN 20 consists of those hosts that are on Port 1 of Switch A and Ports 1 and 3 of Switch B. Vamos, que las VLANs no son agrupaciones fsicas, sino lgicas. P. Ej, VLAN 10 formado por un ordenador del switch A y otro del B.

La red principal (core) tiene switches con gran capacidad de conmutacin, pero no realiza ningn tipo de filtrado. De esto se encarga el router que hay a la entrada (red de distribucin). De todas formas, yo creo que en el examen pondr un router en lugar de un switch por eso de tener ms inteligencia y manejar nivel 3 (IP). La cuestin es que ahora, con el incremente de inteligencia de los switches (switches de nivel 3,...) la cosa se complica.

En la figura se va que para interconectar VLANs hace falta un router.

PASAMOS AL DISEO JERRQUICO DE REDES:

Los tres niveles del diseo jerrquico de redes

DISEO JERRQUICO MODELO 1:

Aqu se interconectan los distintos edificios mediante FDDI (MAN)

En este caso, este router representa la capa de distribucin y la capa principal (core)

Aqu se muestra una forma de conexin LAN /MAN (mediante el estndar 802.10) mediante FDDI. Esta sera su capa principal.

Aqu se muestra otra forma de conexin LAN /MAN (mediante el estndar 802.10) mediante FDDI. Esta sera su capa principal. Yo creo que pondra la figura anterior pero con routers, no con switches.

DISEO JERRQUICO MODELO 2:

DISEO JERRQUICO MODELO 3 y 4:

Representan switches ATM de LAN

DISEO JERRQUICO MODELO 5 y 6: nicamente se distinguen en que uno usa ATM en el subsistema vertical y el otro 100BaseTX. Yo pondra este diseo

pero, en lugar de switch, lo siguiente:

Cortafuegos

Este diseo es bueno para redes que no cumplen la regla 80/20 (80% del trfico dentro de la propia VLAN, 20% fuera), ya que si los servidores estn centralizados, la mayora del trfico es entre VLANs => se necesita alta capacidad de ruteo.

ARTCULO: CORTAFUEGOS DE INTERNET Y SEGURIDAD

Cortafuegos: establecen una poltica de acceso o de proteccin del permetro (filtrado a nivel de paquete) Ordenador de proteccin, bastion host, pasarela o proxy: son pasarelas de nivel de aplicacin (filtrado a nivel de aplicacin)

Esquema de la proteccin perimetral que proporciona el cortafuegos

ESQUEMA DE PROTECCIN 1: router-cortafuegos filtrado de paquetes

VENTAJAS: Barato y transparente DESVENTAJAS Limitaciones de los routers, filtrado de paquetes (ataques tunelizados sobre servicios permitidos)

ESQUEMA DE PROTECCIN 2: sistema cortafuegos con apantallado de red

Misma configuracin que el esquema anterior pero con la pasarela con 2 tarjetas de red. VENTAJAS: Implementan seguridad a nivel de red (filtrado de paquetes por el router-cortafuegos) y a nivel de aplicacin (pasarela o servidor proxy) Las reglas externas de filtrado pueden establecerse de forma que los sistemas externos solo puedan acceder al ordenador de proteccin, denegando el trfico a cualquier otra mquina interna. Es decir, puede configurarse para que todo el trfico, tanto desde el exterior hacia el interior como del interior al exterior, pase por la pasarela. O El servidor e informacin pblica (web, ftp, DNS, ...) puede instalarse en el segmento de red compartido entre el router de filtrado de paquetes y la pasarela. DESVENTAJAS Aumento del coste y disminucin del tiempo de respuesta

ESQUEMA DE PROTECCIN 3: sistema cortafuegos con zona desmilitarizada

VENTAJAS: Los usuarios internos acceden a Internet a travs de la pasarela El cortafuegos 1 dirige el trfico al servidor de informacin de la zona DMZ correspondiente, or lo que elimina la necesidad de que la pasarela tenga 2 interfaces de red.

EJEMPLO SACADO DE DOC "ESQUEMA DE PROYECTO"

DELEGACIONES COLABORADORES PROVEEDORES CLIENTES PBLICO

RTB / RDSI / GSM INTERNET RTB / RDSI / GSM INFOVIA

Router SRV. TERM. DNS RADIUS Servidor Tneles Roja FW 1

REV. REV. Reverse PROXY PROXY PROXY

MAIL NEWS

Servidor WEB

DELEGACIONES COLABORADORES PROVEEDORES CLIENTES

Roja (indica nivel de seguridad)

Naranja

Naranja
NAT

VIRUS SCAN

PROXY

Router F.R. / Pto Pto / Novacom Amarilla

FW 2

Amarilla

Verde

SRV CERT Servidor WEB

Servidor Aplicaciones

INTRANET

P P P P

Servidor Datos

Puestos de usuario

Yo creo que en un caso normal, se puede plantear la arquitectura del PNTIC: zona desmilitarizada con un nico cortafuegos y, opcionalmente una pasarela detrs del cortafuegos. POSIBLE AGUJERO DE SEGURIDAD A TRAVS DEL POOL DE MDEMS

En este caso vemos un agujero de seguridad ya que la conexin remota no pasa por el cortafuegos. Para solucionarlo, es mejor concentrar los mdems en un pool de mdems y aplicar medidas de seguridad al conjunto, incluyendo mtodos de autenticacin avanzada.

ESQUEMA 1: colocar la batera de mdems fuera del cortafuegos

cortafuegos

DESVENTAJA: el banco de mdems est sin proteger => meter el banco de mdems en la zona DMZ o accesible a travs de la pasarela de aplicaciones (esquemas de las siguientes soluciones). PROTEGIDO POR CORTAFUEGOS

10

METIDO EN DMZ

11