Вы находитесь на странице: 1из 14

SERVICIO NACIONAL DE APRENDIZAJE SENA

AA2 - Evidencia 1: Propuesta de la arquitectura tecnológica para la


Alcaldía de San Antonio del Sena.
ESPECIALIZACIÓN TECNOLÓGICA EN GESTIÓN Y
SEGURIDAD DE BASES DE DATOS

 HUGO ANDREZ BUSTOS RESTREPO

I. Introducción Caso de estudio Dependencias de la Alcaldía

Secretaría General
La dinámica de las organizaciones en el mundo
empieza a tomar un nuevo auge a partir de la influencia de En esta dependencia laboran 12 profesionales que asisten
las tecnologías de la información y la comunicación, por al alcalde en la planeación, organización, control y
un lado ampliando las estrategias para poder crecer, pero a ejecución de los programas de la administración; atienden
la vez trazando un camino de alta competitividad y la organización y el funcionamiento del despacho del
elevados estándares de calidad, que exigen tener precisión
alcalde; actúan como secretario del Consejo de Gobierno
en el manejo y administración de la información como
principal ventaja comparativa. Es así como empresas del y vigilan el oportuno cumplimiento de las decisiones del
sector privado y del estado se encuentran en un punto mismo; también se encargan de velar por el cumplimiento
coyuntural que exige cambios y decisiones acertadas de las normas legales que regulan el funcionamiento de la
teniendo a las TIC’s como principal aliado. Alcaldía; estudiar, revisar y preparar los proyectos de
Los Gobiernos de los diferentes países en el mundo, acuerdos, resoluciones, decretos y contratos relacionados
están auspiciando a través de recursos y políticas de con asuntos de competencia de la Alcaldía.
estado, los cambios a través de inclusión de tecnología
provenientes de mercados emergentes tanto en software, Actualmente la secretaría dispone de una infraestructura
hardware y metodologías para fortalecer los procesos y
elevar los controles y disponibilidad de la información con tecnológica que incluye 10 computadoras de escasos
criterios de rapidez, seguridad y confianza. La Alcaldía de recursos en memoria y procesador, sistema operativo
“San Antonio del SENA” es un ejemplo particular de todos Microsoft ® Windows XP Service Pack 1, software
estos cambios presentando la siguiente situación: utilitario: Microsoft® Office 2003 ®, Adobe® Reader®,
La Alcaldía objeto de estudio es una institución del antivirus Avast!® 4.8, dos impresoras matriz de punto,
estado Colombiano, que realiza las funciones de conectividad a internet limitada y acceso a recursos
administración local en una población de este país. compartidos a través de una intranet que opera con
Esta Alcaldía está presidida por el Alcalde elegido por
direccionamiento IP versión 4.0.
votación popular, quien enfrenta una situación de caos
administrativo a causa de los malos manejos de la
Una de las mayores dificultades de esta secretaría se
información y la inadecuada utilización de tecnología para
el apoyo a los procesos. El Alcalde de “San Antonio del genera en el volumen de documentos que tienen que
SENA”, convencido de poder mejorar la situación, elaborar y revisar; teniendo como estadística 300
presentó un proyecto de inclusión de tecnología que le fue documentos en promedio para revisiones diarias y 100
aprobado por el concejo y propende en realizar todas las procesos documentales emitidos por esta secretaría.
mejoras en las condiciones actuales de manejo de
información de las diferentes dependencias y secretarias El mecanismo que se utiliza para exponer la información
de su actual administración. de los documentos nuevos y los que están para aprobación,
Una mejora sensible, se da a través de una reingeniería
es a través de carpetas compartidas que permiten el acceso
de procesos enfocados en la utilización de la información
generada por las dependencias de la alcaldía, pensando en a cualquier usuario sin la administración de contraseñas y
optimizar los tiempos de respuesta y flujo de información un dominio en la red, es por ello que se evidencian serias
para la toma de decisiones. fallas en la centralización de esta información por la
Se tienen identificadas las siguientes dependencias y ausencia de políticas de almacenamiento y protección de
secretarias de despacho con sus funciones y estado actual: los datos consignados en los documentos.

Secretaría de Gobierno

En esta dependencia laboran 30 profesionales encargados


de:
 HUGO ANDREZ BUSTOS RESTREPO

Evaluar todos los programas y campañas de la Custodiar, guardar y controlar los títulos, valores y
administración municipal tendientes a garantizar los garantías constituidas a favor del municipio. Conceder
derechos civiles, sociales, vida, honra y bienes de los plazos y prórrogas a los deudores morosos consultando
habitantes del Municipio siempre la capacidad económica de los contribuyentes y
favoreciendo los intereses por mora de acuerdo a lo
Coordinar la política a seguir referente al control de estipulado por la Ley.
precios, pesos y medidas; rifas, juegos y espectáculos;
establecimientos públicos, aseo y ornato; ventas Manejar y rendir cuentas de los auxilios entregados por la
ambulantes y estacionarias, velando por el cumplimiento nación, el departamento y otras entidades. Fijar las
de las disposiciones legales vigentes y aplicando las políticas a seguir en el cobro de aportes, participaciones y
respectivas sanciones cuando se violen dichas normas. servicios de la nación, departamento, instituciones
oficiales y semioficiales.
Además, deberá vigilar y atender la reclusión de personas
que se hallen a cargo de las autoridades de Policía Expedir los certificados de Paz y Salvo que por concepto
Municipal; recibir y dar trámite a las querellas ordinarias de pago de impuestos le sea solicitado y que se encuentren
o sumarias de statu quo; instruir, tramitar y fallar las al día.
querellas por contravenciones e infracciones a los códigos
de tránsito; ejecutar el control sobre avisos, vallas, Para todos los procesos mencionados anteriormente, la
pasacalles y carteles y sancionar a quienes violen las secretaría cuenta con 20 computadoras con la misma
disposiciones. configuración de las computadoras de la secretaría de
gobierno, acceso a la intranet con IP versión 4.0, Internet
La infraestructura tecnológica que tiene a la fecha la limitado en horas pico y una demanda de usuarios que
secretaría se resume en: 22 computadoras que fueron llega a 1000 personas en días críticos.
adquiridas en la administración anterior, de las cuales 10
tienen licenciamiento Windows Vista Small Business Los usuarios normalmente se acercan a esta secretaría para
Edition®, las restantes Windows® XP Service Pack 1. realizar consultas referentes a impuesto predial y pago del
mismo, ocasionando en algunos momentos colapsos
La configuración de software adicional y conectividad en administrativos por tener una base de datos de consulta
las máquinas es similar a la secretaría General, excepto por en Oracle® 9i® que según los funcionarios es bastante
el uso de Microsoft Office 2007® y un servidor de red lenta en los tiempos de respuesta y esto contrasta con la
que opera con Windows Server 2003® y el motor de inconformidad de quienes solicitan los servicios.
base de datos Microsoft SqlServer 2005 Enterprise
Edition®. Constantemente los funcionarios de esta Secretaría de Planeación y Obras Públicas
secretaria acceden a bases de datos de consulta de los
comerciantes de “San Antonio del SENA” que tienen sus En esta dependencia laboran 20 funcionarios encargados
actividades de negocio debidamente registradas y de:
formalizadas en cámara y comercio.
Definir y establecer el modelo de desarrollo social,
Alrededor de 4000 registros diarios son consultados y planeando en lo social, lo económico e infraestructura para
descargados a archivos de Microsoft Excel® que la toma de decisiones y desarrollo del gobierno municipal.
posteriormente son validados y consolidados en reportes
Direccionar los diferentes proyectos que las demás
de seguimiento semanal. Se ha pensado en mejorar los
secretarias realicen;
informes a través de la consolidación de datos haciendo
uso del servidor, sin embargo hay escaso conocimiento y Recomendar al consejo municipal y a la alcaldía sobre las
soporte en sitio. políticas y objetivos que el municipio debe desarrollar en
materia de obras públicas, estratificación y actualización
Secretaría de Hacienda
catastral, planes de ordenamiento territorial, prevención y
En esta dependencia laboran 20 profesionales encargados atención de desastres y
de:
Desarrollo Social.
Gestionar y recaudar todos los dineros que por diversos
Se cuenta con un Sistema de Información Geográfico
conceptos debe percibir el municipio, formular las
(SIG), el cual fue donado por el Instituto Geográfico
políticas para la ejecución de proyectos de hacienda
Agustín Codazzi y realiza certificaciones catastrales, de
pública, efectuar el pago de todas las cuentas a cargo del
planos prediales, de información geodésica y estadísticas;
municipio, registrar, recibir y procesar toda la información
el cual se encuentra instalado en un servidor con sistema
económica en la administración municipal.
operativo Microsoft® Windows Server 2003® con 10
licencias para acceso.

 Página 1
 ALCALDIA SAN ANTONIO DEL SENA

Para el apoyo en los procesos de estratificación se maneja de RAM y 3 computadores con equipos Touchscreen para
un Sistema de Información el cual interactúa con el SIG y acceso al público. Todo lo anterior en una red LAN.
cuya información es utilizada por las curadurías, vía
internet. Este sistema se encuentra instalado en el mismo
servidor.
Secretaría de Salud
Para todos los procesos se cuenta con 20 computadoras
integradas en una red LAN, el 70% de estas tienen sistema En esta dependencia laboran 15 funcionarios, los cuales
operativo Microsoft® Windows XP Service Pack 1 con entres sus funciones tienen:
1GB de RAM, y el porcentaje restante con sistema
La vigilancia de la salud pública, el registro de los
operativo Microsoft® Windows Seven®.
prestadores de servicios de salud, la gestión de la
En promedio se atienden 100 solicitudes diarias de prestación de los servicios de salud, la promoción de
certificaciones y 400 consultas vía internet. planes, programas, estrategias y proyectos en salud para el
desarrollo del sector y del sistema general de seguridad
Secretaría de Educación social.

En esta dependencia laboran 10 funcionarios encargados La vigilancia y control del cumplimiento de las políticas y
de: normas técnicas, científicas y administrativas que expida
el Ministerio de la
Velar por la construcción de planteles educativos, por su
dotación y mantenimiento al igual que de las instalaciones Protección Social.
deportivas y de recreación con que cuentan las
instituciones educativas. La supervisión y control de los recursos del sector salud
para un buen recaudo y aplicación.
Proveer el profesorado necesario tanto para la parte urbana
como la La implementación y actualización de la operación del
Sistema Integral de Información en Salud para reportar la
Rural; establecer normas relacionadas con el sistema información a las instancias correspondientes.
educativo, del pensum; mantener un estricto control sobre
las escuelas y colegios. La actualización de este sistema se realiza con registros
provenientes de documentos y planillas en Microsoft®
Sus funciones en general se pueden sintetizar así: Excel® que llegan desde los diferentes establecimientos
administrar la educación en el Municipio, velar por la de salud que se encuentran tanto en el área urbana como
calidad y cobertura de la educación y su correcta rural; el número de registros diarios es en promedio 100.
prestación, establecer las políticas, planes y programas
necesarios, fomentar la investigación e innovación del Se cuenta con 15 equipos de cómputo entre computadores
currículo y orientar la elaboración y ejecución de de escritorio y equipos portátiles, los cuales tienen acceso
proyectos educativos. a internet mediante un canal 512 K. Software utilitario:
Microsoft® office 2003®, Adobe® Reader®, antivirus
Se cuenta con un Sistema de Información para los Avast! ® 4.8, Una impresora láser y conectividad a
procesos de: matrículas escolares, traslados escolares y internet limitada.
gestión de alianzas con la educación superior.
Secretaría de Deportes, Recreación y Cultura
También se cuenta con un Sistema de Información
Documental para realizar procesos de: certificaciones En esta dependencia laboran 10 funcionarios, los cuales
laborales de docentes, solicitud de copias de actos tienen a su cargo:
administrativos, solicitud de renuncias para docentes,
La ejecución de programas destinados al aprovechamiento
solicitud de subsidio de transporte, inscripción y
del tiempo libre por medio de prácticas deportivas,
ascenso en el escalafón docente y legalización de
actividades recreativas y eventos culturales en espacios
establecimientos educativos.
adecuados.
Estos sistemas se encuentran alojados en un servidor con
La elaboración de estudios para identificar los problemas
sistema operativo Red Hat Enterprise Linux con
y necesidades del Municipio en el campo deportivo,
Sistema Manejador de Base de Datos PostgresSQL,
recreativo y cultural con el fin de formular planes y
para su administración se utiliza un servidor VNC®
proyectos que respondan a esas demandas.
(Virtual Network Connection) y se tienen 10
computadoras con tecnología Windows® XP de 512 MB

 Página 2
 HUGO ANDREZ BUSTOS RESTREPO

El desarrollo de programas para vigilar y supervisar la Se cuenta con 12 computadoras con sistema operativo
correcta administración y funcionamiento de los Windows® XP®, 512 M en memoria RAM, 2 impresoras
escenarios deportivos, recreativos y culturales. láser, un servidor con Windows Server 2003 que aloja
un Directorio Activo con aplicaciones para dar soporte
La promoción, elaboración y ejecución de programas a los estándares de ISO 9000 e ISO 27000.
orientados a conservar los valores de la cultura local, así
como la formación y el apoyo integral a los deportistas. En el servidor se cuenta con una carpeta compartida que
contiene los documentos normalizados y estandarizados
Integradas en una red local se encuentran 8 computadoras para los diferentes procesos de la alcaldía.
de escritorio con sistema operativo Windows® XP y 512
de memoria RAM. II. Requerimientos generales

Software utilitario: Microsoft® Office XP, Adobe® Cada una de estas dependencias suministra informes al
Reader®, antivirus Avast! ® 4.8, Una impresora láser y despacho del alcalde, orientados a la planeación, gestión y
conectividad a internet limitada. administración del municipio, sin embargo se requiere que
dicha información sea procesada de manera que se genere
Secretaría de Gestión Ambiental y Minera información, conocimiento e inteligencia para coadyuvar
en el desarrollo de las políticas estatales.
Esta dependencia cuenta con 7 funcionarios quienes están
encargados de: El municipio cuenta con una página WEB que es
actualizada a nivel de datos cada hora y es la encargada de
Gestionar las políticas para la conservación del medio presentar las políticas de gobierno en línea y transparencia
ambiente y protección de los recursos naturales; ejercer el por Colombia a nivel de contratación.
control y vigilancia del cumplimiento de estas normas,
adelantando investigaciones e imponiendo las sanciones La Alcaldía tiene creada el Área de Sistemas adscrita a la
que correspondan. secretaría de gobierno, dependencia a la que usted
pertenece; la alcaldía cuenta con una intranet/internet que
Adicionalmente acompañar y asesorar la pequeña y permite interactuar con todas las dependencias, secretarias
mediana minería en los procesos de tecnificación, mejor y público en general, para esto se cuenta con una red de
aprovechamiento de los recursos y su legalización; cableado activo y pasivo, pero no cuenta con una
también expedir los permisos de movilización forestal. segmentación general para el directorio activo de todos los
usuarios de la alcaldía.
Para el desarrollo de sus actividades tienen 7
computadoras con sistema operativo Windows® XP Dentro de las aplicaciones del área de sistema se cuenta
Service Pack 1, Microsoft® Office 2003®, los cuales están con un software de mesa de ayuda (Help Desk), que
interconectados en una red LAN con acceso a internet centraliza todas las inconsistencias, fallas, configuraciones
limitado, se tiene proyectado la implementación de un y requerimientos de las dependencias de la alcaldía y esta
Sistema de Información para la Gestión Ambiental, este es manejado por un software Libre en un sistema operativo
uno de los proyectos prioritarios de la actual GNU/Linux Server vía WEB y que será operado
administración, para lo cual es necesario solamente por la intranet en la modalidad de usuario
nombrado por Single-On-Sign.

La información hasta aquí presentada es la base para


Oficina Asesora de Control Interno
desarrollar la primera actividad de aprendizaje que hace
En esta oficina trabajan 12 profesionales, los cuales tienen parte de la primera fase del proyecto.
como funciones:
Los requerimientos específicos acerca de lo que se debe
Planear y dirigir los métodos, normas, procedimientos y realizar y las evidencias que se deben construir, están
mecanismos de verificación y evaluación, que garanticen detalladas en la Guía de
el cumplimiento de todas las actividades, operaciones y
Aprendizaje para la Actividad de proyecto número 1,
actuaciones de las diferentes dependencias de acuerdo con
ALISTAR E
las normas constitucionales y legales vigentes.
IMPLEMENTAR LA INFRAESTRUCTURA
Apoyar la toma de decisiones de los directivos a través de
TECNOLÓGICA DE BASE DE DATOS REQUERIDA
la generación de informes que permitan identificar y
POR LA ORGANIZACIÓN. Se debe consultar en el
controlar las debilidades, vulnerabilidades, riesgos,
enlace Actividades toda la información que le llevará con
amenazas y fallas en los procesos misionales.
éxito a responder los requerimientos de la Alcaldía de San
Antonio del SENA.

 Página 3
 ALCALDIA SAN ANTONIO DEL SENA

III. ANALISIS DE LA SITUCION ACTUAL DE  El servicio de helpdesk debe estar controlado


LOS SISTEMAS DE INFORMACION DE desde las mismas instalaciones de la alcaldía.
LA ALCALDIA SAN ANTONIO DEL SENA  No existen redes wifi para facilitar el acceso a
SEGÚN EL CASO DE ESTUDIO 1 los computadores portátiles.
 No se tiene elementos de seguridad informática
en Internet relacionados el control de ancho de
banda y el impedimento de ingresar a
determinados sitios.
La parte operativa de toda institución pública o privada
 No se manejas ningún nivel jerárquico, ni roles
hoy en día depende esencialmente del nivel tecnológico para el acceso a los diferentes sistemas.
que esta tenga. La utilización de la Informática en las  Se concluye que la alcaldía San Antonio del
empresas, es vital para el manejo de la información, pues Sena tiene muchas falencias en la estructuración
en los actuales momentos sin el uso de las mismas no se de su sistema de información y se requiere una
puede realizar ningún proceso o mantener un negocio, reorganización de toda la plataforma
inclusive la Informática ha traspasado sus límites y al tecnológica en los niveles de Software,
integrarse al internet los procesos se vuelven más hardware, telecomunicaciones y seguridad de la
información.
dinámicos sin embargo el procedimiento de seguridad en
muchas ocasiones no se toma en cuentas por no existir
políticas de seguridad. IV. Formulación del problema

Según el caso de estudio, se han podido apreciar algunas ¿Cuál es la propuesta de arquitectura tecnológica de Base
dificultades operativas, resultantes de un cierto nivel de de Datos para el mejoramiento de todos los procesos en las
inseguridad informática hay que señalar, que muchas de dependencias de la Alcaldía de San Antonio del Sena?
las operaciones Municipales, son apoyadas por la
tecnología informática, especialmente con las relacionadas V. Objetivo general
a las redes y a la administración de la información. Entre
las deficiencias halladas tenemos: Desarrollar una propuesta tecnológica para implementar y
reorganización toda la infraestructura física y lógica de la
 No existe una red estructurada con protocolos de Alcaldía San Antonio del Sena.
acceso a la información ni control del servicio
de internet. VI. Planteamiento de la Propuesta
 Existen quipos con baja capacidad de memoria
de procesamiento lo que dificulta la realización Con base en el caso de estudio 1, y el análisis realizado al
de tareas administrativas y de consulta de datos. estado actual de la infraestructura Tecnológica de la
 Falta de organización a nivel lógico y físico de Alcaldía de San Antonio del Sena, conviene realizar y
las Bases de Datos y los aplicativos que usan en
ejecutar la siguiente propuesta que estará orientada
las dependencias,
 Existe perdida de información en algunas especialmente a unificar toda la infraestructura, que
dependencias y no tienen un sistema de respaldo llevaran al alcalde a que su Municipio tenga un mejor
de la información. rendimiento interno y mejor atención a sus ciudadanos.
 La página web no tiene un espacio donde los
usuarios puedan realizar trámites en línea. La propuesta se realizara en 3 fases:
 Tienen impresoras de punto, ya obsoletas, que se
deben remplazar. 1. Restructuración, reubicación, reconfiguración y
 Según el caso de estudio los computadores tiene actualización de la infraestructura de hardware
instalado un sistema operativo obsoleto sin de la Alcaldía.
soporte técnico en la actualidad. 2. Restructuración, reubicación, reconfiguración y
 No existe un sistema general de control de actualización de la infraestructura de software
Usuarios y de seguridad informática. de la Alcaldía.
 Los archivos compartidos no están organizados 3. Restructuración, reubicación, reconfiguración y
en servidores para tal fin. actualización de la infraestructura de
 Las impresoras no tiene un sistema de control en telecomunicaciones de la Alcaldía.
la red.
 Las bases de datos no están organizadas en un
servidor que cumpla las especificaciones de Restructuración, reubicación, reconfiguración y
software y hardware. actualización de la infraestructura de hardware de la
 No está organizado ni preestablecido el servicio Alcaldía.
de correo electrónico corporativo
 Se requiere que la intranet y la extranet tengan De acuerdo al análisis realizado a la infraestructura actual
un espacio para que los usuarios del sistema y de de la Alcaldía San Antonio del Sena es necesario la
la red puedan hacer consultas de procedimientos
adquisición de los siguientes equipos:
documentales actualizados de las dependencias.

 Página 4
 HUGO ANDREZ BUSTOS RESTREPO

Restructuración, reubicación, reconfiguración y


actualización de la infraestructura de
telecomunicaciones de la Alcaldía.

La red requiere los siguientes equipos para su


correspondiente reestructuración

Tabla 3
Tabla 1
DESCRIPCION CANT VALOR
DESCRIPCION CANT VALOR
Mikrotik Rb3011uias-rm 1 772.000
Hp Proliant Ml110 G9 2 6.000.000 Routerboard 10xgigabit
Server Sff Intel Xeon 8 Ethernet, Usb
Core 8gb Ddr4
Switches Cisco Nexus 9300 de 4 11.072.000
Impresoras KYOCERA 2 3800.000 64 port
ECOSYS M3550IDN
Cableado estructurado cat 6, 1 12.000.000
Computadores ALL IN 40 22.800.000 incluye RAK, PATCH
ONE LENOVO 520- PANEL, CONECTORES,
24IKU – CI3 7020U – CABLE, TOMAS, MANO
1TB -4GB DDR4 + DE OBRA
16GB INTEL OPTANE
Access Point Ubiquiti Uap-ac- 9 2.970.000
Total 32.000.000 lite Indoor 2.4/5ghz

Contratación de un canal 1 1.200.000


dedicado de 400 Mbps en fibra
Restructuración, reubicación, reconfiguración y
Óptica
actualización de la infraestructura de software de la
Alcaldía. 27.319.000
Total

A nivel lógico y de software se requiere actualizar todos


La restructuración lógica de la red WAN quedara así
los computadores y servidores.
Tabla 4
Tabla 2
SERVIDOR VLAN DIRECCION IP
DESCRIPCION CANT VALOR
SERVIDOR ASIGNADA POR
Licencias de Microsoft 127 73.660.000
MIKROTIK EL OPERADOR
Windows 10 pro
DE RED
Licencias Microsoft Office 127 15.660.000
SERVIDOR ACTIVE 1000 172.16.2.2
365 2016
DIRECTORY
Paq de 5 antivirus kaspersky 26 13.650.000
SERVIDOR DE 1001 172.16.3.2
BASES DE DATOS
MySQL Standard Edition 4 6.800.000
Subscription (1-4 socket
SERVIDOR DE 1002 172.16.4.2
server)
APLICACIONES
Windows Server 2016 2 600.000
SERVIDOR DE 1003 172.16.5.2
CORREO
Total 169.770.000
ELECTRONICO

 Página 5
 ALCALDIA SAN ANTONIO DEL SENA

SERVIDOR DE 1004 172.16.6.2


ARCHIVOS E
IMPRESORAS

Configuración IP de la red LAN

Tabla 5

Equipo Usuario VLAN DIRECCION IP

ACCESS POINT 192.168.0.2-


WIFI 192.168.0.254

USUARIOS DEL 1000 172.16.2.3-


SERVIDOR ACTIVE 172.16.2.254 Ejecución e implementación de la infraestructura.
DIRECTORY
Como primera medida se contratara un servicio Última
USUARIOS DEL 1001 172.16.3.3- milla de Internet dedicado simétrico de 400 Mbps con un
SERVIDOR DE 172.16.3.254 operador que preste servicios de Fibra óptica, El servidor
BASES DE DATOS Router Mikrotik realizara las siguientes funciones:

USUARIOS DEL 1002 172.16.4.3-


SERVIDOR DE 172.16.4.254
Se crearan 5 Vlans así:
APLICACIONES
Imagen 2
USUARIOS DEL 1003 172.16.5.3-
SERVIDOR DE 172.16.5.254
CORREO
ELECTRONICO

USUARIOS DEL 1004 172.16.6.3-


SERVIDOR DE 172.16.6.254
ARCHIVOS E
IMPRESORAS

Imagen 1

Mikrotik Rb3011uias-rm Routerboard Rb3011 De 10


Puertos Giga

CARACTERÍSTICAS

El RB3011 es un nuevo dispositivo multipuerto, el primero


en ejecutar una CPU de arquitectura ARM para un
rendimiento superior que nunca. El RB3011 tiene diez
puertos Gigabit divididos en dos grupos de conmutadores,

 Página 6
 HUGO ANDREZ BUSTOS RESTREPO

una caja SFP y, por primera vez, un puerto USB 3.0 de implementado en conjunto con Wisp Control Seguridad,
tamaño completo SuperSpeed, para agregar es la solución más segura para dar servicios.
almacenamiento o un módem 3G / 4G externo.
Control Hotspot
La unidad RB3011UiAS-RM viene con un gabinete de
montaje en rack de 1U, un panel LCD de pantalla táctil, un Podrá dar acceso a internet desde lugares públicos como
puerto de consola serie y funcionalidad de salida PoE en hoteles, aeropuertos, universidades, también en su
el último puerto Ethernet. proveedor de acceso a internet. Es una herramienta de
validación versátil ya que cualquier persona con su Laptop
MIKROTIK se diversifica en una variedad de modelos que o PC podrá tener un acceso controlado a internet. Las
nos permiten realizar múltiples soluciones y que siguientes son algunas de los agregados que le puede dar a
conducirán a que la Alcaldía de San Antonio del Sena sea esta solución: Acceso a Internet prepago: Podrá emitir una
un ejemplo de administración y productividad. tarjeta con un usuario y contraseña por un tiempo
determinado de acceso. Acceso a redes: puede desde su red
Mikrotik RouterOS es el sistema operativo del dispositivo dar acceso a ciertos usuarios a internet, pero dejando libre
físico Routerboard. el control de los recursos como impresora, file server, etc.
El Proveedor de internet: Dará control del ancho de banda
Control de Seguridad: por usuario y contraseña.

La seguridad es algo primordial en una red, es por eso que


las técnicas que se utiliza en la configuración del Firewall
en el Router de Borde permiten tener el control, tanto del
tráfico de ingreso así como el generado por los usuarios o
host en la red, con el cual podrá controlar los accesos a su
red, así como bloquear aplicaciones, mensajeros y chats,
servicios y sistemas de intercambio de archivos (p2p). Control de Ancho de Banda

Control de VPN’s Con esta solución puede balancear su carga hasta con 8
proveedores de internet, cable modem o accesos
Esta característica le ofrece unir sus sucursales o redes a dedicados, lo que podrá aumentar su ancho de banda
través de Redes Privadas Virtuales, asimismo ingresar a la significativamente. Tendrá la ventaja de poder ir creciendo
misma desde su Laptop como si estuviera dentro de ella a medida que su red lo requiera, también se pueden dar
desde cualquier lugar del mundo, pudiendo acceder a soluciones para balancear más los accesos a internet.
sistemas y recursos, con toda la seguridad que sus datos
requieren. Seguridad con túneles L2TP/PPTP además de Servidor active Directory
una encriptación superior con IPSEC, le permiten tener la
privacidad necesaria. Imagen 3

Control de Calidad de Servicio

Un acceso a Internet que no esté bien administrado, en la


navegación sobre sitios importantes da igual una bajada de
un archivo ftp, p2p o voIp, todos tienen la misma
PRIORIDAD, con esta solución podrá racionalizar y
priorizar inteligentemente el ancho de banda disponible
privilegiando aplicaciones interactivas, VoIP, navegación,
correo electrónico, ftp e intercambio de archivos P2P entre
otros.

Control Acceso

Son diferentes los métodos que soporta Mikrotik para el


control de los accesos de usuarios, entre ellos tenemos al Active Directory (AD) es un servicio de directorio para su
HotSpot, PPPoE, DHCP Firewalled. Con el sistema de uso en un entorno Windows Server. Se trata de una
validación PPPoE podrá dar acceso a su red o a internet estructura de base de datos distribuida y jerárquica que
utilizando el control con un usuario y contraseña que es comparte información de infraestructura para localizar,
intercambiado encriptado desde el cliente hasta el proteger, administrar y organizar los recursos del equipo y
servidor, además de una utilización de interfaces virtuales, de la red, como archivos, usuarios, grupos, periféricos y
que lo hace difícil de hackear, con esta aplicación se puede dispositivos de red.
controlar el ancho de banda de esa conexión,

 Página 7
 ALCALDIA SAN ANTONIO DEL SENA

Active Directory es el servicio de directorio propietario de Una característica clave de la estructura de Active
Microsoft para su uso en redes de dominio de Windows. Directory es la autorización delegada y la replicación
Cuenta con funciones de autenticación y autorización y eficiente. Cada parte de la estructura organizativa de AD
proporciona un framework para otros servicios similares. limita la autorización o la replicación dentro de esa
Básicamente, el directorio consiste en una base de datos subparte en particular.
LDAP que contiene objetos en red. Active Directory
utiliza el sistema operativo Windows Server. Bosque

Cuando se habla sobre Active Directory, por lo general nos El bosque es el nivel más alto de la jerarquía de la
referimos a los servicios de dominio (Domain Services) de organización, y se trata de un límite de seguridad dentro
Active Directory, que proporcionan servicios integrados de la organización. Un bosque permite segregar la
de autenticación y autorización a gran escala. delegación de autoridad de forma acotada en un solo
entorno. De este modo, podemos tener un administrador
Servicios adicionales bajo el estandarte de Active con derechos y permisos de acceso total, pero solo a un
Directory. subconjunto específico de recursos. También es posible
utilizar un solo bosque en la red. La información del
Active Directory Lightweight Directory Services bosque se almacena en todos los controladores de dominio
de todos los dominios dentro del bosque.
Esta versión ligera de los servicios de dominio elimina
cierta complejidad y algunas características avanzadas Árbol
para ofrecer solo la funcionalidad básica del servicio de
directorio sin controladores de dominio, bosques o Un árbol es un grupo de dominios. Los dominios dentro de
dominios. Normalmente se utiliza en entornos de redes un árbol comparten el mismo espacio de nombre raíz, pero,
individuales y pequeñas. a pesar de ello, los árboles no son límites de seguridad o
replicación.

Dominios
Active Directory Certificate Services
Cada bosque contiene un dominio raíz. Se pueden usar
Los servicios de certificados ofrecen formas de dominios adicionales para crear más particiones dentro de
certificación digital y admiten infraestructura de clave un bosque. El propósito de un dominio es dividir el
pública (PKI, por sus siglas en inglés). Este servicio puede directorio en partes más pequeñas para poder controlar la
almacenar, validar, crear y revocar las credenciales de replicación. Un dominio limita la replicación de Active
clave pública utilizadas para el cifrado en lugar de generar Directory solo a los otros controladores de dominio que se
claves de forma externa o local. encuentran en su interior. Por ejemplo: si tenemos dos
oficinas, una Oakland y otra en Pittsburg, la primera no
Active Directory Federation Services debe replicar los datos de AD de la segunda (y viceversa).
De este modo, podemos ahorrar ancho de banda y limitar
Proporciona un servicio de autenticación y autorización de
el daño causado a través de las brechas de seguridad.
inicio de sesión único basado en la web para su uso
principalmente entre organizaciones. De este modo, un Cada controlador de un dominio contiene una copia
contratista puede iniciar sesión en su propia red y tener idéntica de la base de datos de Active Directory de ese
autorización, al mismo tiempo, para acceder a la red del dominio. De este modo se mantiene todo actualizado a
cliente. través de la replicación constante.

Active Directory Rights Management Services A pesar de que los dominios se usaban en el modelo
anterior, basado en Windows-NT, y aún proporcionan una
Se trata de un servicio de administración de derechos que
barrera de seguridad, se recomienda que no sean solo los
rompe con el concepto de autorización como un simple
dominios los que se encarguen de controlar la replicación,
modelo de permitir o denegar acceso y limita lo que puede
sino que se empleen también las unidades organizativas
hacer un usuario con archivos o documentos concretos.
(OU) para agrupar y limitar los permisos de seguridad.
Los derechos y restricciones se adjuntan al documento, y
no al usuario. Estos derechos se usan comúnmente para Unidades organizativas (OU)
evitar la impresión, la copia o las capturas de pantalla de
un documento. Una unidad organizativa permite agrupar la autoridad
sobre un subconjunto de recursos de un dominio. Una OU
Active Directory Structure proporciona un límite de seguridad para privilegios y
autorización elevados, pero no limita la replicación de
objetos de AD.

 Página 8
 HUGO ANDREZ BUSTOS RESTREPO

Las unidades organizativas se utilizan para delegar el Emulador de controlador de dominio primario
control dentro de agrupaciones funcionales. Se deben usar
las unidades organizativas para implementar y limitar la Solo hay un emulador de controlador de dominio primario
seguridad y los roles entre los grupos, mientras que los (PDC) por dominio. Está ahí para proporcionar
dominios deben usarse para controlar la replicación de compatibilidad con versiones anteriores de los antiguos
Active Directory. sistemas de dominio basados en Windows NT, y responde
a las solicitudes realizadas a un PDC como se esperaría
Los controladores de dominio son servidores de Windows que lo hiciera un PDC antiguo.
que contienen la base de datos de Active Directory y
ejecutan funciones relacionadas con AD, como la Almacén de datos
autenticación y la autorización. Un controlador de dominio
es cualquier servidor Windows que cuente con la función El almacén de datos se encarga del almacenamiento y la
de controlador de dominio instalada. recuperación de la información en cualquier controlador
de dominio. El almacén de datos se compone de tres capas.
Cada controlador de dominio almacena una copia de la La capa inferior es la propia base de datos. La capa
base de datos de Active Directory, que contiene intermedia está compuesta por componentes de servicio, el
información sobre todos los objetos dentro del mismo agente del sistema de directorio (DSA), la capa de base de
dominio. Además, cada controlador de dominio almacena datos y el motor de almacenamiento extensible (ESE). En
el esquema de todo el bosque, así como toda la la capa superior se encuentra el servicio de
información sobre el mismo. Un controlador de dominio almacenamiento de directorio, el LDAP (Lightweight
no almacenará una copia de ningún esquema o Directory Access Protocol), la interfaz de replicación, la
información de bosque de un bosque diferente, aunque se API de mensajería (MAPI) y el administrador de cuentas
encuentren en la misma red. de seguridad (SAM).

Funciones especializadas del controlador de dominio Sistema de nombres de dominio

Se usan roles especializados de controlador de dominio Aunque Active Directory contiene información de
para realizar operaciones específicas que no están ubicación sobre los objetos almacenados en la base de
disponibles en los controladores de dominio estándar. datos, utiliza el sistema de nombres de dominio (DNS)
Aunque estos roles maestros se asignan al primer para situar los controladores de dominio.
controlador creado en cada bosque o dominio, un
administrador puede reasignarlos manualmente.

Maestro de esquema Dentro de Active Directory, cada dominio tiene un nombre


de dominio DNS y cada ordenador que forma parte del
Solo existe un maestro de esquema por bosque. Contiene dominio cuenta con un nombre DNS dentro del mismo.
la copia maestra del esquema utilizado por todos los demás
controladores de dominio. Tener una copia maestra Objetos
garantiza que todos los objetos se definan de la misma
Todo lo que hay dentro de Active Directory se almacena
manera.
en forma de objeto. También podría decirse que la clase es
Maestro de nombres de dominio el “tipo” de un objeto dentro del esquema. Los atributos
son los componentes del objeto, y están definidos por su
Solo existe un maestro de nombres de dominio por cada propia clase.
bosque, y su función es garantizar que todos los nombres
de los objetos sean únicos y, cuando sea necesario, realizar Los objetos deben definirse dentro del esquema para que
referencias cruzadas de los objetos almacenados en otros los datos puedan almacenarse en el directorio. Una vez
directorios. definidos, los datos se almacenan dentro del directorio
activo como objetos individuales. Cada objeto debe ser
Maestro de infraestructura único y representar una sola cosa, como un usuario, un
equipo o un grupo único de cosas (grupos de usuarios, por
Hay un maestro de infraestructura por dominio que ejemplo).
mantiene la lista de objetos eliminados y rastrea las
referencias de los objetos en otros dominios. Los dos principales tipos de objetos son recursos y
principios de seguridad. A los principios de seguridad se
Maestro del identificador relativo les asignan identificadores de seguridad (SID), pero los
recursos no.
El maestro del identificador relativo rastrea la asignación
y creación de identificadores de seguridad únicos (SID) en Replicación
todo el dominio, y hay uno por dominio.

 Página 9
 ALCALDIA SAN ANTONIO DEL SENA

Active Directory utiliza diversos controladores de dominio


por múltiples razones, incluido el equilibrio de carga y la
tolerancia a fallos. Para que esto funcione, cada
controlador de dominio debe disponer de una copia
completa de la propia base de datos de Active Directory de
su dominio. La replicación es el proceso que garantiza que
cada controlador cuente con una copia actualizada de la
base de datos.

La replicación está limitada por el dominio. Los


controladores de dominio que se encuentran en dominios
diferentes no se replican entre sí, incluso aunque estén
dentro del mismo bosque. Si bien las versiones anteriores Para las bases de datos de la Alcaldía San Antonio del
de Windows tenían diferentes tipos de controladores de SENA, la cual tiene con múltiples usuarios nos servirá un
dominio (principal y secundario), en Active Directory no servidor de base de datos. Las bases de datos quedaran
existe tal cosa: todos los controladores de dominio son situadas este servidor y se puede acceder a ellas desde
iguales. A veces puede existir cierta confusión por seguir terminales o equipos de las dependencias con un programa
usando en Active Directory el nombre de “controlador de -llamado cliente- que permita el acceso a la base o bases
dominio” que se empleaba en el antiguo sistema, basado de datos. Los gestores de base de datos de este tipo
en la confianza. permitirá que varios usuarios hagan operaciones sobre ella
al mismo tiempo: uno puede hacer una consulta al mismo
tiempo que otro, situado en un lugar diferente, y otro está
La replicación trabaja sobre un sistema de extracción, lo introduciendo datos en la base.
que significa que un controlador de dominio solicita o
Se proporcionara un potente mecanismo de seguridad que
“extrae” la información de otro controlador de dominio en
garantice que ningún intruso pueda acceder o corromper la
lugar de que cada uno de ellos envíe o “introduzca” datos
integridad del sistema, en servidores de bases de datos
en los demás. De forma predeterminada, los controladores
hablaremos de la seguridad a 4 niveles básicos:
de dominio solicitan datos de replicación cada 15
segundos. Ciertos eventos de alta seguridad, como Seguridad de acceso al sistema.
bloquear una cuenta, activan un evento de replicación
inmediata. Seguridad a nivel de objetos de datos.

Solo se replican los cambios. Para garantizar la fidelidad Seguridad a nivel de datos.
en un sistema de múltiples maestros, cada controlador de
dominio realiza un seguimiento de los cambios y solicita Seguridad en cuanto a protección de los almacenamientos
solo las actualizaciones que necesita desde la última físicos de los datos.
replicación. Los cambios se replican a través de todo el
dominio mediante un mecanismo de almacenamiento y La seguridad de acceso se implementara de dos maneras
reenvío, de modo que cualquier cambio se replica cuando posibles: a nivel de sistema operativo, en cuyo caso el
se solicita, incluso si dicho cambio no se originó en el SGBD se apoya en la seguridad de entrada al sistema
controlador de dominio que responde a la solicitud de operativo para comprobar la validez del acceso a los datos
replicación. almacenados; o bien lo que se llama modo mixto, en el
cual la seguridad de entrada a la información la llevará a
De ese modo se evita el exceso de tráfico, y se puede cabo el propio servidor de datos a partir de la definición de
configurar para garantizar que cada controlador de cuentas de usuario al servidor (su denominación de mixta
dominio solicite sus datos de replicación al servidor más proviene de la capacidad de los sistemas de incluir como
deseable. Por ejemplo, si una ubicación remota tiene dos cuentas de acceso o login áquellas propias del sistema
conexiones a otros sitios con controladores de dominio, y operativo, lo que facilita la transición de las cuentas de
una de ellas es rápida mientras que la otra es lenta, puede seguridad). La segunda es de gran ayuda cuando los
establecer un “coste” para cada conexión. Al hacerlo, la clientes que acceden al sistema provienen de sistemas
solicitud de replicación se realizará siempre a través de la operativos con poca (o ninguna) seguridad o de
conexión más rápida. aplicaciones instaladas que necesiten acceder a los
volúmenes de información del sistema. En ambos casos,
Servidor de Base de Datos en los sistemas se contará con roles o papeles con los que
contará el usuario al entrar al sistema para la realización
de determinadas operaciones de cara al sistema.

 Página 10
 HUGO ANDREZ BUSTOS RESTREPO

La seguridad a nivel de objetos es el acceso a nivel de


creación y administración de objetos de datos: tablas,
vistas, índices, relaciones, reglas...etc. Es decir, las
responsabilidades y acciones que puede hacer el usuario
en el esquema de la base de datos (el esqueleto a partir del
cual el sistema definirá cómo se debe almacenar y
relacionar la información). Este podrán especificar de
nuevo roles a los usuarios, indicando quién podrá crear,
modificar o eliminar cualquier objeto de datos (con lo que
se permite establecer una política de delegación de
responsabilidades).

La seguridad a nivel de datos accede a la información para


su consulta, actualización, inserción o borrado y las
características de los diversos motores, los que
determinarán hasta qué grado de seguridad se llega en este
Proporcionará a La Alcaldía San Antonio del Sena
apartado (desde la protección de las columnas de una tabla
servicios que soportan la ejecución y disponibilidad de las
hasta la tabla en sí, creación de vistas...etc.).
aplicaciones desplegadas. Sera el corazón de nuestro
sistema distribuido de aplicaciones como lo son Sistema
La seguridad a nivel de protección de los almacenamientos
de Información Geográfico (SIG), sistema de información
físicos de la información. Es la seguridad a nivel de
integrado con el SIG, Sistema de Información para los
sistema operativo de los archivos de datos del sistema, y
procesos de: matrículas escolares, traslados escolares y
las políticas de copia de seguridad y restauración de los
gestión de alianzas con la educación superior, Sistema de
datos (tanto con herramientas del sistema operativo como
Información Documental para realizar procesos de:
las proporcionadas por el propio servidor de datos) junto
certificaciones laborales de docentes, solicitud de copias
con sus posibles aproximaciones (total, incremental y
de actos administrativos, solicitud de renuncias para
diferencial), además de los soportes hardware compatibles
docentes, solicitud de subsidio de transporte, inscripción y
de almacenamiento masivo empleados como destino de las
ascenso en el escalafón docente y legalización de
copias.
establecimientos educativos, la implementación del
El servidor de datos proporcionara mecanismos de Sistema de Información para la Gestión Ambiental.
comunicación óptimos, pues de cómo se envíe la
Se utilizara el estándar J2EE que permite el desarrollo de
información dependerán parámetros tan importantes como
aplicaciones de empresa de una manera sencilla y
la velocidad de acceso a los datos. Todos los sistemas
eficiente. Una aplicación desarrollada con las tecnologías
gestores analizados cuentan con múltiples configuraciones
J2EE permite ser desplegada en cualquier servidor de
de protocolos, adaptándose a los protocolos existentes y
aplicaciones o servidor web que cumpla con el estándar.
estandarizados de la actualidad: TCP/IP, IPX, Banyan, ect;
Un servidor de aplicaciones es una implementación de la
es importante no sólo el canal de comunicaciones que está
especificación J2EE.
disponible para los servidores de datos sino también cómo
es transmitida la información.
Conceptos de la arquitectura J2EE
Usaremos MySQL server -- Base de datos de código
Cliente web (contenedor de applets): Es usualmente un
abierto muy popular, pequeña y rápida para todas las
navegador e interactúa con el contenedor web haciendo
dependencias de la Alcaldia de San Antonio del Sena.
uso de HTTP. Recibe páginas HTML o XML y puede
ejecutar applets y código JavaScript. Aplicación cliente:
Servidor de Aplicaciones
Son clientes que no se ejecutan dentro de un navegador y
Imagen 4 pueden utilizar cualquier tecnología para comunicarse con
el contenedor web o directamente con la base de datos.
Contenedor web: Es lo que comúnmente denominamos
servidor web. Es la parte visible del servidor de
aplicaciones. Utiliza los protocolos HTTP y SSL (seguro)
para comunicarse. Servidor de aplicaciones: Proporciona
servicios que soportan la ejecución y disponibilidad de las
aplicaciones desplegadas. Es el corazón de un gran sistema
distribuido. Frente a la tradicional estructura en dos capas
de un servidor web, un servidor de aplicaciones
proporciona una estructura en tres capas que permite
estructurar nuestro sistema de forma más eficiente. Un

 Página 11
 ALCALDIA SAN ANTONIO DEL SENA

concepto que debe quedar claro desde el principio es que El único requisito indispensable es que la impresora
no todas las aplicaciones de empresa necesitan un servidor siempre debe estar conectada y en red para que desde
de aplicaciones para funcionar. Una pequeña aplicación cualquier dependencia de la Alcaldía San Antonio del
que acceda a una base de datos no muy compleja y que no Sena se tenga el acceso necesario a la misma, se utilizara
sea distribuida probablemente no necesitará un servidor de un servidor con sistema Operarivo Windows server, se
aplicaciones, tan solo con un servidor web (usando servlets utilizaran 6 impresoras en red para las diferentes
y jsp) sea suficiente. Como hemos comentado, un servidor dependencias.
de aplicaciones es una implementación de la
especificación J2EE. Existen diversas implementaciones, En este servidor también se almacenaran todos los
cada una con sus propias características que la pueden archivos compartidos existentes en las diferentes
hacer más atractiva en el desarrollo de un determinado dependencias de la alcaldía San Antonio del Sena y se
sistema. Algunas de las implementaciones más utilizadas ejecutara en Windows Server 2016, Se destinara un disco
son las siguientes: duro de 128 teras.

• BEA WebLogic De este modo, cuando se asigna como una unidad, el


software puede leerlo y gestionarlo como una unidad
• IBM WebSphere adicional. Si la configuración del servidor de archivos se
ha realizado correctamente, los usuarios tiene plena
• Sun-Netscape IPlanet libertad para crear, modificar y ejecutar los archivos que
deseen de manera directa desde el servidor.
• Sun One
Adicionalmente, el servidor de archivos les permitirá a los
• Oracle IAS usuarios añadir espacio de almacenamiento adicional
compartido a sus equipos.
• Borland AppServer
Crear roles en las aplicaciones de las bases de datos,
• HP Bluestone
accesos a la red y los archivos
Los dos primeros son los más utilizados en el mercado.
Los roles de aplicación proporcionan un método para
Nosotros vamos a utilizar el servidor BEA WebLogic. La
asignar permisos a las aplicaciones ya los sistemas de la
principal ventaja de WebLogic es que podemos crear un
red. Los usuarios se pueden conectar a las bases de datos,
sistema con varias máquinas con distintos sistemas
activar el rol de aplicación y asumir los permisos
operativos: Linux, Unix, Windows NT, etc. El sistema
concedidos a la aplicación. Los permisos concedidos al rol
funciona sin importarle en qué máquina está corriendo el
de aplicación se mantienen mientras dura la conexión.
servidor.
Los roles de aplicación se activan cuando una aplicación
Servidor de impresoras y archivos
cliente proporciona un nombre de rol de aplicación y una
Un servidor de impresión nos da la posibilidad de contraseña en la cadena de conexión. En una aplicación de
compartir y usar todas las impresoras evitándonos la tarea tres niveles, puede almacenar la contraseña de forma que
de realizar esta tarea en impresoras diferentes y además los usuarios de la aplicación no tengan acceso a ella.
evitamos la instalación de la aplicación con la cual se
Características de los roles de aplicación
desarrolla el trabajo.
Los roles de las aplicaciones tendran las siguientes
Imagen 5
características:

 A diferencia de los roles de base de datos, los


roles de aplicación no contienen miembros.
 Los roles de aplicación se activan cuando una
aplicación proporciona el nombre de rol de
aplicación y una contraseña en el procedimiento
almacenado del sistema sp_setapprole.
 La contraseña se debe almacenar en el equipo
cliente e indicar en tiempo de ejecución; los
roles de aplicación no se pueden activar desde
SQL Server.

 Página 12
 HUGO ANDREZ BUSTOS RESTREPO

 La contraseña no se cifra. La contraseña del Se tendrán en cuenta las alternativas siguientes.


parámetro se almacena como un hash
unidireccional. Usar el cambio de contexto con la instrucción EXECUTE
 Una vez activados, los permisos adquiridos AS y sus cláusulas NO REVERT y WITH COOKIE.
durante el rol de aplicación se mantienen Puede crear una cuenta de usuario en una base de datos que
mientras dura la conexión. no esté asignada a un inicio de sesión. Posteriormente se
 Los roles de aplicación heredan los permisos asignará permisos a esta cuenta. El uso de EXECUTE AS
concedidos al rol public. con un usuario sin inicio de sesión resulta más seguro, ya
 Si un miembro del rol fijo de servidor sysadmin que se basa en los permisos y no en una contraseña. Para
activa un rol de aplicación, el contexto de obtener más información.
seguridad cambia al correspondiente al rol de
Firmar procedimientos almacenados con certificados y
aplicación mientras dura la conexión.
conceder únicamente permiso para ejecutar los
 Si crea una cuenta guest en una base de datos
procedimientos.
que incluye un rol de aplicación, no necesita
crear una cuenta de usuario de base de datos para VII. Conclusiones
el rol de aplicación ni para los inicios de sesión
que la invoquen. Los roles de aplicación sólo Este documento fue creado con el objetivo de presentar
pueden obtener acceso directamente a otra base una propuesta de infraestructura tecnológica a la Alcaldía
de datos si existe una cuenta guest en la segunda San Antonio del Sena, para mejorar los procesos en todas
base de datos. sus dependencias.
 Las funciones integradas que devuelven
nombres de inicio de sesión, como VIII. Referencias
SYSTEM_USER, devuelven el nombre del
inicio de sesión que invocó el rol de aplicación. https://docs.microsoft.com/es-
Las funciones integradas que devuelven es/dotnet/framework/data/adonet/sql/creating-
nombres de usuario de base de datos devuelven application-roles-in-sql-server
el nombre del rol de aplicación.
https://www.ecured.cu/Servidor_Bases_de_Datos
Principio de los privilegios mínimos
https://www.ecured.cu/Servidor_de_Aplicaciones
Los roles de aplicación sólo deben recibir los permisos
necesarios si la contraseña se ve comprometida. Se deben
revocar los permisos al rol public en las bases de datos que
usen roles de aplicación. Deshabilite la cuenta guest en
cualquier base de datos a la que no se desea que tengan
acceso los autores de llamadas al rol de aplicación.

Mejoras de los roles de aplicación

El contexto de ejecución se puede volver a cambiar al


autor de llamada original tras activar un rol de aplicación,
lo que evita la necesidad de deshabilitar la agrupación de
conexiones. El procedimiento sp_setapprole incluye una
nueva opción que crea una cookie, que contiene
información de contexto acerca del autor de la llamada.
Puede revertir la sesión mediante una llamada al
procedimiento sp_unsetapprole, al que le pasa la cookie.

Alternativas a los roles de aplicación

Los roles de aplicación dependen de la seguridad de una


contraseña, lo que supone una posible vulnerabilidad de
seguridad. Las contraseñas se pueden exponer mediante su
incrustación en código de aplicación o su almacenamiento
en disco.

 Página 13

Вам также может понравиться