ESQUEMA DE RED CON DMZ

Juan J. Cnovas Bustamante

2 ASIR

A.S.O.

INDICE
1. ESQUEMA DE RED 2. LOS EQUIPOS INFORMTICOS 2.1. SERVIDORES

2.1.1
2.2. 2.2.1. 2.2.2.

RACK DE SERVIDORES

EQUIPOS CLIENTES CONFIGURACIN IP CONECTIVIDAD A LA RED INTERNA

2.3.

IMPRESORAS DE RED 2.3.1. 2.3.2. CONFIGURACIN IP CONECTIVIDAD A LA RED INTERNA

2.4.

DISPOSITIVOS DE INTERCONEXIN 2.4.1. 2.4.2. SWITCHES ROUTERS

3. LOS DIRECTORIOS COMPARTIDOS EN EL SERVIDOR DE FICHEROS

3.1. 3.2. 3.3. ESTRUCTURA DE DIRECTORIOS PERMISOS DE USUARIO CUOTAS DE DISCO

4. HERRAMIENTAS DE CONTROL REMOTO 5. COPIAS DE SEGURIDAD 6. NOS VAMOS DE COMPRAS: EL MATERIAL INFORMTICO

1. ESQUEMA DE RED El esquema de red utilizado estar compuesto por una red interna, una zona DMZ y una red externa (Internet) usando dos routers. El dibujo bsico del esquema de red es el siguiente:

INTERNET

ZONA DMZ

RED INTERNA

2. LOS EQUIPOS INFORMTICOS 2.1 SERVIDORES La red interna contar con dos servidores y la zona DMZ con uno. A continuacin se detallan las principales caractersticas de los servidores:
Servidores privados Formato Sistema operativo Funciones Windows Server 2k8 Controlador dominio Correo DHCP Servidor en rack (montados horizontalmente) GNU/Linux De Ficheros De impresin GNU/Linux FTP Servidor pblico

Config. IP

DNS (forwarding a 80.56.61.250 y 80.56.61.254 para las peticiones de Internet) IP: 192.168.50.11/24 DGW: 192.168.50.5 DNS: 192.168.50.11 5 x 146GB 10K RPM SAS 2 en RAID1 S.O. 3 en RAID5 datos

IP: 192.168.50.12/24 DGW:192.168.50.5 DNS:192.168.50.11 5 x 146GB 10K RPM SAS 2 en RAID1 S.O. 3 en RAID5 datos Instalacin SAMBA para comparticin de ficheros e impresoras.

Config. RAID Otros

IP: 192.168.26.11/24 DGW:192.168.26.10 DNS: 80.56.61.250 DNS: 80.56.61.254 5 x 146GB 10K RPM SAS 2 en RAID1 S.O. 3 en RAID5 datos

IP: 192.168.15.11/24 DGW:192.168.15.10 DNS: 80.56.61.250 DNS: 80.56.61.254

2.1.1 RACK DE SERVIDORES Los servidores se instalarn en un nico rack de 42U de altura. Junto con los servidores se instalar un monitor LCD plegable, un teclado plano y un conmutador para la administracin in situ de los servidores. La idea es que se monte todo de una manera similar a la especificada abajo:

42 U

2U 2U 1U 1U

SERVIDOR + SAI

MONITOR LCD + TECLADO

2U 2U 2U 2U 2U 2U

UNIDAD DE CINTAS DE BACKUP SWITCH 48 puertos

SERVIDOR + SAI

SERVIDOR + SAI

Cada servidor se conectar a un SAI diferente, para proporcionar proteccin ante problemas en el sistema elctrico y tiempo suficiente para el apagado correcto de los equipos en caso de apagn.

2.2 EQUIPOS CLIENTES La red interna cuenta con 10 equipos porttiles para los usuarios. Los usuarios podrn entrar en cualquiera de las mquinas utilizando su login y contrasea de dominio. Los equipos tendrn instalado como mnimo el siguiente software:

Windows 7 Professional Microsoft Office 2010 Software Antivirus + Antispyware (a determinar) WinZip WinRAR Adobe Reader X Adobe Shockwave Player Adobe Flash Player Internet Explorer / Firefox / Opera

2.2.1 CONFIGURACIN IP Los equipos clientes obtendrn su configuracin IP de forma automtica, proporcionada por el servidor DHCP del dominio. Lo recomendable es que la asignacin sea automtica y no dinmica, para tener un mayor control de las direcciones IP. La configuracin IP tendr los siguientes parmetros: IP: entre la 192.168.50.30 y la 192.168.50.229 Mscara de subred: 255.255.255.0 Puerta de enlace: 192.168.50.5 DNS: 192.168.50.11 2.2.2 CONECTIVIDAD A LA RED INTERNA La conectividad a la red interna se realiza mediante cableado UTP de categora 6, que proporciona una velocidad terica de 1 Gbps dentro de la LAN.

2.3 IMPRESORAS DE RED La red interna dispone de tres impresoras de red; una lser a color, otra lser que imprime en blanco y negro y otra de inyeccin para impresin en formato A3. La impresora lser a color dispone de una tarjeta de red Gigabit Ethernet. Las otras dos impresoras tienen una tarjeta de red Fast Ethernet. 2.3.1 CONFIGURACIN DE RED La configuracin IP se especificar en cada impresora bien de forma manual o bien de forma automtica (reserva en DHCP). En el primer caso se excluiran sus direcciones IP en el servidor DHCP, para que ste no las asigne a las mquinas clientes. La configuracin IP tendr los siguientes parmetros: IP: entre la 192.168.50.240 y la 192.168.50.254 Mscara de subred: 255.255.255.0 Puerta de enlace: ser la misma IP que tenga la impresora. DNS: 192.168.50.11 2.3.2 CONECTIVIDAD A LA RED INTERNA Las impresoras se conectan a la red interna de la misma forma que las mquinas clientes, a travs de cableado UTP categora 6. Si bien las impresoras con Fast Ethernet no sacaran todo el rendimiento al cableado, por motivos prcticos es mejor que todo el cableado de la red sea del mismo tipo. Las impresoras se instalaran localmente en el servidor de impresin, pero utilizando un puerto TCP/IP para cada impresora. Estos puertos no son ms que las direcciones IP de cada impresora. Una vez instaladas, se compartiran en la red utilizando un nombre fcilmente reconocible por los usuarios. En cuanto a los permisos sobre las impresoras, por defecto se permitir que todos los usuarios del dominio puedan imprimir en las tres impresoras.

2.4 DISPOSITIVOS DE INTERCONEXIN 2.4.1 SWITCHES La red interna contar con un solo switch administrable, que interconectar las estaciones, los servidores y las impresoras. En concreto ser un switch Cisco SG300-52, de 48 puertos para hosts. Los switches administrables permiten realizar configuraciones avanzadas como deshabilitar puertos, definir la velocidad de transmisin de stos, crear VLANS, etc., proporcionando a la red ms seguridad a nivel de enlace. El switch ir montado en el rack de servidores. 2.4.2 ROUTERS Se van a utilizar dos routers en el esquema de red; uno que har de puerta de enlace en la red interna y otro que permitir la conexin a Internet a la red interna y el acceso desde el exterior a la zona DMZ. En concreto, el modelo Cisco ASA 5510 Firewall Edition se ubicar entre Internet y la zona DMZ, y el modelo Cisco 2911 har de puerta de enlace para la red interna.

3. LOS DIRECTORIOS COMPARTIDOS EN EL SERVIDOR DE FICHEROS En la red interna existe un servidor con GNU/Linux cuyas funciones son hacer de servidor de ficheros y de impresin. Dicho servidor tiene instalado SAMBA para permitir la comparticin de sus recursos con las estaciones con Windows 7 Professional instalado. En este punto se tratar el tema de la estructura de directorios compartidos. 3.1 LA ESTRUCTURA DE DIRECTORIOS La estructura de directorios compartidos estar compuesta por tres carpetas; /TPV, /Proyectos y /Presupuestos. Estas carpetas estarn ubicadas en el RAID5 del servidor de ficheros. 3.2 PERMISOS DE USUARIO Para indicar los permisos que tienen los usuarios en cada directorio, es recomendable crear tres grupos globales de usuarios: G_JEFES: En este grupo se incluirn los usuarios que sean jefes. G_CONTAB: En este grupo se incluirn aquellas personas que trabajen en el departamento de contabilidad. G_EMPLE: En este grupo se incluirn a los empleados de la empresa.

Los permisos quedaran de la siguiente manera:

R/W
PRESUPUESTOS G_JEFES G_CONTAB

R/W
PROYECTOS G_JEFES

R/W
TPV G_JEFES G_CONTAB G_EMPLE

Los permisos incluidos en los directorios padre sern heredados por sus subdirectorios. 3.3 CUOTAS DE DISCO En el servidor de ficheros se especificar que cada usuario slo podr almacenar 500 MB de datos. Para ello se utilizarn las cuotas de disco.

4. HERRAMIENTAS DE CONTROL REMOTO En la red interna se utilizarn dos tipos distintos de programas de control remoto; NoMachine NX, para controlar los servidores con GNU/Linux y DameWare NT Utilities para controlar los servidores con Windows Server y las estaciones. NoMachine NX permite realizar conexiones virtuales similares a las que se realizaran con Terminal Server de Microsoft. De esta manera, varios administradores podran conectarse al mismo servidor de manera simultnea. DameWare NT Utilities permite realizar conexiones remotas interactivas, es decir, que el administrador trabajara en la mquina controlada como si estuviera fsicamente delante de ella. Esta aplicacin tiene la caracterstica de poder copiar la estructura de directorio del Active Directory de un dominio, simplemente indicando el nombre del controlador de dominio. De esta manera tendramos disponibles los nombres de todas las mquinas del dominio en una estructura idntica a la que tendra el Active Directory. 5. COPIAS DE SEGURIDAD Para realizar las copias de seguridad, se utilizar el programa Symantec Backup Exec. Lo primero es aadir una unidad de cintas de Backup al servidor de ficheros. A continuacin, se instalara la aplicacin en el servidor. Esta aplicacin tiene un agente remoto el cual se tiene que instalar en cada servidor que tenga datos a respaldar. Si no hay imprevistos, la aplicacin tiene que ser capaz de detectar automticamente la unidad de cintas. Por ltimo, el administrador tendr que programar las tareas de Backup, indicando los directorios y subdirectorios a respaldar, el tipo de respaldo (completa, incremental o diferencial) y la frecuencia en que se realizaran (tareas programadas).

6. NOS VAMOS DE COMPRAS: EL MATERIAL INFORMATICO

SERVIDOR WINDOWS SERVER 2008

Servidor tipo rack. Tamao 2U. DELL POWEREDGE R510. Windows Server 2008 R2 SP1 Standard Edition. Procesador Intel Xeon E5620, 4C, 2.40GHz, 12M Cache, FSB 1066Mhz. Placa base con 2 sockets para CPU. 2GB de memoria DDR3 1333MHz. Chasis para 8 discos duros SAS Hot Plug. 5 x 146GB, SAS 6Gbps, 2.5 pulgadas, 10K RPM. Tarjeta de red Intel PRO/1000PT GbE. Unidad ptica SATA 16X DVD+/-RW. 2 x 750W fuentes de alimentacin redundantes. SAI Dell 2U para rack, 1920W, 230V, ~24 min de duracin. 3 aos de garanta ProSupport Servicio in situ al da siguiente.

Precio: 4.527,00

+ IVA

2 X SERVIDOR SUSE LINUX ENTERPRISE

Servidor tipo rack. Tamao 2U. DELL POWEREDGE R510. SUSE Linux Enterprise Server 11 SP1. Procesador Intel Xeon E5620, 4C, 2.40GHz, 12M Cache, FSB 1066Mhz. Placa base con 2 sockets para CPU. 2GB de memoria DDR3 1333MHz. Chasis para 8 discos duros SAS Hot Plug. 5 x 146GB, SAS 6Gbps, 2.5 pulgadas, 10K RPM. Tarjeta de red Intel PRO/1000PT GbE. Unidad ptica SATA 16X DVD+/-RW. 2 x 750W fuentes de alimentacin redundantes. SAI Dell 2U para rack, 1920W, 230V, ~24 min de duracin. 3 aos de garanta ProSupport Servicio in situ al da siguiente.

Precio: 2 X 4.128,00

+ IVA

RACK DELL POWEREDGE 4220

Rack DELL POWEREDGE 4220, con puertas y paneles laterales. 4 ventiladores para rack 4220. Monitor plano LCD 17" 1U con rales de rack DELL. Combo teclado/touchpad UK/Ireland. Conmutador analgico KVM PowerEdge 180AS con 8 puertos. 5 cables de alimentacin para rack 4 metros. 3 aos de ProSupport y servicio in situ al siguiente da laborable.

Precio: 3.894,93

+ IVA

PORTTIL DELL VOSTRO NOTEBOOK 3750

Intel Core i3-2310M 2.1GHz. Windows 7 Professional 64 bits original con DVD de recuperacin. Microsoft Office 2010 Hogar y Pequea Empresa en espaol. Software MUI Trend Micro Worry Free Business Security 3.5 (15 meses). Pantalla LED de alta definicin (1600 X 900) antirreflectante de 17,3". SDRAM DDR3 de doble canal de 2048 MB (1 x 2048) a 1333 MHz. Disco duro Serial ATA de 250 GB 7200 rpm. Unidad de DVD+/-RW 8X con software incluido. Reposamuecas y lector de huellas dactilares biomtrico. Batera principal de iones de litio de 6 celdas y 48 W/h. Cmara integrada de 2,0 megapxeles. Tarjeta inalmbrica Dell 1702 802.11b/g/n europea + Bluetooth. Adaptador de CA de 90 W. 1 ao de servicio de recogida y entrega.

Precio: 10 x 568,00

+ IVA

IMPRESORA LSER DELL EN COLOR 2150CDN

Puertos USB 2.0 y Gigabit Ethernet. Puerto inalmbrico opcional. Velocidad de impresin: Simple: hasta 23 ppm en formato A4; Dplex: hasta 16,1 ppm en formato A4. Asistencia tcnica en lnea las 24 horas del da, los 7 das de la semana. 1 ao de servicio in situ al siguiente da laborable. Procesador de 400 MHz. Ciclo de trabajo hasta 40.000 pginas al mes. Memoria SODIMM DDR2 de 256 MB a 400 MHz. Resolucin: 600 x 600 PPP predeterminada. 1200 x 1200 PPP mxima. Bandejas de entrada: 1 cajn multifuncin de 1 hoja, 1 cajn estndar de 250 hojas.

Precio: 434,00

+ IVA

IMPRESORA LSER DELL EN B/N 2350DN

Puertos USB 2.0, Fast Ethernet y paralelo. Velocidad de impresin: Simple: hasta 38 ppm en formato A4; Dplex: no facilitada por el fabricante. Asistencia tcnica en lnea las 24 horas del da, los 7 das de la semana. 1 ao de servicio in situ al siguiente da laborable. Procesador de 400 MHz. Ciclo de trabajo hasta 60.000 pginas al mes. Memoria SODIMM DDR2 de 32 MB a 400 MHz. Resolucin: 600 x 600 PPP predeterminada. 1200 x 1200 PPP mxima. Bandejas de entrada: 1 cajn multifuncin de 50 hojas, cajn estndar de 250 hojas. Alimentacin opcional de 550 hojas para la impresora Dell 2350dn.

Precio: 406,00

+ IVA

IMPRESORA HP OFFICEJET 7000

Velocidad de impresin en negro (A4) Hasta 33 ppm Velocidad de impresin en color (A4) Hasta 32 ppm Velocidad de impresin en negro (ISO, equivalente al lser) Hasta 8 ppm Velocidad de impresin en color (ISO, equivalente al lser) Hasta 7 ppm Calidad de impresin en negro (ptima) Hasta 600 PPP Calidad de impresin en color (ptima) Hasta 4800 x 1200 PPP Ciclo de trabajo (mensual, A4) Hasta 7.000 pginas Velocidad del procesador 384 MHz Memoria, estndar 32 MB Bandeja de entrada 150 hojas Impresin a doble cara manual (soporte para controlador suministrado) A3+, A3, A4, A5, A6, B4, B5, B6, B7.

Precio: 211,00

SWITCH CISCO SG300-52

48 puertos 10/100/1000 Mbps. Administrable. Sistema operativo Cisco. Montable en rack.

Precio: 950,00

ROUTER CISCO ASA 5510 FIREWALL EDITION

Router montable en rack. Tamao 1U. Memoria RAM de 1GB. Memoria Flash de 256MB Soporte enrutamiento esttico y dinmico. Soporte 50/100 VLANs. Soporte IPv6. Firewall incorporado. Filtrado de contenidos. Sistema IPS (Intrusion Prevention System). Servicios VPN (hasta 250 sesiones de usuario). 3 puertos Ethernet 10/100. 2 puertos Ethernet 10/100/1000.

Precio: 1.746,00

ROUTER CISCO 2911

Router montable en rack. Tamao 2U. Memoria RAM de 512MB. Memoria Flash de 256MB. Ethernet, FastEthernet y GigabitEthernet. Soporte enrutamiento esttico. Soporte de varios protocolos de encaminamiento dinmicos. Firewall integrado.

Soporte VPN. Soporte IPv6. puertos LAN Gigabit Ethernet (10/100/1000). 1 puerto de consola RJ-45. 1 puerto de consola mini-USB tipo B.

Precio: 1.239,87

UNIDAD DE CINTAS IBM SYSTEM STORAGE TS2340 EXPRESS

Interfaz SCSI o SAS (segn modelo). Tasa de transferencia de 120 MB/s. Soporte cintas: o Lectura/escritura con cintas LTO Ultrium4.

o Lectura con cintas LTO Ultrium3. Posibilidad de encriptacin por hardware. Posibilidad de compresin por hardware 2:1.
Uso con cintas LTO Ultrrium4 de 800 GB (25/cinta).

Precio: 3.216,37

TOTAL: +30.500