INFORME TECNICO 001-2015 ADEN EIRL

Piura 30 de Enero de 2015

PARA

: ADEN EIRL

ATENCIN

: Ing. Jos Duran Prez

ASUNTO : REINGENIERA DE RED INFORMTICA

DE

: DPTO OPERACIONES ENTERCOMP SAC

1. INTRODUCCIN
El presente informe proyecta la Reingeniera de la Red
Informtica de las oficinas de ADEN EIRL, ubicadas en la
Urbanizacin Los Tallanes y La Zona Industrial de Piura. Cabe
precisar que el proyecto en conjunto necesita de la colaboracin
eficaz entre ADEN EIRL y ENTERCOMP SAC. Solo de este modo se
podr cumplir con los objetivos propuestos. As mismo se solicita a
los involucrados en el proyecto de reingeniera, que en la medida
sea posible se priorice y se preste atencin a la solicitud de
pedidos de informacin requerida, evaluacin de propuestas
tcnicas y econmicas, coordinacin de cronogramas de
mantenimiento y reestructuracin, entre otros
2. OBJETIVOS
El proceso de reingeniera de la red informtica tiene como
objetivo mejorar la actual infraestructura (hardware y software),
elevando los niveles de seguridad en la transferencia de
informacin, escalabilidad, reduccin de cotos de administracin,
mantenimiento y la gestin correcta de recursos de red. Adems
de:
-

Incrementar la productividad del personal.

Obtener mejores resultados de experiencia profesional en
conjunto.

Llegar a ms usuarios sin incurrir en gastos extra.

Eficiencia en el empleo de equipos y herramientas.
Computadoras y Servidores.
Equipos de copia e impresoras.
Herramientas de software y bases de datos, entre otros.
Reducir gastos por volumen.
Estandarizacin de soluciones, equipos y herramientas.
Provisin oportuna de servicios
Internet, Web, extranet y otros servicios

3. ESCENARIO ACTUAL
La
infraestructura
actual
comprende
la
red
de
comunicaciones (cableado estructurado) y la red informtica
(Networking).
3.1

RED DE COMUNICACIONES.

3.1.1 OFICINA LOS TALLANES

La red de comunicaciones existente presenta una distribucin
de red de topologa tipo estrella dimensionada para pequeas
empresas, cuenta con un cuarto de telecomunicaciones (data
center) bsico y tendido de cableado de red UTP Categora 6
(Fig. 01).
Las oficinas se encuentran instaladas en un edificio que
cuenta con dos niveles (planta baja y segunda planta), los
Workstation (estaciones de trabajo) presentan puntos de red de
datos y puntos de voz; y se encuentran distribuidos en los dos
niveles, estos se conectan directamente al cuarto de
telecomunicaciones (ubicado en el primer nivel) nicamente a
travs de un cableado red horizontal puesto que la
infraestructura de red no presenta cableado de red vertical entre
los dos niveles.
La infraestructura de red, tambin cuenta con una red
Wireless (inalmbrica) que complementa la red cableada, esta
brinda acceso a la red corporativa a los Host (Laptop, Tablet,
Smartphone, etc.) travs de Putos de Acceso Wifi.

Figura 01. Cableado estructurado de Red.

CONSOLIDADO DE EQUIPOS ACTIVOS Y PASIVOS DE RED
TE
EQUIPO
M
DATA CENTER
01
Router Principal

02
03

04
05

06
07
08
09

CARACTERISTICAS

Router ISP suministrado por el

proveedor
de
internet
(Telefnica S. A)
Switch
Switch principal 24 Port, D-link
10/100 Mbps
Servidor
Servidor
HP
ProLiant
Principal
Procesador Intel Xeon CPU
E5-2403 1.80 GHz
Central
Central Telefnica Analgica
Telefnica
(PBAX) INTELBRAS CONECTA
Servidor Firewall Servidor
Firewall
LINUX
CENTOS - SQUID instalado
sobre hardware PC bsico.
DVR
CCTV DVR AVTECH 8 CH
ACTECH
Enlace
UBIQUITI NANO BRIDGE POE
Microondas AP.
2.5 GHz
Patch Panel
Patch Panel 24 Port Rj45
Gabinete
Gabinete 42 RU, 01 kit de
Principal
ventilacin,
01
Bandeja
deslizable
para
monitor,
teclado y mause, 01 bandeja
simple, 01 power rack, 02
organizadores horizontales, 02

ESTAD
O

CANT
.

Activo

01

Activo

01

Activo

01

Inactiv
o

01

Activo

01

Activo

01

Activo
Activo

02
01

10

AP (Punto de
Acceso)

11

AP (Punto de
Acceso)

organizadores verticales.
ROUTER ETHERNET WIRELESS Activo
CISCO
LINKSYS
SMART
EA2700,
Punto de Acceso Inalmbrico Activo
TP-LINK WiFi 54Mbps TLWA500G

01

01

3.1.2 ALMACEN ZONA IDUSTRIAL

La red de comunicaciones existente presenta una distribucin
de topologa tipo estrella, cuenta con un gabinete de
telecomunicaciones principal bsico y tendido de cableado de
red Categora 5e. Las oficinas se encuentran dentro de un
edificio que cuenta con dos niveles (planta baja y segunda
planta), los Workstation presentan puntos de datos y estn
distribuidos en los dos niveles, estos se conectan al gabinete de
telecomunicaciones (ubicado en el segundo nivel) a travs de un
cableado estructurado horizontal, la infraestructura no presenta
cableado vertical entre los dos niveles.
La red de datos del Almacn Zona Industrial se conecta a la
red principal de las Oficinas Los Tallanes a travs de un enlace
de radio microondas, este enlace comparte los recursos de red,
Internet y el sistema de video Vigilancia. CCTV entre los dos
puntos.
La infraestructura de red, tambin cuenta con una red
Wireless (inalmbrica) que complementa la red cableada, esta
brinda acceso a la red corporativa a los Host (Laptop, Tablet,
Smartphone, etc.) travs de Putos de Acceso Wifi.
CONSOLIDADO DE EQUIPOS ACTIVOS Y PASIVOS DE
RED
TE
EQUIPO
M
DATA CENTER
02
Switch

CARACTERISTICAS

ESTAD
O

Switch principal 8 Port, D-link Activo

10/100 Mbps

CANT
.
01

06
07
09
11

3.2

DVR
CCTV
HIKVISION
Enlace
Microondas AP.
Gabinete
Principal
AP (Punto de
Acceso)

DVR HIKVION DS-7004, 4

Canales.
UBIQUITI NANO BRIDGE POE
2.5 GHz
Gabinete 12 RU, 01 power
rack
Punto de Acceso Inalmbrico
TP-LINK WiFi WA901ND 3
Antenas

Activo

01

Activo

01

Activo

01

Activo

01

RED INFORMTICA (NETWORKING)

Aden E.I.R.L posee un servidor principal con sistema

operativo Windows Server 2012 Licenciado, que gestiona los
servicios y recursos de red que se comparten entre usuarios
dentro de la empresa, as mismo se encuentra configurado como
servidor DHCP, servidor DNS y Servidor de Impresin. Esta red
informtica presenta una serie de deficiencias en funcin a la
infraestructura y la seguridad de la red. Los detalles son como
siguen:
-

Falta de redundancia de almacenamiento de datos (El

servidor posee solo un disco duro para el almacenamiento
de informacin).
Falta de redundancia de alimentacin elctrica al Servidor
(El servidor posee una sola fuente de alimentacin).
Servidor Firewall Desactivado por falta de polticas de
seguridad.
Falta de servicios anti-spam, anti-virus, anti-spyware, etc.
Incompatibilidad por equipos de Hardware de mltiples
marcas (Switch, Router, AP, etc.).
Falta de licencias de software para los usuarios
(Ordenadores con OS Windows XP, Windows 7, Windows 8.).
Falta de servidor de correos corporativo (Microsoft
Exchanger Server).
Se presenta una configuracin bsica de servidor, por falta
de polticas de seguridad, organizacin y jerarqua de red.

Ausencia de procedimientos para anexar nuevos usuarios a

la red corporativa de la empresa.
Falta de polticas de Backup.
Falta de polticas para la adquisicin y mantenimiento del
software dentro de la empresa.

4. RED INFORMATICA PROYECTADA

La red informtica proyectada garantizar el control,
seguridad y buen uso de los recursos y servicios de red. La
solucin comprende el rediseo de la infraestructura de
Networking (Figura 02), adems se debe tener en cuenta los
requerimientos siguientes.
-

La solucin debe permitir proteger la red de ataques

provenientes desde internet.
Aprovechar de manera efectiva el servicio de internet,
permitiendo tener visibilidad y control en todo momento del
trfico saliente y entrante.
Control granular de acceso a Internet de direcciones URL y
protocolos.
Seguridad y granularidad en el acceso a los usuarios que se
conectan de manera remota desde internet (VPN).
Mnimo impacto sobre los dems elementos de red y
usuarios. Es decir, que la implementacin de la nueva
solucin de seguridad no afecte de manera negativa en la
manera en que los usuarios desempean sus funciones.
Reutilizar en la medida de lo posible los productos de
seguridad con los que actualmente cuenta la empresa.

Los beneficios que se busca lograr son:

-

Centralizar, unificar y estandarizar datos, programas y

esfuerzos en el desarrollo de aplicaciones
Identificar, estandarizar e implementar soluciones a medida
como por ejemplo:
Administracin (contabilidad, cuentas por pagar,
planillas, control de asistencia, logstica, atencin a
clientes y reclamos, otras)

Sistemas (firewall, anti-spam, anti-virus, anti-spyware,

distribucin automtica de software, inventario de
software y de hardware, respaldo de datos, control de
acceso para los usuarios, otras),
Centralizar, estandarizar y gestionar eficientemente las
soluciones a medida que decida implementar, la
configuracin de las computadoras y servidores que emplea,
as como su sistema operativo, software de base y software
aplicativo
Controlar la instalacin de software y su licenciamiento
Centralizar la administracin de los usuarios y el control de
los recursos de la red para una gestin ms eficiente
Centralizar la seguridad del acceso a los datos crticos y a la
red misma
Reducir gastos, ser ms eficiente, asegurar la continuidad
del negocio:
Ahorrar en el desarrollo de aplicaciones
Ahorrar por compras en volumen
Reducir tiempos para implementar soluciones
Ofrecer servicios a los clientes con mayor rapidez
Gestin eficiente de todos los recursos
Respaldar los datos
Reducir los requerimientos de soporte tcnico y de
personal especializado.

Figura 02. Infraestructura de Networking

4.1
REQUERIMIENTOS DE ADMINISTRACIN Y
GESTIN DE SEGURIDAD
De acuerdo a las exigencias presentadas por la empresa, los
requerimientos para la implementacin de la solucin de
seguridad son:
4.1.1 GESTIN DE LA SOLUCIN.
Como regla principal para la gestin de los distintos
componentes de la solucin de seguridad, se deben definir
grupos, roles y responsabilidades para la administracin lgica
de los distintos componentes de la solucin, de manera que sea
posible identificar cada cambio realizado: sea creacin o
modificacin de nuevas reglas en la poltica de seguridad.

4.1.2 REGLAS GENERALES PARA EL CONTROL DE

ACCESO.
-

No permitir la conexin de direcciones de red internas desde

el Internet hacia la DMZ (antispoofing).
Bloquear todo trfico entrante/saliente no declarado como
permitido.
Implementar una DMZ que filtre y analice cualquier trfico,
para prohibir el acceso directo desde y hacia el Internet,
desde la red de usuarios.
Utilizar NAT para enmascarar todo el trfico saliente hacia
Internet.
Todo acceso requerido desde internet debe realizarse a
travs de un medio seguro y encriptado.

4.1.3 REGLAS DE ASIGNACIN DE UN NICO ID POR

USUARIO
-

Identificar a todos los usuarios con un nico usuario antes

de brindarle acceso a los sistemas desde internet.
Implementar al menos uno de los siguientes mtodos de
autenticacin para todos los usuarios
Contrasea.
Token
Biometra
Requerir una longitud mnima de las contraseas a un
mnimo de 9 caracteres.
Forzar que las contraseas de los usuarios cuenten con
caracteres numricos y alfanumricos.
Prohibir el re-uso de contraseas con una antigedad menor
a cinco cambios.
Bloquear una cuenta de usuario luego de seis intentos
fallidos de acceso.

4.1.4 POLTICA DE EVALUACIN CONSTANTEMENTE DE

LA SEGURIDAD DE LOS SISTEMAS Y PROCESOS
-

Realizar escaneos de vulnerabilidades externos e internos

constantemente y cada vez que se implemente un nuevo

4.2

sistema, componente de red, o se realice algn cambio en la

topologa de la red o a nivel del firewall.
Realizar pruebas de penetracin al menos una vez al ao y
cada vez que se realice una modificacin en la red.
Utilizar sistemas de deteccin de intrusos para monitorear
todo el trfico de la red y alertar sobre eventos sospechosos.
Mantener los detectores de intrusos actualizados.
REQUERIMIENTOS TCNICOS DE SEGURIDAD

4.2.1 FIREWALL
-

Capacidad para configurar tneles VPN

Soporte de IPv6
Soporte de traslacin de direcciones de red (NAT, NAPT, PAT)
Soporte de VoIP
Control de flujo y ancho de banda
Capacidad de prevencin de intrusos, filtro de contenido y
antivirus embebido
Capacidad de manejar ms de un enlace hacia internet

4.2.2 CONTROL DE ACCESO REMOTO (VPN SSL)

-

Acceso basado en polticas

Capacidad de otorgar los accesos por direccin destino y
puerto o aplicacin, por usuario o grupo de usuarios, y por
horarios (granularidad)
Control de acceso de acuerdo a regulaciones de seguridad.
Comunicacin encriptado entre el cliente y el dispositivo
VPN.
No necesidad de cliente instalado.
Soporte para equipos Mac de Apple.

4.2.3 CONTROL DE ACCESO A INTERNET

-

Capacidad de aplicar polticas por usuarios y grupos de

usuarios definidos en el directorio activo de la empresa.
Filtro de protocolos de Internet
Capacidad para filtrar direcciones en internet por su
direccin y/o su direccin IP.

4.2.4 SEGURIDAD WIFI

La red WIFI estar segmentada en dos SSID, una para
los usuarios que comparten recursos de red dentro de la
empresa y la otra para los invitados que soliciten recursos
de internet; la seguridad tendr un cifrado WPA2-PSK,
evitando as las intrusiones no deseadas. Cada SSID
compartir un determinado ancho de banda de internet para
sus usuarios. Este no deber afectar la velocidad de
descargas y carga de la red principal de la empresa.
4.3

RESUMEN

La reingeniera de la red comprende la instalacin de los

sistemas de seguridad (Firewall, Anti-Spam, Anti-Virus, Anti- AntiSpyware, etc.); instalacin de Servidor PROXI de navegacin,
instalacin de Servidor de almacenamiento de datos, DHCP,
DNS, Servidor de correos entre otros servicios adicionales que
gestionaran el buen funcionamiento de la red.
Se determinarn polticas para la gestin de los archivos de
informacin por tratarse de un recurso vital para la empresa; la
informacin se clasificar en informacin pblica e informacin
privada
Informacin Pblica
Son aquellos archivos, registros o datos que estn disponibles
para ser difundida al pblico. Dentro de este grupo se
encuentran: fichas tcnicas, catlogos, informacin de ventas,
flayers, diseos de planos, etc. Este tipo de informacin est
disponible para todos los miembros de la compaa.
Informacin Privada
Son aquellos datos que son confidenciales. Es inviolable, por
ende su lectura, modificacin o cualquier tipo de manipulacin
por parte de personas ajenas a ella, est prohibida. La
informacin considerada como privada dentro de la empresa es:
nmina de clientes, nmina de proveedores, ingresos de

mercaderas, inventario de importaciones, remisiones, cuentas

de clientes, etc.
Se identificar los grupos de trabajo y jerarquas en el uso de
los recursos de la red. Esto ayudar al control de acceso y
gestin de archivos y servicios de red.
5. PROPUESTA ECONOMICA
El anexo 01 detalla la propuesta econmica de la solucin.