política y proceso para la creación de nuevos segmentos de red
Post on 14-Jul-2022
8 Views
Preview:
TRANSCRIPT
Política y Proceso
para la Creación
de Nuevos
Segmentos de Red
Contenido Introducción .................................................................................................................................................. 2
Objetivo General ........................................................................................................................................... 2
Objetivos Específicos.................................................................................................................................... 2
Alcance ......................................................................................................................................................... 2
Políticas a Seguir .......................................................................................................................................... 2
Procedimiento ............................................................................................................................................... 2
Creación de Interfaz VLAN ....................................................................................................................... 2
Creación de Reglas de Access-List .......................................................................................................... 2
Activación de Reglas de Access-List en nuevo segmento de red ............................................................ 2
Configuración de protocolo VRRP para redundancia de Gateway de Red .............................................. 2
Configuración de publicación de segmento de red en OSPF ................................................................... 2
Asignación de VLAN a puerto de usuario ................................................................................................. 2
Proceso .................................................................................................................................................... 2
Diagrama de Flujo .................................................................................................................................... 2
Control de Versiones .................................................................................................................................... 2
Conclusiones ................................................................................................................................................ 2
Recomendaciones ........................................................................................................................................ 2
Glosario ........................................................................................................................................................ 2
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
1
Es indudable el impacto social, económico y cultural que ha generado la tecnología en nuestros
tiempos, donde cada vez la sociedad se vuelve más dependiente de ésta, y es que, sus aportes
al desarrollo humano hasta ahora son valorables.
Bajo este panorama, los negocios empresariales no son ajenos a su influencia y utilidad como
herramienta de desarrollo y eficiencia. Hoy en día las computadoras, los softwares, los protocolos
y equipos de comunicación, deben estar correctamente implementados y configurados, de tal
manera que, todos ellos trabajen de una forma armoniosa, maximizando así sus funciones de
trabajo.
Desde un enfoque empresarial podemos decir que esta comunicación entre distintos dispositivos,
equipos, personas, etc., se traduce en un gran sistema de redes, redes de datos que vienen siendo
planificadas e instaladas de acuerdo a las necesidades de cada organización o empresa.
Hoy en día no existe manera de evadir el hecho de que las redes se vuelven cada vez más
vulnerables. Todo proceso, mejora o configuración puede contribuir o perjudicar a la seguridad de
la red. La segmentación de red es una de las actividades que más importancia tiene hoy en día, si
queremos contar con una red íntegra y segura para todo aquel que necesite acceder a ella, esto
es lo que debes tener en cuenta.
La segmentación de red no debe implicar la simple división de una red en pequeñas o medianas
red, sino también debe cumplir con la necesidad de responder a las necesidades de la
organización que depende de la red para operar. Tiene que ver con las principales preguntas,
dónde, cómo y qué.
Es por ello que, en este apartado se presentará un conjunto de lineamientos o políticas para el
proceso que se encarga de dividir la red en pequeñas redes, con el propósito de mejorar el
rendimiento de la red, y, sobre todo, sus condiciones de seguridad, es decir, mejorar la Gestión de
Redes en general.
Introducción
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
2
Objetivo General
Objetivos Específicos
Definir políticas claras para una correcta Gestión de
Redes, en la exclusividad del proceso de la creación
de nuevos segmentos de red y la documentación de
los mismos. Políticas que deben seguir los
colaboradores del Departamento de Informática de
la Corporación Financiera Internacional S.A.
(COFINTER).
Implementar una Política basada en buenas prácticas,
como proceso en la Gestión de Redes.
Definir los lineamientos generales aplicables al
proceso de la creación de nuevos segmentos de red,
garantizando así la disponibilidad continua y
permanente, 24/7, de los servicios de red.
Promover el uso adecuado de los materiales y activos
tecnológicos de la Corporación Financiera
Internacional S.A. (COFINTER), para una eficiente
Gestión de Redes.
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
3
La presente Política para la Creación de nuevos segmentos de red es una parte esencial de la
empresa, está encargada de garantizar la disponibilidad continua y permanente de los servicios
de red (Correo electrónico, internet, aplicaciones, recursos compartidos).
Es así que, en la actual Política se establecerá el proceso detallado para la creación de nuevos
Segmentos de Red, asimismo, se reglamentará que para la creación de un nuevo segmento de
red deberá obligatoriamente quedar documentado.
Queda claramente concertado que dicha Política va dirigida a todos los responsables de
administrar, liderar, gestionar e interactuar con la infraestructura tecnológica y/o que tengan
cualquier relación con la Gestión de Redes, la misma deberá ser conocida y de obligatorio
cumplimiento.
Finalmente, dicha Política para la Creación de nuevos segmentos de red representa un apoyo
técnico para el desarrollo normal de las responsabilidades y funciones del área de Informática en
lo que respecta al proceso mismo. El hecho de disponer de material escrito permitirá contar con
una fuente de consulta automatizada, concreta y uniforme para la toma de decisiones, delimitación
de responsabilidades e identificación de canales de autoridad y comunicación.
Alcance
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
4
La presente política define cada uno de los pasos a seguir en la creación del Proceso de la
Creación de Nuevos Segmentos de Red, así como las responsabilidades de cada uno de los
involucrados en dicha tarea.
1. El Departamento de Informática es el responsable de dar seguimiento a los servicios de
la creación de nuevos segmentos de red, de acuerdo al contrato establecido.
2. La Unidad de Informática deberá monitorear cada uno de los segmentos de red, ya una
vez creados, durante un tiempo máximo de 72 horas y si se presenta alguna falla se
notifica nuevamente a la empresa.
3. El área de informática es la encargada de la supervisión y constatación de la creación de
nuevos segmentos de red.
4. La empresa contratada para tal fin es la responsable de documentar cada proceso de
creación de nuevos segmentos de red, tal documentación deberá ser de carácter
obligatoria.
5. La Unidad de Informática deberá firmar de conformidad los reportes de servicio de
creación de nuevos segmentos, cuando éstos hayan sido terminados y se haya verificado
su funcionalidad.
Políticas a Seguir
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
5
La creación de nuevos segmentos de red integra las configuraciones de interfaces VLAN, reglas
de Access-List, protocolo de redundancia de Gateway y la publicación de las rutas a nivel de red,
tanto en el switch principal como en el redundante. En esta sección se definen los procedimientos
puntuales para la creación de nuevos segmentos de red para usuarios de COFINTER:
Este procedimiento se debe ejecutar en ambos switches, principal y redundante, y se debe cuidar
la diferencia en los parámetros de configuración en cada uno de ellos:
Ilustración 1 - Configuración de Interfaz VLAN en Switches principal y secundario
Procedimiento
Creación de Interfaz VLAN 1
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
6
En ambos switches:
➢ Se debe asignar un id/número de VLAN nuevo que no haya sido utilizado antes.
➢ Se debe asignar un segmento de red nuevo que no haya sido utilizado antes. En este
ejemplo se asignará el segmento: 192.168.21.0 255.255.255.0
➢ La máscara de red se configura como 255.255.255.0, dejando disponible una red para
253 usuarios.
➢ En ninguno de los switches se utilizará la primera dirección IP disponible en el segmento
asignado debido a que ésta se reserva para la configuración del protocolo VRRP (Virtual
Router Redundancy Protocol), que funciona para configurar la redundancia de Gateway
de red en los segmentos de red de COFINTER.
En switch principal:
➢ La dirección IP de la interfaz VLAN en el switch principal siempre debe ser la segunda IP
disponible del segmento. En el ejemplo presentado la segunda IP disponible es la
192.168.21.2.
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
7
En switch secundario:
➢ La dirección IP de la interfaz VLAN en el switch secundario siempre debe ser la tercera IP
disponible del segmento. En el ejemplo presentado la segunda IP disponible es la
192.168.21.3
Todo segmento de red debe ser asociado a una serie de reglas que permite filtrar el tráfico que
éste consumirá. Las Access-List permite agregar una capa de seguridad del lado del acceso del
usuario, teniendo la capacidad de filtrar por dirección IP de origen/destino y puerto lógico a
consumir. Este proceso debe ser ejecutado en ambos switches, principal y secundario:
Ilustración 2 – Configuración de reglas de Access-List
2 Creación de Reglas de Access-List 2
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
8
En ambos switches:
➢ Es necesario crear las reglas en la Access-List “ACL_Cofinter”.
➢ Las reglas deben ser creadas iguales en ambos switches.
➢ En el ejemplo mostrado en la Ilustración 2, se definen reglas que permiten el tráfico
entrante desde cualquier ubicación en la red “any” hacia la red 192.168.21.0, a través de
los puertos 8080, 443 (https), 5358, 9090, 9100 y 7680.
➢ Las reglas varían de acuerdo a las necesidades de cada segmento, por lo que las reglas
creadas para segmentos anteriores pueden ser diferentes a las reglas creadas para
segmentos nuevos.
➢ El tamaño del segmento de red en las reglas de Access-List no es definido a través de
Máscara de Red, sino a través de la wildcard del segmento en cuestión.
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
9
Una vez que las reglas de Access-List han sido configuradas, es necesario declarar en la
configuración de la interfaz VLAN que la Access-List “ACL_Cofinter” será utilizada para filtrar el
tráfico:
Ilustración 3 – Declaración de Access-List en interfaz VLAN
En ambos switches:
➢ Se debe declarar en la configuración de la interfaz VLAN la activación de las reglas de
Access-List, esto se realiza por medio del comando marcado en rojo de la Ilustración 3.
➢ Debido a que la Access_List tiene el mismo nombre (ACL_Cofinter) en ambos switches,
principal y secundario, el comando utilizado en ambas configuraciones es el mismo.
Activación de Reglas de Access-List en nuevo segmento de red 3
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
10
El protocolo VRRP es el que protege el Gateway de red ante la caída de uno de los switches de
acceso. El VRRP utiliza la primera dirección IP disponible del segmento de red asignado como
una IP virtual que será accesible para todos los usuarios de ese segmento de red. Los switches
principal y secundario, a pesar de tener configurada la segunda y tercera dirección disponibles en
su interfaz VLAN, siempre mostrarán a los usuarios la dirección virtual del protocolo VRRP como
Gateway de red:
Ilustración 4 - Configuración de protocolo VRRP
En ambos switches:
➢ Se debe asignar un id/número de protocolo VRRP para cada VLAN. Como buena práctica,
se recomienda asignar el mismo id/número que se asignó para la interfaz VLAN.
➢ Se debe configurar la primera IP disponible del segmento de red, ésta será la dirección IP
que los switches mostrarán a los usuarios como Gateway de red. En este ejemplo, la
primera IP disponible del segmento es la 192.168.21.1
Configuración de protocolo VRRP para redundancia de Gateway de Red 4
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
11
➢ No se debe configurar una máscara de red en el protocolo VRRP.
➢ El parámetro “priority” equivale a la prioridad que el protocolo VRRP establece a cada
switch para funcionar como Gateway de red principal y secundario. El equipo que tenga
el valor de “priority” más alto será el que funcione como Gateway de red principal.
En switch principal:
➢ Se debe configurar el parámetro “priority” con el valor de 150. Esto asegura al protocolo
VRRP, que el switch principal será por medio de cual los usuarios logren acceder a la red.
En switch secundario:
Al no configurar el parámetro “priority”, éste se autoconfigura a “100” como su valor por defecto,
siendo este más bajo que el configurado en el switch principal, y dejando al switch secundario
como Gateway de red secundario en el protocolo VRRP.
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
12
Debido a que el segmento de red es nuevo y aún no ha sido anunciado a los demás equipos de
red, es necesario declarar el nuevo segmento en el protocolo OSPF:
En ambos switches:
➢ Se debe agregar el segmento de red en el protocolo OSPF de ambos switches.
➢ El protocolo OSPF requiere que el segmento de red y el tamaño del segmento de red para
poder ser agregado su dominio OSPF.
➢ Se debe configurar el segmento de red completo, utilizando su id de red (192.168.21.0), y
el tamaño de red se debe configurar utilizando la wildcard que corresponde a su máscara
de red (0.0.0.255).
➢ Se debe publicar el segmento en el área preexistente del dominio OSPF. El área que ya
existe es el área 0.
Configuración de publicación de segmento de red en OSPF 5
Ilustración 5 - Configuración de protocolo VRRP
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
13
Para que los usuarios puedan acceder al nuevo segmento de red, es necesario que la VLAN sea
asignada al puerto físico del switch que el usuario tiene asignado:
Ilustración 6 - Asignación de VLAN a puerto físico
En ambos switches:
➢ Se debe asignar la VLAN en modo “acceso” a un puerto físico con el comando mostrado
en la Ilustración 6.
➢ Este comando debe ser aplicado en todos los puertos que sean asignados a un usuario
específico, en ambos switches (principal y redundante).
Asignación de VLAN a puerto de usuario 6
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
14
No. Nombre de la Actividad Descripción Responsable
1. Creación de Interfaz de
VLAN
Este procedimiento se debe ejecutar en ambos
switches, y se debe cuidar la diferencia en los
parámetros de configuración en cada uno de
ellos:
1. Se debe asignar un ID de VLAN nuevo que
no haya sido utilizado antes.
Terciarios
2. Se debe establecer un segmento de red nuevo
que no haya sido usado anteriormente.
Nota:
• La dirección IP de la interfaz VLAN en el
switch principal siempre debe ser la segunda
IP disponible del segmento.
• La dirección IP de la interfaz VLAN en el
switch secundario siempre debe ser la
tercera IP disponible del segmento.
3. Configurar la máscara de red, dejando
disponible una red para 253 usuarios.
¿La creación de Interfaz de VLAN se ejecutó correctamente?
SI:
Pasar al inciso número 2
NO:
Se procede a eliminar la configuración y a la
creación del procedimiento “Interfaz de VLAN
nuevamente”.
2. Creación de Reglas de
Access-List
Este proceso debe ser ejecutado en ambos
switches:
1. Es necesario crear las reglas en la Access-List
“ACL_Cofinter”.
Proceso 7
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
15
2. Definir reglas que permitan el tráfico entrante
desde cualquier ubicación en la red “any” hacia
la red 192.168.21.0, a través de los puertos 8080,
443 (https), 5358, 9090, 9100 y 7680.
3. Activación de Reglas de
Access-List en nuevo
segmento de red.
Se debe declarar en la configuración de la
interfaz VLAN la activación de las reglas de
Access-List.
¿La Activación de Reglas Access-List se ejecutó correctamente?
SI:
Pasar al inciso número 4
NO:
Ejecutar pasos del inciso número 2 y 3
4. Configuración del VRRP
para la redundancia de
Gateway de Red
1. Se debe asignar un ID de protocolo VRRP para
cada VLAN. Como buena práctica, se
recomienda asignar el mismo ID que se asignó
para la interfaz VLAN.
2. Se debe configurar la primera IP disponible del
segmento de red, ésta será la dirección IP que
los switches mostrarán a los usuarios como
Gateway de red.
3. Configurar el parámetro “priority” con el valor
de 150. Esto asegura al protocolo VRRP que el
switch principal será por medio del cual los
usuarios logren acceder a la red.
Notas:
• En el switch secundario el parámetro
“priority”, se autoconfigura a “100” como su
valor por defecto.
5. Configuración de
Publicación de segmento
de red OSPF
Debido a que el segmento de red es nuevo y aún
no ha sido anunciado a los demás equipos de
red, es necesario declarar el nuevo segmento en
el protocolo OSPF:
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
16
1. Se debe agregar el segmento de red en el
protocolo OSPF de ambos switches.
2. Se debe configurar el segmento de red
completo, utilizando su ID de red (192.168.21.0),
y el tamaño de red se debe configurar utilizando
la wildcard que corresponde a su máscara de red
(0.0.0.255).
3. Se debe publicar el segmento en el área
preexistente del dominio OSPF.
¿La configuración de publicidad de segmento de red OSPF se ejecutó correctamente?
SI:
Pasar al inciso número 6
NO:
Eliminar configuración y ejecutar
nuevamente el inciso número 5.
6. Asignación de VLAN a
Puerto de Usuario
Para que los usuarios puedan acceder al nuevo
segmento de red, es necesario que la VLAN sea
asignada al puerto físico del switch que el usuario
tiene asignado:
1. Se debe asignar la VLAN en modo “acceso” a
un puerto físico, a través de comando.
¿La Asignación de VLAN a puertos de usuario se ejecutó correctamente?
SI:
Fin
NO:
Eliminar comandos y ejecutar el inciso
número 6
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
17
SI
SI
Cre
ació
n de
Inte
rfaz
de
VLA
N
Cre
ació
n y
Act
ivac
ión
de R
egla
s de
Acc
ess-
List
C
onfig
urac
ión
de P
roto
colo
VR
RP
Con
figur
ació
n de
Pub
licac
ión
de s
egm
ento
de
red
en O
SP
F
Asi
gnac
ión
de V
LAN
a p
uert
o de
usu
ario
s
Inicio
Asignar un segmento de
red nuevo que no haya
sido utilizado, en ambos
switches.
Creación o configuración de
Reglas en la Access-List en
ambos switches.
Asignar un ID/Número de VRRP
para cada VLAN en ambos
switches.
¿La creación de Interfaz
de VLAN se ejecutó
correctamente?
Activación de Reglas
Access-List en la interfaz de
VLAN en ambos switches.
¿La configuración del
protocolo VRRP se
ejecutó
correctamente?
Asignar una VLAN en
modo “Acceso” a
todos los puertos en
ambos switches.
Fin
Configuración de
máscara de red en
ambos switches.
¿La activación de
Reglas de Access-List
se ejecutó
correctamente?
Asignar un ID/número de
VLAN
Configurar la primera IP
disponible del segmento de red
en ambos switches.
Configurar el parámetro “Priority”
con el valor de 150 en el switch
principal.
Agregar e segmento de red
en el protocolo OSPF en
ambos switches.
Configurar el segmento
de red completo y el
tamaño de red.
Publicar el segmento en el
área preexistente del
dominio OSPF.
¿La configuración de
publicidad de segmento de red
OSPF se ejecutó
correctamente?
¿La asignación de
VLAN a puertos de
usuario se ejecutó
correctamente?
Eliminar
configuraciones.
Eliminar
configuraciones.
Eliminar
configuraciones.
Eliminar
configuraciones.
Eliminar
configuraciones.
NO
SI
NO
NO
SI
SI
NO
NO
Diagrama de Flujo 8
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
18
Versión Fecha de Elaboración Motivo del Cambio
1.0 27/05/2021 Creación del “Política y Proceso para la Creación de
Nuevos Segmentos de Red”.
Control de Versiones
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
19
1. La segmentación de red es un método de organización que persigue la rápida redistribución de
los recursos de redes para prevenir el entorpecimiento de las labores; y los cuellos de botella
generados por todas las demandas de todas las estaciones de trabajo.
2. La segmentación de red permite contar con una red íntegra y segura para todo aquel que
necesite acceder a ella.
1. Implementar acciones de revisión física de la red, descartando equipos conectados sin
autorización. Asimismo, implementar políticas de conexión para equipos invitados o externos.
2. Se debe realizar un Plan de Contingencias con todos los procedimientos que se debe tomar
en cuenta cuando falla un punto de red.
3. Como buena práctica, se recomienda asignar el mismo id/número que se asignó para la
interfaz VLAN.
Conclusiones
Recomendaciones
27-5
-202
1
Política y Proceso para la Creación de Nuevos Segmentos de Red
20
Término Definición
Ancho de Banda
Corresponde a los datos utilizados o consumidos en una red que se
expresan en bit/s (bits por segundo) o comúnmente kbps (kilobits por
segundos). Esta medida es utilizada para calcular la velocidad de
transferencia de información a través de una red.
Dirección IP Número único e irrepetible que identifica un equipo conectado a una red
(computador, impresora, dispositivo móvil o equivalentes)
IP
IP significa “Internet Protocol” y es un número que identifica un
dispositivo en una red (un computador, una impresora, un router, etc.…)
Estos dispositivos al formar parte de una red serán identificados
mediante un número IP único en esa red.
Networking
Se le llama Networking a los elementos de red, sus conexiones e
interconexiones, sus identificaciones, su topología y protocolos de
comunicación.
Router Corresponde a un dispositivo que proporciona conectividad enviando
datos de una red a otra.
Tráfico de red Transmisión y recepción de datos transmitidos en una red.
Active Directory
Servicio de Directorios de Microsoft. Sirve para la administración de
usuarios, grupos y otros elementos de red. También administra las
credenciales de los usuarios, los permisos de usuario y grupos y sus
atributos.
Glosario
top related