Arquitectura de red "tipo" para una sede

Introducción

La siguiente propuesta de arquitectura de red "tipo" para una sede la realizamos teniendo en cuenta los siguientes aspectos:

  • Una estructura administrativa "clásica",
  • Servicios de red internos (DHCP, DNS, SAMBA, VoIP, Wi-Fi, impresoras, etc),
  • Servicios "Internet" en DMZ Externa,
  • Firewall y
  • DMZ Interna para servicios internos.

La idea es implementar dos soluciones de firewall distintas y entre las mismas colocar la DMZ externa y, detrás del firewall "más interno", colocar nuestra red interna.

Lógica de red:

Tráfico:
  • Limitar ancho de banda
  • QoS
  • Filtrado (laboratorios informáticos y salones)
Seguridad:
  • DMZ para servidores
  • administrativos
  • salones, wifi
  • laboratorios investigadores

Esquemas de red

Diagrama lógico de la red

En el diagrama anterior vemos reflejada una alternativa de la lógica de la red. Si vamos examinando el diagrama, lo primero que vemos es una nube que representa Internet y el primer router esquematizado es el que en la mayoría de los casos provee SeCIU y es la puerta de entrada a la red (al cual generalmente no tenemos acceso). Directamente conectado a este, implementamos un firewall restrictivo basado en iptables permitiendo todo el tráfico (en un principio) hacia nuestra DMZ externa donde alojaremos los "servicios a Internet". El resto del tráfico lo denegamos. Si aplicamos esto debemos recordar que si deseamos acceder a un equipo de la red interna, debemos prever su acceso a través de un equipo de la DMZ externa (ssh, VPN, etc) o un mecanismo de port-knocking.

Siguiendo con nuestro análisis, colocamos un router (por ejemplo un Mikrotik RB-1100) también con un firewall configurado. Nótese que es importante que las tecnologías de firewall sean diferentes para que, si un atacante pasa el primer firewall, se encuentre con el segundo pero no con las mismas vulnerabilidades.

Este router, también tiene conectada toda la red interna, en esta discriminamos lo siguiente:

  • DMZ Externa: Es una subred para los servicios accesibles desde el exterior de la red (web hosting, NTP, OpenVPN, etc)
  • DMZ Interna: Es una subred para los servicios internos (DHCP, SAMBA, DNS, VoIP, etc)
  • Wifi y Laboratorios de informática: La descripción habla por si misma pero decidimos juntar estos ya que tienen características similares,
  • Switches e Informática MG: Es una red de administración para los switches, y además es una sub-red especial con acceso a todas las sub-redes para trabajo de administración de la misma.
  • Videoconferencias: es una red específica para los equipos de videoconferencia. Está separado para aplicar a futuro calidad de servicio,
  • VoIP: sub-red específica para el equipamiento VoIP,
  • Administrativos: sub-red para administrativos,
  • Investigadores: Sub-red para laboratorios y oficinas de investigadores.
  • Informática MG:

Interconexión de redes

Luego de analizar la lógica de la red pasamos a analizar la interconexión de las sub-redes de nuestra red interna. Básicamente todas las sub-redes pueden dialogar con la DMZ Interna, DMZ Externa e Internet, pero no entre ellas. Salvo la sub-red "Switches e Informática MG" que está destinada especialmente para la que Unidad Informática pueda tener acceso a todas las sub-redes. Dichas sub-redes serán implementadas con VLANs. Las configuraciones en switches Edge-core están en la sección documentos del CENUR Este.

El siguiente diagrama esquematiza el armado de VLANs:

Recalcamos que, para no tener un cuello de botella en nuestra red interna, es aconsejable distribuir las sub-redes en interfaces diferentes de nuestro router. La división por la que optamos respecto a las VLANs, tuvo en cuenta este aspecto también.

En el router también se usarán VLANs, para de esta manera poder manegar varias sub-redes en una misma interfaz del router. Con esto logramos que si a futuro nos faltan direcciones IPs en una sub-red, podemos agregar un nuevo segmento de red a una nueva VLAN, asignarlo a la misma interfaz física del router (no necesitamos usar más interfaces) donde está conectada la sub-red que nos quedó chica.

Calidad de servicio

FIXME

Seguridad

Diagrama que explica el alcance de cada sub-red y el acceso de las mismas desde fuera de la sede.

Arbol_Subredes.png (24.3 KB) Pablo García, 12/27/2013 02:35 PM

Diagrama_flujos_en_la_Red.png (110 KB) Pablo García, 12/27/2013 02:35 PM

Diagrama_interconexión_Red.png (39.2 KB) Pablo García, 12/27/2013 02:35 PM

Diagrama_Lógico_de_la_Red.png (34.2 KB) Pablo García, 12/27/2013 02:37 PM

Diagrama_Red.dia (13.2 KB) Pablo García, 01/01/2014 01:25 PM