Identificación de las Instituciones Instituto Nacional de Estadísticas (INE) Visión

Diseño e Implantación de una WAN Segura para el Transporte y Procesamiento de Datos Estadísticos del Instituto Nacional de

Estadística (INE)

Autor: Jurado: Vitti V. Nando A. Prof. Vincenzo Mendillo Prof. Luis Fernandez Prof. Omaira Rodriguez

Identificación de las Instituciones

Instituto Nacional de Estadísticas (INE)

VisiónSer un Instituto de servicio público con carácter de excelencia que cuente con recursos humanos altamente capacitados, orientados al logro y apoyados en tecnología de avanzada para la optimización y modernización de la producción y divulgación estadística para satisfacer las necesidades del Sistema Estadístico Nacional.

MisiónRegir el Sistema Estadístico Nacional, produciendo y divulgando información estadística oficial de calidad, con oportunidad y accesibilidad, a través del Plan Estadístico Nacional.

Identificación de las Instituciones

Plataforma de Información Oficial-Red Platino

Fué creada por decreto presidencial en 1995 y su misión es: Establecer las interconexiones, políticas, estrategias y normas que permitan impulsar y promover el desarrollo de la Plataforma Automatizada de Información Oficial, la cual está basada en una infraestructura de Redes, Sistemas y Servicios de Información Automatizados para intercomunicar de manera ágil, eficiente, oportuna y segura a la Administración Pública Nacional.

Objetivo General

Diseñar e Implantar una Red WAN segura para el Instituto Nacional de Estadísticas (INE) con los nodos

regionales de Maracay, Valencia y Maracaibo

Objetivos Específicos

1.- Diseñar las redes LAN de los nodos regionales Maracay, Valencia y Maracaibo

2.- Diseñar la adecuaciòn de redes para Red Platino e INE

3.- Diseñar las interconexiòn WAN de los nodos

4.- Diseñar las normas y politicas de seguridad para la red WAN

5.- Implantar el sistema diseñado

Planteamiento del Problema

Retraso constante en el envío y recepción de datos

Limitaciones en el volumen de datos transmitidos por sesión

Reducida cobertura geográfica

Carencia de confidencialidad en el tratamiento de la información

Dificultad en el establecimiento del origen genuino de los datos

Peligro de adulteración o modificación de los contenidos

Falta de elementos de seguridad adicionales, como disponibilidad y no repudiación de los datos

Diagrama General de la Red WAN de INE

No do R e g io n a l M a ra ca y

No do R e g io n a l V a le n cia

No do R e g io n a l M a ra ca ibo

E nla c e s de L a rg a D is ta nc ia F ra m e R e la y/A T M

I n s t itu cio n e s : M in is t e r io s

I n s t itu to s A u to n o m o sA lca ldía s

R e d P la t in o

S e de IN E

Fra m e R e la y5 1 2 / 2 5 6 K b/s

5 1 2 K b/s

1 2 8 /6 4 K b/s

1 2 8 /6 4 K b/s

6 4 /1 2 8 K b/s

C a ra c a s

B a s e s de D a to sS e rv ido re s de A plica ció nS e rv ido re s W e bPro ce s a m ie n to de D a to s

S e rv ic io s Pú blico s :W e b, C o rre o , D NS , e t c .

C a ptu ra /C o n s u lta de D a to sS it io s W e b lo ca le s

Desarrollo del Proyecto

En esta presentación del desarrollo seguirà las siguientes fases:

Técnicas y equipos utilizados

Normas y políticas de seguridad aplicados

Direccionamiento IP de la red

Diseño de las redes LAN

Interconexión de las redes

Técnicas y Equipos

Los equipos y técnicas empleados para el diseño e implantación de la red WAN Segura son:

Técnicas:

DHCPNATFirewall/ProxyAutentificación/Control de Acceso FireboxRed Virtual PrivadaMonitoreo Supervisión

Firewall/Proxy IPTABLES/SQUID sobre LINUX

Segmentación Switches Allied

Encapsulamiento Frame Relay Routers Cisco

R e d I n te rn a : B a s e s de D a to s , Es ta cio n e s , S e rv ido re s de R e d

R e d Pú blica : S e rv ido re s W e b, C o rre o , e t c .

R e d Ex te rn a : R o u te rs , R A S , e t c .

I NTER NET

Entorno del Equipo Firebox

A ) M o do En ru ta do (R o u te d)

C ad a in ter f az t ien e as o c iad a u n ar ed d if e r en te .

B ) M o do En m a s ca ra do (D ro p-I n )

T o d as las in ter f as es p er ten ec enla m is m a r ed y t ien en ig u a ld ir ec c ió n I P

C ) M o do En a m a s ca ra do co n re de s s e cu n da ria s

A c ad a in ter f as e s e le añ ad eu n a r ed o m ás r ed es s ec u n d ar iass u p er p u es tas a la o r ig in a l

N ota: En to d o s lo s c a s o s la re d e xte rn a d e b e p o s e e d ire c c io n e s v á lid a s

1 9 2 .1 6 8 .2 4 5 .0 /2 41 6 1 .1 9 6 .2 1 5 .9 6 /2 7

1 6 1 .1 9 6 .2 1 5 .6 4 /2 7

I n te rn aEx te rn a

O pcio n a l o D M Z

1 6 1 .1 9 6 .2 1 5 .9 6 /2 7

1 9 2 .1 6 8 .2 4 5 .51 6 1 .1 9 6 .2 1 5 .9 7

1 6 1 .1 9 6 .2 1 5 .6 6

1 6 1 .1 9 6 .2 1 5 .9 7

1 6 1 .1 9 6 .2 1 5 .9 6 /2 71 6 1 .1 9 6 .2 1 5 .9 7

192 .168 .245 .0 /24 200 .44 .103 .0 /24

209 .88 .102 .0 /24

Equipo Firebox Configuración de Red: Modo Enrutado y Modo Enmasacarado (“Drop-In”)

Equipo Firebox: Configuración de las Interfases


B ) M o do En ru ta do (R o u te d)

C ) M o do En m a s ca ra do (D ro p-I n )


1 9 2 .1 6 8 .2 4 5 .0 /2 41 6 1 .1 9 6 .2 1 5 .9 6 /2 7

1 6 1 .1 9 6 .2 1 5 .6 4 /2 7

In te r n aExte r n a

O pc ion al o D M Z

1 6 1 .1 9 6 .2 1 5 .0 /2 4

1 9 2 .1 6 8 .2 4 5 .116 1 . 19 6 . 21 5 .9 7

1 6 1 .1 9 6 .2 1 5 .6 5

1 6 1 .1 9 6 .2 1 5 .2

S o lic itu d o R en o v ac ió n D HC P

R es p u es ta D HC P

R edI n ter n a

R ed O p c io n al

R ed E x ter n a

A ) Pro to co lo D H C P

Re s p u e s ta D H CP :

IP : 192.168.245.50 h a s ta 100M á s c a ra :255.255.255.0Ga te w a y 192.168.245.1D N S : 161.196.215.70

Re s p u e s ta D H CP :

IP : 161.196.215.80 h a s ta 100M á s c a ra :255.255.255.0Ga te w a y : 161.196.215.1D N S : 161.196.215.70

R o u ter

1 6 1 .1 9 6 .2 1 5 .1

Equipo Firebox: Servicio DHCP

1 9 2 .1 6 8 .2 4 5 .0 /2 41 6 1 .1 9 6 .2 1 5 .9 6 /2 7

Ex te rn a1 6 1 .1 9 6 .2 1 5 .9 7

O rig e n : 1 9 2 .1 6 8 .2 4 5 .7 :1 5 2 0 D e s t in o : 6 4 .1 0 .2 .1 2 :2 5

O rig e n : 1 9 2 .1 6 8 .2 4 5 .2 0 :2 3 4 5 D e s t in o : 2 0 9 .4 5 .2 1 .2 :8 0

O rig e n : 1 9 2 .1 6 8 .2 4 5 .1 7 :3 4 0 5 D e s t in o : 2 0 0 .4 4 .5 5 .8 :2 1

1 6 1 .1 9 6 .2 1 5 .9 7 :4 3 2 0

1 6 1 .1 9 6 .2 1 5 .9 7 :2 3 3 0

1 6 1 .1 9 6 .2 1 5 .9 7 :3 2 4 0

D e s t in o : 2 0 9 .4 5 .2 1 .2 :8 0

D e s t in o : 6 4 .1 0 .2 .1 2 :2 5

D e s t in o : 2 0 0 .4 4 .5 5 .8 :2 1

N AT D i nám i c o Sal i e nte

1 6 1 .1 9 6 .2 1 5 .9 6 /2 7

Exte r n a1 6 1 .1 9 6 .2 1 5 .9 7

O pc ion al1 0 .0 .0 .1

1 0 .0 .0 .0 /2 4

S e r ve r :FTPW EB

S e r ve r :S M TP

10.0.0.210.0.0.3

1 6 1 .1 9 6 .2 1 5 .9 81 6 1 .1 9 6 .2 1 5 .9 9

D i r e c c i o n e s Ex t e r n a s

1 6 1 .1 9 6 .2 1 5 .9 8 : 8 0

1 6 1 .1 9 6 .2 1 5 .9 9 : 2 5

1 6 1 .1 9 6 .2 1 5 .9 8 : 2 1

1 6 1 .1 9 6 .2 1 5 .9 8 : 2 1

1 6 1 .1 9 6 .2 1 5 .9 9 : 2 5

(pu e r to 2 1 )(pu e r to 8 0 )

(pu e r to 2 5 )

1 0 .0 .0 .2 : 8 0

1 0 .0 .0 .3 : 2 5

1 0 .0 .0 .3 : 2 5

1 0 .0 .0 .2 : 2 1

1 0 .0 .0 .2 : 2 1

" C a da dire cció n de o rig e n s e m a pe a a u n a dire cció n y a u n pu e rto dis t in to "

N AT E s tát i c o E ntr ante

" L a m is m a dire cció n de de s t in o pu e de u s a rs e pa ra v a rio s s e rv ido re s "

Equipo Firebox: Servicio NAT

Equipo Fifebox: Servicio de Firewall/Proxy

Protección contra Ataques: Prueba de puertos abiertos Prueba direcciones disponibles Falsifificación de IP (“spoofing”) Syn Flood Smurf Bloqueo automático de Sitios y Puertos

Control de Tráfico Web

Configuración de Servicios

Proxy SMTP, FTP y HTTP

H o s t v íct im a

H o s t t ru s te d

R e la cio n de C o n f ia n za

A

B

C

I n tru s o

R e s pu e s ta s de A a B

Equipo Firebox: Protección contra Ataques

IP Spoofing

Equipo Firebox: Protección contra Ataques

Syn Flood

Equipo Firebox: Control del Tráfico Web

• Programas ejecutables y configuraciones: applets, controles Activex, cookies

• Información dirigida del cliente al servidor

• Tipos de contenido: audio, texto y video

• Horarios de navegación

• El WebBlocker se soporta sobre una base de datos mantenida por la empresa SurfControl. Contiene más de 65.000 direcciones y 40.000 directorios. Es copiada sobre el equipo Firebox a intervalos regulares

Equipo Firebox: Configuración de Servicios

“Arena” de Servicios

Equipo Firebox: Proxies

Proxy SMTP: tipo de contenido (MIME) y los encabezados (“headers”) de los mensajes de correo

Proxy FTP: revisa comandos del servicio como put, get, etc

Proxy HTTP: revisa comandos del servicio

Proxy DNS: puede evitar que se hagan “queries” sobre un servidor DNS

D o m in io :in tr u s o .c o m

D o m in io :c o m p añ ia . c o m

D o m in io :v ic tim a.c o m

x x x x @ co m pa ñ ia .co m

S er v id o r es d e C o r r eo

ru ta " le g a l"

A g o ta m ie n to de R e cu rs o s

Correo Abusivo (“open relay”)

El servidor de correo del dominio “intruso.com”, en lugar de enviar el correoa sus clientes directamente, usa el dominio de un tercero afectando sus recursos (memoria, CPU, ancho de banda, etc.)

R e d I n te rn a

R e d Pú blica R e d Ex te rn a

PA P/C H A P

B a s e s de D a to s

R e d I n te rn a


PA P/C H A P


R a diu sW in do wsC R Y PTO C a rdS e cu I D

A ) A u te n t if ica ció n co n Fire x o x

B ) A u te n t if ica ció n co n o tro s s is t e m a s

Equipo Firebox: Autentificación

Firebox, Windows NT/2000.RADIUS,CRYPTOCard,Securid

R e d I n te rn a



Us u a rio R e m o to

R A S

PA P/C H A P

Para mayor seguridad en el transporte de datos (y no únicamente en el momento de la autenticación), se disponen de dos grupos de usuarios por defecto: ipsec_users y pptp_users.

Equipo Firebox: túneles VPN para usuarios remotos

In tern o D M Z E x tern o In tern o D M Z E x tern o

S witc h

R ou te r R ou te r

S witc h

I n te rfa s e s Ex te rn a s

R e d I n s e g u ra

Tú n e l V PN

Equipo Firebox: Red VPN entre nodos

IPSec

IPSec representa un conjunto de mecanismos de seguridad de alta calidad basado en claves criptográficas.

Los servicios IPSec se realizan mediante el uso de dos protocolos de seguridad: Authentication Header (AH) y Encapsulating Security Protocol (ESP)

También se usa un mecanismo para la gestión de llaves criptográficas: llamado IKE (Internet Key Exchange)

Datagrama IPSec y el header AH

Protocolo ESP

AH se usa para la autentificación. incluye algoritmos de encriptación simétrica como DES y funciones hash tales como MD5 y SHA-1

El protocolo ESP proporciona mecanismos de autenticación y además de encriptación. Usa una amplia variedad de algoritmos de encriptación entre los cuales cabe destacar DES, 3DES, CAST128 y Blowfish.

El IKE (Internet Key Exchange), que es una variante de ISAKMP/Oakley (Internet Security Association and Key Management Protocol/Oakley Key Determination Proto col). Este protocolo presenta tres características principales:

• Asegura que la comunicación IPSec y el intercambio de claves se lleve a cabo entre partes autenticadas.

• Negocia los protocolos, algoritmos, y claves que serán utilizados en la comunicación IPSec. • Proporciona un método seguro para actualizar y renegociar asociaciones una vez que éstas han expirado.

IPSec

Remote Gateway: Es la interfaz remota del túnel:200.44.63.3

Tipo de Negociación de Claves: ISAKMP

Clave Compartida: Es un requerimiento de la negociación ISAKMP. Debe ser igual

en ambos extremos del túnelGateway: Nombre del extremo remoto (“INE”)

Túnel: Nombre del túnel a crearse. Se utilizó “estadísticas” por el tipo de datos que fluirá por él

Método: Se usará ESP (“Encapsulating Security Protocol”). Se añadirán la nueva cabecera IP, las direcciones IP de las interfaces externas de los Equipo Firebox de cada nodo regional y de INE:

Maracay: 200.44.63.66/29 Valencia: 200.44.63.74/29 Maracaibo: 200.44.63.82/29 Cifrado: Para cifrar los datagramas, el equipo Firebox acepta los algoritmos: DES-CBC (56-

bits) y 3DES-CBC (168-bits). Se escoge el 3DES por su mayor robustez.

Autenticación: Para comprobar la integridad y autenticidad de los datagramas, el equipo Firebox utiliza los algoritmos para “hash” MD5-HMAC (128-bits) y el SHA1-HMAC (160-bits). Se toma el segundo por su mayor seguridad

Equipo Firebox: Configuración del túnel VPN en un nodo regional

Luego de la creación de los túneles establece el tipo de tráfico que fluirá por ellos:

Sólo el tráfico hacia los servidores www.sistine.gov.ve y www.sen.gov.ve será “tunelizado”, para lo cual se asigna:

Túnel: nombre del túnel que se usará (el establecido anteriormente)

Local: red local que utilizará el túnel. Son las redes internas de los nodos regionales con formato de dirección: 192.168.X.4/25

Remote: Se establecen los servidores remotos indicados y que corresponden a:200.44.63.4 y 200.44.63.5

Disposition: Se coloca “Secure”. IPSec encriptará todo el tráfico que coincida con esta regla. Si se coloca “Bypass”, no se le aplicará IPSec al tráfico que coincide con la regla.

Dst Port: Son los puertos de destino del tráfico. Se usarán 80 y 443 porque las aplicaciones están realizadas en ambiente Web Seguro

Protocol: TCP

Src Port: Se fija “0” para abarcar todos los puertos de origen

Equipo Firebox: Configuración del túnel VPN en un nodo regional (cont.)

Equipo Firebox: Configuración del túnel

Servicios IPTABLES y SQUID sobre Sistema Operativo Linux

Antena

ServidorCorreo

172.20.0.1255.255.0.0

Linux

IPTABLES SQUID

172.16.0.0/16

172.20.0.0/16

Enlaces de Fibra Óptica(Torres Parque Central)

Enlaces Inalámbricos

RouterCabletron

8600

Switch(Segmento Externo)

172.20.204.63172.20.204.4

172.16.43.201Eth1 Eth0

ServidorWeb

Creación del NAT dinámico saliente:

iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -j SNAT --to-source 172.20.204.63

Se aplican filtros para permitir únicamente tráfico entrante (INPUT) hacia los servicios de correo (puertos 25 y 110, en el servidor 172.20.204.4):

iptables -t filter -A INPUT -p tcp -i eth0 -d 172.20.204.4 --dport 25 -j ACCEPT

iptables -t filter -A INPUT -p tcp -i eth0 -d 172.20.204.4 --dport 110 -j ACCEPT

Redireccionamiento de puerto:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

maximum_object_size 4096 KB

acl porno url_regex .*http://www.sexyven.net* .*http://a-rated-sex.com*

http_access deny porno

IPTABLES

SQUID

MethodMethod requestrequest %% ByteByte %% secsec kB/seckB/sec

GETGET 366220366220 98.7498.74 1047287K1047287K 96.9096.90 00 3.783.78

POSTPOST 31053105 0.840.84 3263914632639146 2.952.95 22 3.523.52

PROPFINDPROPFIND 12161216 0.330.33 13900311390031 0.130.13 00 2.332.33

HEADHEAD 314314 0.080.08 143450143450 0.010.01 00 1.681.68

CONNECTCONNECT 4444 0.010.01 129565129565 0.010.01 33 0.920.92

PROPPATCHPROPPATCH 33 0.000.00 34043404 0.000.00 00 2.222.22

BMOVEBMOVE 22 0.000.00 35923592 0.000.00 00 2.262.26

MOVEMOVE 11 0.000.00 13951395 0.000.00 11 0.880.88

NONENONE 11 0.000.00 24942494 0.000.00 00 81.1881.18

SumSum 370906370906 100.00100.00 1080796K1080796K 100.00100.00 00 3.773.77

Estadísticas del SQUID

Por Método

ExtensionsExtensions requestrequest %% ByteByte %% hit-%hit-%

GifGif 174978174978 47.1847.18 149453K149453K 13.8313.83 86.3286.32

JpgJpg 7093270932 19.1219.12 236701K236701K 21.9021.90 76.0576.05

JsJs 1222312223 3.303.30 97389529738952 0.880.88 81.3381.33

SwfSwf 1038610386 2.802.80 1545525615455256 1.401.40 98.2198.21

HtmlHtml 92959295 2.512.51 2510200525102005 2.272.27 63.9563.95

CssCss 32263226 0.870.87 35402663540266 0.320.32 63.0863.08

AspAsp 19981998 0.540.54 65503656550365 0.590.59 0.000.00

HtmHtm 18871887 0.510.51 1794839117948391 1.621.62 26.4426.44

ZipZip 10631063 0.290.29 26227412622741 0.240.24 5.555.55

PhpPhp 10191019 0.270.27 55947125594712 0.510.51 0.000.00

JPGJPG 10151015 0.270.27 78513317851331 0.710.71 26.4026.40

Estadísticas del SQUID Por Tipo de Objeto

Configuración de Enrutadores Configuración de Switches

Enrutador de un Nodo Regional interfaz Serial0 ; description ( Enlace Red Platino) ip address 192.168.10.1 255.255.255.252 no ip directed-broadcast encapsulation frame-relay no ip route-cache no ip mroute-cache no fair-queue frame-relay class frs1 frame-relay interfaz-dlci 233 hold-queue 1024 out

Manager Switch_Platino> sh vlan

VLAN Information----------------------------------------------------Name ............... interna Identifier ......... 2 Status ............. static Untagged ports ..... 1-8 Tagged ports ....... None Spanning Tree ...... default Trunk ports ........ None Attachments:

Características de Seguridad de la Red WAN

Integridad: los datos estadísticos no deben ser modificados en su ruta desde los nodos regionales o Red Platino hasta el INE

Autenticidad: los datos deben provenir del nodo regional o encuestador/operario autorizado para tal fin

Disponibilidad: deben existir sistemas de contingencia para acceder la los servidores de INE

Confidencialidad: Es indispensable para las comunicaciones entre los gerentes de las coordinaciones con la junta directiva de INE o cuando, en un futuro próximo, se realice comercio electrónico para la venta de estadísticas.

Técnicas de Seguridad

Creación de túneles VPN entre los nodos regionales e INE y entre la Red Platino e INE. Los túneles serán extensivos a los usuarios remotos que, por motivos geográficos, están alejados de los nodos regionales y deban comunicarse con ellos para el envío de estadísticas al INE (encuestadores, etc.)

Uso de Firewall / Proxy de capa 7 en todas las redes para el filtrado de tráfico en todos los nodos

Uso general de direcciones privadas y NAT para el enmascaramiento de las direcciones reales de origen

Uso de elementos de control de tráfico (como el SQUID e IPTABLES) para aumentar la disponibilidad en nodos congestionados como Red Platino

Uso del Dial-Up para caso de contingencia

RedRed Direcciones públicasDirecciones públicas Direcciones privadasDirecciones privadas

INEINE 200.44.63.0/26200.44.63.0/26( 64 direcciones)( 64 direcciones)

192.168.0.0/24192.168.0.0/24192.168.1.0/24192.168.1.0/24192.168.2.0/24192.168.2.0/24( 3 x 256 direcciones )( 3 x 256 direcciones )

PlatinoPlatino 161.196.215.64/26161.196.215.64/26( 64 direcciones )( 64 direcciones )

192.168.3.0/24192.168.3.0/24( 256 direcciones )( 256 direcciones )

Nodo MaracayNodo Maracay 200.44.63.64/29200.44.63.64/29( 8 direcciones )( 8 direcciones )


Nodo ValenciaNodo Valencia 200.44.63.72/29200.44.63.72/29( 8 direcciones )( 8 direcciones )


Nodo MaracaiboNodo Maracaibo 200.44.63.80/29200.44.63.80/29( 8 direcciones)( 8 direcciones)

192.168.12.0/24192.168.12.0/24( 256 direcciones)( 256 direcciones)

Asignación General de Direcciones IP

Bloque 192.168.X.0/24: Se usarán las primeras 4 direcciones para los enlaces Red Platino – Nodo Regional, es decir: 192.168.X.0/30Se usarán las siguientes 128 direcciones para la red interna del nodo o red protegida, es decir: 192.168.X.4/25

Bloque 200.44.63.Y/29:De estas 8 direcciones, 2 se usarán en los puertos enrutador – VPN (Interfaz externa) y las 4 restantes en los servidores del nodo ( la primera y la última no se asignan)

Asignación Regional de Direcciones IP

R e d P lat ino

. . . .

E s ta c ione s de T ra ba jo

17

2.3

0.X

.69

R e d P úblic a

R e d P ro te gida

Se rvic io s P úblic o sC o nm utado r (* )

V P N /C orta fue gos /N A T /P roxy (*)

S e rvidor In te rno de R e d

E nrutado r (* )

E nlac e s D is c ado s

E nlac e s D e dic ado s

C o nc e ntrado r(8)

R ed L A N d el N od o R eg ion al

E nl ac e L D N

1 6 1 .1 9 6 .2 1 5 .1 7 8

. . . . . .

Ins t i tuc io ne s

IN E (O C E I)

Se rvido re s

Se rvido re s

N o d o R eg io n a l

T u n e l

I n te r n e t

C AN T V + G L O BAL O N E

R e d P úbl i c a

R e d E xte r na

C o nm utado r

C o ne xi ó n IN E -N o do

V P N /C orta fue gos /N A T /P roxy(*)

(* )

(* )

Fibras O ptic as

R A S

Switc h F ibra O ptic a

R e d E xte r na

E nlac e E 1(D ial - U p)

R e d In te rn aP VC

E n lac es D ed ic ad o s

N od o R e d P latino

E 1 (3 )

Ins t i tuc io ne s

Ins t i tuc io ne s

W ebC o r r eoD N SR ad iu sF T P

R e d P lat ino

R oute r O c e i (IN E )

E s tac io ne s de Trabajo E s tac io ne s de Trabajo

H ub Hu b

Se rvido re s

Switc hSe rvido re s

R e d P úblic a

R e d P rote gida

R e d E xte rna

VP N /C o r tafue go s /N AT/P ro xy (* )

B as e s de D ato sW e bD N S

2 0 0 .4 4 .6 3 .1 /2 6

R ed L A N d e IN E

Túneles VPN en la Red WAN de INE

Sistema de Contingencia

Conclusiones

1.- El tiempo de acceso desde los nodos a los servidores de INE se encuentra alrededor de 100 mseg, lo cual resulta satisfactorio

2.- Se detectaron problemas de conexión dentro de una misma aplicación debidos a errores de programación de aplicaciones específicas

3.- Se probó la efectiva encriptación de los datagramas mediante el uso de paquetes de captura de datos como el Sniffer e Iris, instalados en las VLAN externas de las diferentes redes

4.- Se cambiaron y aplicaron diferentes restricciones de tráfico en el equipo Firebox, comprobándose su efectividad

5.- Se protege el servidor de correo de Red Platino contra el “Open-Relay”. Desde la instalación del Equipo Firebox, no ha sido incluido este servidor en la “lista negra” de algunas organizaciones de protección, como mail-abuse.org.

6.- Se ha agilizado la actualización de datos. Inclusive, muchos de ellos se cargan en “tiempo real”, favoreciendo la toma de decisiones en varios niveles gubernamentales y empresariales

Recomendaciones:

Monitorear constantemente el flujo de datos en los cinco equipos Firebox , en el SPECTRUM y los routers para detectar:

• Interrupciones en los enlaces e interfaces de los equipos• Cuellos de botella en los enlaces Frame Relay y en los Equipo Firebox• Intentos de violar las normas de seguridad• Asignación indebida de direcciones IP

Revisión constante del funcionamiento de las aplicaciones ASP y Tarantella, ya que pueden causar retrasos importantes en el servicio

Búsqueda de recursos económicos para la culminación del resto de los nodos regionales

Implantación del protocolo SSL para sitio Web Seguro en los servidores de INE

Documents

Identificación de las Instituciones Instituto Nacional de Estadísticas (INE) Visión