Modelo híbrido de arquitectura de red y seguridad altamente disponible para el canal de datos, facultad de ingeniería (Bta)

Abstract

Las arquitecturas de red híbridas permiten desempeñar un mejor papel en la distribución de los recursos y de manera muy importante mejorar la eficiencia y robustez de las redes de datos ayudando a minimizar tanto fallas de conectividad como aislar incidentes de seguridad bien sea de tipo DDoS, TCP/IP, acceso remoto, etc. Para el caso de estudio, el objeto fue identificar fallas críticas en los servicios que la comunidad universitaria usa dentro de la red LAN por medio de servidores encargados de la distribución y almacenamiento de dichos servicios. Otro punto evaluado fue la verificación de la infraestructura networking y computacional, tomando la seguridad como otro de los elementos que bajo ciertas particularidades como políticas de tráfico, usuarios y direccionamiento dentro de la facultad de ingeniería se sumaron a la identificación de las incidencias sobre ciertos activos de la información. En primer lugar, se analizaron los protocolos actuales en la distribución de tráfico y disponibilidad de los equipos ante fallas no esperadas, lo cual nos dió una solución que minimiza la cantidad de fallas en los equipos activos, el estado actual de la red de la facultad de ingeniería y como plus la mejora de la conectividad entre los diferentes dispositivos de red. En segundo lugar, se identificó el mejor uso de las VLAN’s para la prestación de los servicios de red como medio aislado es la operación de servicios bajo entornos virtuales y la debida parametrización de la política de alta disponibilidad bajo el protocolo HSRP, con el fin de garantizar un servicio de calidad para los usuarios de la red y las acciones que estos realicen. Se identificaron adicionalmente, varias actividades que bajo la metodología PMP permitieron identificar los requerimientos, evaluación de la arquitectura de red actual, recolectar datos de incidentes de seguridad y posteriormente el diseño de la red que fue simulada en el modelador GNS3. Acto seguido se realizaron diferentes escenarios como la evaluación de control de acceso administrativo mediante el protocolo SSH hacia los equipos más críticos, también se evaluó el escenario de alta disponibilidad y conectividad de los usuarios hacia los servicios (servidor FTP) para el cargue y descargue de archivos.

Finalmente se recolectaron diferentes estadísticas de respuesta para cada uno de los escenarios, identificando en especial en ambientes de alta disponibilidad tiempos de menos de 2mseg, en donde cualquier dispositivo de respaldo (Ej. R3 a R4) responde ante una falla de nodo o conexión sin impactar la operación y gestión de los servicios y/o equipos responsables de mantener el funcionamiento de la red de datos. En cuanto a comunicación se evaluó que entre nodos de diferente segmento a nivel de conectividad ping, la operación y respuesta obtenida fue entre 2 y 5mseg entre los dispositivos de comunicación como por ejemplo Switches y routers, en el canal de comunicación de la facultad de ingeniería (sede Bogotá), reflejando así que el protocolo de alta disponibilidad HSRP contribuyó con los mejores resultados esperados para el modelo diseñado.

Hybrid network architectures can play a better role in the distribution of resources and very importantly improve the efficiency and robustness of data networks, helping to minimize both connectivity failures and isolate security incidents, whether DDoS, TCP/IP, remote access, etc. For the case study, the objective was to identify critical failures in the services that the university community uses within the LAN network through servers responsible for the distribution and storage of these services. Another point evaluated was the verification of the networking and computational infrastructure, taking security as another of the elements that under certain particularities such as traffic policies, users and addressing within the faculty of engineering were added to the identification of incidents on certain information assets. Firstly, we analyzed the current protocols in the distribution of traffic and availability of equipment in the event of unexpected failures, which gave us a solution that minimizes the number of failures in the active equipment, the current state of the network of the faculty of engineering and as a plus the improvement of connectivity between the different network devices.

Secondly, the best use of VLAN's was identified for the provision of network services as an isolated medium is the operation of services under virtual environments and the proper parameterization of the high availability policy under the HSRP protocol, in order to ensure a quality service for network users and the actions they perform. In addition, several activities were identified that under the PMP methodology allowed to identify the requirements, evaluate the current network architecture. The network design was then simulated in the GNS3 modeler. Then, different scenarios were performed, such as the evaluation of administrative access control through the SSH protocol to the most critical equipment, as well as the evaluation of the high availability scenario and user connectivity to the services (FTP server) for uploading and downloading files.

Finally, different response statistics were collected for each of the scenarios, identifying especially in high availability environments times of less than 2msec, where any backup device (e.g. R3 to R4) responds to a node or connection failure without impacting the operation and management of the services and/or equipment responsible for maintaining the operation of the data network. In terms of communication, it was evaluated that between nodes of different segments at ping connectivity level, the operation and response obtained was between 2 and 5msec between communication devices such as switches and routers, in the communication channel of the faculty of engineering (Bogotá headquarters), thus reflecting that the HSRP high availability protocol contributed with the best results expected for the designed model.