Diseño de Infraestructura, seguridad, red, servicios y almacenamiento en IT. Parte I

Aplicable a empresas de IT, Pymes y Grandes Empresas, con necesidades importantes de continuidad de negocio, crecimiento o expansión.

Buenas, aprovechando que he realizado hace poco para una empresa un Estudio de infraestructura informática, seguridad, red, servicios y almacenamiento, voy a ir colgando los detalles generales para quien le pueda interesar.

El presente documento trata de definir las partes a tener en cuenta en toda la infraestructura IT básica, para el siguiente caso de estudio: 

Empresa que requiere reorganizar sus sistemas informáticos, proveer cierta tolerancia a fallos, recuperación tras desastre o pérdida de datos, así como securizar cada uno de los servicios propios o prestados, además de permitir un crecimiento de los mismos de la manera más económica posible. 

En el caso de estudio, se prevé existe una conexión a Internet, siendo necesario segmentar de forma segura los accesos a/entre los diferentes entornos existentes: Producción, Desarrollo, Publicación de servicios (DMZ), así como separar las diferentes redes de clientes existentes.

 

Partimos de una topología de red lógica en la que disponemos de acceso a internet, router, firewall, y separando lógicamente o segmentando la red los diferentes clientes, servidores y servicios.

Acceso a Internet.

Con el fin de concretar los requerimientos del acceso, hoy en día hay que tener en cuenta varias cuestiones y sus diferentes opciones:

        - Requisito imprescindible disponer de Internet 24x7.  

        - 2 líneas con operador diferente, gestionadas por un balanceador hardware que las gestione, con la dificultad de administración que conlleva, DNS, publicación de Ips, Etc.

        - 1 línea con respaldo, gestionadas por el Proveedor 24x7, con varias Ips Públicas, además de disponer de CIR.

o   Fibra con Respaldo de ADSL

o   ADSL con Respaldo de FR o RDSI

o   FR con Respaldo de RDSI.

o   Etc.

Estas opciones sí varían completamente según el tamaño de la empresa y la infraestructura interna, hoy es casi obligatorio disponer de un contrato de banda ancha con unas garantías de acceso 24x7, una redundancia si es clave para nuestro negocio y más o menos ancho de banda dependiendo de los servicios ofrecidos/publicados.

Firewall de Acceso a/desde Internet

Una parte fundamental en cualquier red, motivos no faltan nunca para implementar cualquier solución de protección y acceso.

-  Motivos de Requerimiento de Firewall: proteger una red privada contra intrusos dentro de un esquema de conectividad a Internet.

-  Prevenir el acceso de usuarios no autorizados a los recursos en una red privada y prevenir el tráfico no autorizado de información propietaria hacia el exterior.

-  Publicar y securizar el acceso a servicios internos como Servidores Web, Correo, Bases de Datos.

-  Funcionar como Proxy en la red interna.

-  Gestionar una conexión remota a la red interna a través de VPN.

-  Enrutar diferente tráfico entre las redes internas.

-  DIFERENTES TIPOS DE FIREWALL:

-  Software

-  Hardware

-  Ventajas e inconvenientes:  Hoy en día según a qué niveles es lo mismo disponer de un firewall instalado en un Equipo físico o Virtual, o dedicado en un Hardware

Según el fabricante hay ambas opciones, dependiendo al final de la capacidad de proceso del Equipo y necesidades de conexiones de red, así como Alta Disponibilidad o Redundancia se requiera.

Para comenzar se puede o bien implantar un firewall en máquina virtual con varias NICs Virtuales, o  bien comprar un firewall físico mínimo con 4 interfaces que haga de Firewall, NAT, Capa 3, Proxy, VPN, etc, pero con suficiente capacidad para gestionar el Ancho de Banda de Internet y sobre todo el de enrutamiento entre VLAN.

En entornos grandes habrá que contar con varios firewall redundados, incluso separando servicios, con un buen soporte IDS y monitorización contínua para enfrentarse a los ataques diarios, así como a los cambios frecuentes en la red interna y requerimientos de seguridad externos.

Topología de la red, HW de Infraestructura

Algo que hay que recalcar hoy en día aunque parezca mentira y con el bajo coste que tiene hoy en día la electrónica de red, NO HUBS, No Switchs sin Gestión = NO Cuellos de Botella ni problemas.

Para trabajar bien, evitar problemas contínuos y poder crecer, necesitamos:  

     - Switchs Gestionables, a ser posible alguno mínimo Capa 2 con gestión y routing de VLAN, Spanning Tree, Etc.
     - Velocidad 10/100/1000 Clientes.
     - Velocidad 1Gb Servidores
     - Almacenamiento actualmente Velocidad 10Gb sobre Ethernet. (Posibilidad de otras tecnologías a igual o mayor velocidad, como FC, FCoE, etc)
     - Mínima redundancia, 2 Equipos Iguales interconectados por Stacking.
     - Servidores con más de 1 NIC, para Teaming y redundancia, excepto para Virtualización (Requisito mínimo 4/6 NICS según velocidad y hasta 8 NICS según crecimiento).
     - Posibilidad de ampliación por conectores SFP.

TOPOLOGÍA FÍSICA

Con lo indicado hasta ahora, dibujamos una posible topología física sobre la que iré ampliando información en próximos post.

Tenemos supuestos Servicios y Servidores, así como segmentación lógica o física de las redes existentes según servicio. Existe 1 servidor por cada 1 o + Servicios.

Esta estructura no es viable hoy en día, pues complica la gestión, mantenimiento, así como el crecimiento de la infraestructura entre otras cosas.

Resulta cara de mantener y actualizar.

La solución hoy en día está clara, VIRTUALIZACIÓN, ahí lo dejo para la próxima semana…

 

Un saludo.