13. DISEÑO SEGURO DE REDES.

CONCEPTO DE ALTA DISPONIBILIDAD Y DISEÑOS

REDUNDANTES

13.1 INTRODUCCIÓN
 En los entornos de red actuales un factor que hay que tener en cuenta desde el punto de vista operativo,
es el de la alta disponibilidad de las redes y como consecuencia, de los servicios que éstas ofrecen.
 En la industria hace ya tiempo que está establecida una cierta definición de “alta disponibilidad”.
 Cuando se habla de alta disponibilidad se habla de los tres nueves (99,999 % del tiempo del año
funcionando correctamente), lo que quiere decir un tiempo de caída permitido de 5 minutos al año. Tan
importante es el número y poder medirlo, que existe una medida estándar del nivel de disponibilidad de
un dispositivo cualquiera, que se puede expresar como:

Siendo TMEF (Tiempo Medio Entre Fallos) y TMR (Tiempo Medio de Reparación).
 Tal nivel de disponibilidad requiere tratar de evitar una serie de posibles problemas:
o Lógicos:
 Los puntos únicos de fallo en las redes.
 Las paradas necesarias para las actualizaciones.
 Los altos tiempos de rearranque o conmutación activo/pasivo.
 Los sistemas no suficientemente probados.

o Físicos:
 Las condiciones medioambientales poco apropiadas.
 Los desastres naturales.
 Los accidentes, como incendios, derrumbamientos, etc.

o Organizativos:
 Los tiempos excesivos de reparación de hardware y de software.
 Los problemas operacionales y de procedimientos.

 En muchas organizaciones no hay ningún tipo de subsistema especial de almacenamiento de alta

disponibilidad en red. Para estas organizaciones habrá que tener en cuenta las características básicas y
clásicas, para obtener una mejor disponibilidad. Entre ellas, se pueden citar las siguientes:
o Unidades de disco redundantes.
o Sistemas Operativos tolerantes a fallos.
o Copias de seguridad de los datos.
o Plan de recuperación ante posibles desastres.

13.2 DISEÑO DE SOLUCIONES DE ALTA DISPONIBILIDAD

 Las organizaciones de sistemas y redes de muchas organizaciones se ven envueltas en un ciclo de trabajo
permanente, en el que la alta disponibilidad no es un lujo, sino una necesidad. En este ciclo se pueden
diferenciar 4 fases:
o En la primera se identifica una tecnología nueva y necesaria y se implementa.
o Una vez identificada la tecnología e implementada, aparece la necesidad de que llegue a todos los
rincones de la organización.

1 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

 o La tercera fase es más compleja. Hay que aplicar servicios a esa nueva tecnología. Podría hacer falta
servicios de administración, de seguridad, de aplicaciones nuevas.
o Si se ha completado ya las tres fases anteriores, hay que poner la gente que administrará la nueva
situación.

 Una vez se ha completado el ciclo, se identifica otra tecnología nueva y se vuelve a empezar. Si se quiere
seguir siendo competitivo, el ciclo no puede parar y la red debe estar disponible permanentemente.
 Cuando se piensa en que una transacción de una organización se complete, hay muchas tecnologías
subyacentes que deben estar completamente operativas:
o Para el personal no técnico, la ejecución con éxito de la transacción es la parte que le preocupa, es la
parte del proceso de negocio.
o Para el personal técnico, las áreas importantes son el buen funcionamiento de los servidores, de las
aplicaciones y de la conectividad de red.

 Desde el punto de vista de la alta disponibilidad, para enlazar tales criterios aparentemente dispares, se
suele introducir el concepto de Administración de Niveles de Servicio.
 Para crear una red de alta disponibilidad, el administrador de red suele tener que utilizar herramientas de
prácticamente todos los niveles del modelo OSI.

13.3 LOS PROBLEMAS DE INFRAESTRUCTURA Y SOLUCIONES

 El diseño de una infraestructura de sólida del nivel físico es el primer bloque de esta construcción sin el cual,
además, no se puede pensar y ser realista a la vez, en la alta disponibilidad de los niveles superiores.
 Una de las consideraciones básicas es el mantenimiento de una tensión constante para los dispositivos
físicos que componen la red. Las formas más habituales son:
o Usar fuentes de alimentación duales, que compartan la carga.
o Usar dos tomas de alimentaciones distintas, provenientes de empresas eléctricas o líneas distintas.
o Uso de sistemas de alimentación ininterrumpida (SAI).

 Otra característica importante que hay que tener en cuenta es que ningún componente dentro de una
<<caja>>, que deba realizar una función concreta, debe depender de otros componentes dentro de la misma
<<caja>>. Esto se denomina inteligencia distribuida, cada elemento, de dentro de un sistema, es
independiente de los ostros elementos del sistema.
 Cuando se plantea un escenario de alta disponibilidad en una organización media o grande, se establece un
diseño diferente para lo que se denomina el núcleo de la red y los extremos de la red.
 En el diseño del núcleo, el centro de datos y los dispositivos de red se implementan mediante el uso de
sistemas redundantes. Además de la redundancia interna de los dispositivos se puede añadir aún más
redundancia mediante métodos como el dual-homing (sistemas con dos tarjetas de red) y los caminos
alternativos.
 Desde el punto de vista de los métodos de redundancia del hardware se pueden añadir también los
siguientes:
o Redundancia de dispositivos físicos.
o Agregación de enlaces.

 Otro aspecto de la redundancia es el de la trayectoria de los datos.

2 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

13.4 LOS PROBLEMAS EN EL NIVEL 2 DE OSI Y SUS SOLUCIONES
 Dentro de un dominio de nivel 2, el problema no es la velocidad de los broadcast, sino que haya un único
camino de datos que puedan recorrer tales mensajes.
 Para resolver este problema el protocolo más implementado, con diferencia, que utiliza caminos con bucle,
es el STP (Sapanin Tree Protocol).
 El STP permite la existencia de bucles físicos en un área de nivel 2, situación que provocaría normalmente
resultados muy desagradables.
 Desde el punto de vista de la alta disponibilidad, hay varios factores (cambios en la topología) relacionados
con el STP que hay que tener en cuenta:
o El tiempo de recuperación tras un fallo de un dispositivo y el tiempo que tarda el STP en reconverger
después de un fallo de enlace o dispositivo.
o El hecho de añadir o eliminar un equipo de la red.
o La puesta en marcha o la eliminación de un nuevo enlace en la red.

 Una red STP converge basándose en una serie de temporizadores que son ajustables pero que, en todo caso,
pueden resultar demasiado grandes en muchos casos.
 El IEEE ha puesto en marcha el grupo de desarrollo del 802.1w, denominado con propiedad el protocolo de
re-convergencia rápida, que tiene como objetivo que las redes puedan re-converger en aproximadamente
un segundo.
 Otra manera de ayudar a reducir el problema es implementando el protocolo IEEE 802.1s, conocido como el
de STP múltiples.

13.5 LOS PROBLEMAS EN EL NIVEL 3 DE OSI Y SUS SOLUCIONES

 Para poder determinar el camino óptimo entre estaciones en una red, hay toda una serie de encaminadores
que participan en este algoritmo (encaminamiento adaptativo) distribuido.
 Los dos tipos de encaminamiento adaptativo distribuido son:
o Los basados en algoritmos de vector-distancia (RIP o IGRP).
o Los basados en algoritmos de estado de enlace (OSPF o IS-IS)

 Pero, ¿qué sucede cuando falla un encaminador? Lo que sucede depende de su ubicación en la red y de qué
otros dispositivos lo estén usando.
 Para tratar de arreglar y eliminar situaciones catastróficas en topologías con un punto único de fallo, se ha
desarrollado el VRRP (Virtual Router Redundancy Protocol) basado en el [RFC 2338].
 Este protocolo utiliza dos encaminadores físicos, uno en funciones de master y el otro de backup,
configurados como un único encaminador virtual, con una única dirección IP <<virtual>> para los dos:

3 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

13.6 CONSIDERACIONES PARA EL RESTO DE LOS NIVELES OSI
 Sería muy arriesgado hacer la equivalencia entre el tiempo activo de red y el tiempo activo del servicio.
 Puede darse que los 3 niveles más bajos de OSI estén perfectamente operativos y que, a pesar de ello, las
necesidades del día a día del negocio, o de los servicios de red necesarios, no estén funcionando
correctamente.
 Para que estas situaciones no tengan lugar se suelen introducir políticas de gestión de niveles, entendiendo
la palabra política como la capacidad de red de servir distintos niveles de servicios a los varios elementos
que componen la red.
 Todo esto quiere decir que se deben emplear dispositivos de red que se capaces de reconocer distintos tipos
de tráfico, sean capaces de asignar prioridades dependiendo del tráfico y sean capaces de tomar acciones
basándose en la información de niveles superiores al nivel 3, sin dejar de tener en cuenta la de los niveles
inferiores.

13.7 CONSIDERACIONES PARA EL ALMACENAMIENTO EN RED: SAN (STORAGE AREA

NETWORKS)
 Una infraestructura de almacenamiento de alta disponibilidad es el punto clave para conseguir la completa
disponibilidad de los datos.
 Para conseguirlo se tienen en cuenta una serie de componentes:
o Tecnología de discos RAID (Redundant Array Inexpensive Disk).
o Múltiples copias de discos en un sistema cluster.
o El uso de clusters a distancia.
o Las copias de seguridad fiables en cinta.

 De entre todos ellos, la arquitectura SAN permite la creación de configuración de alta disponibilidad a nivel
de tosa la organización, que son escalables, capaces de crecer conforme lo haga la organización.
 Hay tres aspectos claves identificables como críticos para diseñar una solución de alta disponibilidad para el
subsistema de almacenamiento:
o Protección de datos:
 Memorias secundarias (caches) redundantes.
 Discos RAID:
 Existen distintos tipos de combinaciones (o niveles) referidos por un número:
o RAID 1. Copia de los mismos datos en dos o más discos.
o RAID 5. Los datos se distribuyen por un conjunto de 3 o más discos, junto
con información de paridad para la recuperación de datos.

 Replicación de datos:

o Conectividad de subsistemas:
 Interfaces redundantes.

o Redundancia hardware del subsistema:

 Redundancia de la alimentación.
 Tener discos preparados, para en caso de fallo de alguno de ellos, de manera automática, en
caliente.

4 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

13.8 CONSIDERACIONES PARA LOS DISPOSITIVOS DE SEGURIDAD
 Si la política de seguridad de la organización obliga a que todo el tráfico que proviene del exterior pase por
un cortafuegos y éste es un dispositivo físico único, en el momento en que el cortafuego deje de funcionar,
la red quedará aislada del resto del mundo:

 Así pues es cada vez más normal plantearse topologías, como la de la siguiente figura:

 Habitualmente ambos cortafuegos deben ser del mismo modelo, tener la misma memoria e instalada
idéntica versión de sistema operativo. Además estas situaciones son especiales de los cortafuegos
denominados stateful inspection.
 Al fallar el firewall primario (activo), el secundario (pasivo) pasa a convertirse en el activo y el primario se
queda como reserva.
 Desde el punto de vista de la ubicación física de los dispositivos, se suele hablar de dos tipos de procesos de
redundancia:
o El proceso estándar. Basado en que ambos firewall están conectados entre sí mediante un cable
especial, de longitud corta, propietario, llamado cable de recuperación.

5 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

 o El proceso basado en LAN.

 Además se habla de dos tipos de proceso de recuperación con respecto a la capacidad de recuperación:
o Proceso de recuperación normal. Las conexiones que hubiera se pierden, debiendo las aplicaciones
volver a conectarse, para restablecer las comunicaciones a través del cortafuegos.
o Proceso de recuperación completa.

6 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com