Diseño e implementación de redes de acceso seguras
No Thumbnail Available
Date
2019
Journal Title
Journal ISSN
Volume Title
Publisher
Abstract
Este trabajo desarrolla el diseño e implementación de un proyecto para la asistencia al personal de las Fuerzas Armadas y las escuelas militares. Ante la demanda de un sector de Fuerzas Armadas, que reside dentro de las bases o acuartelamientos, de tener un acceso a internet fiable y seguro, se desarrolla un proyecto para cubrir esta necesidad. Por otro lado, con la entrada del espacio universitario en las escuelas militares, se ha visto necesario que dichos lugares tuviesen acceso a la red Iris de universidades, como cualquier otro centro universitario. La solución adoptada ha sido un despliegue distribuido, conectado a través de internet y red Iris, pero controlado de forma centralizada. Para el proyecto se define un esquema en el que existen unos puntos de acceso (PA) a los que se conectan los usuarios con sus propios dispositivos. El tráfico de estos usuarios, al conectarse a la red, será capturado por un portal cautivo, donde se autenticarán o darán de alta para acceder a Internet o red Iris, de acuerdo con sus necesidades. Todos estos PA estarán conectados a un nodo central localizado en CESTIC, el cual gestionará los accesos, monitorizará y controlará los mismos, sirviendo de concentrador de servicios. Una vez autorizada la navegación, la infraestructura enviará el tráfico hacia la conexión de internet, pero registrando toda la actividad y enviando los log al repositorio central en el servidor del nodo central en CESTIC. El despliegue para realizar este proceso en cada nodo, sería una serie de PA conectados a unos switches de acceso, que se conectarían a un switch de agregación. Conectada al switch de agregación estará una controladora wifi, encargada de gestionar todos los puntos de acceso, sus potencias de emisión, canales, usuarios conectados, etc. Los PA establecerán un túnel VPN con la controladora para cada red, encapsulando el tráfico de forma cifrada y separada de trafico de otras redes. La salida del sistema ocurrirá mediante un router de la ISP y a través de un firewall NGF de capa 7, que protegerá la red de posibles amenazas y establecerá un túnel VPN con el firewall NGF del nodo central. El nodo central será el encargado de recibir y enviar el tráfico de soporte y operaciones (tráfico de gestión) con los nodos. En el nodo central estarán alojados los servidores de autenticación, monitorización de la red, configuración de equipos y almacenamiento de log de forma centralizada. Para ello, tendrá dos accesos a internet con ISP distintas. Cada conexión estará securizada por un firewall y otro de respaldo, de diferente marca que los integrados en los otros dispositivos. En el nodo central estarán también instaladas dos controladoras (principal y de respaldo) para recibir el tráfico de gestión de los diferentes nodos y controlar los equipos de todo el despliegue. Todo este proyecto se desarrollará con equipos de Aruba, que tiene tanto el hardware como el software necesario, con un precio asequible. Esta decisión de utilizar todo de una sola empresa agilizará y facilitará el despliegue de equipos, así como su gestión y control diario. También se ha tenido en cuenta el mantenimiento tanto del hardware como del software, que una empresa como Aruba podría proporcionar y mantener en el tiempo.