Académique Documents
Professionnel Documents
Culture Documents
Facultad de Ingeniera
Escuela de Ingeniera Elctrica
Por:
Andrea Benavides Vargas
_________________________________
Profesor Gua
_________________________________ _________________________________
i
DEDICATORIA
A papi y mami
ii
RECONOCIMIENTOS
iii
ndice general
NDICE DE FIGURAS................................................................................................................................... 8
NDICE DE TABLAS................................................................................................................................... 10
NOMENCLATURA........................................................................................................................................ 1
RESUMEN ...................................................................................................................................................... 4
3.1.2 Herramientas utilizadas para la gestin de la red del BNCR actualmente .................................................................... 54
3.1.3 Uso dado a la herramienta CiscoWorks en la gestin de red BNCR actualmente ......................................................... 57
3.2.1.1 Propuesta de implantacin de los roles y permisos haciendo uso del modo de autenticacin ACS. ................. 75
4.2 Recomendaciones.................................................................................................................................... 91
BIBLIOGRAFIA .........................................................................................................................................100
APENDICES ...............................................................................................................................................102
NDICE DE FIGURAS
Tabla 3.1 Comparacin Jerarquas de Administracin "Cisco Works" - BNCR. Mode Non ACS ..... 77
Tabla 3.2 Comparacin Jerarquas de Administracin "Cisco Works" - BNCR. Mode ACS............. 79
NOMENCLATURA
autorizacin y contabilidad.
ACL: del ingls Access Control List, en espaol Lista de Control de Acceso.
ACS: del ingls Access Control Server, en espaol: servidor de control de acceso.
automtica.
aplicaciones.
direcciones.
ASCII: del ingls American Standard Code for Information Interchange, en espaol cdigo
Cisco.
CPU: del ingls Central Processing Unit, en espaol: unidad central de procesamiento.
CMDB: del ingls Configuration Managment Data Base, en espaol: base de datos de la
DFM: del ingls Device Fault Manager, en espaol: dispositivo cisco administrador de fallas.
hipertexto.
HTTPS: del ingls HyperText Transfer Protocol Secure, en espaol: protocolo de transferencia
de hipertexto.
interconexin de redes.
internet.
internacional de normalizacin.
ITEM: del ingls IP Telephony Environment Monitor, en espaol monitor del ambiente de
telefona IP.
LAN: del ingls Local Area Network, en espaol: red de rea local.
2
LMS: del ingls LAN Management Solution, en espaol: sistema de gestin de aprendizaje
LAN.
MD5: del ingls Message-Digest Algorithm 5, en espaol: algoritmo de resumen del mensaje
5.
MIB: del ingls Management Information Base, en espaol: base de informacin gestionada.
red.
OSPF: del ingls Open Shortest Path First, en espaol: protocolo de enrutamiento jerrquico
de pasarela interior.
RAM: del ingls Random Access Memory, en espaol: memoria de acceso aleatorio.
ROM: del ingls Read Only Memory, en espaol: memoria de slo lectura.
SNMS: del ingls Small Network Management Solution, en espaol: la solucin de gestin
transmisin.
URL: del ingls Uniform Resource Locator, en espaol: localizador uniforme de recurso.
VTP: del ingls Virtual Terminal Protocol, en espaol protocolo de terminal virtual.
VLAN: del ingls Local Area Network, en espaol: red de rea local virtual.
WAN: del ingls Wide Area Netwok, en espaol red de comunicacin extendida.
3
RESUMEN
El objetivo principal de este proyecto es presentar una propuesta de automatizacin de red, que
se ajuste a los objetivos del proceso de reingeniera por el cual est pasando la gestin de red del
BNCR, haciendo uso de las herramientas tecnolgicas con que cuenta, especialmente la herramienta
CiscoWorks.
Antes de empezar el desarrollo de la propuesta se llevo a cabo un estudio detallado sobre las
normativas ITIL, ya que el proceso de reingeniera del departamento de IT del BNCR ha basado sus
objetivos en este estndar. Posterior al estudio de las bases tericas del proceso de reingeniera del
BNCR, se procedi a hacer un estudio de la banda de trabajo de este departamento, especficamente, de
las unidades que velan por el mantenimiento y administracin de la red, de este estudio se concluy que
si bien es cierto las bases tericas y administrativas de este proyecto estn bien definidas, en la prctica,
estas normas no se estn cumpliendo en su totalidad. Para realizar la propuesta de automatizacin de la
red, se llevo a cabo una exploracin de las herramientas tecnolgicas con que cuenta el BNCR,
haciendo nfasis en la herramienta CiscoWorks, llegando a concluir que esta herramienta se encuentra
en estado de subutilizacin.
infraestructura de red del Banco Nacional de Costa Rica no hace uso de ninguna herramienta que
permita llevar a cabo esta tarea de manera automtica, motivo por el cual la gestin de red es hoy en
da una prctica propensa a errores, que adems demanda mucho tiempo por parte del personal a cargo.
Uso ineficiente del tiempo: Al no contar con una herramienta que permita dar configuracin a
los dispositivos que forman la red tiene la tediosa labor de realizar los ajustes necesarios a cada
probabilidades de cometer errores por parte del personal encargado del mantenimiento y
con mecanismo alguno que se encargue de guardar el historial de los cambios realizados en los
Acceso de usuarios no autorizados a la red: Hoy en da el Banco Nacional de Costa Rica cuenta
con un nico usuario para acceder los dispositivos de la red. Dicho usuario tiene los privilegios
de superusuario, es decir, no tiene limitaciones de acceso. Por consiguiente todo el personal con
acceso a la infraestructura de la red (es decir, cuya IP este autorizada) tiene acceso a todos los
5
dispositivos y configuraciones, lo cual pone en riesgo toda la infraestructura de esta, ya que
dispositivos de la red. El personal encargado de la gestin de red del BNCR cuenta con un
nico tipo de usuario para accesar a las herramientas de administracin de la red bsicas, con
las cuales, es posible accesar las herramientas de ms alto nivel de gestin de la red, este acceso
se lleva a cabo a travs del comando telnet a uno de los servidores con este tipo de
herramientas, por ejemplo, para tener acceso al gestor de red CiscoWorks, se debe hacer telnet
al servidor que contiene dicha herramienta, posterior a este comando, cuando ya se est dentro
de este servidor, existe un nico tipo de usuario, con ms permisos asignados de lo necesario.
6
la red BNCR no cuenta con ningn mecanismo de deteccin de fallas, lo cual quiere decir, que
en caso de colapsar la red se debe ir revisando dispositivo por dispositivo, enlace por enlace,
accesos a los dispositivos por usuario y por consiguiente no existe manera de saber que usuario
entr o edit alguna configuracin, lo cual es altamente riesgoso, ya que todos los usuarios con
infraestructura de la red del Banco Nacional de Costa Rica es una realidad actual; La red crece da con
con una herramienta que haga todo esto de una manera prctica, eficiente y segura es un riesgo.
Ante dicha necesidad surge la motivacin de hacer uso de las todas las facilidades que ofrece
una herramienta que actualmente el Banco Nacional de Costa Rica posee, pero no se encuentra
Llevar a cabo una propuesta de implementacin de las herramientas del sistema CiscoWorks
del Banco Nacional de Costa Rica, tal que cumpla con las normativas tericas buscadas por la gestin
7
Describir los aspectos bsicos sobre el acceso, configuracin y administracin de una
infraestructura de red.
Describir detalladamente las bases tericas de las normativas de gestin de red propuestas por
ITIL.
Explicar las caractersticas y el funcionamiento del sistema Cisco Works, haciendo nfasis en
marcha de los dominios, roles y cuentas para el acceso a la infraestructura de la red del Banco
Nacional de Costa Rica mediante el uso de la aplicacin Common Services del sistema
dispositivos que forman la red del Banco Nacional de Costa Rica, as como tambin para
8
1.4 Solucin propuesta
Como solucin al problema de los accesos no autorizados a los dispositivos que forman la
herramienta Common Services (CS) del sistema CiscoWorks. Esta herramienta permitir compartir
un modelo comn para el intercambio de datos, usuarios, grupos, privilegios de acceso y protocolos de
Common Services permitir a cada usuario acceder a aquellos dispositivos a los cuales este
previamente autorizado, as como tambin monitorear y/o editar nicamente dispositivos sobre los
empezar a implementar el Resource Manager Essentials (RME) para controlar las configuraciones de
los dispositivos. Se debe completar primero la implementacin del CS, ya que el RME hace uso de la
base de datos de CS, en la cual se encuentra el inventario de los dispositivos que forman la red. Sin
embargo es posible tambin aadir o eliminar de manera manual un dispositivo a la red en el RME.
Banco Nacional de Costa Rica, pues es a travs de esta que se lograr automatizar la mayor parte de las
tareas respetando el orden jerrquico de la administracin de la red del Banco Nacional de Costa Rica.
Una vez implementado Resourse Manager Essentials cada vez que se registre un cambio en
un dispositivo o enlace en la red, este quedar debidamente registrado, y se podrn guardan cuantos
9
registros se desee. Cada registro contendr el cambio aplicado, la hora de aplicacin, y el usuario
responsable del mismo, lo cual brindar a la infraestructura de red del Banco Nacional de Costa Rica
dispositivos, lo que significa un ahorro significativo de tiempo por parte del personal a cargo, ya que
esta permitir agrupar los dispositivos necesarios para aplicar los cambios requeridos de manera grupal.
Este proyecto dar inicio con un estudio acerca de los estndares de administracin de red
internacionales, as como tambin se llevar a cabo un estudio sobre el actual proceso de gestin de red
Se proceder luego de esto a realizar una ardua investigacin acerca de los dispositivos
necesarios para crear una red de computadoras a mediana y grande escala, esto con el objetivo de
obtener los conocimientos necesarios tanto para analizar el desempeo de una red de trabajo, as como
tambin para obtener la habilidad de reconocer tanto las fortalezas como las debilidades del proceso de
gestin de red llevado a cabo por el BNCR, con el objetivo de construir una propuesta que permita dar
inicio al proceso de automatizacin de la administracin de esta red, haciendo uso de los recursos con
Durante el estudio del funcionamiento de una red de computadoras, se dar un especial nfasis
al estudio de la gestin de las redes de trabajo, incluyendo en ste los estndares ms utilizados en la
actualidad para lograr un anlisis y desempeo optimo de red. A travs de este estudio se espera lograr
una adecuada descripcin funcional de las tareas tpicas de la gestin de red, as como tambin de los
administracin y configuracin de la red, se busca tambin obtener los conocimientos necesarios sobre
10
los diversos recursos tcnicos utilizados para la administracin de redes hoy en da, y sobre todo su
poner en prctica los conocimientos adquiridos, llevando a cabo un estudio en la infraestructura de red
Costa Rica est siendo sometido a un proceso de reestructuracin, tratando de seguir las normativas
propuestas por el estndar ITIL, se har un estudio profundo de stas normativas para poder proceder a
desarrollar una propuesta de automatizacin de la gestin de la red BNCR, que se acople a las
normativas estudiadas, para lograr esto, se llevar a cabo un estudio detallado tanto de las tareas
llevadas a cabo por la administracin de la red, como tambin los recursos tecnolgicos y humanos con
es uno de los principales objetivos del proceso de reestructuracin al cual est siendo sometido el
Una vez terminado el estudio necesario sobre la gestin de redes, y sabiendo que el primer paso
en la automatizacin de una red consiste en fijar las polticas de seguridad de la misma, as como en
delimitar el acceso a esta, y tener un control exacto y preciso de todos los encargados de la
Siendo el primer paso la creacin de los usuarios y sobre todo, la correcta asignacin de los permisos
remotas como locales y sustenta las bases de cualquier red o sistema seguro, el facilitar o denegar el
acceso a aplicaciones o recursos de la red de acuerdo con ciertos derechos y privilegios especficos del
infraestructura de red del Banco Nacional de Costa Rica va a consistir en delimitar de manera adecuada
el acceso a la misma, para prevenir el acceso de personas no autorizadas o no capacitadas a los equipos
de la red.
Una vez delimitado el acceso a los dispositivos de la red, se proceder a delimitar los privilegios
a cada usuario, de manera tal, que cada cual tenga acceso nicamente a aquellas aplicaciones que se les
faculte.
Para garantizar un buen nivel de seguridad a la infraestructura de red del Banco Nacional de
Costa Rica se requiere implementar una herramienta que se encargue del proceso de archivar los
cambios realizados a cada dispositivo, permitiendo tener acceso a un historial de las configuraciones
aplicadas a cada dispositivo de la red, as como tambin de los usuarios responsables de la aplicacin
de cada uno de esos cambios. Este proceso se propone llevar a cabo con la implementacin de la
12
aplicacin RME de CiscoWorks, la cual debe ser implementada posterior a la implementacin del
configuracin necesaria para poder hacer uso de una de sus aplicaciones ms importantes en el proceso
departamento de Tecnologa del Banco Nacional de Costa Rica trabaje de manera jerrquica y
automatizada.
13
CAPITULO 2: Marco Terico
Una red de computadoras se define como una interconexin de dispositivos computadores para
compartir informacin, recursos y servicios. Esta interconexin puede ser a travs de un enlace fsico
(alambrado) o inalmbrico.
Es usual que se prefieran dispositivos de una misma plataforma en redes de mediana a grande
escala para poder hacer uso de todos los beneficios de la interconexin de estos dispositivos.
Entre ms grande sea la infraestructura de una red, mayor ser el numero de dispositivos de red
Los dispositivos que forman una red se clasifican en dos grandes grupos. El primer grupo est
compuesto por los dispositivos de usuario final. Los dispositivos de usuario final, usualmente
conocidos con el hombre de host incluyen los computadores, impresoras, escneres, y dems
dispositivos que brindan servicios directamente al usuario. El segundo grupo est formado por los
dispositivos de red, que son los que conectan entre s a los dispositivos de usuario final, posibilitando
su intercomunicacin. Estos transportan los datos que deben transferirse entre los dispositivos de
Algunos ejemplos de dispositivos que ejecutan estas funciones son los repetidores, hubs,
Hub: Se utilizan para concentrar las conexiones, permitiendo que la red trate un grupo de
hosts como si fuera una sola unidad, sin interferir en la transmisin de datos. Existe una clase
de hub llamada hub activo el cual no slo concentra hosts, sino que adems regenera
seales.
Puente: Su objetivo principal es brindar conectividad entre redes de rea local LAN (del ingls
Local Area Network),. Adems verifican los datos para determinar si los datos deben o no pasar
por el, aumentando la eficiencia de la red. Adems, convierten los formatos de transmisin de
datos de la red.
Switch: Los switches aportan las funciones bsicas de administracin de una red. De
manera especfica, estos administran las transferencias de datos de una manera muy eficiente,
determinando si los datos deben permanecer o no en una LAN, adems transfieren los datos
nicamente a la conexin que necesita esos datos. A diferencia de los puentes, los switch no
Content Switches: Son dispositivos de red inteligentes que ayudan a mejorar el desempeo de
monitorear directamente las cargas de red e inteligentemente distribuir las conexiones entrantes
Router: Estos dispositivos de red poseen todas las capacidades indicadas arriba: regenerar
15
seales, concentrar mltiples conexiones, convertir formatos de transmisin de datos, y manejar
transferencias de datos. Tambin pueden conectarse a una WAN (del ingls Wide Area Netwok),
lo que les permite conectar LANs que se encuentran separadas por grandes distancias. Ninguno
Existen otros tipos de dispositivos que permiten el llevar a cabo el funcionamiento de las redes de
computadores de manera eficiente y prctica. Un claro ejemplo de este tipo de dispositivos son los
servidores.
Servidores: El trmino de servidor puede ser interpretado de dos maneras, haciendo referencia al
tipo de software que realiza diversas tareas en nombre de sus usuarios, o bien al dispositivo fsico en el
cual se aloja ese software. Existen diversos tipos de servidores clasificados segn el tipo de tareas que
estos lleven a cabo. Por la naturaleza de este proyecto, es de especial inters los servidores AAA (por
sus siglas en ingls: Authentication, Authorization, Accounting), que son servidores de control de
acceso altamente escalable y de alto rendimiento que proveen un control de los accesos a los recursos y
Autenticacin: Durante este proceso se valida el usuario y sus permisos, es decir, este proceso
servidor AAA encargado del registro de los accesos del usuario (numero de accesos, duracin
de la sesin, etc) y los servicios accesados, esta informacin es de gran importancia para la
Autorizacin: Durante este proceso el servidor construye un conjunto de atributos que regulen
las tareas que el usuario pueda realizar, esto se realiza mediante una base de datos con la
16
informacin de cada usuario o grupo de ellos.
As pues, mediante un servidor de esta naturaleza, los administradores de red pueden controlar
el acceso de los usuarios a la red, autorizar diferentes servicios de red para usuarios o grupos de
usuarios y mantener un registro de contabilidad de todas las acciones realizadas por los usuarios
en la red. As como tambin, los administradores de la red pueden usar la misma estructura de
AAA para gestionar las tareas administrativas y los grupos, y controlar cmo cambian, acceden
2.1.2 Configuracin
Las redes de datos del mundo entero trabaja en una gran mayora bajo una plataforma de trabajo
redes; nuestro pas no es la excepcin, motivo por el cual esta seccin se enfoca en la configuracin de
Los equipos configurables son bsicamente los switches y los enrutadores. Estos
dispositivos contienen bsicamente tres tipos de conexiones externas, dos de las cuales proporcionan
conexiones de red para la transmisin de datos, mientras que la otra se encarga de la configuracin
Interfaz LAN: A travs de estos puertos es posible comunicar al dispositivo con los medios de la
Puertos de administracin: Estos puertos proporcionan una conexin basada en texto para la
17
configuracin y diagnstico de fallas del dispositivo.
Cuando el dispositivo de red entra en servicio por primera vez, los parmetros de la red no estn
configurados, y por lo tanto no ser posible comunicarse con ninguna red. Para configurar estos
dispositivos se requiere de una conexin a travs de un cable de consola conectado del puerto de
consola del dispositivo hasta un puerto serial del computador. Una vez establecida la conexin fsica se
requiere que el computador emule una terminal ASCII para poder ingresar los comandos de
configuracin mediante la lnea de comandos del dispositivo (CLI). Los emuladores de terminales
ASCII ms comunes son: Hyperterminal para el entorno Windows, Minicom para el entorno
Otra manera de llevar a cabo la configuracin del dispositivo de red es de manera remota,
accediendo a la lnea de comandos mediante una conexin telnet, para lo cual es necesario una
Al igual que una computadora, los dispositivos de red configurables necesitan de un sistema
operativo para funcionar, ya que sin un sistema operativo el hardware no puede realizar ninguna
funcin. En el caso particular de los dispositivos Cisco, este sistema operativo se llama Cisco IOS. Este
La interfaz de lnea de comando de Cisco usa una estructura jerrquica. Esta estructura requiere
el ingreso a distintos modos para realizar tareas particulares. Por ejemplo, para configurar una interfaz
configuracin de interfaces, todo cambio de configuracin que se realice tendr efecto nicamente en
esa interfaz en particular y al ingresar en cada uno de estos modos especficos la peticin de entrada del
18
dispositivo cambia para sealar el modo de configuracin en uso en el cual slo acepta los comandos
Como caracterstica de seguridad, el software Cisco IOS posee dos niveles de acceso
principales. Estos niveles son el modo EXEC usuario y el modo EXEC privilegiado, llamado tambin
modo enable.
El modo EXEC usuario permite slo una cantidad limitada de comandos de monitoreo bsicos y
La peticin de entrada del modo EXEC usuario se muestra al iniciar la sesin en el dispositivo.
Los comandos disponibles en este nivel de usuario son un subconjunto de los comandos disponibles
tambin en el nivel EXEC privilegiado. En su mayor parte, estos comandos permitidos en este modo
permiten que el usuario vea la informacin sin cambiar la configuracin del dispositivo. El modo
19
Para acceder al conjunto completo de comandos, se debe ingresar al modo EXEC privilegiado.
El modo EXEC privilegiado da acceso a todos los comandos del dispositivo. Se puede
configurar este modo para que solicite una contrasea del usuario antes de dar acceso para mayor
proteccin. Tambin se puede configurar para que solicite una ID de usuario, lo cual permite que slo
los usuarios autorizados puedan ingresar al dispositivo con estos privilegios, ya que este modo permite
EXEC privilegiado se puede reconocer por la peticin de entrada "#". Ver fig 2
ingresa a los modos de configuracin de interfaz, lnea, subinterfaz y enrutador entre otros.
Al ingresar a estos modos especficos, la peticin de entrada del enrutador cambia para sealar
el modo de configuracin en uso y todo cambio de configuracin que se realice estando en estos modos
tendr efecto nicamente en las interfaces o procesos relativos a ese modo en particular. El modo de
configuracin global se distingue de los otros modos de acceso por la peticin de entrada siguiente:
(conf term).
20
2.1.4 Seguridad de acceso a los dispositivos de red
elemental, parmetro del cual carecen las herramientas tradicionales de seguridad como las
A travs del filtrado de trfico es posible impedir el acceso no a autorizado a la red, permitiendo
al mismo tiempo el acceso de los usuarios autorizados a los servicios requeridos. Por ejemplo, es
posible que un administrador de red permita que lo usuarios tengan acceso Internet, pero impedir que
Los dispositivos de red que tienen la opcin de trabajar con filtrado de trafico son los
enrutadores, los cuales llevan a cabo su labor de filtrado a travs del uso de las listas de control de
acceso, conocidas frecuentemente como ACLs, (del ingls Access Control List)
Las listas de control de acceso surgen como parte de una solucin de seguridad y constituyen
una herramienta de seguridad de red que permite restringir el tipo de trfico que circula a travs de la
interfaz del enrutador a travs de una lista secuencial de sentencias de permisos que detallan puertos de
servicio o nombres de dominios de redes que estn disponibles en una terminal o dispositivo de red,
cada uno de ellos con una lista de terminales y/o redes que cuentan con el permiso para usar el
servicio. Es decir, estas sentencias le indican al dispositivo que paquetes aceptar o rechazar para
asegurar a travs de estas el trfico desde y hacia una red. Estas sentencias operan en orden secuencial
lgico, por lo cual si se cumple una condicin, el paquete se permite o deniega, y el resto de las
que pueden permitir o denegar el acceso a la red o a una porcin de esta a un host.
Algunos de los puntos de decisin de ACL son direcciones origen y destino, protocolos y
nmeros de puerto de capa superior. Por consiguiente, se debe definir una ACL para cada protocolo
habilitado en la interfaz.
Las ACL controlan el trfico en una direccin por vez en una interfaz, es decir, se necesita crear
una ACL por separado para cada direccin, una para el trfico entrante y otra para el saliente. Sabiendo
que cada interfaz puede contar con varios protocolos y direcciones definidas, si el enrutador tiene n
interfaces configuradas para un determinado nmero de protocolos, se necesitar una ACL para cada
uno de estos protocolos por cada nmero de puerto para cada direccin entrante o saliente, es decir, en
resumen se necesita una lista por puerto, por direccin, por protocolo.
Las ACLs pueden ser tan simples como una sola lnea destinada a permitir paquetes desde un
host especfico o hasta conformar un conjunto de reglas y condiciones extremadamente complejas que
definan el trfico de forma precisa, modelando a travs de estas el funcionamiento de los procesos del
enrutador.
Si las ACLs no estn configuradas en el enrutador, todos los paquetes que pasen a travs del
dispositivo de red configurable, ya sea de manera local o remota y mediante diferentes mtodos,
existen normas de seguridad para impedir que un usuario no autorizado entre en contacto con la
Dentro de las prcticas preventivas ms usuales contra accesos no autorizados a los dispositivos
22
2.1.4.3 Restriccin del acceso a una terminal virtual
Del mismo modo que los dispositivos de red tienen puertos fsicos o interfaces, como
fastethernet y seriales, los dispositivos de red tambin tienen puertos virtuales. Estos puertos
virtuales se denominan lneas VTY. Existen cinco lneas VTY, a las cuales se accesa a travs del
Para regular el acceso a la consola a travs ya sea de puertos fsicos, como virtuales existen un
conjunto de reglas antes mencionadas, conocidas como ACLs, que detallan los puertos de servicio
disponibles en una terminal, as como tambin los dominios y/o redes autorizados para hacer uso de
ellos.
Las contraseas son la primera defensa en contra de los accesos no autorizados, una forma de
Dado a que las contraseas restringen el acceso a los dispositivos de red, se acostumbra
configurar contraseas para las lneas de terminales virtuales, as como tambin para la lnea de
consola. Esto se hace con el objetivo de controlar el acceso al modo EXEC privilegiado y que solo los
Existen diversos mtodos para autenticar estas contraseas, los ms comunes son mediante
texto plano y haciendo uso del algoritmo MD5 (del ingls Message-Digest Algorithm 5, en espaol
algoritmo del resumen del mensaje). Cuando se emplea la autenticacin mediante texto plano la
contrasea es fcilmente rastreable, ya que esta se incluye en cada actualizacin del enrutador, por el
contrario, cuando se hace uso del algoritmo MD5, cada vez que la contrasea debe viajar por la red es
cifrada a travs de una funcin, la cual es enviada en lugar de la contrasea misma, evitando de esta
manera que la contrasea sea leda fcilmente, ya que de lo contrario esta podra ser fcilmente vista en
23
texto plano al consultar el archivo de configuracin del dispositivo.
Las redes de comunicaciones han evolucionado con el paso del tiempo ante la necesidad de
mayor ancho de banda y una mejor calidad de servicio para las nuevas aplicaciones que se han venido
la necesidad de contar con una mejor administracin de los recursos de estos sistemas, lo cual ha
La gestin de redes tiene como propsito la utilizacin y coordinacin de los recursos para
planificar, organizar, mantener, supervisar, evaluar, y controlar los elementos de las redes de
aplicacin es amplio y de gran importancia dadas las caractersticas tecnolgicas que poseen los
sistemas de telecomunicaciones y los servicios que ofrecen. Mantiene un cierto grado de complejidad
al interactuar con sistemas heterogneos que involucran diversos fabricantes con productos
las necesidades de los usuarios, motivo por el cual la utilizacin de herramientas adecuadas permite
cientos de dispositivos como por ejemplo enrutadores, switches, hubs, y estaciones de trabajo finales.
de aplicaciones provenientes de mltiples fuentes, por ejemplo, el sistema de gestin de red, el Help
Desk, brindado por el fabricante de los dispositivos, as como las herramientas autnomas e
24
independientes. Adems muchas de estas herramientas suelen tener APIs (Application Program
Hoy en da estas herramientas corren sobre diferentes sistemas operativos y suelen tener la
caracterstica de disponer de una interfaz grfica de usuario basado en ventanas, lo cual permite una
Los agentes y consolas son los conceptos claves en la administracin de redes. Siendo las
consolas una estacin de trabajo convenientemente configurada para visualizar la informacin recogida
por los agentes, que son programas especiales que estn diseados para recoger informacin especfica
de la red.
analizadores basados en hardware y son transparentes a los usuarios, adems permiten ser ejecutados
en los puestos de trabajo sin afectar al rendimiento de los mismos. Usualmente, estos programas la
informacin que recogen la almacenan en bases de datos relacionales que despus son explotadas a
Este software puede realizar las mismas tareas que los analizadores y adems hace un mayor
Dentro de los principales objetivos de los programas de administracin de red sobresalen los
siguientes:
25
Automatizar tareas como copias de seguridad y deteccin de anomalas.
Procesar scripts.
Gestin de usuarios
de usuarios.
La gestin del hardware es una actividad esencial para el control del equipamiento y sus costes
asociados as como para asegurar que los usuarios disponen de los dispositivos necesarios para cubrir
sus necesidades. Se busca evitar la visita fsica a los equipos, y en su lugar hacer uso de aplicaciones
que se ejecuten en los diferentes dispositivos de red y puestos de trabajo para que realicen el inventario
Una vez que la informacin de inventario es recogida, la administracin de red puede hacer las
siguientes funciones:
26
Aadir informacin relativa a puestos de trabajo no instalados en red.
dispositivos de red.
El inventario se realiza peridicamente ya sea cada vez que se ponen en marcha los puestos, o
bien durante su tiempo de funcionamiento. Normalmente los datos que se recogen son variados:
Este monitoreo permite analizar el comportamiento de la red y sus dispositivos, para en caso de
ser necesario, detectar nuevas necesidades y adaptar las caractersticas ya sean de hardware o
si los parmetros de configuracin implementados son los mejores, as como tambin permiten el
27
Las funciones de la monitorizacin de red se llevan a cabo a travs de software que realizan el
importancia.
Adems de los mtodos antes mencionados, un evento importante es el monitoreo del trfico de
red: en el cual se toman nuevas medidas sobre aspectos de los protocolos, colisiones, fallos, paquetes,
etc. Se almacenan en bases de datos especializadas para su posterior anlisis. Del anlisis se obtienen
28
conclusiones, bien para resolver problemas concretos o bien para optimizar la utilizacin de la red.
Planificacin de procesos:
administrador puede programar un agente que realiza las tareas programadas en los momentos
previstos. Adems, estos agentes recogen informacin sobre el estado de finalizacin de los procesos
Los procesos tpicos que se suelen planificar son: copias de seguridad, creacin de registros de
La planificacin de procesos permite tambin aprovechar los perodos en que la red est ms
Algunos de los software de gestin de red que permiten llevar a cabo estas calendarizaciones
son: AT de Windows NT, CRON de Unix y CiscoWorks de Cisco, estas herramientas permiten ejecutar
La seguridad es un aspecto que afecta a todas las reas de administracin que se han comentado
anteriormente. Para cada recurso en la red, el administrador debe disponer los mecanismos para
establecer permisos de utilizacin, as como monitorizar el uso que se hace de los recursos. Debido al
grado de complejidad de estas, se implementas polticas de seguridad, las cuales permiten establecer
aspectos de seguridad a manera de perfiles que afectan a determinados grupos de usuarios. Una vez
definidas las polticas, el administrador slo tiene que aadir los usuarios a los grupos establecidos con
lo que adquieren los perfiles de seguridad. De esta forma la actualizacin de medidas de seguridad se
de la red, pudiendo denegar el acceso de los usuarios a realizar tareas para las que no tienen permiso.
Existen normativas para la administracin de redes que funcionan como estndares alineados
con el conjunto de normas publicadas por ISO (del ingls International Organization for
comits tcnicos especficos, as como tambin mtodos y guas de referencia de buenas prcticas
de estas es ITIL (del ingls Information Technology Infrastructure Library, es decir Biblioteca de
2.3.1 ITIL
informticos y de la informacin, este nace como un cdigo de buenas prcticas dirigidas a alcanzar
del servicio TI centrado en los procesos y procedimientos, as como tambin haciendo uso del
establecimiento de estrategias para la gestin operativa de la infraestructura TI. Las principales metas
ITIL contempla una serie de normativas para una prctica de las siguientes tareas de TI:
30
2.3.1.1 Gestin de incidentes
Un incidente es cualquier evento que no forma parte de la operacin estndar de un servicio y
que causa, o puede causar, una interrupcin o una reduccin de calidad del mismo.
Objetivos:
Detectar cualquier alteracin en los servicios TI.
Una CMDB (del ingls Configuration Managment Data Base, es decir base de datos de la
gestin de las configuraciones.) precisa, en la que se registran los cambios realizados en las
En particular una buena gestin de problemas debe traducirse en una disminucin del nmero de
incidentes y una ms rpida resolucin de los mismos, procurar una mayor eficiencia en la resolucin
de problemas y principalmente brindar una gestin proactiva que permita identificar problemas
potenciales antes de que estos se manifiesten o provoquen una seria degradacin de la calidad del
servicio.
31
La correcta elaboracin de informes permite evaluar el rendimiento de la gestin de problemas y
Se requiere una gestin de problemas capaz de determinar claramente quienes son los responsables
las responsabilidades para evitar los costes asociados, ya que sera poco eficaz y contraproducente
Cuando algn tipo de incidente se convierte en recurrente o tiene un fuerte impacto en la infraestructura
temporales o parches.
Elevar las peticiones de cambio requeridas a la gestin de cambios para llevar a cabo
correcto funcionamiento.
particularmente compleja. Una falta de planificacin conducir con total certeza a una gestin de
configuraciones defectuosa con las graves consecuencias que esto supondr para el resto de los
procesos. Adems es evidente que no se pueden administrar dispositivos que no se conocen, es por eso
que es vital conocer en detalle la infraestructura TI de la organizacin en cuestin para poder obtener el
mayor provecho posible, es por este motivo que la gestin de configuraciones se encarga de mantener
un registro actualizado de todos los elementos de configuracin de la infraestructura TI junto con sus
interrelaciones.
Objetivos:
Proporcionar informacin precisa y fiable al resto de la organizacin de todos los
En principio, todo cambio no estndar debe considerarse tarea de la gestin de cambios, sin
embargo a veces resulta poco prctico gestionar todos los cambios mediante sta, an as el alcance de
la gestin de cambios debe ir en paralelo con el de la gestin de configuraciones: todos los cambios
supervisados y registrados.
Objetivos:
33
Monitorizar y dirigir todo el proceso de cambio.
Las complejas interrelaciones entre todos los elementos que componen una infraestructura de
servicios de TI convierten en tarea delicada la implementacin de cualquier cambio, es por esto motivo
que la gestin de cambios se encarga de aprobar y supervisar todo el proceso, sin embargo, es tarea
gestin de versiones debe colaborar estrechamente con la gestin de cambios y de configuraciones para
asegurar que toda la informacin relativa a las nuevas versiones se integra adecuadamente en la CMDB
de forma que sta se encuentre correctamente actualizada y ofrezca una imagen real de la configuracin
de la infraestructura TI.
Objetivos:
Establecer una poltica de implementacin de nuevas versiones de hardware y software.
34
su verificacin en un entorno realista de pruebas.
correspondientes.
asociada.
calidad de los servicios TI ofrecidos. Si los servicios no se adecuan a las necesidades del cliente, la
calidad de los mismos es deficiente o sus costes son desproporcionados, se produce un servicio poco
Objetivos:
Planificacin:
o Asignacin de recursos.
ofrecidos por TI
35
planes de calidad de los servicios brindados por TI.
o Negociacin.
o Contratos de soporte.
Por regla general, a mayor calidad de los servicios mayor es su coste, por lo que es necesario evaluar
cuidadosamente las necesidades del cliente para que el balance entre ambos sea ptimo, por este
motivo es que uno de los objetivos principales de la gestin financiera de los servicios informticos es
el de evaluar y controlar los costes asociados a los servicios TI de forma que se ofrezca un servicio de
Objetivos:
Evaluar los costes reales asociados a la prestacin de servicios.
Asesorar al cliente sobre el valor aadido que proporcionan los servicios TI prestados.
36
Evaluar el retorno de las inversiones hechas para la prestacin de los servicios brindados por
TI.
propio departamento TI los recursos informticos necesarios para desempear de una manera eficiente
Objetivos:
Desarrollo de un plan de capacidad.
Gestin de la demanda.
Conocer los planes de negocio y acuerdos de nivel de servicio para prever la capacidad
necesaria.
previsibles.
interrupcin de los servicios TI, debido a desastres naturales u otras fuerzas de causa mayor, tenga
Objetivos:
Garantizar la pronta recuperacin de los servicios crticos brindados por TI tras un desastre.
Objetivos:
clientes.
38
Garantizar el nivel de disponibilidad establecido para los servicios TI.
niveles de disponibilidad.
disponibilidad.
La gestin de la seguridad debe conocer en profundidad el negocio y los servicios que presta la
organizacin TI para establecer protocolos de seguridad que aseguren que la informacin est accesible
cuando se necesita por aquellos que tengan autorizacin para utilizarla, Asimismo tener en cuenta los
riesgos generales a los que est expuesta la infraestructura de TI, para asegurar, en la medida de lo
Es importante que la gestin de la seguridad sea proactiva y evale a priori los riesgos de seguridad
que pueden suponer los cambios realizados en la infraestructura, nuevas lneas de negocio, etctera.
Objetivos:
39
Evitar interrupciones del servicio causadas por virus, ataques informticos, etctera.
servicio.
2.4 CiscoWorks
Este paquete de herramientas est constituido por tres grandes conjuntos de aplicaciones:
pequeas.
utilizar para lograr los objetivos de este proyecto. A continuacin se detalla brevemente cada una de
40
2.4.1 Aplicaciones del LMS
Su principal funcin es la de proveer las bases necesarias para poder compartir un mismo
seguridad, entre otros, creando un estndar de administracin para el manejo de funciones. Adems la
Common Services proporciona una serie de utilidades, dentro de las cuales sobresalen las
siguientes:
Provee un mecanismo que permite agrupar dispositivos lgicamente para poder compartirlos
Cuenta con mltiples herramientas de depuracin, que permiten probar los dispositivos y sus
interface de navegacin de primer nivel y permite un acceso inmediato a las funciones de uso ms
frecuento del LMS. Mediante esta interfaz es posible realizar las tareas detalladas a continuacin:
La aplicacin CiscoWorks Assistant es una aplicacin que se accesa a travs de la red (Web-
Based Aplication) y que a travs de un flujo de trabajo da soporte en las tareas de administracin de la
red mediante la compilacin de una serie de tareas que brindan una gua de las tareas del LMS.
Ayuda a determinar las causas del fallo de un dispositivo o enlace, de tipo end-host o telefona
IP inclusive.
Crea un reporte individual de cada aplicacin ejecutada en un dispositivo para una mejor
deteccin de fallas.
Esta aplicacin brinda una proteccin a la red haciendo uso de herramientas optimizadas para el
Permite algunas configuraciones de capa 2, como vlans, trunking y STP entre otras.
42
multiprotocolo, mide los tiempos de respuesta y la disponibilidad de las redes IP, as como tambin el
tiempo de respuesta entre enrutadores. Esta aplicacin permite configurar las siguientes herramientas:
DFM despliega una interfaz grfica de la red en la cual muestra alertas y errores en tiempo real,
adems permite llevar a cabo otras tareas pertinentes, como los son:
sencilla.
Reenvo de alertas y eventos tales como mensajes del sistema (syslog) y correos electrnicos.
El objetivo principal de esta aplicacin es evitar el error humano, as como tambin eliminar las
red.
Reduccin del tiempo de administracin de la red, y por lo tanto el riesgo de errores por parte
del personal.
43
Automatizacin de las tareas dificultosas y/o tediosas.
dispositivos de la red.
dispositivos de red.
parmetros de desempeo.
Services y Resource Manager Essentials para lograr los objetivos de este proyecto. Por consiguiente
Management Foundation (CMF), proporciona las bases para una infraestructura de aplicaciones
permitiendo que todas las aplicaciones CiscoWorks compartan un modelo comn para el intercambio
44
solventa en mucho la problemtica que enfrenta hoy en da la administracin de la red del Banco
Common Services permite que tras el Device Management, se puedan utilizar todas las
herramientas de CiscoWorks con todos los dispositivos all incluidos, dejando de lado la prctica
manual de agregar cada dispositivo a cada aplicacin, adems, los cambios hechos a un dispositivo en
el Device Management son aplicados a el dispositivo desde cada aplicacin que se llame de manera
automtica.
La herramienta CMF brinda cinco categoras de servicios, las cuales son a continuacin
detalladas:
Security: Brinda servicios de manera local o remota mediante el uso de un servidor AAA de
manera segura, as como tambin una comunicacin segura entres servidores, permitiendo de
Device Management: Conforma el banco de dispositivos utilizado por todas las herramientas
de "CiscoWorks", que permite adems agrupar dichos dispositivos para deteccin y resolucin
Software Center: Permite realizar actualizaciones del software utilizado por las mltiples
aplicaciones de "CiscoWorks".
local, haciendo uso de los roles creados por el sistema, o haciendo uso de los roles creados en
45
autenticacin, autorizacin y contabilidad en espaol)).
El conjunto de aplicaciones que provee la herramienta RME, que al igual que el resto de las
herramientas proporcionadas por CiscoWorks son accesadas por medio de la red a travs de un
buscador, permite contar con un acceso remoto, actualizado y seguro a la informacin crtica de la red,
permitiendo de esta manera, a quien est autorizado, monitorear y editar, entre otras cosas, las
Esta herramienta mantiene una base actualizada de toda la informacin de la red y puede
adems generar una gran diversidad de reportes que pueden ser utilizados para realizar pruebas de
funcionamiento o planeamiento. RME permite generar reportes de tipo hardware y software, adems de
los reportes de archivos de configuracin, para asegurar de esta manera el almacenamiento de una
Es importante destacar que RME archiva de manera automtica cada cambio realizado a los
dispositivos de la red, haciendo muy sencillo no solo determinar los cambios realizados a cada aparato,
sino tambin identificar por quien fueron realizados dichos cambios. As pues, RME hace sencillo
observar y manipular no solo los archivos de configuracin, sino tambin las imgenes de los
travs de la cual, cada grupo de usuarios llevar a cabo una labor determinada en un tiempo
preestablecido que ser automticamente retomada por otro grupo de usuarios, el cual se encargar de
continuar el proceso, repitindose este patrn hasta lograr el objetivo deseado, el cual ser
detalladas:
Devices: Lleva a cabo tareas de inventariado de red, colecta informacin de los dispositivos
de la red de manera automtica o manual, y adems permite crear grupos de dispositivos segn
convenga.
Config Mgmt: Permite editar los archivos de configuracin en uso, adems modificar el
Software Mgmt: Hace posible tener un control sobre el software utilizado por cada
Job Mgmt: Lleva a cabo la calendarizacin de todas las tareas realizables con la herramienta
RME, adems cuenta con la opcin de notificar a un job approver la ejecucin de cada tarea,
Reports: Brinda reportes no solo de las actividades pertinentes a estas herramientas, sino que
tambin genera reportes de el estado de la red, es decir de todas las tareas realizadas por
"CiscoWorks".
Tools: Permite calendarizar auditoras de cambios de la red. Recolecta mensajes de error del
sistema (syslog).
dar acceso remoto. Hace el papel de parser entre CLI y las aplicaciones.
47
RME Device Center: Hace posible ver de manera individual cada dispositivo y las
mtodos, haciendo uso de un servidor local, Non ACS Mode o haciendo uso de un servidor AAA
(ACS Mode).
Cuando se utiliza el modo ACS, CiscoWorks posee la opcin de sincronizarse con un servidor
AAA, esto a travs de la herramienta Common Services, siendo una de las principales ventajas de
esta sincronizacin la funcin AAA en los switches y enrutadores de Cisco, ya que esta tiene la
para los puntos terminales que presenten una no conformidad, adems de la posibilidad de bloquear
Este modo de autenticacin es el modo de autenticacin que utiliza CiscoWorks por defecto,
cuando se decide utilizar esta mtodo de autenticacin local se pierden una serie de ventajas
relacionadas con la seguridad y buen desempeo de la gestin de red de redes de mediana o gran
escala, ya que nicamente se lleva a cabo el proceso de autenticacin, dejando de lado el proceso de
48
2.4.4.3 Ventajas del modo ACS
bsicamente que cuando este trabaja sincronizado con este servidor, este no solo autentica al usuario, si
Otro de los beneficios de la utilizacin de un servidor AAA para la autenticacin del Common
Services, es que a travs de este servidor se puede administrar de manera simultnea todos los
servidores CiscoWorks.
La sincronizacin del Common Services con un servidor AAA, permite adems, restringir o
Cuando un usuario intenta acceder a un equipo de la red, el usuario y contrasea ingresados por
este son comparados con la base de datos del servidor AAA, luego de esta autenticacin, la
autorizacin del usuario se basa en los privilegios que le han sido asignados al mismo. Un privilegio es
una tarea u operacin definida dentro de una aplicacin; un conjunto de privilegios forman un rol y este
Por dominio debe entenderse un grupo de dispositivos, interfaces y servicios. Existen tres
49
dominios predeterminados, los cuales no pueden ser modificados ni borrados, estos son:
Existen cinco roles predefinidos, los cuales pueden ser modificados nicamente si se trabaja con
un servidor AAA:
Network Operator: Tiene accesos a toda la informacin de la red, pero no tiene derechos de
edicin.
En esta seccin se crean los usuarios, y a estos se les asignan roles y dominios. Una cuenta
puede tener asignado mltiples roles, y mltiples dominios. Todos los usuarios tienen asignado el rol de
La creacin de grupos es una herramienta que provee RME que permite agrupar los dispositivos
50
segn las caractersticas que convengan, lo cual hace ms fcil y eficiente la tarea de administracin de
la red, pues permite entre otras cosas el manejo masivo de dispositivos para fines de configuracin.
51
CAPITULO 3: Desarrollo el proyecto
red BNCR corresponde un estudio detallado de las tareas llevadas a cabo actualmente por las unidades
que tienen parte en el proceso de sta gestin, para poder de esta manera analizar los las debilidades y
fortalezas de la misma, adems para asentar un punto de partida en la propuesta, en busca de una
mejora realizable.
infraestructura de red del mismo, se busca lograr una banda de trabajo en la cual cada unidad desarrolle
un conjunto de tareas definidas y claramente delimitadas, de manera tal, que el producto final buscado
sea el resultado de una labor segmentada y corroborada paso a paso por cada una de las unidades
La base terica en la cual se est apoyando la administracin de red del BNCR para llevar a
cabo esta segmentacin de funciones, y dar lugar a una mejor y ms eficiente y efectiva banda de
trabajo es el conjunto de normativas dictadas por ITIL, ya que este conjunto de normas constituye un
muy buen marco de trabajo a seguir, describiendo los procesos necesarios para una gestin de procesos
de tecnologas de la informacin que garantice la calidad de los servicios y productos ofrecidos por
este.
Departamento de Tecnologa de esta institucin, el cual esta subdividido en las siguientes direcciones:
52
Anlisis del negocio de Tecnologas de la Informacin.
El departamento de Anlisis del Negocio recibe las peticiones de nuevos servicios, esta peticin se
analiza y aprueba o rechaza, de ser esta peticin aprobada, se procede a pasar la propuesta a la
direccin de Arquitectura, direccin que es la encargada de crear el diseo enviado por la direccin de
Analisis del Negocio, es decir, crea o modifica las configuraciones necesarias para llevar a cabo la
53
propuesta del diseo enviado por la direccin de arquitectura. Una vez que las configuraciones estn
listas, son direccionadas a la direccin de Implantacin, esta direccin tiene la tarea de someter las
pruebas para corroborar que esta fue correctamente creada y que puede ser puesta en marcha por la
direccin de Produccin, sin afectar de manera negativa los servicios que se encuentran en produccin,
direccin a la cual se le manda la configuracin necesaria ya probada y aprobada para que procedan a
A pesar de que la jerarqua de funciones antes expuesta se respeta en una gran mayora, durante
la gestin de la red del BNCR, existen problemticas, detalladas ms adelante, a las cuales se les puede
dar solucin, en una gran parte, implementando correctamente y haciendo uso de las herramientas de
Existen varios tipos de herramientas de gestin de red, estas herramientas, pueden ser
de administracin de red. La diferencia entre una y otra radica en que la primera, si bien es cierto, tiene
la capacidad de administrar dispositivos creados bajo diferentes casas, esta no cuenta con un nivel de
control tan especializado como si lo hacen las herramientas propietarias, que son desarrolladas para
red, como lo son: HPOpenView, VitalSuite y CiscoWorks, cada una de ellas se utiliza para una funcin
Cabe destacar que la infraestructura de red del Banco Nacional de Costa Rica est formada en una
gran mayora por dispositivos Cisco, motivo por el CiscoWorks es una herramienta capaz de
desempear una gran variedad de tareas relacionadas con la administracin de la infraestructura de red
BNCR, sin embargo, como se detallar ms adelante, esta herramienta se encuentra en estado de
subutilizacin.
Adems de las herramientas antes mencionadas, la direccin de Tecnologa del BNCR, encargada
de gestionar la red, hace uso de otro tipo de herramientas como lo son RationalSoftware, herramienta
55
de la casa Lucent, que se utiliza para intercomunicar las diferentes direcciones del departamento de
Ingeniera del BNCR, es decir, es a travs de esta herramienta que la direccin de Anlisis del Negocio
infraestructura de red, usualmente la configuracin se enva como una archivo de texto adjunto entre
una direccin y otra, en resumen esta herramienta es utilizada para la solicitud y seguimiento de
56
Figura 3. 2 Prototipo de requerimiento
La primer fase experimental de este proyecto se llevo a cabo a travs de una exploracin detallada
de la herramienta CiscoWorks, para poder tener un plano detallado de las funciones que realiza este, as
cualquier parte de la red que sea capaz de encontrar el servidor que aloja la herramienta va HTTP (del
instalacin de la herramienta se puede configurar que puerto se desea utilizar, siendo comnmente el
puerto TCP 1741 el ms utilizado. Asi pues, el acceso a la herramienta CW consta de introducir el URL
(del ingls Uniform Resource Locator, en espaol localizador uniforme de recursos), en el navegador
de preferencia. En la Figura 3. 3 se observa lo antes mencionado. Para el caso particular del BNCR, el
acceso a esta herramienta, se hace a travs del puerto 443, via HTTPs, que es un protocolo mas seguro,
57
ya que la informacin viaja a travs de un canal cifrado.
La gran mayora del personal involucrado en la administracin de la red BNCR cuenta con un
User ID con su respectiva contrasea para poder acceder al sistema, adems estos datos son
personales y confidenciales, Error! Reference source not found. lo cual quiere decir que la mayora
de cuentas necesarias para lograr el objetivo propuesto en este proyecto estn creadas. Ver Figura 3. 4.
58
Figura 3. 4 Cuentas de CiscoWorks
Se han implementado dos posibles maneras de trabajar esta herramienta, una de ellas es como
usuario System Administrator, mientras que la otra es siendo un Network Administrator, ya que
son los nicos dos perfiles que se encuentran implementados y en uso en esta. El perfil de System
herramienta, por su parte, el perfil de Network Administrator se encuentra asignado a todos los
El primer parmetro a considerar a la hora de utilizar una herramienta de gestin de red, como lo es
herramienta cuenta con una base de datos completa de los dispositivos con los cuales esta debe
59
interactuar. Es decir, la herramienta debe de estar en capacidad de descubrir todos los dispositivos
meta. CiscoWorks crea una base de datos, como la que se muestra en la Figura 3. 5, con todos los
dispositivos que son gestionados a travs de l, los cuales, son en este caso todos los dispositivos de la
Dado este estado de poblacin, la herramienta est en capacidad de llevar a cabo una serie de
labores de gestin de red sobre estos dispositivos, ms a delante, durante la exploracin del uso dado
actualmente a esta herramienta se podr saber ms a fondo cuales de estas funciones estn siendo
Durante el estudio del estado de utilizacin de la herramienta se pudo identificar que se encuentran
60
implementados los grupos, segn se puede observar en la Figura 3. 6, no solo estn implementados los
grupos por defecto, si no tambin existen grupos creados por el personal encargado de la gestin.
En Figura 3. 6 se observan los dispositivos organizados en dos grandes grupos Devices Types
61
Content Networking: Grupo que contiene los dispositivos de red tipo content.
62
Figura 3. 8 Grupos regionales
63
Explorando la herramienta, en su estado actual, fue posible evidenciar la subutilizacin de la
Uno de los principales objetivos de la gestin de la infraestructura de red del Banco Nacional de
Costa Rica, es lograr mantener un registro de cambios realizados en los dispositivos bien documentado,
es decir, se busca poder realizar y mantener actualizo un registro en el cual se puedan observar todos
los cambios realizados en las configuraciones de los dispositivos de red, as como tambin la fecha,
hora y responsable del cambio. Esto con la finalidad de llevar un control sobre la evolucin de la
configuracin de la red, as como tambin mantener un grado de seguridad tal que si algn dispositivo
falla por motivos de configuracin, sea posible volver fcilmente a un estado previo de funcionamiento.
CiscoWorks permite realizar este tipo de registros de manera automtica, de manera tal que puede ser
configurado para que cada vez que un dispositivo reporte un cambio en su configuracin, cree un
reporte con todos los datos del mismo, es posible tambin configurar la herramienta de manera tal que
esta guarde una imagen del dispositivo de manera peridica, en intervalos de tiempo configurables.
La infraestructura de red del Banco Nacional de Costa Rica no cuenta actualmente con un registro
de cambios minucioso, adems el mtodo que se lleva a cambio para mantener este registro de cambios
es manual, con lo cual se incurre ms fcilmente en errores, as como tambin puede tornarse
En la Figura 3. 9 se puede observar una imagen en la cual se puede observar como los dispositivos
que interactan con CiscoWorks no presentan registro alguno de los cambios realizados en ellos.
64
Figura 3. 9 No hay registros
crear una banda de trabajo en la cual todo cambio realizado sea propuesto, creado, verificado e
implementado por diferentes entes, es decir, se busca que cada unidad del departamento de ingeniera
del BNCR desarrolle una tarea en especifico, y que la misma sea corroborada por otra unidad antes de
llevar a ser puesta en funcionamiento. Este objetivo requiere que cada usuario de CiscoWorks tenga
nicamente asignados los permisos necesarios para llevar a cabo su labor evitando de as que permisos
CiscoWorks permite llevar a cabo una asignacin de tanto de perfiles predeterminados que se ajustan
bastante bien, sin embargo, segn se mencion anteriormente, existen nicamente dos tipos de perfiles
asignados en este momento, lo cual propicia que personal no autorizado lleve a cabo tareas para las
65
cuales no est calificado o autorizado. En la Figura 3. 10, se puede observar como un usuario de la
direccin de Ingeniera e Infraestructura tiene los permisos necesarios para alterar los grupos de
dispositivos, tarea que no corresponde, segn los ideales buscados, al departamento en cuestin, sin
embargo es el fenmeno que se presenta, debido al mal uso de los perfiles y roles de CiscoWorks.
66
Los dispositivos Cisco, cuentan con un protocolo de red propietario, es decir nicamente aceptado
por dispositivos de sta marca, para el descubrimiento de dispositivos vecinos llamado CDP (del ingls
Cisco Discovery Protocol, en espaol protocolo de descubrimiento Cisco), este protocolo permite a
direccin de destino de multidifusin en periodos de tiempo configurables, que por defecto es cada 60
segundos, todos los dispositivos que tengan la opcin CDP habilitada, guardan la informacin enviada
por los dispositivos directamente conectados a l en un tabla, la informacin que se enva en estos
mensajes puede variar entre un dispositivo y otro, sin embargo los siguientes datos son usualmente
contenidos en esta tabla de datos: versin del sistema operativo, el nombre de equipo, todas la
direcciones de todos los protocolos configurados en el puerto al que se enva la trama CDP (por
ejemplo, la direccin IP), el identificador del puerto desde el que se enva el anuncio, el tipo y modelo
energtico, etc. Esta informacin proporcionada por el protocolo CDP permite a CiscoWorks crear un
67
Figura 3. 11 Mapa topolgico creado por CW [Y]
Sin embargo, otro aspecto detectado durante la exploracin de la herramienta es que la topologa
decidido no hacer uso de esta aplicacin es que si bien es cierto, parte de proceso de reingeniera por el
cual est pasando el departamento de ingeniera del Banco Nacional de Costa Rica, corresponde a
esto ha sido un proceso gradual, lo cual implica que a pesar de estar trabajando en este momento con
dispositivos Cisco en una casi totalidad, an se encuentran en existencia, y en uso equipos de otras
marcas, lo cual implica que se encuentran trabajando equipos que no soportan el protocolo CDP, lo cual
entorpecera el proceso de creacin de los mapas topolgicos, pues el proceso de descubrimiento antes
mencionado culminara al llegar a uno de estos dispositivos, omitiendo todos los dispositivos que se
encuentren detrs de ste. Por este motivo no se utiliza esta facilidad de la herramienta, y es por eso
que se est desactivando gradualmente esta opcin, en cada uno de los dispositivos de red con el
68
propsito de ahorrar el ancho de banda que consume el envo de los mensajes con a la informacin
segn el cual existen dispositivos que permiten identificar a sus vecinos, como tambin dispositivos
69
Figura 3. 13 Dispositivo con el protocolo CDP deshabilitado
Existe otro motivo por el cual el personal encargado de la gestin de la infraestructura de red del
BNCR no hace uso del protocolo CPD para generar las topologas graficas de la infraestructura de red
del BNCR, y es que la interconexin de las LAN de esta red la proporciona el ICE a travs de lneas
dedicadas, las cuales no soportan el protocolo CDP, por ser un protocolo propietario CISCO.
Para el caso de la figura B, se puede observar el fenmeno de la deshabilitacin del protocolo CDP
dispositivo, es decir, un dispositivo vecino, que al tener el protocolo CDP inhabilitado se vuelve no
Otro aspecto de gran relevancia durante el estudio del funcionamiento dado a la herramienta CW
durante la gestin de red del Banco Nacional de Costa Rica est relacionado con los diferentes mtodos
de autenticacin que posee este sistema. Se pudo obtener durante el estudio del funcionamiento de la
herramienta que no se est haciendo uso del mejor mtodo de autenticacin que contiene CW. Segn
se puede observar en la Figura 3. 14, el proceso de autenticacin utilizado actualmente es de tipo local,
70
es decir Non ACS Mode. Con lo cual se estn perdiendo muchos beneficios antes mencionados.
habilitada, con lo cual, los usuarios de CW estn en capacidad de programar diversas tareas en el
sistema para ser recordadas e implementadas de manera automtica cuando y a quin corresponda. Sin
implementada, ya que tareas previamente calendarizadas no se han podido llevar a cabo con xito.
71
Figura 3. 15 Calendarizacin de tareas habilitada
72
Figura 3. 16 Calendarizacin en mal funcionamiento
Para evidenciar un poco mejor la banda de trabajo que se desea proponer en este escrito para la
Caso: Se necesita agregar un dispositivo nuevo a la infraestructura de red, adems existe un empleado
Flujo de trabajo: La direccin de Produccin es notificada sobre el ingeniero nuevo, as que esta
procede a crearle al mismo un usuario, con sus respectivos permisos y grupos segn se requiera, esto a
73
travs de una modificacin hecha al rol de Help Desk para esta direccin, en la cual se le dan los
permisos necesarios para agregar o eliminar usuarios y/o dispositivos del inventario, ya que el nico rol
nuevo dispositivo y la calendariza para ser puesta en ejecucin cinco das despus, esto va a ocasionar
Implantacin, el cual est a cargo de revisar esta configuracin en un periodo de tiempo determinado,
bajo el rol de Job Approver, y de estar correcta, dar su aprobacin, pero de no ser aprobada, se generar
aprobada, y entonces dicha configuracin debe ser revisada de nuevo y calendarizarse de nuevo, en
caso de que sea requerido as por motivos de tiempo. Una vez aprobada la configuracin por el
Por su parte, la direccin de produccin tendr nicamente derechos de monitoreo y de lectura de todos
los reportes que se generen, mas no tendr derechos de edicin. Su principal tarea ser de monitorear y
En caso de presentarse algn tipo de error en la configuracin de la red detectado por la direccin de
produccin, esta deber notificarlo a la direccin de implantacin, la cual corroborar y/o detectara la
falla para ser comunicada a la direccin de Ingeniera e Infraestructura la cual en caso de ser necesario
Si existiese una situacin de emergencia, a la cual se le debe dar solucin de manera inmediata, sin
tener tiempo de respetar la jerarqua de funciones, existir un superusuario para uso de extrema
emergencia, el cual contar con una clave para ser utilizada una nica vez, ya que se configurar para
74
que esta caduque despus de ser utilizada, esto para evitar que esta clave sea de dominio pblico y se
rompa el orden jerrquico de administracin de la infraestructura de la red, sin embargo, cuando esta
sea usada, y por ende caducada, debe ser informado al System Administrator para que se proceda a la
creacin de una nueva y diferente clave para ser utilizada cuando vuelva a presentarse una situacin de
esta naturaleza.
principal mantener un control minucioso sobre el personal que accesa la infraestuctura de red del
BNCR, asi como tambin limitar la ejecucin de tareas de aquellos que hacen uso de la misma.
3.2.1.1 Propuesta de implantacin de los roles y permisos haciendo uso del modo de autenticacin
ACS.
empresa corresponde segmentar las funciones llevadas por cada uno de los miembros encargados de la
gestin, para poder proceder luego a la limitacin y asignacin de los permisos necesarios para que
Esta asignacin de roles y permisos se puede llevar a cabo a travs de CiscoWorks, ya que
segn se mencion con anterioridad esta herramienta cuenta con una serie de roles y permisos,
posteriormente detallados, que se ajustan bien a la jerarqua de administracin de red del BNCR.
tener un control minucioso sobre las tareas ejecutadas por cada usuario, lo cual es posible mediante
CiscoWorks, sin embargo, a pesar de que CiscoWorks cuenta con una serie de roles y permisos
75
involucrado en la administracin de la red BNCR, estos roles y permisos podran ser configurados de
una manera ms precisa, logrando ajustar cada perfil a las necesidades de cada departamento, evitando
tratar de adecuar las necesidades de cada departamento a los permisos asignados por defecto a cada rol
predeterminado de CiscoWorks.
Segn se mencion anteriormente, existen dos maneras diferentes de llevar a cabo el proceso de
gestin de red BNCR y la jerarqua de trabajo buscada por esta institucin, se pueden distinguir
diferencias sustanciales en el uso de un modo u otro. Bsicamente la diferencia entre una autenticacin
y la otra consiste en que haciendo uso de un servidor AAA para llevar a cabo este proceso, es posible
implementar nuevos roles en CiscoWorks, adems de los cinco roles con se cuenta por defecto,
permitiendo de esta manera crear roles a los cuales se les asignen los permisos justos necesarios en
cuestin.
Teniendo en cuenta que dentro de la infraestructura de red del BNCR se cuenta con un servidor
RADIUS, que se utiliza como un servidor AAA, lo ms til, conveniente y recomendado es hacer uso
de este dispositivo para poder desarrollar nuevos roles en el sistema que se adecuen de manera exacta a
las necesidades de cada una de las unidades de la direccin de ingeniera del BNCR.
CiscoWorks cuenta con una amplia gama de posibles tareas a realizar en la gestin de red, para
cada una de ellas es necesario contar con el permiso pertinente para poder ejecutarse, con lo cual se
tiene una gran cantidad de permisos que pueden ser asignados a los roles creados cuando se trabaja
En la Tabla 3.1 se presenta la mejor asignacin de roles posible haciendo uso del mtodo de
76
autenticacin Non ACS.
Tabla 3.1 Comparacin Jerarquas de Administracin "Cisco Works" - BNCR. Mode Non
ACS
77
Como puede observarse de la Tabla 3.1, los roles con los que cuenta CiscoWorks por defecto se
ajustan bien a la jerarqua de administracin de la red BNCR, sin embargo, los permisos necesarios
para llevar a cabo la labor asignada a cada unidad del departamento de ingeniera del BNCR, se puede
observar que en algunos casos no es suficiente, tras la asignacin de un solo rol, como es el caso de la
unidad de Ingeniera y Soluciones de Infraestructura, unidad que requiere de los permisos asignados
tanto al rol de Network Administrator como al rol Network Operator, con lo cual se cae en un
Infraestructura para llevar a cabo labores que no le corresponden a este departamento, labores para las
cuales estos no tienen autorizacin idealmente, pero para las cuales contaran con los permisos
prcticos necesarios para llevarlas a cabo si se usa la asignacin presentada en la Tabla 3.1, que es la
mejor asignacin posible haciendo uso del mtodo de autenticacin Non ACS.
Como solucin a la poco conveniente situacin ante descrita, se propone utilizar como mtodo
de autenticacin el mtodo ACS, con el cual, se propone crear uno rol para cada unidad del
departamento de ingeniera del BNCR y a cada uno de estos roles creados, se le asignarn los permisos
En la Tabla 3.2 se presenta la propuesta de creacin de roles con sus respectivos permisos y
asignaciones para las unidades correspondientes del departamento de ingeniera del BNCR
78
Tabla 3.2 Comparacin Jerarquas de Administracin "Cisco Works" - BNCR. Mode ACS
Segn se ha mencionado anteriormente, la herramienta CiscoWorks cuenta con una extensa lista
de tareas a realizar, con su respectivo permiso, esta amplia gamas de tareas se describe en el apndice
AError! Reference source not found., adems cabe destacar que los permisos descritos en el apndice
A Error! Reference source not found., en donde tambin se indica a que roles se encuentran
asignados por defecto en CiscoWorks, son aplicables a cuales quiera de los roles personalizables
cada unidad del departamento de ingeniera del BNCR es fcil y rpidamente aplicable a los roles
propuestos en la Tabla 3.2, ya que la asignacin o eliminacin de permisos a cada rol es altamente
flexible, haciendo que la implantacin de CiscoWorks en la administracin de la red del BNCR sea
fcil y eficiente, y sobre todo que cumpla con los ideales tericos de administracin buscados por la
de las configuraciones de los dispositivos, se pretende con esta propuesta ofrecer al personal encargado
verificar la configuracin actual de los dispositivos administrados mediante el uso de los reportes. Con
configuraciones personalizados, para lograr mantener una base de datos actualizada de los cambios
realizados en los dispositivos, con fechas de aplicacin, asi como las responsables de dichos cambios.
Se busca adems seguir las normativas ITIL antes propuestas, con lo cual RME se propone ser utilizado
para la generacin y mantenimiento de una base de datos del inventario de los dispositivos que forman
Dado a que en cada unidad de trabajo del departamento de ingeniera del BNCR, existen grupos
de trabajo que tienen asignadas labores limitadas a un grupo especifico de dispositivos, se propone
Es decir, aquellos grupos de trabajo, como lo son los tcnicos ubicados en las sucursales de
trabajo del BNCR, les sern otorgados los permisos que se requieran para llevar a cabo su labor, pero
nicamente aplicables a los dispositivos sobre los cuales este grupo de trabajo acte, con esto se busca
incrementar el nivel de seguridad de la infraestructura de red del BNCR, impidiendo que informacin
de tipo confidencial sobre la configuracin de los dispositivos de la red llegue a ser utilizado por
80
Mediante la implantacin de los grupos y dominios en la infraestructura de red del BNCR se
propone crear diversos grupos de dispositivos, no slo de manera geogrfica, segn se mencion
previamente, sino tambin de manera lgica, es decir, se propone crear grupos de dispositivos que
cuenten con configuraciones, ya sea en su totalidad, o parcialmente iguales, esto con el fin de poder
hacer cambios sustancialmente iguales y necesarios a un grupo de dispositivos a la vez, con lo cual se
ahorrara el tiempo que actualmente requiere, dar la configuracin a cada uno de los dispositivos de
manera individual. La creacin de grupos de dispositivos con configuraciones iguales, ya sea total o
parcialmente permite la manipulacin masiva de estos, lo cual se vuelve particularmente til cuando se
trata de actualizar el sistema operativo de dispositivos de la misma serie, entre otras cosas.
Lo que se busca con esta propuesta es tanto mejorar el nivel de seguridad de informacin critica
de la red, ya que se propone limitar a los usuarios, no solo en sus permisos de ejecucin, si no que se
busca restringir tambin el nmero de dispositivos manipulables por cuenta, as como tambin
maximizar el uso del tiempo de la gestin de la infraestructura de la red, ya que se propone crear los
parmetros necesarios tanto para administrar como para monitorear dispositivos de manera masiva
de la gestin de red cuenta con una utilidad de calendarizacin, a travs de la cual se pueden mejorar
muchas de las tareas llevadas a cabo actualmente por las unidades de la direccin de Ingeniera del
81
Actualmente se hace uso del software Rational, segn se mencion anteriormente, para
intercomunicar a las diferentes unidades de la direccin de Ingeniera del BNCR. Los requerimientos
de los niveles ms altos de jerarquas son comunicados a travs de este programa al nivel de jerarqua
como tambin lo son las soluciones dadas. Una vez que una unidad cumple con lo solicitado, la persona
en la configuracin de los equipos, por lo cual CiscoWorks tiene como medida de seguridad, que todo
cambio implementado debe ser previamente aprobado por algn usuario con el rol de Approver. Es
de importante mencin que se puede crear una lista de approvers para cada tipo de trabajo, sin
embargo solo es necesaria la aprobacin de uno de estos para que el cambio se ejecute.
necesitado, y automticamente se generara una notificacin a las unidades pertinentes sobre la tarea
pendiente, as como de su prioridad y periodo de tiempo disponible, y una vez finalizada esta labor, son
Cabe sealar que actualmente, cuando se requiere hacer un cambio critico en un equipo de alta
demanda, este debe hacerse en horas en las cuales el uso de la red sea mnimo, esto para que el impacto
en el desempeo de la red no sea sustancial, usualmente, estos cambios los lleva a cabo el personal en
cuestin en altas horas de la noche y durante das no laborales, que son los lapsos de tiempo en que la
red reporta menos trfico. Este tipo de labores requiere de uso de recursos econmicos y humanos que
82
podran ser aprovechados en otro tipo de actividades luego de implementarse la calendarizacin, ya que
a travs de esta, los requerimientos que son procesados y aprobados, segn sea especificado en el
momento de su generacin, se aplicarn de manera automtica por el sistema en la hora y fecha que sea
Lo que se busca con esta propuesta es bsicamente, hacer ms fluida la banda de trabajo de las
El Banco cuenta con una infraestructura de comunicaciones, distribuida tanto en la red de las
Oficinas Centrales como en las oficinas de red WAN, en los cuales se incluyen equipos de
enrutamiento y conmutacin de paquetes con funciones comunes, como por ejemplo; en la oficinas de
Guadalupe y Moravia, ubicadas en la red WAN del Banco, tienen equipos de comunicaciones del
mismo tipo con una base de configuracin, variando nicamente en algunas polticas diseadas
especficamente para cada caso en particular. Para este tipo de oficinas, con los mismos tipos de
cambios automticos, fue tambin mencionado el sistema que utiliza la direccin de Ingeniera para
generar, en la medida de lo posible estos reportes, este es el motivo por el cual se propone suplantar el
mtodo actual, a travs del cual se incurre en la posibilidad de que no sean generados estos reportes con
una frecuencia optima, as como tambin evitar las debilidades del actual formato de almacenamiento.
La generacin automtica de reportes permite mantener una base de datos actualizada tanto y
83
tan frecuentemente como se desee de las configuraciones de cada uno de los dispositivos de la
Se propone implementar esta funcin con el objetivo principal de brindar una mayor seguridad
a la infraestructura de la red, ya que en caso de que ocurriera una situacin extraordinaria en la que un
dispositivo, por motivos de configuracin dejara de funcionar, se contara con un respaldo de las
registrado indicando la fecha y hora de su modificacin, as como tambin la cuenta desde la cual se
realiz el cambio, con lo cual se garantiza un grado de seguridad mucho ms alto que el que se maneja
equipos, estos registros, por realizarse de manera manual, no registra datos exactos sobre su
A diferencia del mtodo actual a travs del cual se intenta realizar un registro actualizado de
configuraciones de los equipos, el mtodo proporcionado por CiscoWorks que realiza estos registros de
manera automtica, el formato en que se generan estos reportes permite llevar a cabo una serie de
formato en el que se generan actualmente estos registros es un formato de texto plano, sobre el cual no
se puede trabajar tan detalladamente cmo se propone en este proyecto, segn es detallado a
continuacin:
84
Figura 3. 17 Registro de configuracin actual en texto plano
85
Generacin de reportes personalizados: esta caracterstica permite llevar a cabo solicitudes
especificas al sistema sobre los reportes generados, de esta manera si se requiere especial
registros nicamente sobre esa interfaz, con una periodicidad especfica para el reporte en
cuestin.
Comparacin de cambios realizados entre dos registros: El mtodo a travs del cual se generan
los registros de cambios permite realizar comparativas entre dos registros diferentes, lo cual es
funcionar, es posible solicitar al sistema una comparacin entre dos registros, el sistema se
encargar entonces de resaltar tantos los comandos comunes en ambos registros, como tambin
resaltar los comandos presentes en slo uno de ellos (ver Figura 3. 17) . Esto facilita en gran
bsqueda debe de hacerse de manera manual generando un gasto innecesario de tiempo, que en
situaciones crticas puede acarrear otro tipo de problemticas. En la Error! Reference source
not found. se muestran algunas de las utilidades de esta aplicacin, se puede apreciar las
siguientes opciones:
86
Figura 3. 18 Comparacin de registros de cambios realizados en un dispositivo
Fcil manipulacin de registros resalta cambios: Este tipo de registros permite navegar por el
interfaz, o revisar sus listas de acceso, o cualquier otro detalle en especifico, para no tener que
recorrer todo el registro en busca de un dato, como si se tiene que hacer con el archivo de texto
La cantidad de archivos de registro es un configurable, ya que sta podra crecer hasta llenar el
espacio del disco, sin embargo, para controlar este crecimiento se propone utilizar un script para crear
87
3.2.2.4 Propuesta de implantacin del inventariado automtico
Parte de la documentacin de red sugerida por las normativas ITIL, se refiere al control de los
dispositivos de la red, con el objetivo de tener un mejor control sobre los recursos con que se cuenta,
A travs de la herramienta RME, es posible configurar al sistema para que genere de manera
descripcin del equipo, nmero de serie, detalles de las memorias ROM, RAM y Flash, as como
tambin la versin de firmware dependiendo del dispositivo es, tambin posible configurar al sistema
para que detalle informacin especificada por el usuario segn sea necesario.
88
CAPITULO 4: Conclusiones y recomendaciones
4.1 Conclusiones
descentralizacin de las funciones, es decir, se busca lograr implementar una banda de trabajo en la
cual exista un grupo diferente de personas asignadas a cada una de las labores, de manera excluyente,
lo cual es uno de los principales objetivos del proceso de reingeniera del BNCR, sin embargo, las
pautas marcadas hasta el momento por la directivas de BNCR, no se cumplen a cabalidad, sin embargo,
se estn tomando medidas, como la propuesta en este proyecto para hacer cumplir estas normativas.
Informacin del BNCR, podra ser ms eficiente, si se incorporan no solo los recursos humanos con
que cuenta, sino tambin los recursos tecnolgicos, ya que la reasignacin de labores puede llevarse a
cabo de una manera ms eficiente y controlada haciendo uso de los recursos con que cuenta
actualmente.
A pesar de que la gestin de red del BNCR marcha bien, es decir, la red funciona correctamente,
las labores que hacen esto posible podran ser ms eficientes, el proceso de reingeniera tiene pautado
seguir las normativas ITIL, antes expuestas, con lo cual es de esperar que cuando concluya este proceso
as como el consumo de recursos tanto humanos como tecnolgicos de estos procesos sea el ms
ptimo.
Los recursos tecnolgicos con que cuenta la direccin de Tecnologas de la Informacin del
BNCR, son muchos, sin embargo, durante la elaboracin de estudio planteado en este proyecto se pudo
89
detectar como algunas de estas herramientas se encuentran subutilizadas, como es el caso de
CiscoWorks.
Muchas de las labores de gestin de red llevadas a cabo por el personal a cargo de la
administracin y mantenimiento de la red del BNCR podran ser automatizadas mediante el uso de las
herramientas tecnolgicas con que cuenta el BNCR, logrando un mejor distribucin del tiempo de
gestin de red y un mejor rendimiento de la red, dada la precisin con que trabajan estas herramientas.
As como tambin podran ser implementadas de manera automtica muchas de las prcticas
herramientas que el Banco Nacional de Costa Rica ya posee y que inclusive se encuentran parcialmente
implementadas, con lo cual, los recursos necesarios para ponerlas en funcionamiento son pocos y los
propuestas haciendo uso o no de un servidor AAA, servidor que el BNCR posee, evidencian la
necesidad de utilizar el modo de autenticacin que permite la creacin de los roles personalizados y con
esto lograr una mejor adecuacin de la herramienta CiscoWorks a la jerarqua de administracin del
BNCR.
proceso de automatizacin en una red de las dimensiones de la red BNCR, que adems se encuentra en
un constante crecimiento, si no que el proceso de automatizacin puede y debe llevarse a cabo con las
herramientas que el Banco Nacional de Costa Rica posee actualmente, herramientas que se encuentra
en un grado de subutilizacin notable, como fue el caso analizado durante este proyecto, con la
herramienta CiscoWorks.
90
4.2 Recomendaciones
Durante la elaboracin de este proyecto, en la cual se llev a cabo un estudio profundo sobre la
anterior existen otras muchas aplicaciones de esta herramienta que podran contribuir en mucho tanto al
Sin embargo, se consider como una herramienta de las ms tiles, fuera de las antes
propuestas, la utilidad de los mapas topolgicos, ya que CiscoWorks permite a travs de la aplicacin
CiscoView generar mapas topolgicos, como el mostrado en la Figura 3. 11Error! Reference source
not found., que permitiran llevar a cabo un monitoreo rpido de la red, y una pronta deteccin de
errores, ya que a travs de estos mapas es posible ver el estado del enlace de los dispositivos, sin
Esta situacin, que se encuentra progresivamente mejorando, permitir a mediano plazo poder
implementar esta funcionalidad de manera segmentada, lo cual permitir llevar cabo mapas
topolgicos de las distintas LAN de la red BNCR, que faciliten la labor tanto de monitoreo como de
deteccin de fallas, adems su aporte a la documentacin sugerida por las normativas ITIL sera de
Las diversas LAN que forman la red del BNCR se encuentran comunicadas entre s mediante
lneas dedicadas proporcionadas por el ICE. Las lneas dedicadas son conexiones, no conmutadas entre
un punto y otro, para lo cual se utiliza la infraestructura ya existente en el ICE. Estas conexiones se
91
hacen a travs de distintos medios y son soportadas en pares de cobre, utilizando enlaces de transporte
Debe sealarse que no es posible generar un mapa topolgico de toda la red del Banco Nacional
de Costa Rica bajo este sistema, debido a que las diferentes LAN del BNCR se encuentran
intercomunicadas a travs de lneas dedicas del ICE, como fue previamente mencionado y estas lneas
Sin embargo, si la opcin de utilizar los mapas topolgicos fuese totalmente descartada, la
opcin de envo de mensajes CDP, debera ser totalmente desactivada de los equipos, lo cual se
realizara de una manera verdaderamente sencilla, haciendo un ajuste masivo a los dispositivos,
indicando su desactivacin mediante el uso de los grupos antes propuestos, ya que el envo de estos
mensajes, que por defecto se realiza cada 60 segundos se encontrara consumiendo un ancho de banda
innecesariamente.
mediante el cual se pudiera dar inicio al proceso de automatizacin de la gestin de la red del Banco
Nacional de Costa Rica. La propuesta se bas en las normativas ITIL aplicadas mediante algunas de
las aplicaciones de la herramienta CiscoWorks en la gestin de red, sin embargo, se debe mencionar
que las propuestas antes presentadas: Implementacin de las aplicaciones RME y CS, deben ser
procedidas de un plan de mantenimiento, para asegurar que estas funcionen de una manera ptima.
Con respecto al mantenimiento de estas herramientas, se recomienda dar especial nfasis a los
siguientes aspectos:
92
Administracin de los trabajos: Cuando se utiliza la calendarizacin, si bien es cierto, los
abandono, consumiendo los recursos por un periodo de tiempo indefinido, motivo por el cual se
debe supervisar peridicamente el estado de los trabajos calendarizados, para asegurarse que no
peridicamente, sin embargo, CiscoWorks provee un script que permite al administrador del
sistema controlar el tamao de estos archivos. Este script realiza un respaldo de los archivos
que alcanzan el 90 % del lmite y limpia el archivo original, implementar el uso de este script es
una prctica altamente recomendada, el nico cuidado especial que debe tenerse, es considerar
93
Mantenimiento del servidor: Los usuarios con el rol de administrador de sistema, administrador
de red u operador de red, asignado, deben recolectar informacin sobre el estado del servidor
mismo, adems es posible programar al sistema para que cree reportes que colecten informacin
sobre la base de datos del servidor, sistema operativo y dems. En la Figura 4. 1 se puede
Administracin de los paquetes instalados: Con el principal objetivo de optimizar el uso tanto
de los recursos del sistema como de la red y el servidor, se debe de dar un mantenimiento
peridico a las bases de datos del sistema, dando especial atencin a la base de datos que
contiene los paquetes del sistema instalados, por ser uno de los recursos con mayor consumo de
espacio en disco. Para esto es necesario que aquellos usuarios con el rol de administrador del
sistema asignado, lleven a cabo monitoreos peridicos a estas bases de datos, para detectar,
94
desinstalar y borrar paquetes de dispositivos que ya no estn en uso. Se debe tener en cuenta
informacin que brinda CiscoWorks refleja el estado actual de la red, es necesario mantener la
manual, una vez que un dispositivo es descubierto la informacin de este permanece en la base
de datos hasta ser borrada, motivo por el cual se recomienda que cuando un equipo es asignado
a un nuevo dominio o es removido de la red, remover sus entradas de la base de datos, para
inventario.
aprovechamiento a los recursos con que se cuenta, se recomienda dar un cuidado especial a los
archivos de las imgenes de software que se almacenan en el inventario de RME, ya que cada
uno de estos archivos consume entre 2Mb y 8Mb de espacio en el disco, por lo cual es una sana
practica borrar aquellos archivos de imgenes que no corren en ningn dispositivo o versiones
viejas de estos cuando existen versiones ms recientes, sin embargo, se debe mantener al menos
una versin previa de cada imagen, en caso de que fuera necesario restaurar un equipo con ella.
95
Administracin de los archivos de inventarios: Cuando se realizan muchos cambios en el
base de datos del inventariado crece rpidamente. Sin embargo, para evitar el consumo
innecesario de recursos, puede programarse el sistema para que estos registros sean eliminados
peridicamente, esta tarea puede ser tambin llevada a cabo de manera manual.
Actualizacin del sistema operativo de los equipos: El administrador del sistema debe velar por
actualizado, adems dado que cada vez que una imagen de software se importa o distribuye, se
crea un archivo de control de trabajo que almacena informacin detallada del trabajo y el estado
del mismo, por lo que se debe tener el cuidado de remover de manera inmediata o
peridicamente los trabajos viejos de la base de datos, y con ellos informacin que ya no es
necesaria.
En casos extremos de emergencia, en que el sistema pudiera colapsar, es necesario contar con
un respaldo de la base de datos del sistema, realizar este respaldo debe encontrarse en una ubicacin
diferente a la ubicacin en que est instalado CiscoWorks. El sistema mismo, permite realizar respaldos
de la base de datos, el respaldo creado por CW consiste bsicamente en dos bases de datos:
Base de datos del CMF: Esta base de datos contiene las aplicaciones del servidor CiscoWorks.
Base de datos ANI: Esta base de datos contiene todos los datos de la infraestructura de red en
detalle, es decir est formada por los datos recolectados de los dispositivos que forman la
infraestructura de la red.
96
Se recomienda conservar varios archivos de respaldo previos.
tener instaladas las actualizaciones al sistema publicadas por Cisco, ya que estas usualmente infieren
travs de su pgina web Cisco.com, as como tambin en la ventana de anuncios que se encuentra en el
97
Cabe sealar que no se puede realizar un upgrade a partir de una versin previa a la anterior y
CiscoWorks cuenta con la posibilidad de ser integrado con otros gestores de red de manera muy
sencilla, bastando con instalar la aplicacin Integration Utility en la la misma plataforma que el NMS
Siendo de previo conocimiento que dentro de los recursos con que cuenta el BNCR se encuentra
infraestructura de red del BNCR lograr integrar CiscoWorks con este sistema, de manera tal que la red
pueda ser administrada uniformemente a travs de esta herramienta cuando esto sea requerido.
Esta utilidad de CiscoWorks se recomienda llevar a cabo una vez implementadas las
buscar una certificacin ISO 20000, ya que esta se encuentra basada en las normativas ITIL.
ISO 20000 es el estndar internacional para la gestin del servicio TI, universalmente adoptado
un estndar basado en ITIL, que est siendo ampliamente implementado en todo los sectores IT.
Con esta certificacin el departamento de Ingeniera del Banco Nacional de Costa Rica,
98
encargado de la gestin de la red contara con una certificacin que haga valer las practicas de gestin
de red como las mejores, definiendo la gestin de servicios brindados como procesos relacionados y
altamente integrados, que brindan un servicio de calidad reduciendo el coste total de propiedad, al bajar
99
BIBLIOGRAFIA
Libros:
2. Cisco Systems, CWENT Student Guide, Vol 1 Editorial Cisco Press, 2002,
3. Cisco Systems, CWENT Student Guide, Vol 2, Editorial Cisco Press, 2002.
4. Cisco Systems Inc, IT Essentials: PC Hardware and Software-Course Catalog, Editorial Cisco
Press, 2004.
5. Cisco Systems Inc, Cisco Networking Simplified, 2 edicin, Editorial Cisco Press, 2002.
6. Cisco Systems Inc, Network Security Principles and Practices, Pearson Education, 2006.
8. Doyle, J., DeHaven Carroll, J., Routing TCP/IP: Routing TCP/IP, Editorial Cisco Press,
1998.
10. Bon, J., Pieper, M., Foundations of IT service management: based on ITIL, Editorial Van
Haren, 2005.
Pginas web:
101
APENDICES
102