TREBALL DE CAMP

Xarxa de l'Hospital del Mar

Tornar

0.Introducció -
1.Datos técnicos

• 1.1 Red física (Topologia) -
  1.2 Ordenadores de la red -
  1.3 Routers de la red -
  1.4 Switchs de la red -
  1.5 Hubs de la red -
  

2.Administración de Red (Administración de usuarios, de recursos de red...) - [ y ]

• 2.1 Recursos a gestionar
  2.2 Servidores
  2.3 Diferenciación
  2.4 Gestión
  

  • 2.4.1 Monitorización de la red
    2.4.2 Organización de los ordenadores
    2.4.3 Actualización de software
    2.4.4 Backups
    

3.Seguridad (en servidores, de la red, de la novell) - [ y ]

• 3.1 Protección de los datos de la red
  3.2 Seguridad ante fallo eléctrico
  3.3 Evitar conexiones de ordenadores no autorizados
  3.4 Gestión de los puertos
  3.5 Seguridad de los ordenadores
  3.6 Seguridad en NOVELL
  3.7 Seguridad física
  

4.Conclusiones y Posibles mejoras - [, , , , y ]

• 4.1 En Hardware - [ y ]
  4.2 En Software - []

Introducció

L'Hospital del Mar i de l'Esperança és un hospital amb una area d'influència de 260.000 habitants de la ciutat de Barcelona. Actualment, l'Hospital del Mar i de l'Esperança té 15 Unitats d'Hospitalització, 418 Llits, 400 convencionals, 18 crítics, 10 Quiròfans, 2 Quiròfans de cirurgia continuada, 12 Unitats de Recovering, 10 Unitats de CMA, 64 Dispensaris i 34 Unitats d'Hospital de Dia.
El un principi l'objectiu principal de l'hospital va ser lliutar contra les malalties infeccioses com bé indica el nom que se li va posar, Hospital Municipal d'Infecciosos.

Passeig Marítim 25-29 
08003 Barcelona
Telèfon 93 248 30 00

1.Datos técnicos

[05/06]

1.1 Red física (Topologia)

La topologia que segueix la xarxa de l'Hospital del mar, per que fa referència a la Unitat docent, és en estrella a partir del router negre-gris AHMARGW, Cisco 2621 de Cisco Systems. Aquest router esta connectat a un switch propietat d'una altra unitat d'investigació com es l'IMIM mitjançant un parell trenat. En l'IMIM ens donen a la unitat docent de la UAB de l'hospital del mar el rang d'IPs de 193.144.6.[200-220]. Aquest switch està conectat a un router propietat de la UPF que aquesta, a la mateixa vegada, està connectada a CESCA que gràcies al backbone d'alta velocitat d'on formen part amb la UAB, entre altres institucions, ens connectem al campus d'aquí Bellaterra a 100 Mbps. Una altra sortida del switch de l'IMIM va al router del hospital del mar amb IP (10.0.0.1) el qual hi ha conectat un altre switch, el Nortel BayStack 470-48T, que dona servei al IMAS que és una altra unitat d'investigació del propi hospital.
Com deiem abans, el router AHMARGW Cisco 2621, amb IP 158.109.90.1, és el que dona el servei a tota la unitat docent. El rang d'ips que hem habilitat per a conectar els pc's de la unitat doncent és el 158.109.90.[40-192] i amb DHCP (90.XXX) d'assignació estàtica eterna (amb caducitat de 10 anys) a escepció d'un rang en el qual el DHCP es d'assignació dinàmica, el qual serà utilitzat per a la connexió a la xarxa d'equips eventuals (158.109.90.[155-192]). En aquest router, amb una topologia en estrella es fa arribar el servei diversos apartats de la unitat docent com és ara el despatx del degà i el coordinador de la facultat, biblioteca i a un switch, el MARSW1 Superstack 3Com, el qual també en estrella reparteix el servei a secretaria, a les aules i a l'aula d'informàtica on gracies a dos hubs, MARSW1-2 Superstack II 3Com i al propi switch tenim servei de xarxa. Aquests dos Hubs són els encarregats de dur el servei als ordenadors que físicament estan als extrems de l'aula. Les altres màquines van connectades directament i en estrella al switch MARSW1.
També esmentar que com bé vam esmentar en l'ampliació de CESCA que jo personalment vaig fer, aquesta unitat docent està preparada per a realitzar videoconferencies, sense problemes d'imatge ni de so.

[05/06]

1.2 Ordenadores de la red

La xarxa de la unitat docent o UDIMAS la formen 50 ordenadors i dues impresores. Com bé hem dit abans, el servei arriba a l'aula d'informàtica mitjançant dos hubs i un switch. El rang d'ip's assignats als 24 pc's i la impresora HP LaserJet 4050 N de l'aula són els següents:

Aquest rang que veiem al final de la taula, es un rang d'ips lliure d'assignació pero reservat per a possibles ampliacions de pc's en l'aula d'informàtica o per si algun alumne, metge o persona relacionada a la unitat fa una petició per poder usar la xarxa provisionalment. A llavors se li habilita una IP dins d'aquest rang.
Cal comentar que els pc's de la sala d'informàtica estan conectats en xarxa però no són accessibles remotament des del campus pel servei d'informàtica distribuïda de medicina, a excepció del UDM-00, el pc de l'encarregat de l'administració de la sala que aquest si que ho està.
De la mateixa manera, els ordenadors de Secretaria de la unitat també estan en xarxa i a la vegada controlats remotament pel SID, al igual que un parell d'ordenadors de la Biblioteca, que són els PC's de la becaria i de la responsable de la biblioteca. En secretaria hi han 4 ordenadors i una impresora amb el rang d'ips 158.109.90.[40-44]. Aquesta impresora també està en xarxa per evitar el problema de haber de tenir l'ordenador a la qual està connectada físicament operatiu sempre que es necessités imprimir. En la biblioteca n'hi han 12 ordenadors amb el rang d'ips 158.109.90.[52-63] els quals els mostrem en la taula següent:

Per últim a comentar son els 7 ordenadors que hi ha en les aules de docencia i en la sala de graus, es a dir, hi ha un ordenador amb connexió a internet en cada aula i un en la sala de graus. Aquests pc's tenen habilitades les IP's del rang 158.109.90.[31-37] la relació dels quals la mostrem en la següent taula:

índice

1.3 Routers de la red

AHMARGW, Cisco 2621. Color negre-gris:

L'arquitectura modular de la serie Cisco 2600 permet actualitzar les interfícies per a ajustar-les a l'expansió de la xarxa o als canvis tecnològics que es produïxen quan s'instal·len nous serveis i aplicacions. La serie Cisco 2600 admet qualitat de servei (QoS) avançada i seguretat.

índice

1.4 Switchs de la red

MARSW1, Superstack 3Com (switch de 100). Color Blanc:

Aquests switches combinen switching a velocitat de cable de Capa 2 amb una fàcil instal·lació i una excepcional fiabilitat. Els ports 10/100/1000 de coure proporcionen connexions flexibles per a grup de treball i desktop, que poden facilitar la migració per a contextos amb una barreja d'equips de desktop i servidors habilitats per a 10/100 i Gigabit. Quatre ranures d'ús dual suporten SFPs que poden connectar-se a cablejat de fibra per a connexions flexibles Gigabit Ethernet a troncal i servidors.

Les funcionalitats de resistència davant fallades tals com IEEE 802.1w Rapid Spanning Tree Protocol i agregació d'enllaços IEEE 802.3ad (LACP) ajuden a garantir el temps d'activitat i la disponibilitat.

Les característiques de seguretat de classe empresarial inclouen login de xarxa IEEE 802.1X, Accés de Dispositius Autenticats per RADIUS (RADA), assignació automàtica de VLAN i llistes de control d'accés de Capa 2/4 per a administrar l'accés dels usuaris als recursos de la xarxa. El Login de dispositiu encriptat SSH/SSL proporciona un accés remot segur per a l'administració de dispositius.

Nortel Baystack 470-48T (switch de 100). Color Blau:

índice

1.5 Hubs de la red

MARSW1-2 Superstack II 3Com (dual speed hub 500 10/100). Color Blanc:

La família de switches SuperStack II de 3Com consitueix una forma econòmica de connectar directament els seus usuaris de xarxa, i eliminar així la competència per accedir a la xarxa. Resulta ideal quan el tràfic de xarxa entre estacions i servidors és elevat, i possibilita la implementació d'aplicacions multimèdia, veu i vídeo sobre xarxa, accés a Internet, etc.

Característiques:

• Cada usuari disposa de 10 Mb reals com ample de banda

• Elimina la pèrdua de paquets per col·lisions

• Oferix una màxima protecció i un mínim nombre d'errors

• Instal·lació simple i ràpida

• Tecnologia PACE que millora la transmissió de dades multimèdia

• Suport per a la implementació de xarxes virtuals

• Gestió SNMP, incloent RMON

• 12 o 24 ports 10Base-T i 1 o 2 ports 100Base-T (segons models)

índice

2.Administración de Red (Administración de usuarios, de recursos de red...)

( y )

2.1 Recursos a gestionar

En la red del Hospital del Mar perteneciente a la UAB existen como recursos compartidos la conexión a Internet, la impresora y las unidades de red, destinadas al programario y sólo para lectura.

• 
  

  La conexión a Internet se gestiona mediante el sistema de routers y switches descritos anteriormente
  
  La impresora se comparte mediante el softwae de la propia impresora, que comparte en red la impresora para todos los ordenadores. Ésto origina muchos problemas debido a que aunque el tóner lo pone la universidad, las hojas las han de poner los alumnos, y hay muchos alumnos que ponen algo a imprimir y luego no lo quieren, pero no lo cancelan. En esos casos no hay manera de saber quién lo ha enviado, con lo que hay que hay que revisar PC a PC para ver la cola de impresión.
  
  Las unidades de red se comparten mediante SMB otra vez, o Novell, según estén en el servidor Novell o en ordenadores Windows.
  
  

índice

2.2 Servidores

Existen dos ordenadores que actúan como servidores. Ambos están en una habitación con llave, junto al armario de comunicaciones.

• Servidor Novell: Novell 5.01 Service Pack 8 y con todos los parches.
  

  • Características:
    

    • Pentium III dual.
      1 Gb de RAM.
      2 discos duros SCSI de 13Gb. Dan muy buen rendimiento.
      Caja y placa de servidor. En el caso de la caja tiene una llave extra.
      

  • Servicios:
    

    • Servidor Novell de unidades de red.
      

  
  

  
  Servidor REMBO: Windows 2000 Server Service Pack 4 y con todos los parches.
  

  • Características. Se trata de los antiguos equipos de la ETSE:
    

    • Toshiba Pentium III 667MhHz.
      512Mb de RAM.
      40Gb de disco duro IDE
      

  • Servicios:
    

    • Servidor REMBO de arranque de sistema e imágenes de disco duro (cuando se necesita restaurar).
      

  
  

  
  

índice

2.3 Diferenciación

Existen los siguientes usuarios en la red:

• Usuarios personales:
  

  • -Usuarios del personal y PAS: Son usuarios personales para el personal de la universidad. Tienen permisos de administrador y espacio para guardar datos en el servidor.
    -Usuarios de cursos: Son usuarios especiales de los cursos. Tienen permisos de administración pero no espacio en el servidor. Se usan para cursillos y por eso tienen mas permisos.
    

• Usuario genérico:
  

  • -Usuario alumne: Es el usuario genérico, con usuario y contraseña 'alumne'. Es para todos los alumnos. Al contrarrio que en la ETSE, no hay control, ni cierre de cuentas ni nada. Los usuarios no suelen cerrar el sistema por éste motivo.

El tener como usuario genérico alumne y el sistema de impresión compartido por windows tiene como inconveniente que cuando alguien envía algo a imprimir se pone en cola con el mismo usuario. Como los alumnos han de poner las hojas y las impresiones se hacen en órden de llegada, si alguien no quiere una impresión y no la anula la impresora se queda bloqueada hasta que no se encuentra el ordenador en el que se ha enviado el trabajo y se anula. Ésto provoca bastantes moléstias entre los usuarios y administradores.

índice

2.4 Gestión

El sistema implementado se basa en una imágen DeepFreeze que arranca con REMBO 4.0. Si la imágen falla o se quiere instalar un nuevo software pesado o una actualización importante en toda la red se hace una imágen con el software y se inslata en los ordenadores mediante ImageCast 4.62.

El mantenimiento se hace utilizando la herramienta ConsoleOne de novell. Con este programa se pueden manejar las cuentas de usuario (contraseña, derechos, espacio en los recursos etc.), modificar las propiedades de carpetas y ficheros de modo simultáneo, navegar rapidamente por un sistema de gran tamaño, crear "funciones" para automatizar tareas que se necesitan mucho y generar informes a través de un formulario.

2.4.1 Monitorización de la red

La monitorización se puede llevar a cabo a través de una interfaz VNC accesible por toda la red. Aunque no se hace nada sin pedir permiso del alumno, debido a que sería ilegal.Los ordenadores de secretaría y del responsable de secretaría no lo tienen instalado. La monitorización se suele hacer desde el equipo UDM-00, el equipo del administrador, , que está en éste grupo wiki.

Se usa mucho éste sistema para arreglar problemas con los ordenadores o instalar software sin tener que ir moviéndose por los despachos y aulas.

2.4.2 Organización de los ordenadores

Todos los ordenadores de los usuarios genéricos y personales que no son PAS estan en estado de DeepFreeze, es decir, cada vez que se arranca el ordenador se utiliza una imagen para obtener exactamente el mismo estado del sistema de ficheros. Así se evitan daños causado por virus o usuarios maliciosos.

También significa que datos se pueden guardar solamente durante una sesión, al igual que el software nuevo.

A la hora de apagar el ordenador, como muchos se los dejan encendidos, se tiene programado el DeepFreeze para que apague los equipos del aula de ordenadores, las aulas de cursillos y la biblioteca a las 22h.

2.4.3 Actualización de software

Al principio de cada curso se establece una imagen nueva con el software que se necesitará durante el año. Cuando hace falta instalar más software hay dos posibilidades: Si el software nuevo es facil a instalar, el ordenador se descongela y se pone una imagen nueva con el software instalado. El software con una instalación más delicada se pone en el servidor para que los usuarios puedan acceder a él como lo hemos escrito antes (al principio del párrafo 2.4.).

2.4.4 Backups

Los usuarios genéricos no tienen espacio propio en el servidor, pues solamente se hacen copias de seguridad de los documentos de la gestion academica. Dichos documentos se eliminan a las pocas semanas, debido a que deja de tener sentido tenerlos en los backups, y no suelen pasar de 1Gb de datos.

De cara al futuro se tiene en proyecto comprar discos de red para los backup.

Fuentes:
http://www.novell.com/es-es/products/consoles/consoleone/details.html

índice

3. Seguridad

3.1 Protección de los datos de la red

Generalmente, son los propios usuarios los encargados de proteger sus archivos, aunque existen ciertos datos importantes en el espacio de gestión académica que, periódicamente (cada semana), son guardados en un servidor de copias de seguridad que reside en el campus.

índice

3.2 Seguridad ante fallo eléctrico

En caso de producirse un corte en el suministro eléctrico, la red del Hospital del Mar dispone de un sistema SAI (Sistema de Alimentación Ininterrumpida), un SAI puede proporcionar energía eléctrica tras un apagón a todos los dispositivos electrónicos conectados a él. Otra función es la de regular el flujo de electricidad, controlando las subidas y bajadas de tensión y corriente existentes en la red eléctrica. En general, se conectan a equipos llamados cargas críticas, que pueden ser aparatos médicos, industriales o informáticos, que requieren tener siempre alimentación y que ésta sea de calidad debido a la necesidad de estar en todo momento operativos y sin fallos (picos de tensión o caídas) Estos equipos también son conocidos su acrónimo inglés UPS (Uninterrupted Power Supply).

El SAI del Hospital del mar tiene una batería con un tamaño suficiente para proporcionar energía eléctrica al servidor Novell durante dos horas.

Si han transcurrido estas dos horas y el suministro de energía no ha sido reestablecido, se utiliza un programa llamado “parachute” que realiza una copia de seguridad del sistema de red y cierra el servidor de manera correcta.

Al volver a recibir suministro, el servidor ha de reiniciarse de manera manual.

Fuentes: http://es.wikipedia.org/wiki/SAI
índice

3.3 Evitar conexiones de ordenadores no autorizados

El protocolo DHCP es gestionado desde el campus. El SI (Servei d’Informàtica central para toda la UAB) es el encargado de gestionar la asignación de IPs. Si existe alguna ip que no esta asignada a ningún ordenador, es decir, si existe algún ordenador que procede del exterior de la red de la UAB, se procede a su exclusión de modo manual.

Como hemos comentado anteriormente, el protocolo DHCP se gestiona desde el campus. Pero también existe un DHCP propio para la asignación de direcciones ip si por motivos de proximidad de la red del módulo dependiente de hardware no existe conexión con el campus.

Para poder acceder a la red desde el exterior del campus, es posible realizar conexiones mediante un mecanismo de VPN.

índice

3.4 Gestión de los puertos

La apertura y cierre de los puertos son gestionados desde el Servei d’Informática, cuya política es cerrar todos los puertos que no sean necesarios. El SI es el que recibe peticiones de apertura de puertos y procede a abrirlos de manera remota si procede. Por defecto no hay que gestionar los puertos ni de los servidores ni del aula.

Los puertos habilitados para poder acceder a los servidores son los puertos genéricos (el 80, 0143, el de ftp ...).

Para la monitorizar la red y para gestionar el servidor Novell remotamente (utilizando una interfaz VNC) se ha pedido al SI que se disponga del puerto 5900 abierto para poder acceder a los servidores de Novell y de REMBO desde el SID de medicina situado en el campus de Bellatera de la UAB (ver 3.6 Seguridad en NOVELL, 2.4.1 Monitorización de la red).

índice

3.5 Seguridad de los ordenadores

Para protegerse de los ataques se sigue la política general que sigue toda la Universidad Autónoma. Los ordenadores llevan instalado un software antivirus, concretamente Office Scan 7 (la UAB posee la licencia), en todos los ordenadores del aula y los servidores. Además se utiliza el software Deep Freeze (ver 2.4 Gestión) para que los canvios hechos en el disco duro no tengan ningún efecto en el ordenador, las máquinas que tienen este software instalado cada vez que son reiniciadas devuelven el disco duro al mismo estado en el que estaba la última vez que se cargó una imagen en él, evitando así cualquier modificacion producida por virus, por borrar algún archivo por error, etc.

Por otro lado, se tiene un Firewall que permite las entradas por los puertos genéricos (5900, 80, ftp...), y los de salida están todos abiertos. El router principal tiene un Firewall propio y el servidor REMBO también tiene un Firewall especial para optimizar su rendimiento.

Fuentes: http://en.wikipedia.org/wiki/Deep_Freeze_%28software%29
índice

3.6 Seguridad en NOVELL

La seguridad en la red del Hospital del Mar se basa en la utilización del servidor de red Novell. Todos los datos se encuentran físicamente en un solo servidor, cuyo acceso está limitado a los administradores de la red y al PAS (únicamente los administradores de red tienen permisos de administrador sobre la Novell y sobre el resto de máquinas).

Debido a que la gestión de la Novell de manera directa desde el servidor se realiza en modo texto, el manejo y la administración de los árboles de usuarios y administradores es llevada a cabo mediante el uso de la consola ONE (2.4 Gestión). La red Novell pude ser monitorizada y gestionada remotamente desde el SID del campus.

Es posible que debido a ciertas situaciones especiales (inicio de nuevos cursos, ingreso de nuevos profesores,...) se permita abrir nuevos usuarios con privilegios propios.

El resto de usuarios, como por ejemplo los alumnos, no están registrados como usuarios para utilizar las máquinas del aula de informática. Acceden a los ordenadores mediante una cuenta de usuario común, cuyos datos son eliminados periódicamente.

Por último, remarcar que para ejecutar una actualización del sistema Novell, o para instalar algún nuevo parche disponible, estos son descargados y actualizados directamente desde la consola del servidor.

Según los datos anteriores, el principal problema de seguridad de esta red basada en Novell residiría en la posibilidad de la adquisición de privilegios de algún usuario al que no le corresponderían (cambio de cuenta, predeterminado o no, en el server) o la usurpación de identidad de un usuario autorizado, por otro (robo de contraseña,...) no autorizado.

índice

3.7 Seguridad física

Un par de cuestiones a comentar sobre este aspecto:

• Los servidores están protegidos físicamente dentro de un armario cerrado con llave para evitar que el personal no autorizado no pueda acceder a ellos físicamente.

• Ciertas zonas, como el aula de ordenadores o la sala donde se encuentran los servidores están protegidos de accesos no autorizados mediante la instalación de una alarma de seguridad.

índice

4.Conclusiones y posibles mejoras

4.1 En Hardware

[07/06]

• La primera millora que es té en ment treure els dos hubs MARSW1-2 Superstack II 3Com, els quals duen el servei als ordenadors dels laterals de l'aula d'informàtica. Es té pensat treure'ls ja que generen més problemes que els que estan directament conectats al switch MARSW1 Superstack 3Com i com que aquest encara te connexions disponibles i suficients per tirar als ordenadors del laterals de l'aula. Per exemple, a la hora de fer la reisntalació dels pc's d'aquest any, el qual vam fer-ho amb rembo, per poder tirar la imatge del UDM-00 a tots els ordenadors de la sala a la vegada, els ordenadors que van donar problemes a la hora de la descarrega de la imatge en multicast, van ser precisament els ordenadors que estaven connectats a la xarxa mitjançant els dos hubs. Els altres no van generar cap problema. La solució va ser la reiteració del proces d'instalació solament per als pc's dels extrems de l'aula (els connectats als hubs).
  

  Una segona millora en Hardware és el canvi de d'impresora de la propia aula d'informàtica, que en un principi hi habia una impresora vella la qual estaba compartida amb tots els pc's de la sala, per la HP LaserJet 4050 N que inicialment també la van deixar compartida amb tots els pc's de l'aula. Posteriorment,a principis d'aquest any, es va canviar i es va posar la impresora en xarxa i se li va donar una IP a la impresora. Aquest canvi, al igual que la connexió de la impresora de secretaria, te com a millora que no obliga al pc la qual esta connectada a estar encés per poder imprimir des d'un altre ordenador de la xarxa. Pero verdaderament, la raó del canvi, és que es un pas previ per poder adoptar el sistema d'impresió que tenim en la ETSE, es a dir, posar una màquina com que hi ha en la ETSE multifuncional, d'una empresa externa a la universitat.
  

• La tercera millora afectaría a tot el parc d'ordenadors de la biblioteca. En la actualitat, la biblioteca disposa de Pentiums 3 com ordenadors de consulta. La idea que es vol dur a terme i que, sens dubte, significaría una millora, sería actualitzar tots aquests equips cap a equips mes nous i amb processadors mes potents.
  

:

• Como cuarta mejora se había pensado en comprar discos de red para realizar los backups.
  
  

4.2 En Software

• Como quinta mejora se tiene pensado cambiar el servidor NOVELL al que tienen mucho 'cariño', por un servidor Sant Joan Linux, una distribución basada en UBUNTU de la UAB, y unificarlo con el servidor REMBO.
  
  También se tienen previsto actualizar el software, pero eso es lo 'típico' de cada año.

índice