Un buen Service Provider siempre debe contar con un servidor de autenticación para determinar quien ingresa a los equipos en su red, sin embargo además existen buenas prácticas a tomar en cuenta para poder construir una arquitectura de gestión segura.
Una buena práctica sería ubicar servidores Unix dentro de la red para que desde estos servidores se pueda acceder por Telnet o SSH a cada equipo.
Definitivamente las conexiones a estos servidores debe ser por SSH para que la data que fluye de cada PC hasta el servidor este encriptada, de esta forma aseguramos que el usuario móvil que ingresa a la red desde un café o aeropuerto esta enviando la información cifrada.
Adicionalmente podemos agregar otro nivel de encripcion usando VPN para poder alcanzar el servidor Unix.
De los servidores Unix hacia los equipos en la red podríamos utilizar un mecanismo menos seguro como telnet ya que el tráfico no saldrá de la red gestionada y ya agregamos doble encripcion en la última milla gracias a la VPN y al SSH.
Algo que sería de gran ayuda para la gestión de la red es utilizar Hostnames en cada equipo que sean representativos y permitan identificarlos de forma fácil.
Utilizando entradas DNS estáticas en los servidores de gestión podemos acceder a cada equipo básicamente escribiendo un telnet al nombre sin necesidad de aprendernos las direcciones de gestión ni tener que consultarlas en diagramas o tablas.
Cada Router y Switch deberá autenticar por medio de aaa con un servidor distinto de los de acceso con usuarios específicos para cada persona que ingrese.
Y finalmente es posible usar más de un servidor Unix dependiendo de cuantos grupos de personas deseen acceder a la red por ejemplo. Podríamos usar un servidor Unix para el personal del NOC del SP y otro para algún Proveedor que requiera acceso temporal
sábado, 23 de febrero de 2013
Cisco Systems Carrier Grade Nat
Gracias a equipos tales como Cisco Agregation Series Routers 9010 y Cisco Carrier Routing System, hoy en día es posible proveer soluciones de Internet para dispositivos móviles de una forma mas eficiente y masiva, con respecto a los inicios del Internet Móvil 2G/3G, por medio de Carrier Grade Nat, aun cuando CGNAT provee un mecanismo eficiente en el procesos de evolucion de tecnologías IPV4 e IPV6, esta solución también brinda una herramienta de gran utilidad en las tecnologías de comunicación móvil de datos hacia Internet.
Por medio de traducciones NAT 4 a 4 los equipos ASR9010 pueden generar millones de traslaciones de direcciones privadas a publicas, lo cual permite brindar servicios de internet a cientos de miles de clientes, estos valores exceden de forma drástica la cantidad de traslaciones posibles dentro de un Firewall o NAT Server.
Debido a que la solución CGNAT se orienta a brindar traducciones masivas para cientos de miles de clientes, esta solución no es la mas recomendable para servicios del tipo corporativos y clientes especiales que requieran políticas de seguridad, es decir, comportamiento de Firewall, sin embargo, los equipos ASR9010 si cuentan con mecanismos para proveer filtrado en base a direcciones y puertos por medio de listas de control de acceso.
Esta espléndida funcionalidad puede ser adicionada a los equipos por medio de tal instalación de tarjetas Carrier Grade Service Engine e Integrated Services Module, para las plataformas CRS y ASR respectivamente.
Para más referencia visita:
http://www.cisco.com/en/US/prod/collateral/routers/ps5763/data_sheet_c78-614893.html
Por medio de traducciones NAT 4 a 4 los equipos ASR9010 pueden generar millones de traslaciones de direcciones privadas a publicas, lo cual permite brindar servicios de internet a cientos de miles de clientes, estos valores exceden de forma drástica la cantidad de traslaciones posibles dentro de un Firewall o NAT Server.
Debido a que la solución CGNAT se orienta a brindar traducciones masivas para cientos de miles de clientes, esta solución no es la mas recomendable para servicios del tipo corporativos y clientes especiales que requieran políticas de seguridad, es decir, comportamiento de Firewall, sin embargo, los equipos ASR9010 si cuentan con mecanismos para proveer filtrado en base a direcciones y puertos por medio de listas de control de acceso.
Esta espléndida funcionalidad puede ser adicionada a los equipos por medio de tal instalación de tarjetas Carrier Grade Service Engine e Integrated Services Module, para las plataformas CRS y ASR respectivamente.
Para más referencia visita:
http://www.cisco.com/en/US/prod/collateral/routers/ps5763/data_sheet_c78-614893.html
Cisco Systems CRS 3
Me he decido a presentar un par de obras de arte por medio de este blog, Este equipo es realmente impresionante, es el Ferrari del Networking, la Monalisa de Cisco Systems. Es el Cisco CRS3
Suscribirse a:
Entradas (Atom)