|
|
|
El administrador principal de la red del Distrito debe definir una política de ID de usuario y contraseña para toda la red, la cual debe ser aplicada por cada administrador de red de las escuelas individuales. En esta política se define el formato de los ID´s de usuario, el número minimo de caracteres de la contraseña, el tiempo máximo en que se debe cambiar cada contraseña, etc. Los
switches de cada escuela tendrán definido 2 VLAN´s, una para los hosts de la
red administrativa y otro para los hosts de la red curricular, aumentando así
el nivel de seguridad de la red, ya que entre ambas no podrán comunicarse. Las
listas de acceso (ACL) le proveen al administrador de red un mecanismo de
seguridad adicional en la red. Mediante
el uso de listas de acceso se filtra el tráfico basado en direcciones IP, rango
de direcciones IP, protocolos, o número de puertos de los protocolos TCP o UDP. Para
satisfacer los requerimientos del cliente se definieron una serie de listas de
acceso que se detallan a continuación: ·
Todas las conexiones que se inician
desde Internet hacia el servidor Web de la Oficina de Distrito Phoenix se
permiten, y todas las demás conexiones que se inician desde Internet hacia la
red privada de la escuela se rechazan: En
el Centro de Datos Phoenix existe una zona desmilitarizada mediante un firewall
doble, o implementación de 2 routers. En
el router externo se coloca una lista de acceso que permita tráfico web
unicamente al servidor web público que tiene la dirección IP pública
200.44.49.116: Ubicación:
Router Externo del Centro de Datos Phoenix
Luego, en el router interno del Centro de Datos se coloca una lista de acceso que no permita ningún tráfico web hacia la WAN interna, ni ninguna otra conexión que provenga de internet:
·
Desde la red curricular (Ej: Escuela Mountain Sky – 10.94.0.0) hacia la
red administrativa (10.93.0.0) sólo se permite el tráfico de DNS y Correo
Electrónico: El
router de Mountain Sky tiene 2 interfaces ethernet, la ethernet 0 para la red
administrativa (10.93.0.0) y ethernet 1 para la red curricular (10.94.0.0). En
este caso, en la interfaz ethernet conectada a la red administrativa se coloca
la restricción de que sólo pase el tráfico DNS y de Correo que viene de la
red curricular. Ubicación:
Router Mountain Sky
·
Se prohibe el acceso de direcciones
no autorizadas desde la red curricular (Ej: Escuela Mountain Sky – 10.94.0.0)
y de la red administrativa (10.93.0.0): En
el router de Mountain Sky en la ethernet 0 conectada a la red administrativa sólo
se permite tráfico con las direcciones 10.93.0.0 y en la ethernet 1 conectada a
la red curricular sólo tráfico de la 10.94.0.0: Ubicación:
Router Mountain Sky
|
|
|