TREBALL DE CAMP

Xarxa de l'Hospital del Mar


Tornar


0.Introducció -
1.Datos técnicos

2.Administración de Red (Administración de usuarios, de recursos de red...) - [ y ]

3.Seguridad (en servidores, de la red, de la novell) - [ y ]

4.Conclusiones y Posibles mejoras - [, , , , y ]


Introducció

L'Hospital del Mar i de l'Esperança és un hospital amb una area d'influència de 260.000 habitants de la ciutat de Barcelona. Actualment, l'Hospital del Mar i de l'Esperança té 15 Unitats d'Hospitalització, 418 Llits, 400 convencionals, 18 crítics, 10 Quiròfans, 2 Quiròfans de cirurgia continuada, 12 Unitats de Recovering, 10 Unitats de CMA, 64 Dispensaris i 34 Unitats d'Hospital de Dia.
El un principi l'objectiu principal de l'hospital va ser lliutar contra les malalties infeccioses com bé indica el nom que se li va posar, Hospital Municipal d'Infecciosos.

Passeig Marítim 25-29 
08003 Barcelona
Telèfon 93 248 30 00

La Unitat Docent de la Facultat de Medicina, ubicada a l'Hospital del Mar (UDIMAS), ha suposat un estímul fonamental per l'academització progressiva de l'Hospital. La UDIMAS imparteix docència a 264 estudiants dels cursos tercer, quart, cinquè i sisè de la Llicenciatura de Medicina i compta amb més de 97 professors dels Hospitals del Mar i de l'Esperança. La Junta Docent de la UDIMAS, en que es troben representants els diferents estaments docents, estudiants i personal d'administració, ha impulsat un ambiciós projecte d'integració progressiva de l'alumne a l'Hospital, potenciant la docència pràctica i l'estudi autodirigit amb l'objectiu d'estimular l'ensenyament actiu i involucrar al màxim els estudiants en el procés de l'aprenentatge.
En un principi el grup va debatir mitjançant el forum d'aquesta wiki quin treball de camp fariem i vam donar diferents noms: Fundació Barcelona Digital , proposada per ja que es l'empresa on treballa; la UOC (Universitat Oberta de Catalunya), la qual va ser proposada per , La xarxa de la FTI (Facultat de Traducció i Interpretació) que es on cursa una beca de col.laboració, al igual que en la Unitat Docent de L'Hospital del Mar de Barcelona (UDIMAS), el qual també va proposar aquest centre per al traball de camp.
Una raó important per a la proposta del UDIMAS com a treball de camp són totes les facilitats d'informació que des d'un principi van mostrar el personal responsable del manteniment informàtic de la unitat. Per tant, després de debatir quina institució anvem a fer el treball de camp vam decidir que per aquest factor esculliriem l'UDIMAS de l'Hospital del Mar i l'Esperança de Barcelona.

índice

1.Datos técnicos


[05/06]

1.1 Red física (Topologia)

La topologia que segueix la xarxa de l'Hospital del mar, per que fa referència a la Unitat docent, és en estrella a partir del router negre-gris AHMARGW, Cisco 2621 de Cisco Systems. Aquest router esta connectat a un switch propietat d'una altra unitat d'investigació com es l'IMIM mitjançant un parell trenat. En l'IMIM ens donen a la unitat docent de la UAB de l'hospital del mar el rang d'IPs de 193.144.6.[200-220]. Aquest switch està conectat a un router propietat de la UPF que aquesta, a la mateixa vegada, està connectada a CESCA que gràcies al backbone d'alta velocitat d'on formen part amb la UAB, entre altres institucions, ens connectem al campus d'aquí Bellaterra a 100 Mbps. Una altra sortida del switch de l'IMIM va al router del hospital del mar amb IP (10.0.0.1) el qual hi ha conectat un altre switch, el Nortel BayStack 470-48T, que dona servei al IMAS que és una altra unitat d'investigació del propi hospital.
Com deiem abans, el router AHMARGW Cisco 2621, amb IP 158.109.90.1, és el que dona el servei a tota la unitat docent. El rang d'ips que hem habilitat per a conectar els pc's de la unitat doncent és el 158.109.90.[40-192] i amb DHCP (90.XXX) d'assignació estàtica eterna (amb caducitat de 10 anys) a escepció d'un rang en el qual el DHCP es d'assignació dinàmica, el qual serà utilitzat per a la connexió a la xarxa d'equips eventuals (158.109.90.[155-192]). En aquest router, amb una topologia en estrella es fa arribar el servei diversos apartats de la unitat docent com és ara el despatx del degà i el coordinador de la facultat, biblioteca i a un switch, el MARSW1 Superstack 3Com, el qual també en estrella reparteix el servei a secretaria, a les aules i a l'aula d'informàtica on gracies a dos hubs, MARSW1-2 Superstack II 3Com i al propi switch tenim servei de xarxa. Aquests dos Hubs són els encarregats de dur el servei als ordenadors que físicament estan als extrems de l'aula. Les altres màquines van connectades directament i en estrella al switch MARSW1.
També esmentar que com bé vam esmentar en l'ampliació de CESCA que jo personalment vaig fer, aquesta unitat docent està preparada per a realitzar videoconferencies, sense problemes d'imatge ni de so.



Fonts:
arxiu_font.doc (En aquest arxiu hi ha també les 2 topologies anteriors)
http://www.cesca.es

índice

[05/06]

1.2 Ordenadores de la red

La xarxa de la unitat docent o UDIMAS la formen 50 ordenadors i dues impresores. Com bé hem dit abans, el servei arriba a l'aula d'informàtica mitjançant dos hubs i un switch. El rang d'ip's assignats als 24 pc's i la impresora HP LaserJet 4050 N de l'aula són els següents:

HW de la sala

IP

comentari

HP LaserJet 4050 N

158.109.90.130

impresora del aula

UDM-00

158.109.90.131

PC del encarrega d'administrar l'aula

UDM-01

158.109.90.132

PC per als ALUMNES

UDM-02

158.109.90.133

PC per als ALUMNES

UDM-03

158.109.90.134

PC per als ALUMNES

UDM-04

158.109.90.135

PC per als ALUMNES

UDM-05

158.109.90.136

PC per als ALUMNES

UDM-06

158.109.90.137

PC per als ALUMNES

UDM-07

158.109.90.138

PC per als ALUMNES

UDM-08

158.109.90.139

PC per als ALUMNES

UDM-09

158.109.90.140

PC per als ALUMNES

UDM-10

158.109.90.141

PC per als ALUMNES

UDM-11

158.109.90.142

PC per als ALUMNES

UDM-12

158.109.90.143

PC per als ALUMNES

UDM-13

158.109.90.144

PC per als ALUMNES

UDM-14

158.109.90.145

PC per als ALUMNES

UDM-15

158.109.90.146

PC per als ALUMNES

UDM-16

158.109.90.147

PC per als ALUMNES

UDM-17

158.109.90.148

PC per als ALUMNES

UDM-18

158.109.90.149

PC per als ALUMNES

UDM-19

158.109.90.150

PC per als ALUMNES

UDM-20

158.109.90.151

PC per als ALUMNES

UDM-21

158.109.90.152

PC per als ALUMNES

UDM-22

158.109.90.153

PC per als ALUMNES

UDM-23

158.109.90.154

PC per als ALUMNES

-

158.109.90.[155-192]

ip's assignades lliures per una possible ampliació en l'aula o per alguna connexio provisional

Aquest rang que veiem al final de la taula, es un rang d'ips lliure d'assignació pero reservat per a possibles ampliacions de pc's en l'aula d'informàtica o per si algun alumne, metge o persona relacionada a la unitat fa una petició per poder usar la xarxa provisionalment. A llavors se li habilita una IP dins d'aquest rang.
Cal comentar que els pc's de la sala d'informàtica estan conectats en xarxa però no són accessibles remotament des del campus pel servei d'informàtica distribuïda de medicina, a excepció del UDM-00, el pc de l'encarregat de l'administració de la sala que aquest si que ho està.
De la mateixa manera, els ordenadors de Secretaria de la unitat també estan en xarxa i a la vegada controlats remotament pel SID, al igual que un parell d'ordenadors de la Biblioteca, que són els PC's de la becaria i de la responsable de la biblioteca. En secretaria hi han 4 ordenadors i una impresora amb el rang d'ips 158.109.90.[40-44]. Aquesta impresora també està en xarxa per evitar el problema de haber de tenir l'ordenador a la qual està connectada físicament operatiu sempre que es necessités imprimir. En la biblioteca n'hi han 12 ordenadors amb el rang d'ips 158.109.90.[52-63] els quals els mostrem en la taula següent:

158.109.90.40

Ordenador del responsable de secretaria

158.109.90.41

Secretari

158.109.90.42

Secretaria, en el qual hi ha la impresora connectada físicament

158.109.90.43

Secretaria

158.109.90.44

Impresora de secretaria

158.109.90.52

Responsable de la biblioteca

158.109.90.53

PC de la biblioteca

158.109.90.54

PC de la biblioteca

158.109.90.55

PC de la biblioteca

158.109.90.56

PC de la biblioteca

158.109.90.57

PC de la biblioteca

158.109.90.58

PC de la becaria de la biblioteca

158.109.90.59

PC de la biblioteca

158.109.90.60

PC de la biblioteca

158.109.90.61

PC de la biblioteca

158.109.90.62

PC de la biblioteca

158.109.90.63

PC de la biblioteca

Per últim a comentar son els 7 ordenadors que hi ha en les aules de docencia i en la sala de graus, es a dir, hi ha un ordenador amb connexió a internet en cada aula i un en la sala de graus. Aquests pc's tenen habilitades les IP's del rang 158.109.90.[31-37] la relació dels quals la mostrem en la següent taula:

158.109.90.31

Sala de graus

158.109.90.32

aula 1

158.109.90.33

aula 2

158.109.90.34

aula 3

158.109.90.35

aula 4

158.109.90.36

aula 5

158.109.90.37

aula 6


índice


{i}

1.3 Routers de la red

AHMARGW, Cisco 2621. Color negre-gris:

L'arquitectura modular de la serie Cisco 2600 permet actualitzar les interfícies per a ajustar-les a l'expansió de la xarxa o als canvis tecnològics que es produïxen quan s'instal·len nous serveis i aplicacions. La serie Cisco 2600 admet qualitat de servei (QoS) avançada i seguretat.

{i}

índice


{i}

1.4 Switchs de la red

MARSW1, Superstack 3Com (switch de 100). Color Blanc:

Aquests switches combinen switching a velocitat de cable de Capa 2 amb una fàcil instal·lació i una excepcional fiabilitat. Els ports 10/100/1000 de coure proporcionen connexions flexibles per a grup de treball i desktop, que poden facilitar la migració per a contextos amb una barreja d'equips de desktop i servidors habilitats per a 10/100 i Gigabit. Quatre ranures d'ús dual suporten SFPs que poden connectar-se a cablejat de fibra per a connexions flexibles Gigabit Ethernet a troncal i servidors.

Les funcionalitats de resistència davant fallades tals com IEEE 802.1w Rapid Spanning Tree Protocol i agregació d'enllaços IEEE 802.3ad (LACP) ajuden a garantir el temps d'activitat i la disponibilitat.

Les característiques de seguretat de classe empresarial inclouen login de xarxa IEEE 802.1X, Accés de Dispositius Autenticats per RADIUS (RADA), assignació automàtica de VLAN i llistes de control d'accés de Capa 2/4 per a administrar l'accés dels usuaris als recursos de la xarxa. El Login de dispositiu encriptat SSH/SSL proporciona un accés remot segur per a l'administració de dispositius.

Nortel Baystack 470-48T (switch de 100). Color Blau:

{i}

índice


{i}

1.5 Hubs de la red

MARSW1-2 Superstack II 3Com (dual speed hub 500 10/100). Color Blanc:

La família de switches SuperStack II de 3Com consitueix una forma econòmica de connectar directament els seus usuaris de xarxa, i eliminar així la competència per accedir a la xarxa. Resulta ideal quan el tràfic de xarxa entre estacions i servidors és elevat, i possibilita la implementació d'aplicacions multimèdia, veu i vídeo sobre xarxa, accés a Internet, etc.

Característiques:

{i}

índice


2.Administración de Red (Administración de usuarios, de recursos de red...)

( y )


2.1 Recursos a gestionar

En la red del Hospital del Mar perteneciente a la UAB existen como recursos compartidos la conexión a Internet, la impresora y las unidades de red, destinadas al programario y sólo para lectura.

índice


2.2 Servidores

Existen dos ordenadores que actúan como servidores. Ambos están en una habitación con llave, junto al armario de comunicaciones.

índice


2.3 Diferenciación

Existen los siguientes usuarios en la red:

El tener como usuario genérico alumne y el sistema de impresión compartido por windows tiene como inconveniente que cuando alguien envía algo a imprimir se pone en cola con el mismo usuario. Como los alumnos han de poner las hojas y las impresiones se hacen en órden de llegada, si alguien no quiere una impresión y no la anula la impresora se queda bloqueada hasta que no se encuentra el ordenador en el que se ha enviado el trabajo y se anula. Ésto provoca bastantes moléstias entre los usuarios y administradores.

índice


2.4 Gestión

El sistema implementado se basa en una imágen DeepFreeze que arranca con REMBO 4.0. Si la imágen falla o se quiere instalar un nuevo software pesado o una actualización importante en toda la red se hace una imágen con el software y se inslata en los ordenadores mediante ImageCast 4.62.

El mantenimiento se hace utilizando la herramienta ConsoleOne de novell. Con este programa se pueden manejar las cuentas de usuario (contraseña, derechos, espacio en los recursos etc.), modificar las propiedades de carpetas y ficheros de modo simultáneo, navegar rapidamente por un sistema de gran tamaño, crear "funciones" para automatizar tareas que se necesitan mucho y generar informes a través de un formulario.

2.4.1 Monitorización de la red

La monitorización se puede llevar a cabo a través de una interfaz VNC accesible por toda la red. Aunque no se hace nada sin pedir permiso del alumno, debido a que sería ilegal.Los ordenadores de secretaría y del responsable de secretaría no lo tienen instalado. La monitorización se suele hacer desde el equipo UDM-00, el equipo del administrador, , que está en éste grupo wiki.

Se usa mucho éste sistema para arreglar problemas con los ordenadores o instalar software sin tener que ir moviéndose por los despachos y aulas.

2.4.2 Organización de los ordenadores

Todos los ordenadores de los usuarios genéricos y personales que no son PAS estan en estado de DeepFreeze, es decir, cada vez que se arranca el ordenador se utiliza una imagen para obtener exactamente el mismo estado del sistema de ficheros. Así se evitan daños causado por virus o usuarios maliciosos.

También significa que datos se pueden guardar solamente durante una sesión, al igual que el software nuevo.

A la hora de apagar el ordenador, como muchos se los dejan encendidos, se tiene programado el DeepFreeze para que apague los equipos del aula de ordenadores, las aulas de cursillos y la biblioteca a las 22h.

2.4.3 Actualización de software

Al principio de cada curso se establece una imagen nueva con el software que se necesitará durante el año. Cuando hace falta instalar más software hay dos posibilidades: Si el software nuevo es facil a instalar, el ordenador se descongela y se pone una imagen nueva con el software instalado. El software con una instalación más delicada se pone en el servidor para que los usuarios puedan acceder a él como lo hemos escrito antes (al principio del párrafo 2.4.).

2.4.4 Backups

Los usuarios genéricos no tienen espacio propio en el servidor, pues solamente se hacen copias de seguridad de los documentos de la gestion academica. Dichos documentos se eliminan a las pocas semanas, debido a que deja de tener sentido tenerlos en los backups, y no suelen pasar de 1Gb de datos.

De cara al futuro se tiene en proyecto comprar discos de red para los backup.

Fuentes:
http://www.novell.com/es-es/products/consoles/consoleone/details.html

índice


3. Seguridad

3.1 Protección de los datos de la red

Generalmente, son los propios usuarios los encargados de proteger sus archivos, aunque existen ciertos datos importantes en el espacio de gestión académica que, periódicamente (cada semana), son guardados en un servidor de copias de seguridad que reside en el campus.

índice

3.2 Seguridad ante fallo eléctrico

En caso de producirse un corte en el suministro eléctrico, la red del Hospital del Mar dispone de un sistema SAI (Sistema de Alimentación Ininterrumpida), un SAI puede proporcionar energía eléctrica tras un apagón a todos los dispositivos electrónicos conectados a él. Otra función es la de regular el flujo de electricidad, controlando las subidas y bajadas de tensión y corriente existentes en la red eléctrica. En general, se conectan a equipos llamados cargas críticas, que pueden ser aparatos médicos, industriales o informáticos, que requieren tener siempre alimentación y que ésta sea de calidad debido a la necesidad de estar en todo momento operativos y sin fallos (picos de tensión o caídas) Estos equipos también son conocidos su acrónimo inglés UPS (Uninterrupted Power Supply).

El SAI del Hospital del mar tiene una batería con un tamaño suficiente para proporcionar energía eléctrica al servidor Novell durante dos horas.

Si han transcurrido estas dos horas y el suministro de energía no ha sido reestablecido, se utiliza un programa llamado “parachute” que realiza una copia de seguridad del sistema de red y cierra el servidor de manera correcta.

Al volver a recibir suministro, el servidor ha de reiniciarse de manera manual.

Fuentes: http://es.wikipedia.org/wiki/SAI
índice

3.3 Evitar conexiones de ordenadores no autorizados

El protocolo DHCP es gestionado desde el campus. El SI (Servei d’Informàtica central para toda la UAB) es el encargado de gestionar la asignación de IPs. Si existe alguna ip que no esta asignada a ningún ordenador, es decir, si existe algún ordenador que procede del exterior de la red de la UAB, se procede a su exclusión de modo manual.

Como hemos comentado anteriormente, el protocolo DHCP se gestiona desde el campus. Pero también existe un DHCP propio para la asignación de direcciones ip si por motivos de proximidad de la red del módulo dependiente de hardware no existe conexión con el campus.

Para poder acceder a la red desde el exterior del campus, es posible realizar conexiones mediante un mecanismo de VPN.

índice

3.4 Gestión de los puertos

La apertura y cierre de los puertos son gestionados desde el Servei d’Informática, cuya política es cerrar todos los puertos que no sean necesarios. El SI es el que recibe peticiones de apertura de puertos y procede a abrirlos de manera remota si procede. Por defecto no hay que gestionar los puertos ni de los servidores ni del aula.

Los puertos habilitados para poder acceder a los servidores son los puertos genéricos (el 80, 0143, el de ftp ...).

Para la monitorizar la red y para gestionar el servidor Novell remotamente (utilizando una interfaz VNC) se ha pedido al SI que se disponga del puerto 5900 abierto para poder acceder a los servidores de Novell y de REMBO desde el SID de medicina situado en el campus de Bellatera de la UAB (ver 3.6 Seguridad en NOVELL, 2.4.1 Monitorización de la red).

índice

3.5 Seguridad de los ordenadores

Para protegerse de los ataques se sigue la política general que sigue toda la Universidad Autónoma. Los ordenadores llevan instalado un software antivirus, concretamente Office Scan 7 (la UAB posee la licencia), en todos los ordenadores del aula y los servidores. Además se utiliza el software Deep Freeze (ver 2.4 Gestión) para que los canvios hechos en el disco duro no tengan ningún efecto en el ordenador, las máquinas que tienen este software instalado cada vez que son reiniciadas devuelven el disco duro al mismo estado en el que estaba la última vez que se cargó una imagen en él, evitando así cualquier modificacion producida por virus, por borrar algún archivo por error, etc.

Por otro lado, se tiene un Firewall que permite las entradas por los puertos genéricos (5900, 80, ftp...), y los de salida están todos abiertos. El router principal tiene un Firewall propio y el servidor REMBO también tiene un Firewall especial para optimizar su rendimiento.

Fuentes: http://en.wikipedia.org/wiki/Deep_Freeze_%28software%29
índice

3.6 Seguridad en NOVELL

La seguridad en la red del Hospital del Mar se basa en la utilización del servidor de red Novell. Todos los datos se encuentran físicamente en un solo servidor, cuyo acceso está limitado a los administradores de la red y al PAS (únicamente los administradores de red tienen permisos de administrador sobre la Novell y sobre el resto de máquinas).

Debido a que la gestión de la Novell de manera directa desde el servidor se realiza en modo texto, el manejo y la administración de los árboles de usuarios y administradores es llevada a cabo mediante el uso de la consola ONE (2.4 Gestión). La red Novell pude ser monitorizada y gestionada remotamente desde el SID del campus.

Es posible que debido a ciertas situaciones especiales (inicio de nuevos cursos, ingreso de nuevos profesores,...) se permita abrir nuevos usuarios con privilegios propios.

El resto de usuarios, como por ejemplo los alumnos, no están registrados como usuarios para utilizar las máquinas del aula de informática. Acceden a los ordenadores mediante una cuenta de usuario común, cuyos datos son eliminados periódicamente.

Por último, remarcar que para ejecutar una actualización del sistema Novell, o para instalar algún nuevo parche disponible, estos son descargados y actualizados directamente desde la consola del servidor.

Según los datos anteriores, el principal problema de seguridad de esta red basada en Novell residiría en la posibilidad de la adquisición de privilegios de algún usuario al que no le corresponderían (cambio de cuenta, predeterminado o no, en el server) o la usurpación de identidad de un usuario autorizado, por otro (robo de contraseña,...) no autorizado.

índice

3.7 Seguridad física

Un par de cuestiones a comentar sobre este aspecto:

índice

4.Conclusiones y posibles mejoras

4.1 En Hardware

[07/06]

{i}

{i}

:

4.2 En Software



índice


Tornar