Tema 3 de teoría: La red de una granja web

La construcción de una red segura y escalable es fundamental para cualquier servidor. Si la red no está bien estructurada, los servidores no pueden servir la información. El equipo de administración del sistema debe analizar las opciones de conexión a Internet y diseñar adecuadamente la estructura de red. Una de las tareas que deben realizar es separar las subredes corporativas y también conectar a redes privadas de proveedores.

Todas estas decisiones de diseño implican un estudio de las alternativas disponibles:
  - a nivel de hardware: switch, hub, router, balanceador, etc
  - a nivel de software: sistema operativo, monitorización, balanceo, etc.

Las diferentes subredes (backbones) hacen de enlace entre máquinas. Se pueden crear simplemente con un switch (http://es.wikipedia.org/wiki/Conmutador_(dispositivo_de_red)), router (http://es.wikipedia.org/wiki/Router) o hub (http://es.wikipedia.org/wiki/Concentrador).

Es sumamente importante configurar una zona segura en la red del sistema. Es lo que se llama zona desmilitarizada o DMZ (demilitarized zone). Se trata de un área restringida o aislada, y totalmente controlada. La idea es controlar los servicios y aplicaciones ofrecidos a otras redes externas al DMZ.

Existen varias alternativas para conectar la granja web a otras redes:
 1. Configuración sin DMZ
 2. Configuración de DMZ simple
 3. Configuración de DMZ tradicional
 4. Configuración de DMZ doble

La estructura recomendada finalmente es la configuración de DMZ doble que se muestra a continuación:


Es la configuración más segura:
 - El DMZ tiene un front-rail y un back-rail.
 - El delantero es un segmento de red conectado a Internet.
 - Los servidores quedan protegidos con el cortafuegos.
 - El trasero está conectado a la subred interna (segura), y protegido con otro cortafuegos.

Para realizar esta configuración se necesitan máquinas con doble conexión al fron-rail y back-rail:
 - Requiere doble tarjeta de red
 - Adecuado para acceder a Internet y servidores internos
 - Configuración para servidores HTTP, SMTP, POP3, FTP, etc
 - Ofrecen servicios hacia Internet y a las subredes seguras

También máquinas con conexión sólo al front-rail:
 - Requiere sólo una tarjeta de red
 - Adecuado para acceder sólo a Internet
 - Los servicios ofrecidos quedan aislados
 - Configuración para servidores HTTP, SMTP, POP3, FTP, etc
 - Ofrecen servicios hacia Internet

Y por último máquinas con conexión sólo al back-rail:
 - Requiere sólo una tarjeta de red
 - Para servidores que no necesitan acceso a Internet
 - Servicios ofrecidos a las redes corporativas/seguras
 - Configuración para servidores de BD o aplicaciones


Por último, la conexión a Internet depende de varios factores para asegurar la calidad del servicio y la seguridad:
 1. Calidad del servicio y ancho de banda
 2. Filtrado y bloqueo de paquetes
 3. Network address translation (NAT)


En cuanto a los ejercicios que vamos planteando en los temas de teoría, en este tema hemos planteado los siguientes ejercicios:

Ejercicio T3.1: Buscar con qué órdenes de terminal o herramientas gráficas podemos configurar bajo Windows y bajo Linux el enrutamiento del tráfico de un servidor para pasar el tráfico desde una subred a otra.

Ejercicio T3.2: Buscar con qué órdenes de terminal o herramientas gráficas podemos configurar bajo Windows y bajo Linux el filtrado y bloqueo de paquetes.

Como ya indicamos, la entrega de los ejercicios de clase se realiza en el repositorio personal que cada cual mantenéis en github.com, en una carpeta que podemos llamar "ejercicios_de_clase".