Ministerio de Hacienda Direcci

1
Ministerio de HaciendaDirección General de
Aduanas
Sistema Tic_at_ Tecnología de Información para el
Control Aduanero
2
INFRAESTRUCTURATECNOLÓGICA
3
Contenido

• Certificados Digitales
• Infraestructura de Hardware
• Objetivos, premisas o filosofías de diseño de
  la infraestructura
• Conceptos Alta Disponibilidad (resistencia y
  tolerancia fallas)
• Elementos de la infraestructura computacional
  (servidores, EVA, SAN)
• Concepto de Separación por capas
• Infraestructura Computacional
• Conceptos sobre la consolidación del Centro de
  Datos
• Infraestructura de comunicaciones
• Sitio principal, WAN Aduanas, Aduana Típica
• Interrelaciones con Auxiliares, Organismos
  Públicos y Otras Aduanas

4
CERTIFICADOS DIGITALES
5
Introducción
Qué es Infraestructura de Llave Pública? Toda
la infraestructura necesaria para implementar el
uso de criptografía de claves públicas y
certificados digitales para el intercambio de
datos de una manera segura y confiable.
6
Introducción
Por qué necesitamos Infraestructura de Llave
Pública? Internet crece muy rápido y cada día se
realizan más actividades a través de esta. Los
sistemas actuales de seguridad son muy
vulnerables a ataques malintencionados y en
consecuencia, no satisfacen las necesidades de
seguridad de los usuarios.
7
Introducción

• Qué actividades realizadas a través de internet
  necesitan un alto nivel de seguridad?
• Transacciones bancarias
• Correo electrónico confidencial
• Redes privadas virtuales (VPNs)
• Navegación Web segura
• Comercio electrónico
• Transferencia de archivos

8
Beneficios

• Autenticidad La posibilidad técnica de
  establecer un nexo unívoco entre un documento y
  su autor.
• No Repudio El no repudio de origen protege al
  receptor de que el emisor niegue haber enviado el
  mensaje, mientras que el no repudio de recepción
  protege al emisor de que el receptor niegue haber
  recibido el mensaje.
• Confidencialidad Se trata de la seguridad de
  que los datos que contiene el documento
  permanecen ocultos a los ojos de terceras
  personas durante su viaje.
• Integridad Asegurarse que el mensaje que se
  emite es el mismo que se recibe.

9
Concepto Certificados Digitales
Un certificado digital es un documento que se
anexa a cualquier mensaje transmitido de manera
segura y que contiene informacion importante para
la validación del mismo.
10
Concepto Firma Digital
La firma digital de un mensaje, es una operación
criptográfica que se aplica haciendo uso de una
función hash, y de la llave privada de quien
emite el mensaje, el cual es el único poseedor
de esta llave.
11
Concepto - Criptografía

• Criptografía
• Ciencia o arte de cifrar mensajes para
  mantenerlos secretos mediante modelos y
  algoritmos matemáticos.
• Tipos de Criptografía
• Simétrica o de clave secreta
• Asimétrica o de clave pública

12
Criptografía

• Nuestros Certificados Digitales van a ser de
  Criptografía Asimétrica como la metodología más
  adecuada para la generación de un Certificado
  Digital.
• Está compuesto de un par de llaves
• Llave Privada La posee únicamente su dueño.
• Llave Pública Esta es llamada también Porción
  Pública y es publicada en la Web por la Autoridad
  de Certificación, después de ser aprobada por
  esta.

13
Conceptos Funciones Hash

• Función Hash (Mensaje) hash
• Tamaño común del hash 128-160 bits
• Una buena función hash debe
• Producir un hash diferente para cualquier posible
  mensaje
• No permitir que el mensaje original sea obtenido
  a partir del hash.

14
Certificados Digitales
15
Autoridades Certificadoras (CA)

• Emiten y administran los certificados digitales
  de PKI.
• Ofrecen confianza a los usuarios.
• Están en la obligación de verificar la indentidad
  de los solicitantes de los certificados
  digitales.

16
Implementación de la Infraestructura de Llave
Pública

• Para la implementación de Infraestructura de
  Llave Pública se requiere cumplir con las
  siguientes etapas
• Desarrollo de una Jerarquía de Infraestructura de
  Llave Pública
• Componentes de Infraestructura de Llave Pública
• Normas y procedimientos
• Gestión de Certificados Digitales

17
Desarrollo de una Jerarquía de Infraestructura
de Llave Pública

• Estructura de hardware y software necesarias para
  soportar la infraestructura de Llave Pública.
• Jerarquía de Autoridades Certificadoras (CA).
• CA Raíz.
• CA Intermedio.
• CA Emisor.
• Modelo escalable para incluir diferentes
  políticas y usos.
• Autoridad Certificadora en Windows 2003.

18
Componentes

• Estandarizan las implementaciones de los
  servicios de Infraestructura de Llave Pública en
  las aplicaciones.
• Simplifican la interacción con las
  funcionalidades de la Infraestructura de Llave
  Pública.
• Firma Digital.
• Encripción y desencripción de datos.
• Envoltura de datos SMIME y XML.
• Componentes de cliente
• Interactúan en páginas Web.
• Tecnología ActiveX y JavaScript.
• Componentes de servidor
• Tecnología .NET.

19
Componentes

• SMIME (Secure Multipurpose Internet Mail
  Extensions)
• Estándar de la industria para intercambio de
  mensajes firmados y/o encriptados.
• Encapsula documentos, firma digital y
  certificados en un único archivo de texto.

20
Normas y procedimientos

• Es necesario documentar todos los procedimientos
  que interactuarán con los servicios ofrecidos por
  la infraestructura de la Infraestructura de Llave
  Pública del Ministerio de Hacienda.
• Los mecanismos actuales deben ser ajustados para
  que estos incluyan las consideraciones de
  seguridad establecidas por la jerarquía de la
  Infraestructura de Llave Pública.
• Abarca la administración segura y controlada de
  los elementos físicos y operacionales
  involucrados en la gestión de Certificados
  Digitales.

21
Gestión de Certificados Digitales

• Automatiza el proceso de solicitud, aprobación y
  emisión de Certificados Digitales.
• Implementa un flujo de trabajo en el que se le da
  seguimiento a cada uno de los pasos necesarios
  para solicitar un Certificado Digital.
• Almacena un histórico de cada uno de los flujos
  iniciados.
• Utiliza Firma Digital mediante los Componentes de
  PKI para asegurar el no repudio de las
  operaciones.
• Utiliza el motor de Flujos de Trabajo Q-Flow que
  ya el Ministerio posee.
• Preparado para soportar las diferentes
  aplicaciones del Ministerio.

22
INFRAESTRUCTURA

• De Hardware

23
Objetivos de diseño de la infraestructura

• Responder adecuadamente al nuevo modelo de
  servicios y su demanda
• Implementar una infraestructura tecnológica
  adaptable
• Implementar políticas optimizadas de
  almacenamiento, respaldo, seguridad y
  administración.
• Optimizar el uso recursos de infraestructura
  computacional y de comunicaciones.
• Optimizar el costo total de propiedad (TCO).
• Alcanzar altos niveles de disponibilidad en los
  diferentes sistemas de la institución.
• Plan de contingencia para la recuperación de
  desastres

24
Filosofía de diseño

• Alta Disponibilidad.
• Escalabilidad.
• Separación por Capas.
• Consolidación del Centro de Datos.

25
Qué significa Alta Disponibilidad?

• Capacidad de mantener operativas las operaciones
  del negocio, eliminando las paradas de los
  sistemas de información.
• Maximizar el tiempo disponible de los sistemas
  en línea, incluso ante la presencia de fallas.

26
Niveles de Disponibilidad

• Resistencia a Fallas
• Requiere de operación ininterrumpida en horario
  laboral, la recuperación en caso de fallo es
  automática.
• Cómo lograrlo Hardware de Alta disponibilidad.
• Tolerancia a Fallas
• Capacidad de procesamiento continuo.
  Transparencia para el usuario.
• Cómo lograrlo Duplicidad y Redundancia (cluster,
  NLB)
• Tolerancia a Desastres
• Disponibilidad en todo momento, capacidad para
  soportar desastres naturales y/o humanos
• Cómo lograrlo Sitio alterno de contingencia.

27
Elementos de la Infraestructura

• Servidores HP de tecnología de hoja (Blade)
• BL40

Almacenamiento interno Discos con Tecnología U320 SCSI hot-plug . 4 bahías para discos duros Ultra320 SCSI hot plug. Controladora Smart Array 5i Plus integrada. RAID 1 para el Sistema Operativo
Tarjetas de red 5 tarjetas de red 10/100/1000T 1 puerto iLO dedicado
Procesador y Caché 4 procesadores Intel Xeon MP 3.0 GHz con 4MB de chaché L3
Gestión Integrated Lights-Out Advanced integrada
Alimentación Fuentes de alimentación redundantes hot-plug
Ventiladores Ventiladores redundantes
Memoria 512MB ó 1GB de memoria PC2100 ECC DDR Configurable en online spare.
Slots de expansión 2 slots PCI-X 64-bit/100MHz para conectividad a SAN
Software especial Rapid deployment para recuperación rápida de un servidor Software especial Rapid deployment para recuperación rápida de un servidor
28
Elementos de la Infraestructura

• Servidores HP de tecnología de hoja (Blade)
• BL20

Almacenamiento interno Discos con Tecnología U320 SCSI hot-plug . 2 bahías para discos duros Ultra320 SCSI hot plug. Controladora Smart Array 5i Plus integrada. RAID 1 para el Sistema Operativo
Tarjetas de red 4 tarjetas de red 10/100/1000T 1 puerto iLO dedicado
Procesador y Caché Hasta 2 Procesadores Intel Xeon a 3.2GHz, 3.4 GHz y 3.6GHz con 1M de caché L3
Gestión Integrated Lights-Out Advanced integrada
Alimentación Fuentes de alimentación redundantes hot-plug
Ventiladores Ventiladores redundantes
Memoria 512MB ó 1GB de memoria PC2100 ECC DDR Configurable en online spare.
Slots de expansión 2 slots PCI-X 64-bit/100MHz para conectividad a SAN
Software especial Rapid deployment para recuperación rápida de un servidor Software especial Rapid deployment para recuperación rápida de un servidor
29
Elementos de la Infraestructura

• Servidores con tecnología 64 bits (Itanium)
• RX5670

Almacenamiento interno Discos con Tecnología U320 SCSI hot-plug . 4 bahías para discos duros Ultra320 SCSI hot plug. Controladora Smart Array 5i Plus integrada. RAID 1 para el Sistema Operativo
Tarjetas de red 4 tarjetas de red 10/100/1000T
Procesador y Caché 4 Procesadores Itanium 2 1.5 Ghz, Level 1,2 y 3 cache 32, 256 Kb o 8 MB
Gestión System Manager
Alimentación Fuentes de alimentación redundantes hot-plug
Ventiladores Ventiladores redundantes
Memoria 4GB de memoria PC2100 ECC DDR Configurable en online spare.
Slots de expansión 4 slots PCI-X 64-bit/100MHz para conectividad a SAN
Software especial Integrity Essentials Foundation Pack Software especial Integrity Essentials Foundation Pack
30
Elementos de la Infraestructura

• Dispositivo de Almacenamiento Externo

31
Niveles de Disponibilidad

• Resistencia a Fallas
• Requiere de operación ininterrumpida en horario
  laboral, la recuperación en caso de fallo es
  automática.
• Cómo lograrlo Hardware de Alta disponibilidad.
• Tolerancia a Fallas
• Capacidad de procesamiento continuo.
  Transparencia para el usuario.
• Cómo lograrlo Duplicidad y Redundancia (cluster,
  NLB)
• Tolerancia a Desastres
• Disponibilidad en todo momento, capacidad para
  soportar desastres naturales y/o humanos
• Cómo lograrlo Sitio alterno de contingencia.

32
Balanceo de Carga (NLB)
Estaciones Cliente
33
Ejemplo de Cluster de 2 Nodos
Estaciones Cliente
Almacenamiento
34
Ejemplo de Cluster de 2 Nodos
Estaciones Cliente
Almacenamiento
35
Niveles de Disponibilidad

• Resistencia a Fallas
• Requiere de operación ininterrumpida en horario
  laboral, la recuperación en caso de fallo es
  automática.
• Cómo lograrlo Hardware de Alta disponibilidad.
• Tolerancia a Fallas
• Capacidad de procesamiento continuo.
  Transparencia para el usuario.
• Cómo lograrlo Duplicidad y Redundancia (cluster,
  NLB)
• Tolerancia a Desastres
• Disponibilidad en todo momento, capacidad para
  soportar desastres naturales y/o humanos
• Cómo lograrlo Sitio alterno de contingencia.

36
Sitio de Contingencia
37
Infraestructura de Computacional

• Separación por capas
• El objetivo fundamental de esta separación es
  distinguir la funcionalidad de cada capa y
  agrupar los servidores de acuerdo al tipo de
  servicio prestado para facilitar la integración
  de nuevos servicios y aprovechamiento de los
  recursos
• Presentación
• Lógica del Negocio
• Datos

38
Capa de Presentación

• Aplicación WINFORM
• 8 servidores BL20 en balanceo de carga (NLB)
• Windows 2003 Server
• Servicios de Terminal Server
• Aplicación WEB Interno
• 2 servidores BL20 en balanceo de carga (NLB)
• Windows 2003 Server
• Internet Information Services (IIS)
• Aplicación WEB Externo
• 2 servidores BL20 en balanceo de carga (NLB)
• Windows 2003 Server
• Internet Information Services (IIS)

39
Capa de Lógica del Negocio

• Aplicación para el manejo de la mensajería.
• 2 servidores BL20 en balanceo de Carga (NLB)
• Windows 2003 Server

40
Capa de Datos

• Base de Datos
• 2 servidores rx5600 configurados en cluster
• Windows 2003 Server 64 bits
• Microsoft SQL Server 2000 64 bits
• Datawarehouse
• 1 servidor BL40 Windows 2003 Server
• Internet Information Services (IIS)

41
Objetivo de la consolidación del Centro de Datos

• La consolidación tiene como función optimizar y
  simplificar una infraestructura de IT de forma
  completa. Además de ofrecer una potencial
  reducción de costos y mejorías de eficiencia,
  disponibilidad y productividad.
• Todo esto con el objetivo de proveer una base
  estable para una rápida puesta en marcha de
  nuevas soluciones o servicios en la medida que
  las necesidades de los negocios cambian o lo
  requieran.

42
Consolidación de Centro de Datos
43
Capa de datos
44
Consolidación Servidores
45
Consolidación Servidores
46
Consolidación del almacenamiento
47
Centro de Datos (Datacenter)
48
DataCenter
49
INFRAESTRUCTURA

• Comunicaciones

50
Diseño de infraestructura computacional y de
comunicaciones
51
Infraestructura de Sitio Principal

• Diseño basado en
• Alta disponibilidad
• Escalabilidad
• Separación de Capas
• Consolidación

52
Consolidación equipos de comunicaciones
(conmutadores de multiservicio)
53
Consolidación de la red
54
Sitio Principal y conectividad a las Aduanas
55
Diseño de infraestructura WAN

56
Diseño de comunicaciones en una Aduana
57
Acceso desde Internet hacia TICA
58
Interrelación con Auxiliares de la Función
Pública Aduanera
59
Interrelación con otras Aduanas y Organismos
Públicos
60
Muchas gracias