memoria
Transcripción
memoria
Implementación Sistema de Telefonı́a IP y Seguridad Perimetral Esteban De La Fuente Rubio y Eduardo Dı́az Valenzuela Proyecto de tı́tulo para optar al tı́tulo de Ingeniero en Redes y Comunicación de Datos Santiago - Chile enero 2010 Agradecimientos Damos infinitas gracias a nuestros profesores guı́as y de especialidad por su apoyo y confianza. A nuestros padres, familia, pareja y amigos por tener fé en nuestras capacidades y creer que cumplirı́amos las metas propuestas al inicio de este proyecto de vida. Además debemos darnos gracias a nosotros mismos por la perseverancia, el tesón y el empuje necesario para derribar los obstáculos que tuvimos durante este proceso, el cual claramente nos llena de satisfacción. Implementación Sistema de Telefonı́a IP y Seguridad Perimetral i ii Resumen Debido a la necesidad de integrarse en un mercado cada vez más competitivo, es necesario incorporar mayor tecnologı́a en las empresas para ası́ responder a las necesidades actuales, a partir de estas inquietudes se realizó una búsqueda de una empresa para poder llevar a cabo el proyecto de tı́tulo con el fin de dar término a nuestra carrera. Se contactó a la empresa Pablo Massoud Cı́a y Ltda, también conocida como Fundo Santa Rosa, en donde se gestionó una reunión primaria para presentar el objetivo de nuestro trabajo y ası́ crear expectativas para comenzar este proyecto. Como primera etapa se realizó un análisis de la red empresarial para poder entender que falencias existı́an y ofrecer mejoras a estas, para esto se realizaron visitas en terreno y se recopiló información entregada directamente por el personal autorizado en las reuniones que se mantuvieron durante el perı́odo de análisis. Siguiendo a esto se preparó un informe con la solución tecnológica que se encontró más apropiada aprovechando la tecnologı́a que ya se tenı́a, esto solicitado por el cliente. En las reuniones que se mantuvieron se dejó claro los puntos focales que se debı́an abordar con especial trato, la forma de comunicarse vı́a telefonı́a, tanto dentro del fundo como en la oficina central ubicada en pleno centro de Melipilla, además ver la forma de tener control del uso de Internet por los operarios ya que esto no existı́a de forma alguna. Al terminar el informe con la solución diseñada se realizó una presentación pactada para poder entregar ésta al personal pertinente de la empresa para la aceptación y posterior materialización del mismo. En una segunda etapa luego que la empresa aprobara la solución propuesta, se comenzó a realizar la implementación de la misma, la cual consistió en instalar un firewall tanto en el fundo como en la oficina central, los cuales mediante Squid, OpenVPN e IPTables permitieron realizar la limitación del personal con el uso de Internet y la utilización tanto remota como local de la información compartida. Además se implementaron dos centrales de telefonı́a IP en las áreas ya mencionada para tener comunicación tanto en el fundo como con la oficina central, entregando con esto un mejor servicio y un mayor control en las comunicaciones. Implementación Sistema de Telefonı́a IP y Seguridad Perimetral iii Posteriormente al término de la implementación se realizó una reunión final con el cliente, el cual mostró su satisfacción con la labor realizada, indicando que al comparar la situación inicial y final de su empresa se encontró con una red empresarial más segura, más ordenada, con mayor control de los usuarios y de las llamadas que ellos mismos ejecutan, y la utilización correcta de Internet. Finalmente, para la realización de este proyecto se aplicaron los conocimientos generales de los ramos cursados y la información proporcionada por la Web. iv Implementación Sistema de Telefonı́a IP y Seguridad Perimetral Índice general 1. Introducción 1 2. Objetivos 3 2.1. Objetivos generales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.2. Objetivos especı́ficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 3. Empresa 5 3.1. Infraestructura de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Marco teórico 5 9 4.1. LAN: Redes de Área Local . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 4.1.1. Topologı́a de Estrella . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 4.2. WLAN: Redes inalámbricas . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 4.2.1. Tipos de redes WLAN . . . . . . . . . . . . . . . . . . . . . . . . . . 12 4.2.2. Ventajas de las redes WLAN . . . . . . . . . . . . . . . . . . . . . . . 13 4.2.3. Desventajas de las redes WLAN . . . . . . . . . . . . . . . . . . . . . 14 4.3. VPN: Redes privadas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . 14 4.3.1. Tipos de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 4.3.2. Ventajas de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 4.3.3. Desventajas de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 4.4. VoIP: Voz sobre IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 4.4.1. Ventajas y desventajas . . . . . . . . . . . . . . . . . . . . . . . . . . 17 v ÍNDICE GENERAL ÍNDICE GENERAL 4.4.2. Central telefónica Asterisk . . . . . . . . . . . . . . . . . . . . . . . . 5. Entorno y sus fundamentos 21 5.1. Problemática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 5.1.1. Seguridad perimetral y filtro de contenido . . . . . . . . . . . . . . . 22 5.1.2. Problemas de comunicación . . . . . . . . . . . . . . . . . . . . . . . 22 5.1.3. Conexión remota a la red . . . . . . . . . . . . . . . . . . . . . . . . 23 5.2. Requerimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 6. Alcance del proyecto 25 6.1. Descripción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 6.2. Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 6.3. Factores crı́ticos de éxito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 7. Diseño de solución 29 7.1. Diagrama de flujo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 7.2. Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 7.2.1. IPTables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 7.2.2. OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 7.2.3. Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 7.3. Central telefónica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 7.3.1. Empresa VOIP externa . . . . . . . . . . . . . . . . . . . . . . . . . . 34 7.3.2. Menú interactivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 7.3.3. Buzón de voz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 7.3.4. Estadı́sticas de llamadas . . . . . . . . . . . . . . . . . . . . . . . . . 35 7.3.5. Protocolo para troncal entre centrales . . . . . . . . . . . . . . . . . . 35 8. Plan de trabajo vi 18 41 8.1. Etapas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 8.1.1. Instalación de Firewall y filtro de contenidos . . . . . . . . . . . . . . 41 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral ÍNDICE GENERAL ÍNDICE GENERAL 8.1.2. Interconexión mediante VPN . . . . . . . . . . . . . . . . . . . . . . 42 8.1.3. Configuración Servidor Asterisk en Fundo . . . . . . . . . . . . . . . 42 8.1.4. Configuración Servidor Asterisk en Oficina Central . . . . . . . . . . 42 8.1.5. Implementación de troncales entre Centrales VoIP . . . . . . . . . . . 42 8.1.6. Acceso de Central Fundo a PSTN . . . . . . . . . . . . . . . . . . . . 42 8.2. Recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 9. Implementación 45 9.1. Estudios protocolos y software . . . . . . . . . . . . . . . . . . . . . . . . . . 45 9.2. Reunión implementación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 9.3. Firewall Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 9.3.1. Instalación Sistema Operativo . . . . . . . . . . . . . . . . . . . . . . 46 9.3.2. Configuración IPTables . . . . . . . . . . . . . . . . . . . . . . . . . . 46 9.3.3. Configuración Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 9.3.4. Instalación y Pruebas . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 9.4. VPN Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 9.4.1. Instalación OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . 47 9.4.2. Configuración tele trabajo . . . . . . . . . . . . . . . . . . . . . . . . 48 9.5. Central telefónica Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 9.5.1. Instalación Asterisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 9.5.2. Habilitación cuentas . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 9.5.3. Estadı́sticas de llamadas . . . . . . . . . . . . . . . . . . . . . . . . . 49 9.5.4. Acceso a la PSTN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 9.6. Equipos oficina central . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 9.6.1. Capacitación SysAdmin . . . . . . . . . . . . . . . . . . . . . . . . . 50 9.7. VPN Sitio a Sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 9.7.1. Habilitación en OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . 51 9.8. Troncal IAX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 9.8.1. Configuración Troncal . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral vii ÍNDICE GENERAL ÍNDICE GENERAL 9.9. Documentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.Resultados 52 53 10.1. Pruebas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 10.1.1. Pruebas en Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 11.Conclusiones 79 12.Bibliografı́a 81 12.1. Bibliografı́a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 12.2. Recursos digitales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 A. Configuraciones 85 A.1. Firewall Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.1.1. /etc/network/interfaces 85 . . . . . . . . . . . . . . . . . . . . . . . . . 85 A.1.2. /etc/init.d/firewall.sh . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 A.1.3. /etc/squid3/squid.conf . . . . . . . . . . . . . . . . . . . . . . . . . . 90 A.2. VPN Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 A.2.1. /etc/openvpn/tunel.conf . . . . . . . . . . . . . . . . . . . . . . . . . 91 A.2.2. /etc/openvpn/roadwarrior.conf . . . . . . . . . . . . . . . . . . . . . 92 A.3. Central telefónica Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 A.3.1. /etc/asterisk/sip.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 A.3.2. /etc/asterisk/extensions.conf . . . . . . . . . . . . . . . . . . . . . . . 96 A.3.3. /etc/asterisk/iax.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 A.3.4. /etc/asterisk/voicemail.conf . . . . . . . . . . . . . . . . . . . . . . . 100 A.3.5. /etc/asterisk/cdr mysql.conf . . . . . . . . . . . . . . . . . . . . . . . 102 viii Implementación Sistema de Telefonı́a IP y Seguridad Perimetral Índice de figuras 3.1. Mapa ubicación Fundo y Oficina Melipilla . . . . . . . . . . . . . . . . . . . 6 3.2. Organigrama de la empresa Fundo Santa Rosa . . . . . . . . . . . . . . . . 7 . . . . . . . . . . . . . . . . . . . . . . . . . . 8 3.3. Topologı́a Fundo Santa Rosa 4.1. Ejemplo de topologı́a de estrella . . . . . . . . . . . . . . . . . . . . . . . . 11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 4.3. Red WiFi Peer to Peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 4.4. Ejemplo de VPN sitio a sitio 16 4.2. Red WiFi Infraestructura . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5. Tabla de codec de audio en telefonı́a IP . . . . . . . . . . . . . . . . . . . . 20 . . . . . . . . . . . . . . . . . . . . . . . 23 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 7.2. Flujo funcionamiento del firewall . . . . . . . . . . . . . . . . . . . . . . . . 36 7.3. Flujo funcionamiento del proxy . . . . . . . . . . . . . . . . . . . . . . . . . 37 7.4. Flujo funcionamiento de la central telefónica . . . . . . . . . . . . . . . . . . 38 7.5. Ubicación y funcionamiento de un firewall . . . . . . . . . . . . . . . . . . . 39 7.6. VPN sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 10.1. Squid permitió acceso a www.google.cl . . . . . . . . . . . . . . . . . . . . . 58 10.2. Squid denegó acceso a www.emol.cl . . . . . . . . . . . . . . . . . . . . . . . 59 10.3. Conexión a servidor SAMBA mediante VPN. . . . . . . . . . . . . . . . . . 73 . . . . . . . . . . . . . . . . . . . . . . . . 74 5.1. Mapa red inalámbrica en el fundo 7.1. Modelo de red propuesto 10.4. Llamada perdida desde la PSTN ix ÍNDICE DE FIGURAS ÍNDICE DE FIGURAS 10.5. Llamada perdida desde la PSTN x . . . . . . . . . . . . . . . . . . . . . . . . 75 10.6. Mensaje de voz enviado al correo del usuario. . . . . . . . . . . . . . . . . . 76 10.7. Registro de llamadas dı́a 2009-09-04 77 . . . . . . . . . . . . . . . . . . . . . . Implementación Sistema de Telefonı́a IP y Seguridad Perimetral Capı́tulo 1 Introducción Durante el año 2009, como parte del proceso de formación educacional comprendido para la obtención del tı́tulo de Ingeniero en Redes y Comunicación de Datos de la universidad Andrés Bello, se ha desarrollado el presente trabajo de titulación. Este tiene como objetivo ser el punto culmine de nuestros estudios y la finalización de esta etapa. En las siguientes hojas encontrará la empresa con la que se trabajó, la problemática detectada y como esta se solucionó. Hoy en dı́a mantener una adecuada comunicación al interior de cualquier empresa es un signo claro de colaboración entre los trabajadores. Sin embargo si no existe un adecuado sistema que colabore con dicha tarea, esto se complica y comienzan a surgir los problemas. Dentro de las alternativas existentes están: correo electrónicos, centrales telefónicas, telefonı́a celular, telefonı́a fija, fax, sistema de mensajerı́a corta, radios o aplicaciones en red (como pueden ser redes sociales o una intranet). Las alternativas anteriores tienen diferentes costos y no son aplicables al 100 % de las empresas, es por esto que en cada caso se debe evaluar cual es la mejor alternativa disponible para facilitar las comunicaciones dentro del trabajo. Como profesionales del área de redes nos llamó la atención la telefonı́a IP, ya que de los sistemas anteriores mencionados, es uno de los cuales está experimentando un rápido crecimiento. Hoy existen diversas empresas que ofrecen este tipo de servicio, incluso ya no debemos limitarnos solo a las compañı́as nacionales para optar a tener un número telefónico. 1 CAPÍTULO 1. INTRODUCCIÓN Los costos que se pueden observar a nivel de llamadas nacionales o internacionales lo hacen un sistema atractivo para empresas y particulares. Sin embargo un beneficio grande respecto al sistema tradicional de telefonı́a es que al utilizar redes de datos para transportar la voz se puede utilizar la infraestructura de red existente en las empresas para tener una central telefónica que ofrezca el servicio de telefonı́a a los trabajadores. Otro punto de interés es el relacionado con la seguridad en las redes, es un tema que en ciertos lugares es muy poco considerado y en otros prácticamente inexistente. La seguridad no tiene relación solo con el posible ataque de un extraño en Internet hacia la red, sino también lo que los usuarios de las mismas redes pueden hacer en ellas y como afectan al resto. Por este motivo es que el interés se fijó tanto en la protección de la red frente a posibles ataques del exterior como la posibilidad de controlar el contenido que los usuarios revisan en Internet. El trabajo se compone de diversas etapas, de las cuales se pueden destacar: definición del área de interés, búsqueda de una empresa, levantamiento en el área de redes, propuesta de una mejora e implementación de la solución diseñada. La definición del área de estudio se ha descrito en los párrafos anteriores. El paso siguiente es buscar una empresa, para esto se contactó con la empresa Fundo Santa Rosa quienes mostraron interés en recibir soporte para el mejoramiento en su sistema de comunicación vı́a teléfono. Además durante las reuniones llevadas a cabo con trabajadores de la empresa se manifestó la preocupación por la poca seguridad de los contenidos visitados por los usuarios al navegar por Internet. Esto se adecuaba perfectamente a los temas que se deseaban cubrir. Durante la lectura de este trabajo se encontrarán conceptos del área de redes y de la gestión de proyectos, los cuales han sido utilizados para dar una mayor comprensión de lo que involucra el desarrollo de un trabajo de este tipo. De esta forma el proyecto se inicia con el levantamiento de la situación inicial de la red, confección de requerimientos, diseño de una solución y posteriormente la implementación. 2 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral Capı́tulo 2 Objetivos 2.1. Objetivos generales A continuación se indican los objetivos generales del proyecto: Aplicar las metodologı́as de desarrollo de proyectos para poder entregar una solución a las problemáticas encontradas en una empresa. Realizar un proyecto acorde con las caracterı́sticas o estándares correspondientes a la carrera Ingenierı́a en Redes y Comunicación de Datos. Tener una buena comunicación con la empresa o cliente, tanto en la etapa de análisis como en la etapa de implementación para lograr obtener su satisfacción. Aplicar tecnologı́as actuales para dar soluciones que puedan mejorar los procesos y ası́ posicionarse en el mercado actual. 2.2. Objetivos especı́ficos Para poder lograr cumplir los objetivos generales es necesario primero cumplir los siguinetes objetivos especı́ficos: 3 2.2. OBJETIVOS ESPECÍFICOS CAPÍTULO 2. OBJETIVOS Buscar y seleccionar empresa con las caracterı́sticas necesarias para desarrollar proyecto. Establecer relación pública con la empresa para comunicar ideas del proyecto. Realizar inspecciones a la Empresa para conocer espacios, personal, recursos o insumos que faciliten el análisis de la problemática existente el proyecto. Detectar necesidades con los involucrados a través de reuniones para conocer falencias. Analizar y diseñar solución que involucre tanto telefonı́a IP, como seguridad perimetral. Entregar al cliente un análisis de ambas situaciones de la red (pre y post proyecto). Realizar una planificación clara, listando las actividades especı́ficas que se realizarán en el proceso de implementación de solución. Analizar resultados del plan operativo del proyecto. Realizar una topologı́a o esquema de diseño solución para realizar la comparación con la situación actual de la empresa. Implementar un sistema de Telefonı́a IP para la comunicación interna entre las oficinas centrales y el fundo de la empresa Fundo Santa Rosa. Implementar un firewall que permite restringir el acceso a Internet. Implementar un filtro de contenidos que permita controlar el acceso a Internet. Implementar una Red Privada Virtual entre las oficinas centrales y el fundo de la empresa Fundo Santa Rosa. Ejecutar y monitorear plan de acción. 4 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral Capı́tulo 3 Empresa El trabajo de tı́tulo se realizó en la empresa Fundo Santa Rosa la cual se encuentra ubicada en la ciudad de Melipilla, a 60 km de la ciudad de Santiago.. Esta empresa cuenta con sus oficinas centrales en el centro de la ciudad y cuenta con instalaciones en un sector rural aproximadamente a 20 km al interior de la ciudad, ver figura 3.1. El desarrollo de este proyecto se basa en el analisis de la problemática existente en la red corporativa de la empresa, entregando la mejor solución de acuerdo a las necesidades del cliente. Para las comunicaciones referente al proyecto, la empresa ha designado al Sr. Gonzalo De La Fuente Valderrama, jefe de la Planta de Alimento. La empresa cuenta en total con aproximadamente 600 trabajadores de los cuales aproximadamente 70 son usuarios de computador. En la figura 3.2 se puede observar el organigrama de la empresa. 3.1. Infraestructura de hardware Luego de haber realizado un levantamiento en la empresa, se realizó un catastro tanto del equipamiento computacional como el de red existente, el cual se describe a continuación: 1 router Linksys WRT54GL con sistema operativo DD-WRT. 5 3.1. INFRAESTRUCTURA DE HARDWARE CAPÍTULO 3. EMPRESA Figura 3.1: Mapa ubicación Fundo y Oficina Melipilla 7 puntos de acceso Linksys WAP54G. 2 switches Linksys de 16 y 8 bocas respectivamente. 1 cámara IP. 1 servidor IBM con sistema operativo Debian GNU/Linux, aloja aplicación web AGATA (software coorporativo). 13 computadores de los trabajadores con sistema operativo Microsoft Windows. En la figura 3.3 se presenta la topologı́a de la empresa al momento de realizar el levantamiento. Se observa que el router Linksys (equipo indicado con nombre “bart”) es la pasarela hacia Internet, y además el servidor (de archivos, correo y web) llamado “homero” 6 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 3. EMPRESA 3.1. INFRAESTRUCTURA DE HARDWARE Figura 3.2: Organigrama de la empresa Fundo Santa Rosa se encuentra en la misma red que el resto de los computadores. La red utilizada es una red LAN tipo estrella con redes inalámbricas en modo infraestructura. Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 7 3.1. INFRAESTRUCTURA DE HARDWARE CAPÍTULO 3. EMPRESA Figura 3.3: Topologı́a Fundo Santa Rosa 8 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral Capı́tulo 4 Marco teórico El proyecto desarrollado cuenta con diferentes conceptos teóricos importantes que se deben considerar para dar una adecuada lectura a este documento. 4.1. LAN: Redes de Área Local Son redes de propiedad privada de hasta unos cuantos kilómetros de extensión. Por ejemplo una oficina o un centro educativo. Este tipo de redes se utilizan para conectar computadoras personales u otros equipos de red, con objeto de compartir recursos e intercambiar información. La estructura de una red LAN está definida según su topologı́a. Esta es una representación lógica de como los computadores se encuentran conectados a la red. A continuación se menciona cada una de ellas: Topologı́a de bus circular. Topologı́a de anillo. Topologı́a de estrella. Topologı́a en estrella extendida. 9 4.1. LAN: REDES DE ÁREA LOCAL CAPÍTULO 4. MARCO TEÓRICO Topologı́a jerárquica. Topologı́a de malla. La topologı́a utilizada en la solución y que se presentará en este proyecto es la estrella, la cual se define a continuación: 4.1.1. Topologı́a de Estrella La topologı́a estrella es una de las topologı́as más populares actualmente. Corresponde a una red en la cual las estaciones están conectadas directamente a un punto central, en el cual ocurren todas las comunicaciones que se realizan dentro de la red, normalmente este dispositivo es un switch1 . Se utiliza sobre todo para redes locales. La mayorı́a de las redes de área local que tienen un enrutador (router), un conmutador (switch) o un concentrador (hub) siguen esta topologı́a. El nodo central en estas serı́a el enrutador, el conmutador o el concentrador, por el que pasan todos los paquetes2 . En la figura 4.1 se puede apreciar una red con topologı́a estrella. Ventajas de la Topologı́a de estrella Es más tolerante, esto quiere decir que si una computadora se desconecta o si su cable falla solo esa computadora es afectada y el resto de la red mantiene su comunicación normalmente. Es fácil de reconfigurar, añadir o remover una computadora es tan simple como conectar o desconectar un cable en el nodo central. Permite que todos los nodos se comuniquen entre sı́ de manera conveniente. Desventajas de la Topologı́a de estrella Es costosa ya que requiere más cable que la topologı́a Bus y Token Ring. 1 2 10 Dispositivo de red, generalmente de capa 2 Datos de que envı́an los computadores entre sı́ Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 4. MARCO TEÓRICO 4.2. WLAN: REDES INALÁMBRICAS Figura 4.1: Ejemplo de topologı́a de estrella El cable viaja por separado del nodo central a cada computadora. Si el nodo central falla, toda la red se desconecta. 4.2. WLAN: Redes inalámbricas WLAN3 es un sistema de comunicación de datos inalámbrico flexible, muy utilizado como alternativa a las redes LAN cableadas o como extensión de éstas. Utiliza tecnologı́a de radiofrecuencia que permite mayor movilidad a los usuarios al minimizar las conexiones ca3 Wireless Local Area Network o red de área local inalámbrica Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 11 4.2. WLAN: REDES INALÁMBRICAS CAPÍTULO 4. MARCO TEÓRICO bleadas. Las WLAN van adquiriendo importancia en muchos campos, como almacenes o para manufactura, en los que se transmite la información en tiempo real a un servidor central. También son muy populares en los hogares para compartir el acceso a Internet entre varias computadoras. 4.2.1. Tipos de redes WLAN Infraestructura Esta es una configuración tı́pica de WLAN en donde los puntos de acceso (AP) se conectan a la red cableada. El punto de acceso recibe la información, la almacena y la transmite entre la WLAN y la LAN cableada. Un único punto de acceso puede soportar un pequeño grupo de usuarios y puede funcionar entre un rango de treinta metros hasta varios cientos de metros a la redonda. El punto de acceso (o la antena conectada al punto de acceso) es normalmente colocado en alto pero podrı́a colocarse en cualquier lugar en que se obtenga la cobertura de radio deseada. El usuario final accede a la red WLAN a través de adaptadores. Estos proporcionan una interfaz entre el sistema de operación de red del cliente y las ondas. La figura 4.2 muestra este tipo de WLAN Figura 4.2: Red WiFi Infraestructura 12 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 4. MARCO TEÓRICO 4.2. WLAN: REDES INALÁMBRICAS Peer to peer Pueden ser de muy diversos tipos y tan simples o complejas como sea necesario. La más básica se da entre dos ordenadores equipados con tarjetas adaptadoras para WLAN, de modo que pueden poner en funcionamiento una red independiente siempre que estén dentro del área que cubre cada uno. Esto es llamado red de igual a igual (peer to peer). Cada cliente tendrı́a únicamente acceso a los recursos del otro cliente pero no a un servidor central. Este tipo de redes no requiere administración. La figura 4.3) muestra este tipo de WLAN. Figura 4.3: Red WiFi Peer to Peer 4.2.2. Ventajas de las redes WLAN Movilidad: las redes inalámbricas proporcionan a los usuarios de una LAN acceso a la información en tiempo real en cualquier lugar dentro de la organización o el entorno público (zona limitada) en el que están desplegadas. Simplicidad y rapidez en la instalación: la instalación de una WLAN es rápida y fácil y elimina la necesidad de colocar cables a través de paredes y techos. Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 13 4.3. VPN: REDES PRIVADAS VIRTUALES CAPÍTULO 4. MARCO TEÓRICO Flexibilidad en la instalación: La tecnologı́a inalámbrica permite a la red llegar a puntos de difı́cil acceso para una LAN cableada. Escalabilidad: los sistemas de WLAN pueden ser configurados en una variedad de topologı́as para satisfacer las necesidades de las instalaciones y aplicaciones especı́ficas. Las configuraciones son muy fáciles de cambiar y además resulta muy simple la incorporación de nuevos usuarios a la red. 4.2.3. Desventajas de las redes WLAN Mayor vulnerabilidad a interferencias y ataques. En comparación con una LAN tiene un desempeño de menor calidad. 4.3. VPN: Redes privadas virtuales La Red Privada Virtual (RPV), en inglés Virtual Private Network (VPN), es una tecnologı́a de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet. En otras palabras corresponde a una red lógica de computadores unidos a través de Internet. De esta forma al estar conectadas las dos redes mediante una VPN se creará la sensación al usuario que ambas redes están fı́sicamente conectadas, pudiendo compartir recursos (impresoras, archivos, servicios) entre los equipos de las redes de forma transparente. Además las VPN pueden ser provistas de sistemas de seguridad para proteger la información que está viajando por internet, de esta forma se mejora la confidencialidad e integridad de los datos transmitidos por la empresa. 14 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 4. MARCO TEÓRICO 4.3.1. 4.3. VPN: REDES PRIVADAS VIRTUALES Tipos de VPN VPN de acceso remoto: es quizás el modelo más usado actualmente y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando Internet como vı́nculo de acceso. VPN punto a punto: este esquema se utiliza para conectar oficinas remotas con la sede central de la organización. El servidor VPN, que posee un vı́nculo permanente a Internet, acepta las conexiones vı́a Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, tı́picamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vı́nculos punto a punto tradicionales, sobre todo en las comunicaciones internacionales (ver figura 4.4). VPN interna WLAN: este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo “acceso remoto” pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi). 4.3.2. Ventajas de VPN Integridad, confidencialidad y seguridad de datos. Las VPN reducen los costos y son sencillas de usar. Facilita la comunicación entre dos usuarios en lugares distantes. Se puede cursar tráfico de datos, imágenes en movimiento y voz simultáneamente. Puede extenderse a cualquier sitio. Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 15 4.3. VPN: REDES PRIVADAS VIRTUALES CAPÍTULO 4. MARCO TEÓRICO Figura 4.4: Ejemplo de VPN sitio a sitio La capacidad de la red puede crecer gradualmente, según como las necesidades de conexión lo demanden. Si en Internet un enlace se cae o congestiona demasiado, existen rutas alternativas para hacer llegar los paquetes a su destino. 4.3.3. Desventajas de VPN Se deben establecer correctamente las polı́ticas de seguridad y de acceso. Mayor carga en el cliente VPN porque debe encapsular los paquetes de datos y encriptarlos, esto produce una cierta lentitud en las conexiones. No se garantiza disponibilidad (sin Internet no hay VPN). 16 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 4. MARCO TEÓRICO 4.4. VOIP: VOZ SOBRE IP Una VPN se considera segura, pero no hay que olvidar que la información sigue viajando por Internet (de forma no segura y expuesta a ataques). 4.4. VoIP: Voz sobre IP Se llama VoIP al conjunto de tecnologı́as para la transmisión de voz sobre redes que funcionan con el protolo IP4 , también es denominada telefonı́a IP o telefonı́a por Internet. Esto último no significa que solo se pueda utilizar sobre Internet, puesto que al utilizar el protocolo IP podemos implementarla sobre la red informática privada de una empresa. 4.4.1. Ventajas y desventajas Ventajas telefonı́a IP Evita cargos altos de telefonı́a, principalmente larga distancia. No hay que pagarle a las compañı́as telefónicas por la comunicación de Voz, pues solo utilizamos nuestro servicio de Internet. Puede funcionar sobre cualquier tipo red, como lo hacen otros servicios (como web). Existe ı́nter operabilidad de distintos proveedores. Existen distintos protocolos a utilizar, cada uno con sus ventajas y desventajas. Servicio disponible solo con una conexión a Internet. Desventajas Es difı́cil garantizar calidad de servicio, difı́cil lograr una calidad exacta a la de una PSTN. 4 Internet Protocol Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 17 4.4. VOIP: VOZ SOBRE IP CAPÍTULO 4. MARCO TEÓRICO Ya que los datos viajan en forma de paquetes es que pueden existir perdidas de información y demoras en la transmisión. Se debe disponer de un mı́nimo de ancho de banda disponible según la cantidad de usuarios hablando. Dentro de las soluciones de VoIP existentes hemos decidido utilizar Asterisk en el proyecto, este se detalla a continuación. 4.4.2. Central telefónica Asterisk Asterisk es el lı́der en centrales telefónicas de código libre, ofrece flexibilidad respecto a las soluciones propietarias de comunicaciones y ha sido desarrollada para crear una solución avanzada de comunicación. Ventajas Utiliza protocolos estándares y abiertos. El desarrollo de los diversos codecs ha permitido que la voz se codifique cada vez en menos bytes. Funciona como una completa central telefónica, permitiendo tener casillas de voz, contestadora automática, acceso a la PSTN (mediante tarjetas especiales), control de llamadas, registro de llamadas de los usuarios, música en espera, operadora, etc. Elementos a considerar al configurar Asterisk Codificación de audio: existen diversos algoritmos (codecs) que codifican el audio de diferentes formas, el método a utilizar determinará, por ejemplo, la calidad del sonido o la cantidad de ancho de banda necesario para realizar la llamada. Se deberá usar el más adecuado según los requerimientos del cliente. 18 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 4. MARCO TEÓRICO 4.4. VOIP: VOZ SOBRE IP Cancelación de eco: esta caracterı́stica evita que un usuario que este llamando escuche su voz con un desfase. Supresión de silencios: cuando en una llamada los interlocutores no emiten sonido alguno, el “silencio” se puede enviar por la lı́nea, sin embargo esto ocupará ancho de banda, por lo cual se ha de tener presente que se debe evitar esto suprimiendo estos silencios y que no sean enviados por la lı́nea. Protocolos de señalización SIP Corresponde al estándar para el inicio, modificación y termino de sesiones de diversos servicios en redes IP, tales como: video, voz, mensajerı́a instantánea, juegos online y realidad virtual. Codificación de audio Los codecs permiten codificar el audio para poder transmitir por la red un audio comprimido que haga un menor uso de los recursos de la red. El nivel de compresión dependerá del bit-rate, el cual a menor bit-rate5 mayor compresión pero peor calidad. Existen diversos tipos de codecs disponibles, en la figura 4.5 se pueden apreciar algunos de ellos y sus caracterı́sticas. De los codecs de audio disponibles hemos decidido utilizar el G711 por ser un codec que cumple con los requerimientos del cliente y además no posee una licencia restrictiva. Este codec será el utilizado para la comunicación de los equipos de las centrales telefónicas con sus usuarios locales. 5 Bits transmitidos en una unidad de tiempo, por ejemplo 16bps son 16 bits por segundo. Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 19 4.4. VOIP: VOZ SOBRE IP CAPÍTULO 4. MARCO TEÓRICO Figura 4.5: Tabla de codec de audio en telefonı́a IP 20 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral Capı́tulo 5 Entorno y sus fundamentos 5.1. Problemática Dentro de los temas analizados con el personal de la empresa en diversas reuniones realizadas se logró acotar el objetivo del proyecto a puntos especı́ficos. Esto es importante de mencionar, ya que durante el desarrollo de Taller de Tı́tulo 1, se contemplaron muchos posibles temas, como una optimización general de la red, tanto en equipos, software y cableado. Sin embargo por decisión de la empresa el trabajo fue acotado a los temas que se mencionan a continuación. Para lograr conocer cuáles eran los puntos a mejorar se realizó un estudio basado en los problemas que presentaban los usuarios. Esto se realizado mediante entrevistas y reuniones con el personal de la empresa. De estas reuniones surgieron las necesidades que se presentaban respecto al funcionamiento de la red en ese momento. Se detectaron tres puntos importantes: Falta de control y seguridad en el acceso a Internet. Falta de un sistema interno de comunicación entre las dependencias del fundo. Posibilidad de tele trabajo. 21 5.1. PROBLEMÁTICA 5.1.1. CAPÍTULO 5. ENTORNO Y SUS FUNDAMENTOS Seguridad perimetral y filtro de contenido La red de la empresa cuenta con acceso directo a Internet, esto significa que cualquier usuario podı́a navegar libremente por sitios web que fuesen o no relacionados con el ambiente laboral. Esto sumado a los problemas de seguridad que existen hoy en Internet correspondı́a a un tema delicado que afectaba el rendimiento de la red y de las personas. Al no contar con un equipo capaz de realizar un filtrado del contenido todos los dispositivos que ingresan a Internet tienen iguales privilegios en la conexión, o sea acceso completo a la red. Esto representa problemas en la seguridad puesto que los usuarios pueden obtener cualquier tipo de material pudiendo navegar por sitios maliciosos que pueden generar vulnerabilidad a los equipos de los usuarios y potencialmente a otros equipos en la red. Además los usuarios al poder acceder libremente a las páginas web muchas veces navegarán por sitios que no estan vinculados a la empresa. 5.1.2. Problemas de comunicación Se han detectado problemas para realizar una comunicación telefónica eficiente entre los trabajadores de la empresa, especı́ficamente en el fundo. Esto provocado por la ubicación geográfica en donde se encuentra este, ver figura 3.1. En la figura se observa que corresponde a un sector rural, por lo cual no existen proveedores de telefonı́a fija que cubran el lugar. Además por estar el fundo rodeado por dos grandes cerros el servicio de telefonı́a celular es deficiente, habiendo una cobertura limitada de esta. Los problemas de comunicación se pueden dividir en los siguientes: Comunicación interna Es necesario la comunicación de 6 instalaciones, se pueden apreciar estos puntos en la figura 5.1. En la imagen se observa la ubicación de las instalaciones señaladas al interior del fundo de la empresa. Actualmente existe una red de computadores mediante la cual los funcionarios pueden transferir archivos y correo electrónico, sin embargo para realizar comunicación vı́a voz deben recurrir a equipos de radio. 22 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 5. ENTORNO Y SUS FUNDAMENTOS 5.1. PROBLEMÁTICA Figura 5.1: Mapa red inalámbrica en el fundo Comunicación externa Además es necesaria la comunicación con la oficina central de la empresa, en la ciudad de Melipilla. Actualmente esto se realiza mediante telefonı́a celular, sin embargo esta es deficiente en el sector y no existe la posibilidad de telefonı́a fija. 5.1.3. Conexión remota a la red Otro de los puntos que nos hicieron ver los ejecutivos de la empresa fue la necesidad de poder conectarse a través de Internet a la red interna de la empresa, esto con el objetivo de acceder a los equipos y servicios que la componen. Dos servicios importantes son: Aplicación de la empresa, que funciona vı́a web en la Intranet. Servidor con los documentos de las distintas áreas coorporativas. Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 23 5.2. REQUERIMIENTOS 5.2. CAPÍTULO 5. ENTORNO Y SUS FUNDAMENTOS Requerimientos Según el análisis realizado conjuntamente con el cliente, se rescataron los siguientes requerimientos, los cuales son para solucionar la problemática antes detallada, estos consisten en: Evitar que los usuarios tengan libre acceso a Internet. Existiran distintos niveles de privilegios de filtrado de contenido según defina el cliente. Acceder en forma remota a la red de la empresa. Permitir a los trabajadores comunicarse telefonicamente entre sı́ en el interior del fundo y hacia el exterior Implementar una central telefónica que permita a los trabajadores de la empresa comunicarse entre sı́ al interior del fundo. Central telefónica deberá estar comunicada con la red pública de telefonı́a. Generar sistema de comunicación telefónica interna entre el fundo y oficina central. 24 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral Capı́tulo 6 Alcance del proyecto En este capı́tulo se indicará lo que nuestro proyecto de tı́tulo cubrirá, indicando los aspectos formales que tienen relación con responsabilidades por parte del cliente como de quienes ejecutan el proyecto. 6.1. Descripción La solución a implementar corresponde a la instalación y puesta en marcha de equipos capaces de realizar las tareas necesarias para proteger la red desde el exterior, ejercer un control a nivel de contenido sobre lo que los usuarios pueden realizar en internet y además la implementación de centrales de telefonı́a IP para ayudar en la comunicación entre los trabajadores de la empresa. El proyecto está compuesto de las siguientes etapas: Configuración de firewall: Se instalarán y configurarán dos firewall para generar polı́ticas de acceso a Internet, filtro de contenido de páginas web y por otra parte polı́ticas de acceso para proteger la red interna. Instalación de VPN: La instalación de la red VPN será para unir la Oficina Central con el Fundo, además se considerará la necesidad de clientes que deseen conectarse desde redes externas a la empresa. 25 6.2. LIMITACIONES CAPÍTULO 6. ALCANCE DEL PROYECTO Central telefónica: Se considerará la instalación de dos servidores en los cuales se instalará el software que realizara las tareas de comunicación de voz sobre ip y los equipos terminales de telefonı́a IP. Segmentación de red: Incluirá la separación de la granja de servidores de la red corporativa. 6.2. Limitaciones Las siguientes son limitaciones impuestas por el cliente al diseño del proyecto: Se deberá utilizar la actual red implementada en ambos lugares, proyecto no debe contemplar cambios gruesos al cableado o instalaciones inalámbricas. Horario de trabajo en terreno solo fuera de horario de oficina, esto significa sábado o domingo. Se debe capacitar al personal de la empresa para la mantención futura de los equipos instalados. 6.3. Factores crı́ticos de éxito A continuación se mencionan aquellos factores que serán decisivos y podrı́an comprometer el correcto desarrollo del proyecto. Responder a los tiempos dispuestos o estipulados al inicio del proyecto. Tener a disposición el hardware necesario antes de la fecha dispuesta para la configuración de estos. Realizar pruebas de funcionalidad en las etapas correspondientes de la implementación. Responder a los requerimientos funcionales solicitados por la empresa. 26 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 6. ALCANCE DEL PROYECTO 6.3. FACTORES CRÍTICOS DE ÉXITO El cliente realice pruebas de satisfacción luego de las pruebas internas de implementación. Realizar correcciones a los problemas encontrados al realizar la implementación. Realizar capacitación al personal antes dispuesto, para que opere el equipamiento instalado. Cortes de energı́a electrı́ca podrı́an afectar el funcionamiento del sistema. Disponer de una conexión a Internet al menos en los horarios de trabajo. Realizar respaldos del sistema, a fin de evitar problemas en caso de fallas por hardware. Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 27 6.3. FACTORES CRÍTICOS DE ÉXITO 28 CAPÍTULO 6. ALCANCE DEL PROYECTO Implementación Sistema de Telefonı́a IP y Seguridad Perimetral Capı́tulo 7 Diseño de solución Estudiando la problemática detectada en la empresa se preparó una solución al problema. En este capı́tulo se muestra el diseño en detalle de la solución que cumple con los requerimientos del cliente. En la figura 7.1 se puede apreciar una visión global del diseño final a implementar, el cual incluye la solución al problema de telefonı́a, seguridad perimetral y conexión remota. Figura 7.1: Modelo de red propuesto 29 7.1. DIAGRAMA DE FLUJO 7.1. CAPÍTULO 7. DISEÑO DE SOLUCIÓN Diagrama de flujo Para un mejor entendimiento del modelo de red propuesto se presentan diferentes diagramas de flujo, los cuales ayudarán a la comprensión de la solución planteada: Diagrama flujo firewall: ver figura 7.2. Diagrama flujo proxy: ver figura 7.3. Diagrama flujo central telefónica: ver figura 7.4. 7.2. Firewall Existe la necesidad de instalación en ambos sectores de un Firewall que separe la red LAN de Internet, ver figura 7.5. Para esto se realizará la instalación de un firewall utilizando Debian GNU/Linux1 , dentro de las ventajas presentes está el hecho que es una solución económica si la comparamos con un firewall comercial y tan robusta como estos últimos. El firewall cumplirá diversas funciones: Filtrado utilizando IPTables. VPN utilizando OpenVPN. Proxy transparente utilizando Squid. Router utilizando rutas estáticas. Para el cumplimiento de lo anterior se implementarán sobre dos servidores que dispondrán de tres tarjetas de red, una conectada hacia internet, otra a la zona desmilitarizada (dmz, donde se encontrarán los servidores de la empresa) y la última hacia la red corporativa. Mediante el software squid, iptables y openvpn se lograrán los objetivos planteados para estos equipos. 1 30 http://www.debian.org Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 7. DISEÑO DE SOLUCIÓN 7.2. FIREWALL La ventaja principal será mejorar las horas productivas en la empresa, ya que al tener libre acceso los usuarios pueden malgastar tiempo. Además se protegerá la red desde posibles ataques del exterior. 7.2.1. IPTables IPTables es parte de un software llamado NetFilter disponible en el núcleo de las distribuciones GNU/Linux. Corresponde a una herramienta, principalmente de capa 3 en el modelo OSI de redes, que permitirá generar diversas reglas de seguridad y usos de la red. Entre estas se encuentran: Enmascaramiento de IPs privada con la IP pública para la utilización de NAT. Bloqueo de puertos e IP desde y hacia Internet. Redireccionamiento de solicitudes web al proxy Squid. Con esto se permitirá que el administrador de la red pueda definir nuevas polı́ticas de una manera sencilla y efectiva comparado con lo que se podrı́a lograr con un equipo SOHO2 7.2.2. OpenVPN La VPN se utilizará para crear un enlace sitio a sitio entre el fundo y Melipilla, esto permitirá que usuarios de ambas redes esten conectados como si estuviesen en la misma red. Además se creará un acceso para clientes remotos3 , permitiendo con esto además que los trabajadores autorizados puedan ingresar a la red corporativa. Ambos tipos de VPN (sitio a sitio, ver figura 7.6, y para clientes remotos) utilizarán un canal comprimido y encriptado. En el caso del tunel sitio a sitio se utilizará una clave compartida y en los clientes remotos un certificado digital. 2 3 SOHO: Small Office Home Office, equipos de menor rendimiento y capacidades de configuración. Usuarios que se conectan desde diversos puntos de Internet Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 31 7.2. FIREWALL CAPÍTULO 7. DISEÑO DE SOLUCIÓN Se ha elegido utilizar OpenVPN por su simpleza, tanto en su configuración y administración. Además será sencillo para el administrador de red poder expandir el sistema, creando nuevos usuarios que requieran conectarse. Otro punto importante es que permite transportar protocolos como IPX, el cual es utilizado por otra aplicación dentro de la empresa. Si bien el uso de IPX en la VPN no es parte de los requerimientos entregados por el cliente, es un tema que se podrı́a implementar en el futuro. 7.2.3. Squid Para la implementación del filtro de contenidos se usó Squid que corresponde a un proxy4 , este tiene diferentes caracterı́sticas, las cuales se pueden resumir en dos grupos: Caché para sitios web: mediante esta opción cuando un usuario solicita un sitio, si existe almacenado en el servidor proxy se obtiene desde ahı́, sino se busca en Internet. Ayuda a optimizar el uso de la conexión hacia Internet. Filtro de contenidos: permite o deniega contenido web a los usuarios de la red. Es necesario llevar un registro de los sitios que visitan los usuarios, esto para posteriormente poder realizar alguna especie de revisión y control. Es por esto que toda solicitud web (puerto 80) deberá ser redireccionada por el firewall al proxy, el cual de forma transparente, descargará el sitio para el usuario que lo requiera. A medida que se vayan detectando usos indebidos de Internet se deberán ir creando restricciones, para esto se crearán 3 ACL5 básicas dentro de Squid: Sitios denegados: url que no pueden ser accedidas. Sisitos autorizados. url que deben ser permitidas. IP libres: usuario VIP, a los cuales no se les aplica ninguna restricción. 4 5 32 Usuarios podrán acceder a Internet a través de este equipo Access control list: listas de control de acceso Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 7. DISEÑO DE SOLUCIÓN 7.3. CENTRAL TELEFÓNICA A pesar de existir usuarios VIP, el registro será para todos los usuarios. Por lo cual a ellos también se les llevará un listado de los sitios que visiten. Además se contempla la implementación de blacklist6 , de esta forma y de manera automática se irán actualizando y bloqueando sitios que no deben ser visitados. 7.3. Central telefónica En la actualidad no es posible la utilización de telefonı́a tradicional en el fundo y la celular es deficiente, esto debido a las condiciones geográficas que existen en el lugar. Por estas razones se ha determinado que la solución viable en estos momentos es la comunicación mediante telefonı́a IP. Para cumplir este objetivo se instalarán centrales de telefonı́a IP en ambos puntos, tanto en el fundo como en la oficina central. Esta central proveerá el servicio de telefonı́a privada dentro del sector pudiendo utilizar los enlaces de red ya existentes en los lugares que sea necesario comunicar. Dentro de las soluciones de VoIP se trabajará con Asterik7 . Las principales ventajas al utilizar Asterisk son: Control eficiente de las cuentas de telefonı́a. Comunicación desde cualquier lugar con una única cuenta de telefonı́a. Utiliza infraestructura de red ya existente. Escalable, ya que permite un gran crecimiento. Interconexión entre centrales telefónicas. Dentro de los servicios solicitados por el cliente y que serán configurados están: Conexión a la PSTN8 . 6 Listas negras: archivos con direcciones potencialmente peligrosas http://es.wikipedia.org/wiki/Asterisk 8 Red de telefonı́a tradicional 7 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 33 7.3. CENTRAL TELEFÓNICA CAPÍTULO 7. DISEÑO DE SOLUCIÓN Menú IVR9 . Buzón de voz. Registro de llamadas cursadas. Conexión con otras centrales de telefonı́a. Estos servicios serán explicados a continuación. 7.3.1. Empresa VOIP externa La conexión con la PSTN en el fundo se realizará mediante un proveedor de servicios de VoIP externo. El cual entregará una numeración válida en la red telefónica pública y el será el proveedor del servicio de telefonı́a a la red tradicional. Mediante un análisis de costos y los posibles proveedores, se ha decidido ofrecer la conexión a través de la empresa RedVoiss ya que provee del servicio que se requiere a bajos costos. El valor del servicio representará una disminución en los costos de telefonı́a. Sin embargo estos ahorros se notarán fuertemente si la empresa realiza llamas internacionales, ya que en este tipo de llamadas se puede alcanzar un ahorro de hasta un 70 %. En el caso de las llamas nacionales el ahorro corresponde a aproximadamente un 20 %. 7.3.2. Menú interactivo Se requiere la implementación de un menú interactivo que permita al llamar desde la PSTN poder discar cualquier extensión válida de los usuarios y ser trasladado a ella. Este menú se logrará mediante la creación de reglas en el Dial Plan de Asterisk. 7.3.3. Buzón de voz Se implementará un sistema de buzón de voz de manera que un usuario al estar ocupado o no disponible pueda recibir igualmente el mensaje de la llamada. Lo importante aquı́ es que 9 34 Interactive Voice Response Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 7. DISEÑO DE SOLUCIÓN 7.3. CENTRAL TELEFÓNICA este mensaje debe llegar al correo electrónico del dueño del anexo. Para esto se utilizará la opción de VoiceMail de Asterisk que permite tanto el almacenaje de los mensajes en el servidor de telefonı́a como el envio vı́a email de los mismos. 7.3.4. Estadı́sticas de llamadas Un tema importante que esta presente en la solución planteada es el control que se logrará tener sobre las llamadas que van a generar los trabajadores y el registro controlado de los usuarios. Esto implicará poder determinar por ejemplo quienes utilizan el sistemas, cuanto tiempo, en que horarios, ayudando a determinar si el uso de las llamadas es por motivos laborales o el sistema se esta usando con otros fines, lo cual no es posible con el sistema actual. Para el registro se utilizará una aplicación web llamada Asterisk-Stat que permite generar reportes leyendo la información entregada por Asterisk CDR10 . Los reportes incluyen gráficos, reportes diarios, tiempos de mayor uso de la red, entre otras capacidades. 7.3.5. Protocolo para troncal entre centrales IAX es el protocolo propio de Asterisk que se utiliza para la transferencia de llamadas entre centrales Asterisk. Se utilizará para unir las dos centrales telefónicas (fundo y oficina central). De esta forma usuarios de ambas centrales podrán llamar entre sı́. Una caracterı́stica importante aquı́ es que para el usuario debe ser transparente la forma de llamar, o sea, no se han de considerar prefijos de marcado, a pesar que son 2 centrales distintas. Esto se solucionará utilizando en el fundo la red de anexos 1XX y en Melipilla la 2XX. De esta forma, Asterisk, internamente manejará las extensiones de forma transparente para el usuario. 10 Call Detail Record Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 35 7.3. CENTRAL TELEFÓNICA CAPÍTULO 7. DISEÑO DE SOLUCIÓN Figura 7.2: Flujo funcionamiento del firewall 36 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 7. DISEÑO DE SOLUCIÓN 7.3. CENTRAL TELEFÓNICA Figura 7.3: Flujo funcionamiento del proxy Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 37 7.3. CENTRAL TELEFÓNICA CAPÍTULO 7. DISEÑO DE SOLUCIÓN Figura 7.4: Flujo funcionamiento de la central telefónica 38 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 7. DISEÑO DE SOLUCIÓN 7.3. CENTRAL TELEFÓNICA Figura 7.5: Ubicación y funcionamiento de un firewall Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 39 7.3. CENTRAL TELEFÓNICA CAPÍTULO 7. DISEÑO DE SOLUCIÓN Figura 7.6: VPN sitio a sitio 40 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral Capı́tulo 8 Plan de trabajo 8.1. Etapas En la siguiente sección se indicarán las etapas que contiene la solución que se entregará, para ello indicamos el listado de actividades a continuación: 1. Instalación de Firewall y filtro de contenidos. 2. Interconexión mediante VPN. 3. Configuración Servidor Asterisk en Fundo. 4. Configuración Servidor Asterisk en Oficina Central. 5. Implementación de troncales entre Centrales VoIP. 6. Acceso de Central Fundo a PSTN. Es necesario mencionar que esta lista de actividades nos entrega la forma secuencial en que se realizará dicha implementación, a continuación se entrega el detalle de cada Actividad: 8.1.1. Instalación de Firewall y filtro de contenidos En esta actividad se realizará la configuración del Firewall y el filtro de contenido, con las respectivas polı́ticas de seguridad, según los requerimientos indicados por el cliente. Se 41 8.1. ETAPAS CAPÍTULO 8. PLAN DE TRABAJO crearán las restricciones para evitar el acceso indeseado a ciertos puertos y además la creación de listas negras para prohibir sitios web a los empleados. 8.1.2. Interconexión mediante VPN En esta etapa se realizará la configuración de la VPN, para que funcione como sitio a sitio y para tele trabajo. Con esto se conseguirá la conexión de un trabajador a la red de la empresa desde una ubicación pública en Internet. 8.1.3. Configuración Servidor Asterisk en Fundo En esta parte se realizará tanto la instalación como la configuración de Asterisk, para que funcione como central telefónica en las dependencias del fundo. Esto incluirá la creación de las cuentas SIP de los usuarios, casillas de voz, plan de marcado y estadı́sticas de llamadas. 8.1.4. Configuración Servidor Asterisk en Oficina Central En esta actividad se realizará el mismo procedimiento detallada en la actividad anterior, pero en la oficina central ubicada en Melipilla. 8.1.5. Implementación de troncales entre Centrales VoIP En esta etapa se realizará la configuración para realizar la conexión o comunicación entre ambas centrales telefónicas (Fundo Santa Rosa y Oficina central). Esto se llevará a cabo mediante el protocolo propio de Asterisk IAX. 8.1.6. Acceso de Central Fundo a PSTN En este paso se realizará la comunicación de la central telefónica ubicada en el fundo con la empresa de telefonı́a externa, la cual entregará el servicio de acceso a la red pública de telefonı́a. 42 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 8. PLAN DE TRABAJO 8.2. 8.2. RECURSOS Recursos A continuación detallaremos los recursos incurridos en el proyecto realizado: Recurso Humano El Recurso Humano a utilizar esta indicado en los cargos incurridos en la lista de actividades ya antes detallada, este personal deberá estar debidamente capacitado para realizar las actividades correspondientes. Se debe mencionar que el personal humano será en gran parte el grupo de trabajo del proyecto, los cuales en las distintas etapas cumplirán diferentes roles. Recurso de Software Todo el software a utilizar en el proyecto es libre, por lo cual es de fácil acceso para la implementación. El tipo de licencia a utilizar, en la mayorı́a de los casos, es la GPL1 , se puede encontrar una copia de esta licencia en el siguiente enlace http://www.viti.es/gnu/licenses/gpl.html Dentro de las ventajas de la utilización de software libre se encuentran: Libertad de uso y distribución. Independencia tecnológica. Sujeto a estándares. Soporte y compatibilidad a largo plazo. Sistemas seguros y rápida corrección de fallos. No se incurrirá en costos por el software a utilizar Recurso de Hardware El hardware necesario para el proyecto fue informado al cliente, el cual decidió acotarlo y finalmente se decidió utilizar lo que se detalla a continuación: 1 General Public License Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 43 8.2. RECURSOS CAPÍTULO 8. PLAN DE TRABAJO 2 Equipos para centrales Telefónicas: procesador 2GHz, 1 Gb RAM, 160 GB disco duro, 1 tarjeta de red 1000Mbps. 2 Equipos para Firewall: procesador 2GHz, 2 Gb RAM, 160 GB disco duro, 2 tarjetas de red 1000Mbps, 1 tarjeta de red 100Mbps. 4 Teléfonos IP. Cables de red y conectores. 44 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral Capı́tulo 9 Implementación A continuación se mencionan las actividades necesarias para la implementación del proyecto, en caso de ser necesario se han adjuntado en el anexo A ejemplos de las configuraciones realizadas en los equipos. 9.1. Estudios protocolos y software Es necesario realizar un estudio de los protocolos que se utilizarán, el software y el diseño, de tal forma de estar preparados para realizar una instalación y configuración rápida. Durante esta etapa se hará un estudio teórico. 9.2. Reunión implementación Durante esta reunión se definiran aspectos que tienen relación con los objetivos y necesidades que se buscan cumplir. Por ejemplo se han de indicar el tipo de sitios webs que serán restringidos, la cantidad de anexos que deberán ser habilitados o el tipo de tráfico que se deberá permitir hacia Internet. Aspectos relacionados directamente con el uso que se le dará a los sistemas instalados. 45 9.3. FIREWALL FUNDO 9.3. 9.3.1. CAPÍTULO 9. IMPLEMENTACIÓN Firewall Fundo Instalación Sistema Operativo Se debe realizar la instalación del sistema operativo Debian GNU/Linux. Ya que el uso será para un ambiente servidor se utilizará una instalación por red, de esta forma se instalarán solo los paquetes básicos del sistema. Cualquier otro software será instalado cuando sea necesario. Los pasos, básicos, para realizar la instalación son: Configuración tarjeta de red. Particionamiento disco duro (se separará en /, /var y /tmp). Selección de paquetes a instalar. Configuración de usuarios y contraseñas. Esta etapa será necesaria de realizar en el otro firewall y ambas centrales telefónicas. Por lo cual, al estar explicadas en este apartado, se omitirán en las siguientes secciones. 9.3.2. Configuración IPTables Según los requerimientos entregados por el cliente y polı́ticas definidas con el cliente, ver sección 9.2, se deberán realizar las siguientes tareas mediante IPTables: Enmascaramiento de la LAN y DMZ para utilizar NAT. Restriccion del acceso a puertos no conocidos desde la red local. Bloquear el acceso a puertos desde Internet. Bloqueo en capa 3 del acceso de usuarios a Internet. Redirección de solicitudes web al servidor proxy. 46 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 9. IMPLEMENTACIÓN 9.3.3. 9.4. VPN FUNDO Configuración Squid Squid será utilizado por petición del cliente para funcionar como un filtro de contenidos de la red. Para tal objetivo se crearan tres ACL1 , estas permitiran manejar las siguientes opciones: Usuarios VIP: usuarios que no deben ser bloqueados. Sitios aceptados: webs que no deben ser bloqueadas. Sitios bloqueados: sitios web prohibidos. Además se deberá contar con alguna forma de supervisar el acceso web, para esto se utilizarán los logs que genera Squid. Se desarrollará un script que permita de una forma simple acceder a los contenidos visitados por los usuarios. 9.3.4. Instalación y Pruebas Durante esta etapa se instalará fı́sicamente el equipo en las dependencias de la empresa y se realizarán las mismas pruebas hechas para el documento Casos de Prueba (entregado anteriormente) pero esta vez en un ambiente real (no de laboratorio). Esta etapa se deberá realizar con los 4 equipos a instalar (2 firewall y 2 centrales). 9.4. 9.4.1. VPN Fundo Instalación OpenVPN Se deberá realizar la instalación del software Open VPN el cual será configurado, en esta etapa, para permitir el acceso de usuarios desde Internet al interior de la red. 1 Lista de control de acceso Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 47 9.5. CENTRAL TELEFÓNICA FUNDO 9.4.2. CAPÍTULO 9. IMPLEMENTACIÓN Configuración tele trabajo Se definiran usuarios mediante certificados digitales, los cuales podrán acceder a través de un cliente VPN a la red corporativa. Todo el tráfico cursado a través de la VPN será encriptado y comprimido, de esta forma se busca disminuir la cantidad de tráfico efectivo cursado por Internet. 9.5. 9.5.1. Central telefónica Fundo Instalación Asterisk Se debe realizar la instalación de la central telefónica Asterisk. Actualmente la versión estable dentro del sistema Debian GNU/Linux corresponde a la 1.4 y será la que se utilizará. 9.5.2. Habilitación cuentas Se deben crear las cuentas de usuario y sus extensiones, es importante destacar que Asterisk hace diferencia entre ambos puntos, ya que un usuario puede poseer muchas extensiones, por ejemplo podemos tener el usuario Juan que tendrá la extensión 10 y 11 apuntando a él. A pesar de lo anterior se utilizará un esquema donde un usuario tendra una extensión y una casilla de correo. El nombre de usuario corresponderá al número de extensión. Con estas consideraciones se procederá a la habilitación de las cuentas. Cuentas SIP Definición de usuarios dentro del sistema en el archivo /etc/asterisk/sip.conf Ejemplo: [113] ; id del usuario callerid="delaf" ; nombre del usuario md5secret=754ee2a8de2d24e4e7956e7237a2b174 ; clave encriptada context=anexos ; contexto al que pertenece 48 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 9. IMPLEMENTACIÓN 9.5. CENTRAL TELEFÓNICA FUNDO type=friend ; tipo de peer host=dynamic ; desde donde se conectará Habilitación extensiones Corresponde a la asociación que se realizará entre un número de extensión y un usuario, se define en el archivo /etc/asterisk/extensions.conf Ejemplo: exten => 113,1,Dial(SIP/113,30) ; marcar extensión exten => 113,n,Voicemail(113,u) ; no disponible exten => 113,n,Voicemail(113,b) ; ocupado exten => 113,n,Hangup ; colgar Buzón de Voz Se creará una casilla de buzón de mensajes, donde los mensajes serán enviados vı́a correo electrónico al usuario dueño de la extensión. Esto se define en el archivo /etc/asterisk/voicemail.conf Además se debe modificar el archivo extensions.conf para permitir el traslado a buzón en caso de no disponible o ocupado. Esto se puede ver en el ejemplo anterior. Ejemplo: 113 => 113,Esteban De La Fuente Rubio,[email protected] 9.5.3. Estadı́sticas de llamadas Se debe configurar las estádisticas mediante CDR, esto permitirá almacenar las llamadas realizadas por los usuarios de la central. Por defecto Asterisk solo crea un log, por lo cual se deberá cambiar la configuración para que se utilice una base de datos, por ejemplo mysql. Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 49 9.6. EQUIPOS OFICINA CENTRAL 9.5.4. CAPÍTULO 9. IMPLEMENTACIÓN Acceso a la PSTN Configuración mediante un proveedor de servicios externos, en el caso del proyecto se utilizará la empresa RedVoiss. Mediante la cual se tendrá acceso a la PSTN. Enlace RedVoiss Se deberá modificar el archivo sip.conf para permitir el registro de la central en la red de telefonı́a IP externa. Además se modificará extensions.conf para permitir que usuarios dentro de la red puedan salir hacia la PSTN. Menú Interactivo Se debe crear un menú que reciba las llamadas entrantes desde la PSTN y permita que el llamante digite una extensión, para posteriormente ser redireccionado a esta. 9.6. Equipos oficina central Se deberá configurar el firewall y la central telefónica de manera similar a lo realizado en el fundo. 9.6.1. Capacitación SysAdmin La empresa solicitó, posteriormente al análisis de requerimientos del proyecto, que se capacitará a un empleado de planta ubicado en la oficina de Melipilla, esto con el objetivo de que pudiese solucionar problemas en caso de presentarse alguno. Se deberá instruir a un empleado sobre el uso del firewall, especı́ficamente: Comándos básicos de GNU/Linux. Manejo de demonios en GNU/Linux. Redireccionamiento de puertos en IPTables. 50 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 9. IMPLEMENTACIÓN 9.7. VPN SITIO A SITIO Bloqueo de alguna IP para acceder a Internet en IPtables. Modificación de las ACL en Squid. 9.7. 9.7.1. VPN Sitio a Sitio Habilitación en OpenVPN Anteriormente se describieron los pasos para la implementación de una VPN para usuarios remotos. En esta etapa se deberá configurar el software OpenVPN para unir las redes del Fundo y Melipilla. De esta forma se contará con un acceso desde cualquier punto de una red a la otra. Se utilizará una clave precompartida la cual la conocerán ambos firewalls, quienes deberán proporcionar además las rutas necesarias para acceder a la red ubicada en el otro extremo de la VPN. Al igual que en el caso del tele trabajo, el tráfico será comprimido. 9.8. 9.8.1. Troncal IAX Configuración Troncal En las sección 9.5 se describieron los pasos para la implementación de la central telefónica con su propia red de anexos. En esta etapa se deberá crear el troncal IAX en ambas centrales para permitir las llamadas entre una central y otra. Se deberán modificar los archivos iax.conf y extensions.conf, respectivamente definiendo usuarios IAX y como se realizarán las llamadas. Se debe considerar que en el fundo los anexos estarán en el rango 100 a 199 y en Melipilla en el rango 200 a 299, esto permitirá definir en extensións.conf el redireccionamiento hacia el canal IAX. Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 51 9.9. DOCUMENTACIÓN 9.9. CAPÍTULO 9. IMPLEMENTACIÓN Documentación Durante todo el proceso de implementación se deberá ir documentando lo realizado, realizar respaldos de las configuraciones y estas debidamente comentadas. Todo esto con el objetivo de al momento de confeccionar la memoria de titulación disponer de los datos de manera más fácil. Además se deberán crear pequeños tutoriales que indiquen los pasos realizados para obtener el funcionamiento global del sistema. 52 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral Capı́tulo 10 Resultados 10.1. Pruebas A continuación se presentan las pruebas realizadas al sistema una vez que fue implementado. Notas para leer las pruebas: En los resultados de las pruebas se utilizará [...] para indicar que en ese lugar habı́a más texto pero fue considerado poco relevante, por lo cual fue quitado. En los casos de lı́neas que debieron ser cortadas se utilizo \más un espacio. 10.1.1. Pruebas en Fundo Escaneando puertos Utilizando software nmap se han escaneado los puertos que se encuentran abiertos desde la WAN y desde la LAN. Con esto se puede verificar que solo dejemos acceso al equipo en los puertos que hemos determinado en nuestro firewall. Se permite el acceso por SSH desde la LAN, desde la WAN no se permite el acceso, habrá que conectarse mediante la VPN previo a inicar sesión SSH desde Internet. 53 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS killua:~# nmap -A -p1-65000 172.16.1.134 Starting Nmap 4.62 ( http://nmap.org ) at 2009-09-22 21:55 CLT [...] Interesting ports on 172.16.1.134: Not shown: 63973 closed ports, 1026 filtered ports PORT STATE SERVICE VERSION 50178/tcp open rpcbind MAC Address: 00:25:11:1C:21:48 (Unknown) Device type: general purpose Running: Linux 2.6.X OS details: Linux 2.6.13 - 2.6.24 Uptime: 0.027 days (since Tue Sep 22 21:16:52 2009) Network Distance: 1 hop [...] Nmap done: 1 IP address (1 host up) scanned in 25.013 seconds delaf@edward:~$ nmap -A -p1-65000 -PN 10.2.0.1 Starting Nmap 4.62 ( http://nmap.org ) at 2009-09-22 21:51 CLT [...] Interesting ports on 10.2.0.1: Not shown: 64999 filtered ports PORT STATE SERVICE VERSION 22/tcp open ssh (protocol 2.0) [...] Nmap done: 1 IP address (1 host up) scanned in 145.607 seconds Denegar acceso a Internet a ciertos usuarios Para la siguiente prueba se creo una regla en el firewall de tal forma que la IP 10.2.0.201 no tenga acceso a Internet. 54 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 10. RESULTADOS 10.1. PRUEBAS iptables -A FORWARD -s 10.2.0.201/32 -o $WAN_IF -j DROP Luego se verifico desde el cliente que efectivamente podı́a acceder a la LAN y a la DMZ pero no hacia el exterior. delaf@edward:~$ sudo ifconfig eth0 | grep addr: inet addr:10.2.0.201 Bcast:10.2.1.255 Mask:255.255.254.0 inet6 addr: fe80::21e:ecff:fe39:d593/64 Scope:Link delaf@edward:~$ sudo route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.2.0.0 0.0.0.0 255.255.254.0 U 0 0 0 eth0 0.0.0.0 10.2.0.1 0.0.0.0 UG 0 0 0 eth0 delaf@edward:~$ ping 172.16.1.1 PING 172.16.1.1 (172.16.1.1) 56(84) bytes of data. ^C --- 172.16.1.1 ping statistics --2 packets transmitted, 0 received, 100% packet loss, time 1013ms delaf@edward:~$ ping 10.2.0.1 PING 10.2.0.1 (10.2.0.1) 56(84) bytes of data. 64 bytes from 10.2.0.1: icmp_seq=1 ttl=64 time=0.107 ms 64 bytes from 10.2.0.1: icmp_seq=2 ttl=64 time=0.095 ms ^C --- 10.2.0.1 ping statistics --2 packets transmitted, 2 received, 0% packet loss, time 1000ms rtt min/avg/max/mdev = 0.095/0.101/0.107/0.006 ms delaf@edward:~$ ping 10.2.2.1 PING 10.2.2.1 (10.2.2.1) 56(84) bytes of data. 64 bytes from 10.2.2.1: icmp_seq=1 ttl=64 time=0.084 ms Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 55 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS 64 bytes from 10.2.2.1: icmp_seq=2 ttl=64 time=0.095 ms ^C --- 10.2.2.1 ping statistics --2 packets transmitted, 2 received, 0% packet loss, time 999ms rtt min/avg/max/mdev = 0.084/0.089/0.095/0.010 ms DHCP estático Dentro del archivo de configuració de DHCP se han definido asignaciones de IP estáticas mediante la MAC de los equipos, en esta prueba se verifica que se ha asignado efectivamente la IP que corresponde al equipo. host edward-eth { hardware ethernet 00:1e:ec:39:d5:93; fixed-address 10.2.0.201; } delaf@edward:~$ sudo ifconfig eth0 eth0 Link encap:Ethernet inet addr:10.2.0.201 HWaddr 00:1e:ec:39:d5:93 Bcast:10.2.1.255 Mask:255.255.254.0 [...] Sitios web denegados y sitios permitidos Se muestra parte del log /var/log/squid/access.log donde se ve como una web es dejada pasar (www.google.cl) y otra es bloqueada (www.emol.com), además en las figuras 10.1 y 10.2 se aprecian los respectivos resultados. 1253655549.890 0 10.1.0.91 TCP_HIT/200 8152 GET http://www.google.cl/intl \ /en_com/images/logo_plain.png - NONE/- image/png 1253655549.918 980 10.1.0.91 TCP_MISS/200 4000 GET http://www.google.cl/ - \ DIRECT/208.69.32.230 text/html 56 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 10. RESULTADOS 1253655550.093 10.1. PRUEBAS 0 10.1.0.91 TCP_HIT/200 5971 GET http://www.google.cl/imag \ es/nav_logo7.png - NONE/- image/png 1253655551.528 482 10.1.0.91 TCP_MISS/204 424 GET http://www.google.cl/csi? \ - DIRECT/208.69.32.231 text/html 1253655551.533 598 10.1.0.91 TCP_MISS/200 3609 GET http://www.google.cl/ext \ ern_chrome/ac8f3578e9ba214e.js - DIRECT/208.69.32.230 text/html 1253655551.892 554 10.1.0.91 TCP_MISS/204 293 GET http://clients1.google.cl \ /generate_204 - DIRECT/74.125.65.102 text/html [...] 1253655706.201 179 10.1.0.91 TCP_DENIED/403 1376 GET http://www.emol.com/ - \ NONE/- text/html 1253655706.389 0 10.1.0.91 TCP_DENIED/403 1399 GET http://www.emol.com/fav \icon.ico - NONE/- text/html Interfaces de red firewall A continuación se muestran las interfaces de red, tanto fı́sicas, lógicas y de túnel disponibles en el firewall bart. bart:~# ifconfig eth0 Link encap:Ethernet HWaddr 00:25:11:1b:25:0a inet addr:192.168.30.100 Bcast:192.168.30.255 Mask:255.255.255.0 [...] eth1 Link encap:Ethernet inet addr:10.1.0.1 HWaddr 00:21:91:21:28:61 Bcast:10.1.1.255 Mask:255.255.254.0 [...] eth2 Link encap:Ethernet HWaddr 00:21:91:8c:fe:69 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 57 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS Figura 10.1: Squid permitió acceso a www.google.cl inet addr:10.1.2.1 Bcast:10.1.2.15 Mask:255.255.255.240 [...] lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 [...] tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.99.99.1 P-t-P:10.99.99.2 Mask:255.255.255.255 [...] tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 [...] 58 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 10. RESULTADOS 10.1. PRUEBAS Figura 10.2: Squid denegó acceso a www.emol.cl Tabla de rutas en los firewalls La siguiente tabla muestra la redes y como llegar a ellas desde bart (firewall 1), análogamente existe una tabla similar para krusty. bart:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref 10.97.97.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun1 10.99.99.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 10.2.2.0 10.99.99.2 255.255.255.240 UG 0 0 0 tun0 10.1.2.0 0.0.0.0 255.255.255.240 U 0 0 0 eth2 10.97.97.0 10.97.97.2 255.255.255.0 UG 0 0 0 tun1 192.168.30.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral Use Iface 59 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS 10.98.98.0 10.99.99.2 255.255.255.0 UG 0 0 0 tun0 10.2.0.0 10.99.99.2 255.255.254.0 UG 0 0 0 tun0 10.1.0.0 0.0.0.0 255.255.254.0 U 0 0 0 eth1 0.0.0.0 192.168.30.1 0.0.0.0 UG 0 0 0 eth0 Tabla de rutas en firewall 2, alias krusty. krusty:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.99.99.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 10.98.98.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun1 10.2.2.0 0.0.0.0 255.255.255.240 U 0 0 0 eth2 10.1.2.0 10.99.99.1 255.255.255.240 UG 0 0 0 tun0 172.16.1.128 0.0.0.0 255.255.255.192 U 0 0 0 eth0 10.97.97.0 10.99.99.1 255.255.255.0 UG 0 0 0 tun0 10.98.98.0 10.98.98.2 255.255.255.0 UG 0 0 0 tun1 10.2.0.0 0.0.0.0 255.255.254.0 U 0 0 0 eth1 10.1.0.0 10.99.99.1 255.255.254.0 UG 0 0 0 tun0 0.0.0.0 172.16.1.129 0.0.0.0 UG 0 0 0 eth0 Conexión sitio a sitio En esta prueba se realizó un ping desde un equipo cliente desde la red 2 al firewall en la red 1, esto se hizo utilizando como dirección de destino (para el ping) la IP de la LAN del firewall 1. Como se podrá observar el cliente se encuentra en la red 10.2.0.0/23 y en su tabla de rutas NO existe una ruta válida para la red 10.1.0.0/23, se llega mediante la VPN sitio a sitio entre el firewall 1 y el firewall 2. delaf@edward:~$ sudo ifconfig eth0 | grep addr: inet addr:10.2.0.201 60 Bcast:10.2.1.255 Mask:255.255.254.0 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 10. RESULTADOS 10.1. PRUEBAS delaf@edward:~$ sudo route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.2.0.0 0.0.0.0 255.255.254.0 U 0 0 0 eth0 0.0.0.0 10.2.0.1 0.0.0.0 UG 0 0 0 eth0 delaf@edward:~$ ping 10.1.0.1 PING 10.1.0.1 (10.1.0.1) 56(84) bytes of data. 64 bytes from 10.1.0.1: icmp_seq=1 ttl=63 time=85.5 ms 64 bytes from 10.1.0.1: icmp_seq=2 ttl=63 time=69.6 ms 64 bytes from 10.1.0.1: icmp_seq=3 ttl=63 time=47.6 ms 64 bytes from 10.1.0.1: icmp_seq=4 ttl=63 time=57.1 ms 64 bytes from 10.1.0.1: icmp_seq=5 ttl=63 time=62.2 ms ^C --- 10.1.0.1 ping statistics --5 packets transmitted, 5 received, 0% packet loss, time 4016ms rtt min/avg/max/mdev = 47.653/64.436/85.537/12.752 ms Log openvpn-roadwarrior.log Se muestra a continuación el log correspondiente al inicio de sesión y autenticación de un cliente móvil (roadwarrior) en la VPN. Tue Sep 22 22:15:39 2009 us=719179 MULTI: multi_create_instance called Tue Sep 22 22:15:39 2009 us=719239 200.83.234.243:38951 Re-using SSL/TLS context Tue Sep 22 22:15:39 2009 us=719318 200.83.234.243:38951 Control Channel MTU parms \ [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ] Tue Sep 22 22:15:39 2009 us=719334 200.83.234.243:38951 Data Channel MTU parms \ [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ] Tue Sep 22 22:15:39 2009 us=719369 200.83.234.243:38951 Local Options String: \ ’V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth SHA1 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 61 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS \ ,keysize 128,key-method 2,tls-server’ Tue Sep 22 22:15:39 2009 us=719380 200.83.234.243:38951 Expected Remote Options \ String: ’V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth \ SHA1,keysize 128,key-method 2,tls-client’ Tue Sep 22 22:15:39 2009 us=719402 200.83.234.243:38951 Local Options hash \ (VER=V4): ’239669a8’ Tue Sep 22 22:15:39 2009 us=719419 200.83.234.243:38951 Expected Remote Options \ hash (VER=V4): ’3514370b’ RTue Sep 22 22:15:39 2009 us=719456 200.83.234.243:38951 TLS: Initial packet from \ 200.83.234.243:38951, sid=67c838a9 301bfe81 Tue Sep 22 22:15:45 2009 us=502065 200.83.234.243:38951 VERIFY OK: depth=1, \ /C=CL/ST=Metropolitana/L=Pallocabe__Melipilla/O=Fundo_Santa_Rosa/CN=bart Tue Sep 22 22:15:45 2009 us=502189 200.83.234.243:38951 VERIFY OK: depth=0, \ /C=CL/ST=Metropolitana/O=Fundo_Santa_Rosa/CN=delaf Tue Sep 22 22:15:47 2009 us=974970 200.83.234.243:38951 Data Channel Encrypt: \ Cipher ’BF-CBC’ initialized with 128 bit key Tue Sep 22 22:15:47 2009 us=974999 200.83.234.243:38951 Data Channel Encrypt: \ Using 160 bit message hash ’SHA1’ for HMAC authentication Tue Sep 22 22:15:47 2009 us=975050 200.83.234.243:38951 Data Channel Decrypt: \ Cipher ’BF-CBC’ initialized with 128 bit key Tue Sep 22 22:15:47 2009 us=975064 200.83.234.243:38951 Data Channel Decrypt: \ Using 160 bit message hash ’SHA1’ for HMAC authentication WWWRWRRRTue Sep 22 22:15:48 2009 us=113985 200.83.234.243:38951 Control Channel: \ TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA Tue Sep 22 22:15:48 2009 us=114014 200.83.234.243:38951 [delaf] Peer Connection \ Initiated with 200.83.234.243:38951 Tue Sep 22 22:15:48 2009 us=114071 delaf/200.83.234.243:38951 MULTI: Learn: \ 10.97.97.6 -> delaf/200.83.234.243:38951 62 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 10. RESULTADOS 10.1. PRUEBAS Tue Sep 22 22:15:48 2009 us=114085 delaf/200.83.234.243:38951 MULTI: primary \ virtual IP for delaf/200.83.234.243:38951: 10.97.97.6 RTue Sep 22 22:15:49 2009 us=217453 delaf/200.83.234.243:38951 PUSH: Received \ control message: ’PUSH_REQUEST’ Tue Sep 22 22:15:49 2009 us=217530 delaf/200.83.234.243:38951 SENT CONTROL [delaf]: \ ’PUSH_REPLY,route 10.1.0.0 255.255.254.0,route 10.1.2.0 255.255.255.240,route \ 10.2.0.0 255.255.254.0,route 10.2.2.0 255.255.255.240,route 10.98.98.0 \ 255.255.255.0,route 10.97.97.0 255.255.255.0 logs,route 10.97.97.1,topology \ net30,ping 10,ping-restart 60,ifconfig 10.97.97.6 10.97.97.5’ (status=1) [...] Ping desde cliente roadwarrior a VPN El cliente se encuentra fuera de la red, simulando como si estuviese en Internet. Y se conecta como roadwarrior a la VPN en el firewall 1. Se muestra la IP del cliente, que no corresponde a ninguno de los rangos de las redes coorporativas y en la tabla de ruta se observa que para llegar a la red 10.0.0.0/8 (que incluye a la red 10.1.0.0/23 y a la red 10.2.0.0/23), el cliente debe conectarse a través de la interfaz de la VPN tun0. delaf@edward:~$ sudo ifconfig ath0 | grep addr: inet addr:172.16.1.20 Bcast:172.16.1.63 Mask:255.255.255.192 inet6 addr: fe80::21b:9eff:feeb:16af/64 Scope:Link delaf@edward:~$ sudo ifconfig tun0 | grep addr: inet addr:10.97.97.6 P-t-P:10.97.97.5 Mask:255.255.255.255 delaf@edward:~$ sudo route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref 190.196.19.30 172.16.1.1 255.255.255.255 UGH 0 0 0 ath0 172.16.1.0 0.0.0.0 255.255.255.192 U 0 0 0 ath0 169.254.0.0 0.0.0.0 255.255.0.0 0 0 0 eth0 U Implementación Sistema de Telefonı́a IP y Seguridad Perimetral Use Iface 63 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS 10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 tun0 0.0.0.0 172.16.1.1 0.0.0.0 UG 0 0 0 ath0 0.0.0.0 0.0.0.0 0.0.0.0 U 1000 0 0 eth0 delaf@edward:~$ ping 10.1.0.1 PING 10.1.0.1 (10.1.0.1) 56(84) bytes of data. 64 bytes from 10.1.0.1: icmp_seq=1 ttl=64 time=50.4 ms 64 bytes from 10.1.0.1: icmp_seq=2 ttl=64 time=54.5 ms 64 bytes from 10.1.0.1: icmp_seq=3 ttl=64 time=44.1 ms 64 bytes from 10.1.0.1: icmp_seq=4 ttl=64 time=50.5 ms 64 bytes from 10.1.0.1: icmp_seq=5 ttl=64 time=41.5 ms 64 bytes from 10.1.0.1: icmp_seq=6 ttl=64 time=56.0 ms ^C --- 10.1.0.1 ping statistics --6 packets transmitted, 6 received, 0% packet loss, time 5022ms rtt min/avg/max/mdev = 41.541/49.552/56.080/5.201 ms delaf@edward:~$ ping 10.1.2.2 PING 10.1.2.2 (10.1.2.2) 56(84) bytes of data. 64 bytes from 10.1.2.2: icmp_seq=1 ttl=63 time=60.4 ms 64 bytes from 10.1.2.2: icmp_seq=2 ttl=63 time=46.3 ms 64 bytes from 10.1.2.2: icmp_seq=3 ttl=63 time=58.7 ms ^C --- 10.1.2.2 ping statistics --3 packets transmitted, 3 received, 0% packet loss, time 2006ms rtt min/avg/max/mdev = 46.356/55.187/60.413/6.285 ms Acceso a recursos de la red desde la VPN La situación aquı́ es la misma descrita en el caso anterior. La diferencia es que en vez de realizar un ping se accede a un servidor de archivos SAMBA que se encuentra en la red 64 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 10. RESULTADOS 10.1. PRUEBAS (ip 10.1.2.2). en la figura 10.3 se puede ver una conexión al servidor de archivos mediante la VPN. Para estas pruebas tener las siguientes consideraciones: homero: central telefónica en el fundo. killua: central telefónica en lugar pruebas. Llamada desde killua a anexos de homero mediante IAX Se muestra el debug en la CLI1 de homero. Se observa como se define el codec a utilizar, luego se contesta la llamada, anexo 111 suena y finalmente se corta. homero*CLI> -- Accepting AUTHENTICATED call from 200.83.234.243: > requested format = gsm, > requested prefs = (gsm), > actual format = gsm, > host prefs = (), > priority = caller -- Executing [111@iax-in:1] Answer("IAX2/killua-4382", "") in new stack -- Executing [111@iax-in:2] Goto("IAX2/killua-4382", "default|111|1") in new stack -- Goto (default,111,1) -- Executing [111@default:1] Dial("IAX2/killua-4382", "SIP/111|30") in new stack -- Called 111 -- SIP/111-0920e680 is ringing -- IAX2/killua-4382 requested special control 20, passing it to SIP/111-0920e680 -- IAX2/killua-4382 requested special control 20, passing it to SIP/111-0920e680 -- IAX2/killua-4382 requested special control 20, passing it to SIP/111-0920e680 -- IAX2/killua-4382 requested special control 20, passing it to SIP/111-0920e680 1 CLI: Command line interface Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 65 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS == Spawn extension (default, 111, 1) exited non-zero on ’IAX2/killua-4382’ -- Hungup ’IAX2/killua-4382’ Llamada desde homero a killua La mista situación que en el caso anterior pero esta ves la llamada es desde central homero a un anexo en la central de killua. Se muestra el log de homero que es desde donde se llama. homero*CLI> console dial 511 [Sep 22 17:55:54] WARNING[14244]: chan_oss.c:682 setformat: Unable to re-open DSP \ device /dev/dsp: No such file or directory -- Executing [511@default:1] Answer("Console/dsp", "") in new stack << Console call has been answered >> [Sep 22 17:55:54] NOTICE[18250]: pbx.c:1642 pbx_substitute_variables_helper_full: \ Error in extension logic (missing ’}’) [Sep 22 17:55:54] WARNING[18250]: pbx.c:1539 func_args: Can’t find trailing \ parenthesis? -- Executing [511@default:2] Set("Console/dsp", "CALLERID(number)=7") in new \ stack -- Executing [511@default:3] Dial("Console/dsp", \ "IAX2/pallocabe:pallo.iax%@killua.sytes.net/11|30") in new stack -- Called pallocabe:pallo.iax%@killua.sytes.net/11 -- Call accepted by 200.83.234.243 (format gsm) -- Format for call is gsm -- IAX2/killua-11453 answered Console/dsp homero*CLI> console hangup -- Hungup ’IAX2/killua-11453’ == Spawn extension (default, 511, 3) exited non-zero on ’Console/dsp’ << Hangup on console >> 66 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 10. RESULTADOS 10.1. PRUEBAS Log de killua. killua*CLI> -- Accepting AUTHENTICATED call from 190.196.19.30: > requested format = gsm, > requested prefs = (), > actual format = gsm, > host prefs = (gsm), > priority = mine -- Executing [11@iax-in:1] Answer("IAX2/pallocabe-11350", "") in new stack -- Executing [11@iax-in:2] Goto("IAX2/pallocabe-11350", "default|11|1") in new sta -- Goto (default,11,1) -- Executing [11@default:1] Dial("IAX2/pallocabe-11350", "SIP/11|30") in new stack -- Called 11 -- SIP/11-09c4e7b8 is ringing -- IAX2/pallocabe-11350 requested special control 20, passing it to SIP/11-09c4e7b -- IAX2/pallocabe-11350 requested special control 20, passing it to SIP/11-09c4e7b -- IAX2/pallocabe-11350 requested special control 20, passing it to SIP/11-09c4e7b -- IAX2/pallocabe-11350 requested special control 20, passing it to SIP/11-09c4e7b == Spawn extension (default, 11, 1) exited non-zero on ’IAX2/pallocabe-11350’ -- Hungup ’IAX2/pallocabe-11350’ Peers/usuarios en la central telefónica homero Listado de peers. Se muestran los estados de los peers, observandose solo algunos conectados a la central a la hora de realizar estas pruebas (aproximadamente 17:30 horas). homero*CLI> sip show peers Name/username Host Dyn Nat ACL Port 191/191 10.1.0.91 D 58976 OK (106 ms) 151 (Unspecified) D 0 UNKNOWN Implementación Sistema de Telefonı́a IP y Seguridad Perimetral Status 67 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS 141/141 (Unspecified) D 0 UNKNOWN 131/131 (Unspecified) D 0 UNKNOWN 126 (Unspecified) D 0 UNKNOWN 125 (Unspecified) D 0 UNKNOWN 124/124 10.1.0.24 D 19906 UNREACHABLE 123/123 10.1.0.23 D 26342 UNREACHABLE 122 (Unspecified) D 0 UNKNOWN 121/121 10.1.0.21 D 50785 UNREACHABLE 114/114 (Unspecified) D 0 UNKNOWN 113 (Unspecified) D 0 UNKNOWN 112/112 10.1.0.12 D 55123 UNREACHABLE 111/111 10.1.0.108 D 5060 OK (20 ms) REDLIBRE/131070 190.54.42.58 5060 OK (63 ms) REDVOISS/ID_86884 64.76.154.110 5060 OK (57 ms) 16 sip peers [Monitored: 4 online, 12 offline Unmonitored: 0 online, 0 offline] Llamada entre anexos Llamada desde un anexo a otro en la central homero. En la figura 10.4 se puede ver al softphone haciendo la llamada. homero*CLI> -- Executing [111@default:1] Dial("SIP/191-b7117ff0", "SIP/111|30") in new stack -- Called 111 -- SIP/111-b711bf68 is ringing == Spawn extension (default, 111, 1) exited non-zero on ’SIP/191-b7117ff0’ Llamada desde PSTN a homero Llamada desde la PSTN a central telefónica homero. En la figura 10.5 se puede ver la llamada perdida que quedó por marcar la extensión 121. En el log se puede observar la 68 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 10. RESULTADOS 10.1. PRUEBAS ejecución del menú IVR y las opciones ingresadas por el usuario. homero*CLI> -- Executing [s@default:1] Answer("SIP/ID_86884-b711ab10", "") in new stack -- Executing [s@default:2] Set("SIP/ID_86884-b711ab10", "TIMEOUT(digit)=4") \ in new stack -- Digit timeout set to 4 -- Executing [s@default:3] Set("SIP/ID_86884-b711ab10", "TIMEOUT(response)=8") \ in new stack -- Response timeout set to 8 -- Executing [s@default:4] BackGround("SIP/ID_86884-b711ab10", "bienvenida") \ in new stack -- <SIP/ID_86884-b711ab10> Playing ’bienvenida’ (language ’es’) -- Executing [s@default:5] Wait("SIP/ID_86884-b711ab10", "1") in new stack -- Executing [s@default:6] BackGround("SIP/ID_86884-b711ab10", "beep") in new \ stack -- <SIP/ID_86884-b711ab10> Playing ’beep’ (language ’es’) -- Executing [s@default:7] Read("SIP/ID_86884-b711ab10", "extension||3") in \ new stack -- Accepting a maximum of 3 digits. -- User entered ’121’ -- Executing [s@default:8] BackGround("SIP/ID_86884-b711ab10", "transfer") in \ new stack -- <SIP/ID_86884-b711ab10> Playing ’transfer’ (language ’es’) -- Executing [s@default:9] Wait("SIP/ID_86884-b711ab10", "1") in new stack -- Executing [s@default:10] Goto("SIP/ID_86884-b711ab10", "default|121|1") in \ new stack -- Goto (default,121,1) -- Executing [121@default:1] Dial("SIP/ID_86884-b711ab10", "SIP/121|30") in Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 69 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS \ new stack -- Called 121 -- SIP/121-0920dd98 is ringing -- SIP/121-0920dd98 answered SIP/ID_86884-b711ab10 -- Packet2Packet bridging SIP/ID_86884-b711ab10 and SIP/121-0920dd98 == Spawn extension (default, 121, 1) exited non-zero on ’SIP/ID_86884-b711ab10’ Correo de voz En el log se puede apreciar como se realiza una llamada desde la PSTN a un usuario y al no estar disponible es enviada la llamada al buzón de voz indicándoselo al usuario que llama. Además en la figura 10.6 se puede ver como llega el mensaje de voz al usuario mediante correo electrónico. homero*CLI> -- Executing [s@default:1] Answer("SIP/ID_86884-b7117ff0", "") in new stack -- Executing [s@default:2] Set("SIP/ID_86884-b7117ff0", "TIMEOUT(digit)=4") \ in new stack -- Digit timeout set to 4 -- Executing [s@default:3] Set("SIP/ID_86884-b7117ff0", "TIMEOUT(response)=8") \ in new stack -- Response timeout set to 8 -- Executing [s@default:4] BackGround("SIP/ID_86884-b7117ff0", "bienvenida") \ in new stack -- <SIP/ID_86884-b7117ff0> Playing ’bienvenida’ (language ’es’) -- Executing [s@default:5] Wait("SIP/ID_86884-b7117ff0", "1") in new stack -- Executing [s@default:6] BackGround("SIP/ID_86884-b7117ff0", "beep") in new \ stack -- <SIP/ID_86884-b7117ff0> Playing ’beep’ (language ’es’) -- Executing [s@default:7] Read("SIP/ID_86884-b7117ff0", "extension||3") in 70 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 10. RESULTADOS 10.1. PRUEBAS \ new stack -- Accepting a maximum of 3 digits. -- User entered ’113’ -- Executing [s@default:8] BackGround("SIP/ID_86884-b7117ff0", "transfer") \ in new stack -- <SIP/ID_86884-b7117ff0> Playing ’transfer’ (language ’es’) -- Executing [s@default:9] Wait("SIP/ID_86884-b7117ff0", "1") in new stack -- Executing [s@default:10] Goto("SIP/ID_86884-b7117ff0", "default|113|1") \ in new stack -- Goto (default,113,1) -- Executing [113@default:1] Dial("SIP/ID_86884-b7117ff0", "SIP/113|30") \ in new stack [Sep 22 18:02:16] WARNING[18435]: app_dial.c:1202 dial_exec_full: Unable to create \ channel of type ’SIP’ (cause 3 - No route to destination) == Everyone is busy/congested at this time (1:0/0/1) -- Executing [113@default:2] VoiceMail("SIP/ID_86884-b7117ff0", "113|u") in \ new stack -- <SIP/ID_86884-b7117ff0> Playing ’vm-theperson’ (language ’es’) -- <SIP/ID_86884-b7117ff0> Playing ’digits/1’ (language ’es’) -- <SIP/ID_86884-b7117ff0> Playing ’digits/1’ (language ’es’) -- <SIP/ID_86884-b7117ff0> Playing ’digits/3’ (language ’es’) -- <SIP/ID_86884-b7117ff0> Playing ’vm-isunavail’ (language ’es’) [Sep 22 18:02:21] NOTICE[18435]: sched.c:220 ast_sched_add_variable: Scheduled \ event in 0 ms? -- <SIP/ID_86884-b7117ff0> Playing ’vm-intro’ (language ’es’) -- <SIP/ID_86884-b7117ff0> Playing ’beep’ (language ’es’) -- Recording the message -- x=0, open writing: /var/spool/asterisk/voicemail/default/113/tmp/6thRlR Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 71 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS \ format: wav49, 0x917adc8 -- User hung up == Spawn extension (default, 113, 2) exited non-zero on ’SIP/ID_86884-b7117ff0’ Estadı́sticas CDR En la figura 10.7 se aprecia una forma de ver los registros de llamadas. 72 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 10. RESULTADOS 10.1. PRUEBAS Figura 10.3: Conexión a servidor SAMBA mediante VPN. Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 73 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS Figura 10.4: Llamada perdida desde la PSTN 74 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 10. RESULTADOS 10.1. PRUEBAS Figura 10.5: Llamada perdida desde la PSTN Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 75 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS Figura 10.6: Mensaje de voz enviado al correo del usuario. 76 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 10. RESULTADOS 10.1. PRUEBAS Figura 10.7: Registro de llamadas dı́a 2009-09-04 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 77 10.1. PRUEBAS 78 CAPÍTULO 10. RESULTADOS Implementación Sistema de Telefonı́a IP y Seguridad Perimetral Capı́tulo 11 Conclusiones El proyecto realizado cumplió con las expectativas del cliente, el cual indico sentirse satisfecho con lo entregado como producto final. Además se lograron aplicar varios conocimientos adquiridos en asignaturas de la carrera la cual cursamos, y explorando temas desconocidos o no vistos en esta. Como equipo de trabajo logramos administrar de forma correcta los tiempos para realizar todo el proceso, tanto de análisis de problemática como de ejecución de la solución propuesta, claro respetando los plazos estipulados por la carrera en cuanto al tiempo de evaluación correspondiente a la asignatura pertinente. Algo importante que se rescato en esta memoria para futuros proyectos, es que todos los acuerdos realizados con el cliente deben quedar documentados y firmados por ambas partes para que en el transcurso de este no hayan cambios bruscos en lo pactado en el origen. Por otro lado se debe tener en cuenta la documentación de todo lo realizado como solución e implementación, ya que el tener claro esto se puede realizar un análisis más rápido y fluido en caso de verificar errores, identificando la etapa en la cual este se encuentra con más rapidez ası́ no afectando al tiempo el cual es muy importante. Claramente algo fundamental es tener claro los objetivos trazados al inicio ya que el cumplimiento de estos entregan la satisfacción tanto del cliente, como a forma personal por alcanzar las metas personales propuestas. 79 CAPÍTULO 11. CONCLUSIONES 80 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral Capı́tulo 12 Bibliografı́a 12.1. Bibliografı́a “Integración de voz y datos: Call Centers, Tecnologı́a y Aplicaciones”, José Huidobro y David Roldán, McGraw-Hill, 2003. “Redes inalámbricas en los Paı́ses en Desarrollo”, http://wndw.net, Limehouse Book Sprint Team, 2006. “Material CCNA”, CISCO. “Asterisk: El futuro de la telefonı́a y la VoIP ha llegado”, Saúl Ibarra, 2007. “Voz sobre IP y Asterisk”, Gorka Gorrotxategi e Iñaki Baz, IRONTEC. 12.2. Recursos digitales http://www.ecualug.org/?q=2007/03/08/forums/squid http://vive-libre.com/blog/2009/03/12/squid-proxy-acl-para-bloquear-msn/ http://www.ecualug.org/?q=2008/05/26/forums/bloquear skype 81 12.2. RECURSOS DIGITALES CAPÍTULO 12. BIBLIOGRAFÍA http://liberamemoria.blogspot.com/2007/02/enterprise-blacklist-project-beta.html http://dns.bdat.net/documentos/squid/x30.html http://www.linuxespanol.com/tema2121.html http://hazual.blogspot.com/2008/05/squid-transparente-ubuntu-704 06.html http://blog.unlugarenelmundo.es/2008/11/14/proxy-transparente-con-squid-en-debian http://phylevn.mexrom.net/index.php/blog/category/8.html http://www.asterisk-peru.com/node/1122 http://laurel.datsi.fi.upm.es/ rpons/openvpn como/ http://ubuntuforums.org/showthread.php?t=163928 http://www.debian-administration.org/articles/35 http://linuxsilo.net/articles/vpn.html http://www.gir.me.uk/computers/debian vpn.html http://www.xtech.com.ar/articulos/freeswan/tutorial-freeswan/ http://www.shorewall.net/IPSEC-2.6.html http://osr600doc.sco.com/en/NET ipsec/ipsec top.html http://www.kame.net/newsletter/20001119/ http://uw714doc.sco.com/en/NET ipsec/roadwarrior.html http://shaddack.twibright.com/projects/ipx/ http://es.wikibooks.org/wiki/OpenVPN/Marco Teórico http://preguntaslinux.org/archive/index.php/thread-3562.html 82 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral CAPÍTULO 12. BIBLIOGRAFÍA 12.2. RECURSOS DIGITALES http://www.gratisweb.com/introd linux/at y crontab.htm http://www.vicente-navarro.com/blog/2008/01/13/backups-con-rsync/ http://www.dcc.uchile.cl/ jbarrios/latex/ Además de los recursos anteriores se consultaron los manuales del sistema de los diferentes comándos usados. Esto mediante el software “man”, por ejemplo “man iptables”. Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 83 12.2. RECURSOS DIGITALES 84 CAPÍTULO 12. BIBLIOGRAFÍA Implementación Sistema de Telefonı́a IP y Seguridad Perimetral Anexo A Configuraciones A.1. Firewall Fundo A.1.1. /etc/network/interfaces En este archivo se declaran las interfaces de red y sus configuraciones. # The loopback network interface auto lo iface lo inet loopback # WAN auto eth0 iface eth0 inet static address 192.168.30.100 netmask 255.255.255.0 network 192.168.30.0 broadcast 192.168.30.255 gateway 192.168.30.1 dns-nameservers 208.67.220.220 208.67.222.222 85 A.1. FIREWALL FUNDO ANEXO A. CONFIGURACIONES # LAN auto eth1 iface eth1 inet static address 10.1.0.1 netmask 255.255.254.0 network 10.1.0.0 broadcast 10.1.1.255 # DMZ auto eth2 iface eth2 inet static address 10.1.2.1 netmask 255.255.255.240 network 10.1.2.0 broadcast 10.1.2.15 A.1.2. /etc/init.d/firewall.sh Es este archivo se declaran las reglas del firewall y el enmascaramiento para el uso de NAT. #!/bin/sh ## Script para el firewall en bart ## VARIABLES # interfaces de red WAN_IF="eth0" # internet 86 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral ANEXO A. CONFIGURACIONES A.1. FIREWALL FUNDO LAN1_IF="eth1" # red interna fundo LAN1_NET="10.1.0.0/23" DMZ_IF="eth2" # granja servidores DMZ_NET="10.1.2.0/28" # filtro de contenido SQUID_SERVER="10.1.0.1" SQUID_PORT="3128" ### INICIA SCRIPT echo -n "Aplicando las reglas del Firewall... " ### IPTABLES ## REGLAS GENERALES # flush de reglas iptables -F iptables -X iptables -Z iptables -t nat -F # politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 87 A.1. FIREWALL FUNDO ANEXO A. CONFIGURACIONES # conexiones locales se permiten iptables -A INPUT -i lo -j ACCEPT ## ACTIVAR NAT # permitir que otros equipos puedan salir a traves del firewall echo 1 > /proc/sys/net/ipv4/ip_forward # enmascaramiento de las redes locales iptables -t nat -A POSTROUTING -s $LAN1_NET -o $WAN_IF -j MASQUERADE iptables -t nat -A POSTROUTING -s $DMZ_NET -o $WAN_IF -j MASQUERADE ## OPENVPN iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT ## WAN # abrimos determinados puertos desde el exterior iptables -A INPUT -i $WAN_IF -p tcp --dport 53 -j ACCEPT # dns iptables -A INPUT -i $WAN_IF -p udp --dport 53 -j ACCEPT # dns iptables -A INPUT -i $WAN_IF -p udp --dport 5000 -j ACCEPT # openvpn tunel iptables -A INPUT -i $WAN_IF -p udp --dport 1194 -j ACCEPT # openvpn roadwarrior # evitamos el acceso a puertos conocidos desde el exterior iptables -A INPUT -i $WAN_IF -p tcp --dport 1:1024 -j DROP iptables -A INPUT -i $WAN_IF -p udp --dport 1:1024 -j DROP 88 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral ANEXO A. CONFIGURACIONES A.1. FIREWALL FUNDO # evitamos el acceso a otros puertos desde el exterior iptables -A INPUT -i $WAN_IF -p tcp --dport 3128 -j DROP # squid # aceptar ICMP iptables -A INPUT -i $WAN_IF -p icmp -j ACCEPT # redireccionamiento de puertos iptables -t nat -A PREROUTING -i $WAN_IF -p tcp --dport 22 -j DNAT \ --to 10.1.2.2:22 # ssh iptables -t nat -A PREROUTING -i $WAN_IF -p tcp --dport 80 -j DNAT \ --to 10.1.2.2:80 # http iptables -t nat -A PREROUTING -i $WAN_IF -p tcp --dport 443 -j DNAT \ --to 10.1.2.2:443 # https iptables -t nat -A PREROUTING -i $WAN_IF -p tcp --dport 25 -j DNAT \ --to 10.1.2.2:25 # imap iptables -t nat -A PREROUTING -i $WAN_IF -p tcp --dport 143 -j DNAT \ --to 10.1.2.2:143 # imap iptables -t nat -A PREROUTING -i $WAN_IF -p udp --dport 4569 -j DNAT \ --to 10.1.2.2:4569 # iax2 ## LAN1 # acceso al firewall no se permite desde la LAN1, solo SSH y PING desde la LAN1 iptables -A INPUT -s $LAN1_NET -i $LAN1_IF -p tcp --dport 22 -j ACCEPT # ssh iptables -A INPUT -s $LAN1_NET -i $LAN1_IF -p icmp -j ACCEPT # icmp iptables -A INPUT -s $LAN1_NET -i $LAN1_IF -j DROP # mediante forward permitimos el accesos hacia el exterior (por default DROP todo) Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 89 A.1. FIREWALL FUNDO ANEXO A. CONFIGURACIONES iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 21 -j ACCEPT # ftp iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 22 -j ACCEPT # ssh iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 80 -j ACCEPT # http iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 443 -j ACCEPT # https iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 53 -j ACCEPT # dns iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p udp --dport 53 -j ACCEPT # dns iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -j DROP # redireccionar solicitudes http a proxy squid iptables -t nat -A PREROUTING -i $LAN1_IF -p tcp --dport 80 -d ! $DMZ_NET -j DNAT \ --to $SQUID_SERVER:$SQUID_PORT ## DMZ # acceso al firewall no se permite desde la DMZ, solo SSH y PING desde la DMZ iptables -A INPUT -s $DMZ_NET -i $DMZ_IF -p tcp --dport 22 -j ACCEPT # ssh iptables -A INPUT -s $DMZ_NET -i $DMZ_IF -p icmp -j ACCEPT # icmp iptables -A INPUT -s $DMZ_NET -i $DMZ_IF -j DROP ### FIN echo "[OK]" echo "Verificar con: iptables -L -n" A.1.3. /etc/squid3/squid.conf En este archivo se declaran las listas de acceso y los permisos que tendrán los usuarios de la red para acceder a los sitios web. ## CONFIGURACION GENERAL 90 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral ANEXO A. CONFIGURACIONES A.2. VPN FUNDO visible_hostname proxy.pallocabe.cl http_port 3128 transparent access_log /var/log/squid3/access.log squid error_directory /usr/share/squid3/errors/Spanish coredump_dir /var/spool/squid3 ## ACL # sitios y contenido destino acl sitios_aceptados url_regex "/etc/squid3/acl/sitios_aceptados" acl sitios_denegados url_regex "/etc/squid3/acl/sitios_denegados" # ips locales acl lan1 src 10.1.0.0/23 acl ip_vip src "/etc/squid3/acl/ip_vip" ## REGLAS http_access allow ip_vip all http_access allow sitios_aceptados all http_access deny sitios_denegados http_access allow lan1 http_access deny all A.2. VPN Fundo A.2.1. /etc/openvpn/tunel.conf Archivo correspondiente a la VPN para el acceso mediante el tunel con la oficina central. Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 91 A.2. VPN FUNDO ANEXO A. CONFIGURACIONES remote IP_OFICINA_MELIPILLA port 5000 proto udp dev tun0 user nobody disable-occ ifconfig 10.99.99.1 10.99.99.2 comp-lzo secret /etc/openvpn/clave.key # rutas push "route 10.1.0.0 255.255.254.0" push "route 10.1.2.0 255.255.255.240" route 10.2.0.0 255.255.254.0 route 10.2.2.0 255.255.255.240 route 10.98.98.0 255.255.255.0 # logs status /var/log/openvpn-tunel-status.log log /var/log/openvpn-tunel.log verb 5 A.2.2. /etc/openvpn/roadwarrior.conf Archivo correspondiente a la VPN para el acceso de usuarios remotos. port 1194 proto udp dev tun1 persist-tun 92 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral ANEXO A. CONFIGURACIONES A.2. VPN FUNDO # certificados ca /etc/openvpn/cert/cacert.pem cert /etc/openvpn/cert/roadwarrior.crt key /etc/openvpn/cert/roadwarrior.key dh /etc/openvpn/cert/dh1024.pem # red para los clientes server 10.97.97.0 255.255.255.0 # rutas que se entregaran a los clientes push "route 10.1.0.0 255.255.254.0" push "route 10.1.2.0 255.255.255.240" push "route 10.2.0.0 255.255.254.0" push "route 10.2.2.0 255.255.255.240" push "route 10.98.98.0 255.255.255.0" push "route 10.97.97.0 255.255.255.0" logs keepalive 10 60 user nobody group nogroup persist-key # logs status /var/log/openvpn-roadwarrior-status.log log /var/log/openvpn-roadwarrior.log verb 5 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 93 A.3. CENTRAL TELEFÓNICA FUNDO ANEXO A. CONFIGURACIONES Además se deben crear y firmar los certificados para cada usuario que se desee agregar, la entidad certificadora se encuentra en el mismo firewall y los certificados se crean con el siguiente script: #!/bin/bash openssl req -nodes -new -keyout $1.key -out $1.csr openssl ca -out $1.crt -in $1.csr A.3. Central telefónica Fundo A.3.1. /etc/asterisk/sip.conf Se declaran usuarios de la central telefónica. [general] CONTEXt=anexos realm=voip.pallocabe.cl bindport=5060 ; codecs disallow=all allow=g729 allow=ulaw allow=alaw allow=gsm language=es ; REDVOISS register=>NUMERO:CLAVE:[email protected] 94 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral ANEXO A. CONFIGURACIONES A.3. CENTRAL TELEFÓNICA FUNDO externip=190.196.19.30 localnet=10.0.0.0/8 nat=no ; clientes se pueden conectar entre ellos canreinvite=yes ; dominios y sus contextos domain=voip.pallocabe.cl,default domain=10.1.2.2,default domain=190.196.19.30,default [REDVOISS] type=peer context=anexos secret=CLAVE username=ID fromuser=NUMERO fromdomain=pxext.redvoiss.net canreinvite=no dtmfmode=RFC2833 host=pxext.redvoiss.net insecure=very allow=g729 [111] callerid="gdelafuente" <111> Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 95 A.3. CENTRAL TELEFÓNICA FUNDO ANEXO A. CONFIGURACIONES md5secret=CLAVE_MD5 context=anexos type=friend host=dynamic [112] callerid="hmalhue" <112> md5secret=CLAVE_MD5 context=anexos type=friend host=dynamic [113] callerid="delaf" <113> md5secret=CLAVE_MD5 context=anexos type=friend host=dynamic A.3.2. /etc/asterisk/extensions.conf Se declaran las extensiones que existirán, se asocian con usuarios y se crea el plan de marcado. [general] static=yes ; =yes evita que pbx_config sobrescriba este fichero writeprotect=yes ; evita usar "dialplan save" en CLI autofallthrough=yes ; =yes termina llamada, =no busca nueva extension clearglobalvars=no ; las variables globales seran limpiadas al usar reload 96 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral ANEXO A. CONFIGURACIONES A.3. CENTRAL TELEFÓNICA FUNDO [pstn-out] exten => _9X.,1,Set(CALLERID(number)=557100028822) exten => _9X.,2,Dial(SIP/REDVOISS/${EXTEN:1}) exten => _9X.,3,Hangup [iax-out] exten => _6X.,1,Answer() exten => _6X.,n,Set(CALLERID(number)=7${CALLERID(number)) exten => _6X.,n,Dial(IAX2/USUARIO:CLAVE@IP_OFICINA_MELIPILLA/${EXTEN:1},30) exten => _6X.,n,Hangup() [anexos] exten => 111,1,Dial(SIP/111,30) exten => 111,n,Dial(SIP/REDVOISS/0056990210321,30) exten => 111,n,Voicemail(111,u) exten => 111,n,Voicemail(111,b) exten => 111,n,Hangup exten => 112,1,Dial(SIP/112,30) exten => 112,n,Voicemail(112,u) exten => 112,n,Voicemail(112,b) exten => 112,n,Hangup exten => 113,1,Dial(SIP/113,30) exten => 113,n,Voicemail(113,u) ; no disponible exten => 113,n,Voicemail(113,b) ; ocupado exten => 113,n,Hangup Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 97 A.3. CENTRAL TELEFÓNICA FUNDO ANEXO A. CONFIGURACIONES [ivr] ; extension para grabacion de mensaje de bienvenida exten => **100,1,Wait(1) exten => **100,n,Record(bienvenida.gsm,7,7) ; graba 7 segundos exten => **100,n,Wait(1) exten => **100,n,Playback(bienvenida) exten => **100,n,Wait(1) exten => **100,n,Hangup ; extension para escuchar el mensaje de bienvenida exten => **101,1,Wait(1) exten => **101,n,Answer exten => **101,n,Playback(bienvenida) exten => **101,n,Wait(2) exten => **101,n,Hangup ; extension para probar el mainmenu exten => 1000,1,Goto(ivr,s,1) ; start extension exten => s,1,Answer() ; contestar extension IVR exten => s,n,Set(TIMEOUT(digit)=4) ; Set Digit Timeout to 5 seconds exten => s,n,Set(TIMEOUT(response)=8) ; Set Response Timeout to 10 seconds exten => s,n(welcome),BackGround(bienvenida) exten => s,n(beep),Wait(1) exten => s,n,Background(beep) exten => s,n,Read(extension||3) 98 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral ANEXO A. CONFIGURACIONES A.3. CENTRAL TELEFÓNICA FUNDO exten => s,n,Background(transfer) exten => s,n,Wait(1) exten => s,n,Goto(default,${extension},1) exten => s,n,Hangup() ;exten => s,n,WaitExten(5) ; Wait for an extension to be dialed. exten => i,1,Playback(invalid) ; "That’s not valid, try again exten => i,n,Goto(s,beep) [servicios] ; buzon de voz exten => 100,1,VoicemailMain exten => 100,n,Hangup ; prueba de eco exten => 101,1,Playback(demo-echotest) ; Let them know what’s going on exten => 101,n,Echo ; Do the echo test exten => 101,n,Playback(demo-echodone) ; Let them know it’s over exten => 101,n,Hangup [default] include => ivr include => anexos include => servicios include => iax-out include => pstn-out Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 99 A.3. CENTRAL TELEFÓNICA FUNDO A.3.3. ANEXO A. CONFIGURACIONES /etc/asterisk/iax.conf Se declaran usuarios para el uso del troncal IAX. ; bindport and bindaddr may be specified bindport=4569 bindaddr=190.196.19.30 ; Specify bandwidth of low, medium, or high to control which codecs are used ; in general. bandwidth=low [lisa] type=friend secret=****** context=iax-in host=IP_OFICINA_MELIPILLA notransfer=yes A.3.4. /etc/asterisk/voicemail.conf Se declaran los buzones de voz a los usuarios, junto con el envio de los mensajes a los correos. [general] ; Formats for writing Voicemail. Note that when using IMAP storage for ; voicemail, only the first format specified will be used. format = wav49 ; Who the e-mail notification should appear to come from 100 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral ANEXO A. CONFIGURACIONES A.3. CENTRAL TELEFÓNICA FUNDO serveremail = [email protected] ; Should the email contain the voicemail as an attachment attach = yes ; Maximum number of messages per folder. ; (100) is used. If not specified, a default value Maximum value for this option is 9999. maxmsg = 100 ; Maximum length of a voicemail message in seconds maxmessage = 180 ; Change the from, body and/or subject, variables: emailsubject = [VoIP: mensaje ${VM_MSGNUM}]: Nuevo mensaje en buzon de voz de ${VM_MAILBOX} emailbody = Estimado ${VM_NAME}:\n\nTiene un nuevo mensaje en su buzón, se adjunta en este correo. ; 24h date format emaildateformat = %A, %d %B %Y at %H:%M:%S ; After notification, the voicemail is deleted from the server. [per-mailbox only] delete=yes [default] 111 => 111,Gonzalo De La Fuente Valderrama,[email protected] 112 => 112,Hernaldo Malhue,[email protected] Implementación Sistema de Telefonı́a IP y Seguridad Perimetral 101 A.3. CENTRAL TELEFÓNICA FUNDO ANEXO A. CONFIGURACIONES 113 => 113,Esteban De La Fuente Rubio,[email protected] A.3.5. /etc/asterisk/cdr mysql.conf Se declara la configuración para el acceso a la base de datos MySQL. [global] hostname=localhost dbname=asterisk table=cdr password=******** user=asterisk port=3306 102 Implementación Sistema de Telefonı́a IP y Seguridad Perimetral