memoria

Transcripción

memoria

Implementación Sistema de Telefonı́a IP y
Seguridad Perimetral
Esteban De La Fuente Rubio y Eduardo Dı́az Valenzuela
Proyecto de tı́tulo para optar al tı́tulo
de Ingeniero en Redes y Comunicación de Datos
Santiago - Chile
enero 2010
Agradecimientos
Damos infinitas gracias
a nuestros profesores guı́as y de especialidad
por su apoyo y confianza.
A nuestros padres, familia, pareja y amigos
por tener fé en nuestras capacidades y
creer que cumplirı́amos las metas propuestas
al inicio de este proyecto de vida.
Además debemos darnos gracias a nosotros mismos
por la perseverancia, el tesón y el empuje
necesario para derribar los obstáculos que tuvimos
durante este proceso,
el cual claramente nos llena de satisfacción.
Implementación Sistema de Telefonı́a IP y Seguridad Perimetral
i
ii
Resumen
Debido a la necesidad de integrarse en un mercado cada vez más competitivo, es necesario
incorporar mayor tecnologı́a en las empresas para ası́ responder a las necesidades actuales, a
partir de estas inquietudes se realizó una búsqueda de una empresa para poder llevar a cabo el
proyecto de tı́tulo con el fin de dar término a nuestra carrera. Se contactó a la empresa Pablo
Massoud Cı́a y Ltda, también conocida como Fundo Santa Rosa, en donde se gestionó una
reunión primaria para presentar el objetivo de nuestro trabajo y ası́ crear expectativas para
comenzar este proyecto.
Como primera etapa se realizó un análisis de la red empresarial para poder entender que
falencias existı́an y ofrecer mejoras a estas, para esto se realizaron visitas en terreno y se
recopiló información entregada directamente por el personal autorizado en las reuniones que
se mantuvieron durante el perı́odo de análisis. Siguiendo a esto se preparó un informe con
la solución tecnológica que se encontró más apropiada aprovechando la tecnologı́a que ya se
tenı́a, esto solicitado por el cliente.
En las reuniones que se mantuvieron se dejó claro los puntos focales que se debı́an abordar
con especial trato, la forma de comunicarse vı́a telefonı́a, tanto dentro del fundo como en la
oficina central ubicada en pleno centro de Melipilla, además ver la forma de tener control
del uso de Internet por los operarios ya que esto no existı́a de forma alguna. Al terminar
el informe con la solución diseñada se realizó una presentación pactada para poder entregar
ésta al personal pertinente de la empresa para la aceptación y posterior materialización del
mismo.
En una segunda etapa luego que la empresa aprobara la solución propuesta, se comenzó a
realizar la implementación de la misma, la cual consistió en instalar un firewall tanto en el
fundo como en la oficina central, los cuales mediante Squid, OpenVPN e IPTables permitieron
realizar la limitación del personal con el uso de Internet y la utilización tanto remota como
local de la información compartida. Además se implementaron dos centrales de telefonı́a IP
en las áreas ya mencionada para tener comunicación tanto en el fundo como con la oficina
central, entregando con esto un mejor servicio y un mayor control en las comunicaciones.
iii
Posteriormente al término de la implementación se realizó una reunión final con el cliente,
el cual mostró su satisfacción con la labor realizada, indicando que al comparar la situación
inicial y final de su empresa se encontró con una red empresarial más segura, más ordenada,
con mayor control de los usuarios y de las llamadas que ellos mismos ejecutan, y la utilización
correcta de Internet.
Finalmente, para la realización de este proyecto se aplicaron los conocimientos generales
de los ramos cursados y la información proporcionada por la Web.
iv
Índice general
1. Introducción
1
2. Objetivos
3
2.1. Objetivos generales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
2.2. Objetivos especı́ficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
3. Empresa
5
3.1. Infraestructura de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . .
4. Marco teórico
5
9
4.1. LAN: Redes de Área Local . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
4.1.1. Topologı́a de Estrella . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
4.2. WLAN: Redes inalámbricas . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
4.2.1. Tipos de redes WLAN . . . . . . . . . . . . . . . . . . . . . . . . . .
12
4.2.2. Ventajas de las redes WLAN . . . . . . . . . . . . . . . . . . . . . . .
13
4.2.3. Desventajas de las redes WLAN . . . . . . . . . . . . . . . . . . . . .
14
4.3. VPN: Redes privadas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . .
14
4.3.1. Tipos de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
4.3.2. Ventajas de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
4.3.3. Desventajas de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
4.4. VoIP: Voz sobre IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
4.4.1. Ventajas y desventajas . . . . . . . . . . . . . . . . . . . . . . . . . .
17
v
ÍNDICE GENERAL
ÍNDICE GENERAL
4.4.2. Central telefónica Asterisk . . . . . . . . . . . . . . . . . . . . . . . .
5. Entorno y sus fundamentos
21
5.1. Problemática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
5.1.1. Seguridad perimetral y filtro de contenido . . . . . . . . . . . . . . .
22
5.1.2. Problemas de comunicación . . . . . . . . . . . . . . . . . . . . . . .
22
5.1.3. Conexión remota a la red
. . . . . . . . . . . . . . . . . . . . . . . .
23
5.2. Requerimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
6. Alcance del proyecto
25
6.1. Descripción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
6.2. Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
6.3. Factores crı́ticos de éxito . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
7. Diseño de solución
29
7.1. Diagrama de flujo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
7.2. Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
7.2.1. IPTables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
7.2.2. OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
7.2.3. Squid
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
7.3. Central telefónica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
33
7.3.1. Empresa VOIP externa . . . . . . . . . . . . . . . . . . . . . . . . . .
34
7.3.2. Menú interactivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
34
7.3.3. Buzón de voz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
34
7.3.4. Estadı́sticas de llamadas . . . . . . . . . . . . . . . . . . . . . . . . .
35
7.3.5. Protocolo para troncal entre centrales . . . . . . . . . . . . . . . . . .
35
8. Plan de trabajo
vi
18
41
8.1. Etapas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
8.1.1. Instalación de Firewall y filtro de contenidos . . . . . . . . . . . . . .
41
ÍNDICE GENERAL
ÍNDICE GENERAL
8.1.2. Interconexión mediante VPN . . . . . . . . . . . . . . . . . . . . . .
42
8.1.3. Configuración Servidor Asterisk en Fundo . . . . . . . . . . . . . . .
42
8.1.4. Configuración Servidor Asterisk en Oficina Central . . . . . . . . . .
42
8.1.5. Implementación de troncales entre Centrales VoIP . . . . . . . . . . .
42
8.1.6. Acceso de Central Fundo a PSTN . . . . . . . . . . . . . . . . . . . .
42
8.2. Recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43
9. Implementación
45
9.1. Estudios protocolos y software . . . . . . . . . . . . . . . . . . . . . . . . . .
45
9.2. Reunión implementación . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
45
9.3. Firewall Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
46
9.3.1. Instalación Sistema Operativo . . . . . . . . . . . . . . . . . . . . . .
46
9.3.2. Configuración IPTables . . . . . . . . . . . . . . . . . . . . . . . . . .
46
9.3.3. Configuración Squid . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
9.3.4. Instalación y Pruebas . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
9.4. VPN Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
9.4.1. Instalación OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . .
47
9.4.2. Configuración tele trabajo . . . . . . . . . . . . . . . . . . . . . . . .
48
9.5. Central telefónica Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
48
9.5.1. Instalación Asterisk . . . . . . . . . . . . . . . . . . . . . . . . . . . .
48
9.5.2. Habilitación cuentas . . . . . . . . . . . . . . . . . . . . . . . . . . .
48
9.5.3. Estadı́sticas de llamadas . . . . . . . . . . . . . . . . . . . . . . . . .
49
9.5.4. Acceso a la PSTN . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
9.6. Equipos oficina central . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
9.6.1. Capacitación SysAdmin . . . . . . . . . . . . . . . . . . . . . . . . .
50
9.7. VPN Sitio a Sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
9.7.1. Habilitación en OpenVPN . . . . . . . . . . . . . . . . . . . . . . . .
51
9.8. Troncal IAX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
9.8.1. Configuración Troncal . . . . . . . . . . . . . . . . . . . . . . . . . .
51
vii
ÍNDICE GENERAL
ÍNDICE GENERAL
9.9. Documentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.Resultados
52
53
10.1. Pruebas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
10.1.1. Pruebas en Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
11.Conclusiones
79
12.Bibliografı́a
81
12.1. Bibliografı́a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
81
12.2. Recursos digitales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
81
A. Configuraciones
85
A.1. Firewall Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A.1.1. /etc/network/interfaces
85
. . . . . . . . . . . . . . . . . . . . . . . . .
85
A.1.2. /etc/init.d/firewall.sh . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
A.1.3. /etc/squid3/squid.conf . . . . . . . . . . . . . . . . . . . . . . . . . .
90
A.2. VPN Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
91
A.2.1. /etc/openvpn/tunel.conf . . . . . . . . . . . . . . . . . . . . . . . . .
91
A.2.2. /etc/openvpn/roadwarrior.conf . . . . . . . . . . . . . . . . . . . . .
92
A.3. Central telefónica Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
94
A.3.1. /etc/asterisk/sip.conf . . . . . . . . . . . . . . . . . . . . . . . . . . .
94
A.3.2. /etc/asterisk/extensions.conf . . . . . . . . . . . . . . . . . . . . . . .
96
A.3.3. /etc/asterisk/iax.conf . . . . . . . . . . . . . . . . . . . . . . . . . . .
100
A.3.4. /etc/asterisk/voicemail.conf . . . . . . . . . . . . . . . . . . . . . . .
100
A.3.5. /etc/asterisk/cdr mysql.conf . . . . . . . . . . . . . . . . . . . . . . .
102
viii
Índice de figuras
3.1. Mapa ubicación Fundo y Oficina Melipilla . . . . . . . . . . . . . . . . . . .
6
3.2. Organigrama de la empresa Fundo Santa Rosa
. . . . . . . . . . . . . . . .
7
. . . . . . . . . . . . . . . . . . . . . . . . . .
8
3.3. Topologı́a Fundo Santa Rosa
4.1. Ejemplo de topologı́a de estrella
. . . . . . . . . . . . . . . . . . . . . . . .
11
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
4.3. Red WiFi Peer to Peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
4.4. Ejemplo de VPN sitio a sitio
16
4.2. Red WiFi Infraestructura
. . . . . . . . . . . . . . . . . . . . . . . . . .
4.5. Tabla de codec de audio en telefonı́a IP
. . . . . . . . . . . . . . . . . . . .
20
. . . . . . . . . . . . . . . . . . . . . . .
23
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
7.2. Flujo funcionamiento del firewall . . . . . . . . . . . . . . . . . . . . . . . .
36
7.3. Flujo funcionamiento del proxy . . . . . . . . . . . . . . . . . . . . . . . . .
37
7.4. Flujo funcionamiento de la central telefónica . . . . . . . . . . . . . . . . . .
38
7.5. Ubicación y funcionamiento de un firewall . . . . . . . . . . . . . . . . . . .
39
7.6. VPN sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
40
10.1. Squid permitió acceso a www.google.cl . . . . . . . . . . . . . . . . . . . . .
58
10.2. Squid denegó acceso a www.emol.cl . . . . . . . . . . . . . . . . . . . . . . .
59
10.3. Conexión a servidor SAMBA mediante VPN.
. . . . . . . . . . . . . . . . .
73
. . . . . . . . . . . . . . . . . . . . . . . .
74
5.1. Mapa red inalámbrica en el fundo
7.1. Modelo de red propuesto
10.4. Llamada perdida desde la PSTN
ix
ÍNDICE DE FIGURAS
ÍNDICE DE FIGURAS
10.5. Llamada perdida desde la PSTN
x
. . . . . . . . . . . . . . . . . . . . . . . .
75
10.6. Mensaje de voz enviado al correo del usuario. . . . . . . . . . . . . . . . . .
76
10.7. Registro de llamadas dı́a 2009-09-04
77
. . . . . . . . . . . . . . . . . . . . . .
Capı́tulo 1
Introducción
Durante el año 2009, como parte del proceso de formación educacional comprendido para
la obtención del tı́tulo de Ingeniero en Redes y Comunicación de Datos de la universidad
Andrés Bello, se ha desarrollado el presente trabajo de titulación. Este tiene como objetivo
ser el punto culmine de nuestros estudios y la finalización de esta etapa. En las siguientes
hojas encontrará la empresa con la que se trabajó, la problemática detectada y como esta se
solucionó.
Hoy en dı́a mantener una adecuada comunicación al interior de cualquier empresa es un
signo claro de colaboración entre los trabajadores. Sin embargo si no existe un adecuado
sistema que colabore con dicha tarea, esto se complica y comienzan a surgir los problemas.
Dentro de las alternativas existentes están: correo electrónicos, centrales telefónicas, telefonı́a
celular, telefonı́a fija, fax, sistema de mensajerı́a corta, radios o aplicaciones en red (como
pueden ser redes sociales o una intranet). Las alternativas anteriores tienen diferentes costos
y no son aplicables al 100 % de las empresas, es por esto que en cada caso se debe evaluar
cual es la mejor alternativa disponible para facilitar las comunicaciones dentro del trabajo.
Como profesionales del área de redes nos llamó la atención la telefonı́a IP, ya que de
los sistemas anteriores mencionados, es uno de los cuales está experimentando un rápido
crecimiento. Hoy existen diversas empresas que ofrecen este tipo de servicio, incluso ya no
debemos limitarnos solo a las compañı́as nacionales para optar a tener un número telefónico.
1
CAPÍTULO 1. INTRODUCCIÓN
Los costos que se pueden observar a nivel de llamadas nacionales o internacionales lo hacen
un sistema atractivo para empresas y particulares. Sin embargo un beneficio grande respecto
al sistema tradicional de telefonı́a es que al utilizar redes de datos para transportar la voz
se puede utilizar la infraestructura de red existente en las empresas para tener una central
telefónica que ofrezca el servicio de telefonı́a a los trabajadores.
Otro punto de interés es el relacionado con la seguridad en las redes, es un tema que en
ciertos lugares es muy poco considerado y en otros prácticamente inexistente. La seguridad no
tiene relación solo con el posible ataque de un extraño en Internet hacia la red, sino también
lo que los usuarios de las mismas redes pueden hacer en ellas y como afectan al resto. Por este
motivo es que el interés se fijó tanto en la protección de la red frente a posibles ataques del
exterior como la posibilidad de controlar el contenido que los usuarios revisan en Internet.
El trabajo se compone de diversas etapas, de las cuales se pueden destacar: definición
del área de interés, búsqueda de una empresa, levantamiento en el área de redes, propuesta
de una mejora e implementación de la solución diseñada. La definición del área de estudio
se ha descrito en los párrafos anteriores. El paso siguiente es buscar una empresa, para
esto se contactó con la empresa Fundo Santa Rosa quienes mostraron interés en recibir
soporte para el mejoramiento en su sistema de comunicación vı́a teléfono. Además durante
las reuniones llevadas a cabo con trabajadores de la empresa se manifestó la preocupación
por la poca seguridad de los contenidos visitados por los usuarios al navegar por Internet.
Esto se adecuaba perfectamente a los temas que se deseaban cubrir.
Durante la lectura de este trabajo se encontrarán conceptos del área de redes y de la
gestión de proyectos, los cuales han sido utilizados para dar una mayor comprensión de lo
que involucra el desarrollo de un trabajo de este tipo. De esta forma el proyecto se inicia con
el levantamiento de la situación inicial de la red, confección de requerimientos, diseño de una
solución y posteriormente la implementación.
2
Capı́tulo 2
Objetivos
2.1.
Objetivos generales
A continuación se indican los objetivos generales del proyecto:
Aplicar las metodologı́as de desarrollo de proyectos para poder entregar una solución a
las problemáticas encontradas en una empresa.
Realizar un proyecto acorde con las caracterı́sticas o estándares correspondientes a la
carrera Ingenierı́a en Redes y Comunicación de Datos.
Tener una buena comunicación con la empresa o cliente, tanto en la etapa de análisis
como en la etapa de implementación para lograr obtener su satisfacción.
Aplicar tecnologı́as actuales para dar soluciones que puedan mejorar los procesos y
ası́ posicionarse en el mercado actual.
2.2.
Objetivos especı́ficos
Para poder lograr cumplir los objetivos generales es necesario primero cumplir los siguinetes objetivos especı́ficos:
3
2.2. OBJETIVOS ESPECÍFICOS
CAPÍTULO 2. OBJETIVOS
Buscar y seleccionar empresa con las caracterı́sticas necesarias para desarrollar proyecto.
Establecer relación pública con la empresa para comunicar ideas del proyecto.
Realizar inspecciones a la Empresa para conocer espacios, personal, recursos o insumos
que faciliten el análisis de la problemática existente el proyecto.
Detectar necesidades con los involucrados a través de reuniones para conocer falencias.
Analizar y diseñar solución que involucre tanto telefonı́a IP, como seguridad perimetral.
Entregar al cliente un análisis de ambas situaciones de la red (pre y post proyecto).
Realizar una planificación clara, listando las actividades especı́ficas que se realizarán
en el proceso de implementación de solución.
Analizar resultados del plan operativo del proyecto.
Realizar una topologı́a o esquema de diseño solución para realizar la comparación con
la situación actual de la empresa.
Implementar un sistema de Telefonı́a IP para la comunicación interna entre las oficinas
centrales y el fundo de la empresa Fundo Santa Rosa.
Implementar un firewall que permite restringir el acceso a Internet.
Implementar un filtro de contenidos que permita controlar el acceso a Internet.
Implementar una Red Privada Virtual entre las oficinas centrales y el fundo de la
empresa Fundo Santa Rosa.
Ejecutar y monitorear plan de acción.
4
Capı́tulo 3
Empresa
El trabajo de tı́tulo se realizó en la empresa Fundo Santa Rosa la cual se encuentra
ubicada en la ciudad de Melipilla, a 60 km de la ciudad de Santiago.. Esta empresa cuenta
con sus oficinas centrales en el centro de la ciudad y cuenta con instalaciones en un sector
rural aproximadamente a 20 km al interior de la ciudad, ver figura 3.1.
El desarrollo de este proyecto se basa en el analisis de la problemática existente en la
red corporativa de la empresa, entregando la mejor solución de acuerdo a las necesidades del
cliente.
Para las comunicaciones referente al proyecto, la empresa ha designado al Sr. Gonzalo De
La Fuente Valderrama, jefe de la Planta de Alimento.
La empresa cuenta en total con aproximadamente 600 trabajadores de los cuales aproximadamente 70 son usuarios de computador.
En la figura 3.2 se puede observar el organigrama de la empresa.
3.1.
Infraestructura de hardware
Luego de haber realizado un levantamiento en la empresa, se realizó un catastro tanto del
equipamiento computacional como el de red existente, el cual se describe a continuación:
1 router Linksys WRT54GL con sistema operativo DD-WRT.
5
3.1. INFRAESTRUCTURA DE HARDWARE
CAPÍTULO 3. EMPRESA
Figura 3.1: Mapa ubicación Fundo y Oficina Melipilla
7 puntos de acceso Linksys WAP54G.
2 switches Linksys de 16 y 8 bocas respectivamente.
1 cámara IP.
1 servidor IBM con sistema operativo Debian GNU/Linux, aloja aplicación web AGATA
(software coorporativo).
13 computadores de los trabajadores con sistema operativo Microsoft Windows.
En la figura 3.3 se presenta la topologı́a de la empresa al momento de realizar el levantamiento. Se observa que el router Linksys (equipo indicado con nombre “bart”) es la
pasarela hacia Internet, y además el servidor (de archivos, correo y web) llamado “homero”
6
Figura 3.2: Organigrama de la empresa Fundo Santa Rosa
se encuentra en la misma red que el resto de los computadores. La red utilizada es una red
LAN tipo estrella con redes inalámbricas en modo infraestructura.
7
Figura 3.3: Topologı́a Fundo Santa Rosa
8
Capı́tulo 4
Marco teórico
El proyecto desarrollado cuenta con diferentes conceptos teóricos importantes que se deben
considerar para dar una adecuada lectura a este documento.
4.1.
LAN: Redes de Área Local
Son redes de propiedad privada de hasta unos cuantos kilómetros de extensión. Por ejemplo una oficina o un centro educativo. Este tipo de redes se utilizan para conectar computadoras personales u otros equipos de red, con objeto de compartir recursos e intercambiar
información.
La estructura de una red LAN está definida según su topologı́a. Esta es una representación
lógica de como los computadores se encuentran conectados a la red. A continuación se menciona cada una de ellas:
Topologı́a de bus circular.
Topologı́a de anillo.
Topologı́a de estrella.
Topologı́a en estrella extendida.
9
4.1. LAN: REDES DE ÁREA LOCAL
CAPÍTULO 4. MARCO TEÓRICO
Topologı́a jerárquica.
Topologı́a de malla.
La topologı́a utilizada en la solución y que se presentará en este proyecto es la estrella, la
cual se define a continuación:
4.1.1.
Topologı́a de Estrella
La topologı́a estrella es una de las topologı́as más populares actualmente. Corresponde
a una red en la cual las estaciones están conectadas directamente a un punto central, en el
cual ocurren todas las comunicaciones que se realizan dentro de la red, normalmente este
dispositivo es un switch1 .
Se utiliza sobre todo para redes locales. La mayorı́a de las redes de área local que tienen un
enrutador (router), un conmutador (switch) o un concentrador (hub) siguen esta topologı́a.
El nodo central en estas serı́a el enrutador, el conmutador o el concentrador, por el que pasan
todos los paquetes2 . En la figura 4.1 se puede apreciar una red con topologı́a estrella.
Ventajas de la Topologı́a de estrella
Es más tolerante, esto quiere decir que si una computadora se desconecta o si su cable
falla solo esa computadora es afectada y el resto de la red mantiene su comunicación
normalmente.
Es fácil de reconfigurar, añadir o remover una computadora es tan simple como conectar
o desconectar un cable en el nodo central.
Permite que todos los nodos se comuniquen entre sı́ de manera conveniente.
Desventajas de la Topologı́a de estrella
Es costosa ya que requiere más cable que la topologı́a Bus y Token Ring.
1
2
10
Dispositivo de red, generalmente de capa 2
Datos de que envı́an los computadores entre sı́
4.2. WLAN: REDES INALÁMBRICAS
Figura 4.1: Ejemplo de topologı́a de estrella
El cable viaja por separado del nodo central a cada computadora.
Si el nodo central falla, toda la red se desconecta.
4.2.
WLAN: Redes inalámbricas
WLAN3 es un sistema de comunicación de datos inalámbrico flexible, muy utilizado como alternativa a las redes LAN cableadas o como extensión de éstas. Utiliza tecnologı́a de
radiofrecuencia que permite mayor movilidad a los usuarios al minimizar las conexiones ca3
Wireless Local Area Network o red de área local inalámbrica
11
bleadas. Las WLAN van adquiriendo importancia en muchos campos, como almacenes o para
manufactura, en los que se transmite la información en tiempo real a un servidor central.
También son muy populares en los hogares para compartir el acceso a Internet entre varias
computadoras.
4.2.1.
Tipos de redes WLAN
Infraestructura
Esta es una configuración tı́pica de WLAN en donde los puntos de acceso (AP) se conectan
a la red cableada. El punto de acceso recibe la información, la almacena y la transmite entre
la WLAN y la LAN cableada. Un único punto de acceso puede soportar un pequeño grupo de
usuarios y puede funcionar entre un rango de treinta metros hasta varios cientos de metros
a la redonda. El punto de acceso (o la antena conectada al punto de acceso) es normalmente
colocado en alto pero podrı́a colocarse en cualquier lugar en que se obtenga la cobertura
de radio deseada. El usuario final accede a la red WLAN a través de adaptadores. Estos
proporcionan una interfaz entre el sistema de operación de red del cliente y las ondas. La
figura 4.2 muestra este tipo de WLAN
Figura 4.2: Red WiFi Infraestructura
12
Peer to peer
Pueden ser de muy diversos tipos y tan simples o complejas como sea necesario. La más
básica se da entre dos ordenadores equipados con tarjetas adaptadoras para WLAN, de modo
que pueden poner en funcionamiento una red independiente siempre que estén dentro del área
que cubre cada uno. Esto es llamado red de igual a igual (peer to peer). Cada cliente tendrı́a
únicamente acceso a los recursos del otro cliente pero no a un servidor central. Este tipo de
redes no requiere administración. La figura 4.3) muestra este tipo de WLAN.
Figura 4.3: Red WiFi Peer to Peer
4.2.2.
Ventajas de las redes WLAN
Movilidad: las redes inalámbricas proporcionan a los usuarios de una LAN acceso a la
información en tiempo real en cualquier lugar dentro de la organización o el entorno
público (zona limitada) en el que están desplegadas.
Simplicidad y rapidez en la instalación: la instalación de una WLAN es rápida y fácil
y elimina la necesidad de colocar cables a través de paredes y techos.
13
4.3. VPN: REDES PRIVADAS VIRTUALES
Flexibilidad en la instalación: La tecnologı́a inalámbrica permite a la red llegar a puntos
de difı́cil acceso para una LAN cableada.
Escalabilidad: los sistemas de WLAN pueden ser configurados en una variedad de
topologı́as para satisfacer las necesidades de las instalaciones y aplicaciones especı́ficas.
Las configuraciones son muy fáciles de cambiar y además resulta muy simple la incorporación de nuevos usuarios a la red.
4.2.3.
Desventajas de las redes WLAN
Mayor vulnerabilidad a interferencias y ataques.
En comparación con una LAN tiene un desempeño de menor calidad.
4.3.
VPN: Redes privadas virtuales
La Red Privada Virtual (RPV), en inglés Virtual Private Network (VPN), es una tecnologı́a de red que permite una extensión de la red local sobre una red pública o no controlada,
como por ejemplo Internet. En otras palabras corresponde a una red lógica de computadores
unidos a través de Internet. De esta forma al estar conectadas las dos redes mediante una
VPN se creará la sensación al usuario que ambas redes están fı́sicamente conectadas, pudiendo compartir recursos (impresoras, archivos, servicios) entre los equipos de las redes de
forma transparente.
Además las VPN pueden ser provistas de sistemas de seguridad para proteger la información que está viajando por internet, de esta forma se mejora la confidencialidad e integridad
de los datos transmitidos por la empresa.
14
4.3.1.
Tipos de VPN
VPN de acceso remoto: es quizás el modelo más usado actualmente y consiste en
usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas
comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando Internet como
vı́nculo de acceso.
VPN punto a punto: este esquema se utiliza para conectar oficinas remotas con la
sede central de la organización. El servidor VPN, que posee un vı́nculo permanente a
Internet, acepta las conexiones vı́a Internet provenientes de los sitios y establece el túnel
VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de
su proveedor local de Internet, tı́picamente mediante conexiones de banda ancha. Esto
permite eliminar los costosos vı́nculos punto a punto tradicionales, sobre todo en las
comunicaciones internacionales (ver figura 4.4).
VPN interna WLAN: este esquema es el menos difundido pero uno de los más poderosos
para utilizar dentro de la empresa. Es una variante del tipo “acceso remoto” pero,
en vez de utilizar Internet como medio de conexión, emplea la misma red de área
local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta
capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las
redes inalámbricas (WiFi).
4.3.2.
Ventajas de VPN
Integridad, confidencialidad y seguridad de datos.
Las VPN reducen los costos y son sencillas de usar.
Facilita la comunicación entre dos usuarios en lugares distantes.
Se puede cursar tráfico de datos, imágenes en movimiento y voz simultáneamente.
Puede extenderse a cualquier sitio.
15
Figura 4.4: Ejemplo de VPN sitio a sitio
La capacidad de la red puede crecer gradualmente, según como las necesidades de
conexión lo demanden.
Si en Internet un enlace se cae o congestiona demasiado, existen rutas alternativas para
hacer llegar los paquetes a su destino.
4.3.3.
Desventajas de VPN
Se deben establecer correctamente las polı́ticas de seguridad y de acceso.
Mayor carga en el cliente VPN porque debe encapsular los paquetes de datos y encriptarlos, esto produce una cierta lentitud en las conexiones.
No se garantiza disponibilidad (sin Internet no hay VPN).
16
4.4. VOIP: VOZ SOBRE IP
Una VPN se considera segura, pero no hay que olvidar que la información sigue viajando
por Internet (de forma no segura y expuesta a ataques).
4.4.
VoIP: Voz sobre IP
Se llama VoIP al conjunto de tecnologı́as para la transmisión de voz sobre redes que
funcionan con el protolo IP4 , también es denominada telefonı́a IP o telefonı́a por Internet.
Esto último no significa que solo se pueda utilizar sobre Internet, puesto que al utilizar el
protocolo IP podemos implementarla sobre la red informática privada de una empresa.
4.4.1.
Ventajas y desventajas
Ventajas telefonı́a IP
Evita cargos altos de telefonı́a, principalmente larga distancia.
No hay que pagarle a las compañı́as telefónicas por la comunicación de Voz, pues solo
utilizamos nuestro servicio de Internet.
Puede funcionar sobre cualquier tipo red, como lo hacen otros servicios (como web).
Existe ı́nter operabilidad de distintos proveedores.
Existen distintos protocolos a utilizar, cada uno con sus ventajas y desventajas.
Servicio disponible solo con una conexión a Internet.
Desventajas
Es difı́cil garantizar calidad de servicio, difı́cil lograr una calidad exacta a la de una
PSTN.
4
Internet Protocol
17
Ya que los datos viajan en forma de paquetes es que pueden existir perdidas de información y demoras en la transmisión.
Se debe disponer de un mı́nimo de ancho de banda disponible según la cantidad de
usuarios hablando.
Dentro de las soluciones de VoIP existentes hemos decidido utilizar Asterisk en el proyecto,
este se detalla a continuación.
4.4.2.
Central telefónica Asterisk
Asterisk es el lı́der en centrales telefónicas de código libre, ofrece flexibilidad respecto a
las soluciones propietarias de comunicaciones y ha sido desarrollada para crear una solución
avanzada de comunicación.
Ventajas
Utiliza protocolos estándares y abiertos.
El desarrollo de los diversos codecs ha permitido que la voz se codifique cada vez en
menos bytes.
Funciona como una completa central telefónica, permitiendo tener casillas de voz, contestadora automática, acceso a la PSTN (mediante tarjetas especiales), control de llamadas, registro de llamadas de los usuarios, música en espera, operadora, etc.
Elementos a considerar al configurar Asterisk
Codificación de audio: existen diversos algoritmos (codecs) que codifican el audio de
diferentes formas, el método a utilizar determinará, por ejemplo, la calidad del sonido
o la cantidad de ancho de banda necesario para realizar la llamada. Se deberá usar el
más adecuado según los requerimientos del cliente.
18
Cancelación de eco: esta caracterı́stica evita que un usuario que este llamando escuche
su voz con un desfase.
Supresión de silencios: cuando en una llamada los interlocutores no emiten sonido alguno, el “silencio” se puede enviar por la lı́nea, sin embargo esto ocupará ancho de
banda, por lo cual se ha de tener presente que se debe evitar esto suprimiendo estos
silencios y que no sean enviados por la lı́nea.
Protocolos de señalización SIP
Corresponde al estándar para el inicio, modificación y termino de sesiones de diversos
servicios en redes IP, tales como: video, voz, mensajerı́a instantánea, juegos online y realidad
virtual.
Codificación de audio
Los codecs permiten codificar el audio para poder transmitir por la red un audio comprimido que haga un menor uso de los recursos de la red. El nivel de compresión dependerá del
bit-rate, el cual a menor bit-rate5 mayor compresión pero peor calidad. Existen diversos tipos
de codecs disponibles, en la figura 4.5 se pueden apreciar algunos de ellos y sus caracterı́sticas.
De los codecs de audio disponibles hemos decidido utilizar el G711 por ser un codec que
cumple con los requerimientos del cliente y además no posee una licencia restrictiva. Este
codec será el utilizado para la comunicación de los equipos de las centrales telefónicas con
sus usuarios locales.
5
Bits transmitidos en una unidad de tiempo, por ejemplo 16bps son 16 bits por segundo.
19
Figura 4.5: Tabla de codec de audio en telefonı́a IP
20
Capı́tulo 5
Entorno y sus fundamentos
5.1.
Problemática
Dentro de los temas analizados con el personal de la empresa en diversas reuniones realizadas se logró acotar el objetivo del proyecto a puntos especı́ficos. Esto es importante de
mencionar, ya que durante el desarrollo de Taller de Tı́tulo 1, se contemplaron muchos posibles temas, como una optimización general de la red, tanto en equipos, software y cableado.
Sin embargo por decisión de la empresa el trabajo fue acotado a los temas que se mencionan
a continuación.
Para lograr conocer cuáles eran los puntos a mejorar se realizó un estudio basado en los
problemas que presentaban los usuarios. Esto se realizado mediante entrevistas y reuniones
con el personal de la empresa. De estas reuniones surgieron las necesidades que se presentaban
respecto al funcionamiento de la red en ese momento.
Se detectaron tres puntos importantes:
Falta de control y seguridad en el acceso a Internet.
Falta de un sistema interno de comunicación entre las dependencias del fundo.
Posibilidad de tele trabajo.
21
5.1. PROBLEMÁTICA
5.1.1.
CAPÍTULO 5. ENTORNO Y SUS FUNDAMENTOS
Seguridad perimetral y filtro de contenido
La red de la empresa cuenta con acceso directo a Internet, esto significa que cualquier
usuario podı́a navegar libremente por sitios web que fuesen o no relacionados con el ambiente
laboral. Esto sumado a los problemas de seguridad que existen hoy en Internet correspondı́a
a un tema delicado que afectaba el rendimiento de la red y de las personas.
Al no contar con un equipo capaz de realizar un filtrado del contenido todos los dispositivos
que ingresan a Internet tienen iguales privilegios en la conexión, o sea acceso completo a la red.
Esto representa problemas en la seguridad puesto que los usuarios pueden obtener cualquier
tipo de material pudiendo navegar por sitios maliciosos que pueden generar vulnerabilidad a
los equipos de los usuarios y potencialmente a otros equipos en la red. Además los usuarios al
poder acceder libremente a las páginas web muchas veces navegarán por sitios que no estan
vinculados a la empresa.
5.1.2.
Problemas de comunicación
Se han detectado problemas para realizar una comunicación telefónica eficiente entre los
trabajadores de la empresa, especı́ficamente en el fundo. Esto provocado por la ubicación
geográfica en donde se encuentra este, ver figura 3.1. En la figura se observa que corresponde
a un sector rural, por lo cual no existen proveedores de telefonı́a fija que cubran el lugar.
Además por estar el fundo rodeado por dos grandes cerros el servicio de telefonı́a celular es
deficiente, habiendo una cobertura limitada de esta.
Los problemas de comunicación se pueden dividir en los siguientes:
Comunicación interna
Es necesario la comunicación de 6 instalaciones, se pueden apreciar estos puntos en la
figura 5.1. En la imagen se observa la ubicación de las instalaciones señaladas al interior
del fundo de la empresa. Actualmente existe una red de computadores mediante la cual
los funcionarios pueden transferir archivos y correo electrónico, sin embargo para realizar
comunicación vı́a voz deben recurrir a equipos de radio.
22
5.1. PROBLEMÁTICA
Figura 5.1: Mapa red inalámbrica en el fundo
Comunicación externa
Además es necesaria la comunicación con la oficina central de la empresa, en la ciudad
de Melipilla. Actualmente esto se realiza mediante telefonı́a celular, sin embargo esta es
deficiente en el sector y no existe la posibilidad de telefonı́a fija.
5.1.3.
Conexión remota a la red
Otro de los puntos que nos hicieron ver los ejecutivos de la empresa fue la necesidad de
poder conectarse a través de Internet a la red interna de la empresa, esto con el objetivo de
acceder a los equipos y servicios que la componen. Dos servicios importantes son:
Aplicación de la empresa, que funciona vı́a web en la Intranet.
Servidor con los documentos de las distintas áreas coorporativas.
23
5.2. REQUERIMIENTOS
5.2.
Requerimientos
Según el análisis realizado conjuntamente con el cliente, se rescataron los siguientes requerimientos, los cuales son para solucionar la problemática antes detallada, estos consisten
en:
Evitar que los usuarios tengan libre acceso a Internet.
Existiran distintos niveles de privilegios de filtrado de contenido según defina el cliente.
Acceder en forma remota a la red de la empresa.
Permitir a los trabajadores comunicarse telefonicamente entre sı́ en el interior del fundo
y hacia el exterior
Implementar una central telefónica que permita a los trabajadores de la empresa comunicarse entre sı́ al interior del fundo.
Central telefónica deberá estar comunicada con la red pública de telefonı́a.
Generar sistema de comunicación telefónica interna entre el fundo y oficina central.
24
Capı́tulo 6
Alcance del proyecto
En este capı́tulo se indicará lo que nuestro proyecto de tı́tulo cubrirá, indicando los aspectos formales que tienen relación con responsabilidades por parte del cliente como de quienes
ejecutan el proyecto.
6.1.
Descripción
La solución a implementar corresponde a la instalación y puesta en marcha de equipos
capaces de realizar las tareas necesarias para proteger la red desde el exterior, ejercer un
control a nivel de contenido sobre lo que los usuarios pueden realizar en internet y además
la implementación de centrales de telefonı́a IP para ayudar en la comunicación entre los
trabajadores de la empresa.
El proyecto está compuesto de las siguientes etapas:
Configuración de firewall: Se instalarán y configurarán dos firewall para generar
polı́ticas de acceso a Internet, filtro de contenido de páginas web y por otra parte
polı́ticas de acceso para proteger la red interna.
Instalación de VPN: La instalación de la red VPN será para unir la Oficina Central
con el Fundo, además se considerará la necesidad de clientes que deseen conectarse
desde redes externas a la empresa.
25
6.2. LIMITACIONES
CAPÍTULO 6. ALCANCE DEL PROYECTO
Central telefónica: Se considerará la instalación de dos servidores en los cuales se
instalará el software que realizara las tareas de comunicación de voz sobre ip y los
equipos terminales de telefonı́a IP.
Segmentación de red: Incluirá la separación de la granja de servidores de la red
corporativa.
6.2.
Limitaciones
Las siguientes son limitaciones impuestas por el cliente al diseño del proyecto:
Se deberá utilizar la actual red implementada en ambos lugares, proyecto no debe
contemplar cambios gruesos al cableado o instalaciones inalámbricas.
Horario de trabajo en terreno solo fuera de horario de oficina, esto significa sábado o
domingo.
Se debe capacitar al personal de la empresa para la mantención futura de los equipos
instalados.
6.3.
Factores crı́ticos de éxito
A continuación se mencionan aquellos factores que serán decisivos y podrı́an comprometer
el correcto desarrollo del proyecto.
Responder a los tiempos dispuestos o estipulados al inicio del proyecto.
Tener a disposición el hardware necesario antes de la fecha dispuesta para la configuración de estos.
Realizar pruebas de funcionalidad en las etapas correspondientes de la implementación.
Responder a los requerimientos funcionales solicitados por la empresa.
26
6.3. FACTORES CRÍTICOS DE ÉXITO
El cliente realice pruebas de satisfacción luego de las pruebas internas de implementación.
Realizar correcciones a los problemas encontrados al realizar la implementación.
Realizar capacitación al personal antes dispuesto, para que opere el equipamiento instalado.
Cortes de energı́a electrı́ca podrı́an afectar el funcionamiento del sistema.
Disponer de una conexión a Internet al menos en los horarios de trabajo.
Realizar respaldos del sistema, a fin de evitar problemas en caso de fallas por hardware.
27
6.3. FACTORES CRÍTICOS DE ÉXITO
28
Capı́tulo 7
Diseño de solución
Estudiando la problemática detectada en la empresa se preparó una solución al problema. En este capı́tulo se muestra el diseño en detalle de la solución que cumple con los
requerimientos del cliente.
En la figura 7.1 se puede apreciar una visión global del diseño final a implementar, el cual
incluye la solución al problema de telefonı́a, seguridad perimetral y conexión remota.
Figura 7.1: Modelo de red propuesto
29
7.1. DIAGRAMA DE FLUJO
7.1.
CAPÍTULO 7. DISEÑO DE SOLUCIÓN
Diagrama de flujo
Para un mejor entendimiento del modelo de red propuesto se presentan diferentes diagramas de flujo, los cuales ayudarán a la comprensión de la solución planteada:
Diagrama flujo firewall: ver figura 7.2.
Diagrama flujo proxy: ver figura 7.3.
Diagrama flujo central telefónica: ver figura 7.4.
7.2.
Firewall
Existe la necesidad de instalación en ambos sectores de un Firewall que separe la red
LAN de Internet, ver figura 7.5. Para esto se realizará la instalación de un firewall utilizando
Debian GNU/Linux1 , dentro de las ventajas presentes está el hecho que es una solución
económica si la comparamos con un firewall comercial y tan robusta como estos últimos.
El firewall cumplirá diversas funciones:
Filtrado utilizando IPTables.
VPN utilizando OpenVPN.
Proxy transparente utilizando Squid.
Router utilizando rutas estáticas.
Para el cumplimiento de lo anterior se implementarán sobre dos servidores que dispondrán
de tres tarjetas de red, una conectada hacia internet, otra a la zona desmilitarizada (dmz,
donde se encontrarán los servidores de la empresa) y la última hacia la red corporativa.
Mediante el software squid, iptables y openvpn se lograrán los objetivos planteados para
estos equipos.
1
30
http://www.debian.org
7.2. FIREWALL
La ventaja principal será mejorar las horas productivas en la empresa, ya que al tener
libre acceso los usuarios pueden malgastar tiempo. Además se protegerá la red desde posibles
ataques del exterior.
7.2.1.
IPTables
IPTables es parte de un software llamado NetFilter disponible en el núcleo de las distribuciones GNU/Linux. Corresponde a una herramienta, principalmente de capa 3 en el modelo
OSI de redes, que permitirá generar diversas reglas de seguridad y usos de la red. Entre estas
se encuentran:
Enmascaramiento de IPs privada con la IP pública para la utilización de NAT.
Bloqueo de puertos e IP desde y hacia Internet.
Redireccionamiento de solicitudes web al proxy Squid.
Con esto se permitirá que el administrador de la red pueda definir nuevas polı́ticas de
una manera sencilla y efectiva comparado con lo que se podrı́a lograr con un equipo SOHO2
7.2.2.
OpenVPN
La VPN se utilizará para crear un enlace sitio a sitio entre el fundo y Melipilla, esto
permitirá que usuarios de ambas redes esten conectados como si estuviesen en la misma red.
Además se creará un acceso para clientes remotos3 , permitiendo con esto además que los
trabajadores autorizados puedan ingresar a la red corporativa.
Ambos tipos de VPN (sitio a sitio, ver figura 7.6, y para clientes remotos) utilizarán
un canal comprimido y encriptado. En el caso del tunel sitio a sitio se utilizará una clave
compartida y en los clientes remotos un certificado digital.
2
3
SOHO: Small Office Home Office, equipos de menor rendimiento y capacidades de configuración.
Usuarios que se conectan desde diversos puntos de Internet
31
7.2. FIREWALL
Se ha elegido utilizar OpenVPN por su simpleza, tanto en su configuración y administración. Además será sencillo para el administrador de red poder expandir el sistema, creando
nuevos usuarios que requieran conectarse.
Otro punto importante es que permite transportar protocolos como IPX, el cual es utilizado por otra aplicación dentro de la empresa. Si bien el uso de IPX en la VPN no es parte
de los requerimientos entregados por el cliente, es un tema que se podrı́a implementar en el
futuro.
7.2.3.
Squid
Para la implementación del filtro de contenidos se usó Squid que corresponde a un proxy4 ,
este tiene diferentes caracterı́sticas, las cuales se pueden resumir en dos grupos:
Caché para sitios web: mediante esta opción cuando un usuario solicita un sitio, si
existe almacenado en el servidor proxy se obtiene desde ahı́, sino se busca en Internet.
Ayuda a optimizar el uso de la conexión hacia Internet.
Filtro de contenidos: permite o deniega contenido web a los usuarios de la red.
Es necesario llevar un registro de los sitios que visitan los usuarios, esto para posteriormente poder realizar alguna especie de revisión y control. Es por esto que toda solicitud web
(puerto 80) deberá ser redireccionada por el firewall al proxy, el cual de forma transparente,
descargará el sitio para el usuario que lo requiera.
A medida que se vayan detectando usos indebidos de Internet se deberán ir creando
restricciones, para esto se crearán 3 ACL5 básicas dentro de Squid:
Sitios denegados: url que no pueden ser accedidas.
Sisitos autorizados. url que deben ser permitidas.
IP libres: usuario VIP, a los cuales no se les aplica ninguna restricción.
4
5
32
Usuarios podrán acceder a Internet a través de este equipo
Access control list: listas de control de acceso
7.3. CENTRAL TELEFÓNICA
A pesar de existir usuarios VIP, el registro será para todos los usuarios. Por lo cual a ellos
también se les llevará un listado de los sitios que visiten.
Además se contempla la implementación de blacklist6 , de esta forma y de manera automática se irán actualizando y bloqueando sitios que no deben ser visitados.
7.3.
Central telefónica
En la actualidad no es posible la utilización de telefonı́a tradicional en el fundo y la
celular es deficiente, esto debido a las condiciones geográficas que existen en el lugar. Por
estas razones se ha determinado que la solución viable en estos momentos es la comunicación
mediante telefonı́a IP. Para cumplir este objetivo se instalarán centrales de telefonı́a IP en
ambos puntos, tanto en el fundo como en la oficina central.
Esta central proveerá el servicio de telefonı́a privada dentro del sector pudiendo utilizar
los enlaces de red ya existentes en los lugares que sea necesario comunicar. Dentro de las
soluciones de VoIP se trabajará con Asterik7 .
Las principales ventajas al utilizar Asterisk son:
Control eficiente de las cuentas de telefonı́a.
Comunicación desde cualquier lugar con una única cuenta de telefonı́a.
Utiliza infraestructura de red ya existente.
Escalable, ya que permite un gran crecimiento.
Interconexión entre centrales telefónicas.
Dentro de los servicios solicitados por el cliente y que serán configurados están:
Conexión a la PSTN8 .
6
Listas negras: archivos con direcciones potencialmente peligrosas
http://es.wikipedia.org/wiki/Asterisk
8
Red de telefonı́a tradicional
7
33
Menú IVR9 .
Buzón de voz.
Registro de llamadas cursadas.
Conexión con otras centrales de telefonı́a.
Estos servicios serán explicados a continuación.
7.3.1.
Empresa VOIP externa
La conexión con la PSTN en el fundo se realizará mediante un proveedor de servicios
de VoIP externo. El cual entregará una numeración válida en la red telefónica pública y el
será el proveedor del servicio de telefonı́a a la red tradicional. Mediante un análisis de costos
y los posibles proveedores, se ha decidido ofrecer la conexión a través de la empresa RedVoiss
ya que provee del servicio que se requiere a bajos costos.
El valor del servicio representará una disminución en los costos de telefonı́a. Sin embargo
estos ahorros se notarán fuertemente si la empresa realiza llamas internacionales, ya que en
este tipo de llamadas se puede alcanzar un ahorro de hasta un 70 %. En el caso de las llamas
nacionales el ahorro corresponde a aproximadamente un 20 %.
7.3.2.
Menú interactivo
Se requiere la implementación de un menú interactivo que permita al llamar desde la
PSTN poder discar cualquier extensión válida de los usuarios y ser trasladado a ella. Este
menú se logrará mediante la creación de reglas en el Dial Plan de Asterisk.
7.3.3.
Buzón de voz
Se implementará un sistema de buzón de voz de manera que un usuario al estar ocupado
o no disponible pueda recibir igualmente el mensaje de la llamada. Lo importante aquı́ es que
9
34
Interactive Voice Response
este mensaje debe llegar al correo electrónico del dueño del anexo. Para esto se utilizará la
opción de VoiceMail de Asterisk que permite tanto el almacenaje de los mensajes en el
servidor de telefonı́a como el envio vı́a email de los mismos.
7.3.4.
Estadı́sticas de llamadas
Un tema importante que esta presente en la solución planteada es el control que se logrará tener sobre las llamadas que van a generar los trabajadores y el registro controlado
de los usuarios. Esto implicará poder determinar por ejemplo quienes utilizan el sistemas,
cuanto tiempo, en que horarios, ayudando a determinar si el uso de las llamadas es por motivos laborales o el sistema se esta usando con otros fines, lo cual no es posible con el sistema
actual.
Para el registro se utilizará una aplicación web llamada Asterisk-Stat que permite generar
reportes leyendo la información entregada por Asterisk CDR10 . Los reportes incluyen gráficos,
reportes diarios, tiempos de mayor uso de la red, entre otras capacidades.
7.3.5.
Protocolo para troncal entre centrales
IAX es el protocolo propio de Asterisk que se utiliza para la transferencia de llamadas
entre centrales Asterisk. Se utilizará para unir las dos centrales telefónicas (fundo y oficina
central). De esta forma usuarios de ambas centrales podrán llamar entre sı́.
Una caracterı́stica importante aquı́ es que para el usuario debe ser transparente la forma
de llamar, o sea, no se han de considerar prefijos de marcado, a pesar que son 2 centrales
distintas. Esto se solucionará utilizando en el fundo la red de anexos 1XX y en Melipilla la
2XX. De esta forma, Asterisk, internamente manejará las extensiones de forma transparente
para el usuario.
10
Call Detail Record
35
Figura 7.2: Flujo funcionamiento del firewall
36
Figura 7.3: Flujo funcionamiento del proxy
37
Figura 7.4: Flujo funcionamiento de la central telefónica
38
Figura 7.5: Ubicación y funcionamiento de un firewall
39
Figura 7.6: VPN sitio a sitio
40
Capı́tulo 8
Plan de trabajo
8.1.
Etapas
En la siguiente sección se indicarán las etapas que contiene la solución que se entregará,
para ello indicamos el listado de actividades a continuación:
1. Instalación de Firewall y filtro de contenidos.
2. Interconexión mediante VPN.
3. Configuración Servidor Asterisk en Fundo.
4. Configuración Servidor Asterisk en Oficina Central.
5. Implementación de troncales entre Centrales VoIP.
6. Acceso de Central Fundo a PSTN.
Es necesario mencionar que esta lista de actividades nos entrega la forma secuencial en que
se realizará dicha implementación, a continuación se entrega el detalle de cada Actividad:
8.1.1.
Instalación de Firewall y filtro de contenidos
En esta actividad se realizará la configuración del Firewall y el filtro de contenido, con
las respectivas polı́ticas de seguridad, según los requerimientos indicados por el cliente. Se
41
8.1. ETAPAS
CAPÍTULO 8. PLAN DE TRABAJO
crearán las restricciones para evitar el acceso indeseado a ciertos puertos y además la creación
de listas negras para prohibir sitios web a los empleados.
8.1.2.
Interconexión mediante VPN
En esta etapa se realizará la configuración de la VPN, para que funcione como sitio a
sitio y para tele trabajo. Con esto se conseguirá la conexión de un trabajador a la red de la
empresa desde una ubicación pública en Internet.
8.1.3.
Configuración Servidor Asterisk en Fundo
En esta parte se realizará tanto la instalación como la configuración de Asterisk, para que
funcione como central telefónica en las dependencias del fundo. Esto incluirá la creación de
las cuentas SIP de los usuarios, casillas de voz, plan de marcado y estadı́sticas de llamadas.
8.1.4.
Configuración Servidor Asterisk en Oficina Central
En esta actividad se realizará el mismo procedimiento detallada en la actividad anterior,
pero en la oficina central ubicada en Melipilla.
8.1.5.
Implementación de troncales entre Centrales VoIP
En esta etapa se realizará la configuración para realizar la conexión o comunicación entre
ambas centrales telefónicas (Fundo Santa Rosa y Oficina central). Esto se llevará a cabo
mediante el protocolo propio de Asterisk IAX.
8.1.6.
Acceso de Central Fundo a PSTN
En este paso se realizará la comunicación de la central telefónica ubicada en el fundo con
la empresa de telefonı́a externa, la cual entregará el servicio de acceso a la red pública de
telefonı́a.
42
8.2.
8.2. RECURSOS
Recursos
A continuación detallaremos los recursos incurridos en el proyecto realizado:
Recurso Humano
El Recurso Humano a utilizar esta indicado en los cargos incurridos en la lista de actividades ya antes detallada, este personal deberá estar debidamente capacitado para realizar las
actividades correspondientes. Se debe mencionar que el personal humano será en gran parte
el grupo de trabajo del proyecto, los cuales en las distintas etapas cumplirán diferentes roles.
Recurso de Software
Todo el software a utilizar en el proyecto es libre, por lo cual es de fácil acceso para la implementación. El tipo de licencia a utilizar, en la mayorı́a de los casos, es la GPL1 , se puede encontrar una copia de esta licencia en el siguiente enlace http://www.viti.es/gnu/licenses/gpl.html
Dentro de las ventajas de la utilización de software libre se encuentran:
Libertad de uso y distribución.
Independencia tecnológica.
Sujeto a estándares.
Soporte y compatibilidad a largo plazo.
Sistemas seguros y rápida corrección de fallos.
No se incurrirá en costos por el software a utilizar
Recurso de Hardware
El hardware necesario para el proyecto fue informado al cliente, el cual decidió acotarlo
y finalmente se decidió utilizar lo que se detalla a continuación:
1
General Public License
43
8.2. RECURSOS
2 Equipos para centrales Telefónicas: procesador 2GHz, 1 Gb RAM, 160 GB disco duro,
1 tarjeta de red 1000Mbps.
2 Equipos para Firewall: procesador 2GHz, 2 Gb RAM, 160 GB disco duro, 2 tarjetas
de red 1000Mbps, 1 tarjeta de red 100Mbps.
4 Teléfonos IP.
Cables de red y conectores.
44
Capı́tulo 9
Implementación
A continuación se mencionan las actividades necesarias para la implementación del proyecto, en caso de ser necesario se han adjuntado en el anexo A ejemplos de las configuraciones
realizadas en los equipos.
9.1.
Estudios protocolos y software
Es necesario realizar un estudio de los protocolos que se utilizarán, el software y el diseño,
de tal forma de estar preparados para realizar una instalación y configuración rápida. Durante
esta etapa se hará un estudio teórico.
9.2.
Reunión implementación
Durante esta reunión se definiran aspectos que tienen relación con los objetivos y necesidades que se buscan cumplir.
Por ejemplo se han de indicar el tipo de sitios webs que serán restringidos, la cantidad de
anexos que deberán ser habilitados o el tipo de tráfico que se deberá permitir hacia Internet.
Aspectos relacionados directamente con el uso que se le dará a los sistemas instalados.
45
9.3. FIREWALL FUNDO
9.3.
9.3.1.
CAPÍTULO 9. IMPLEMENTACIÓN
Firewall Fundo
Instalación Sistema Operativo
Se debe realizar la instalación del sistema operativo Debian GNU/Linux. Ya que el uso
será para un ambiente servidor se utilizará una instalación por red, de esta forma se instalarán
solo los paquetes básicos del sistema. Cualquier otro software será instalado cuando sea
necesario. Los pasos, básicos, para realizar la instalación son:
Configuración tarjeta de red.
Particionamiento disco duro (se separará en /, /var y /tmp).
Selección de paquetes a instalar.
Configuración de usuarios y contraseñas.
Esta etapa será necesaria de realizar en el otro firewall y ambas centrales telefónicas. Por
lo cual, al estar explicadas en este apartado, se omitirán en las siguientes secciones.
9.3.2.
Configuración IPTables
Según los requerimientos entregados por el cliente y polı́ticas definidas con el cliente, ver
sección 9.2, se deberán realizar las siguientes tareas mediante IPTables:
Enmascaramiento de la LAN y DMZ para utilizar NAT.
Restriccion del acceso a puertos no conocidos desde la red local.
Bloquear el acceso a puertos desde Internet.
Bloqueo en capa 3 del acceso de usuarios a Internet.
Redirección de solicitudes web al servidor proxy.
46
9.3.3.
9.4. VPN FUNDO
Configuración Squid
Squid será utilizado por petición del cliente para funcionar como un filtro de contenidos
de la red. Para tal objetivo se crearan tres ACL1 , estas permitiran manejar las siguientes
opciones:
Usuarios VIP: usuarios que no deben ser bloqueados.
Sitios aceptados: webs que no deben ser bloqueadas.
Sitios bloqueados: sitios web prohibidos.
Además se deberá contar con alguna forma de supervisar el acceso web, para esto se
utilizarán los logs que genera Squid. Se desarrollará un script que permita de una forma
simple acceder a los contenidos visitados por los usuarios.
9.3.4.
Instalación y Pruebas
Durante esta etapa se instalará fı́sicamente el equipo en las dependencias de la empresa y
se realizarán las mismas pruebas hechas para el documento Casos de Prueba (entregado anteriormente) pero esta vez en un ambiente real (no de laboratorio). Esta etapa se deberá realizar
con los 4 equipos a instalar (2 firewall y 2 centrales).
9.4.
9.4.1.
VPN Fundo
Instalación OpenVPN
Se deberá realizar la instalación del software Open VPN el cual será configurado, en esta
etapa, para permitir el acceso de usuarios desde Internet al interior de la red.
1
Lista de control de acceso
47
9.5. CENTRAL TELEFÓNICA FUNDO
9.4.2.
Configuración tele trabajo
Se definiran usuarios mediante certificados digitales, los cuales podrán acceder a través
de un cliente VPN a la red corporativa.
Todo el tráfico cursado a través de la VPN será encriptado y comprimido, de esta forma
se busca disminuir la cantidad de tráfico efectivo cursado por Internet.
9.5.
9.5.1.
Central telefónica Fundo
Instalación Asterisk
Se debe realizar la instalación de la central telefónica Asterisk. Actualmente la versión
estable dentro del sistema Debian GNU/Linux corresponde a la 1.4 y será la que se utilizará.
9.5.2.
Habilitación cuentas
Se deben crear las cuentas de usuario y sus extensiones, es importante destacar que Asterisk hace diferencia entre ambos puntos, ya que un usuario puede poseer muchas extensiones,
por ejemplo podemos tener el usuario Juan que tendrá la extensión 10 y 11 apuntando a él.
A pesar de lo anterior se utilizará un esquema donde un usuario tendra una extensión y
una casilla de correo. El nombre de usuario corresponderá al número de extensión.
Con estas consideraciones se procederá a la habilitación de las cuentas.
Cuentas SIP
Definición de usuarios dentro del sistema en el archivo /etc/asterisk/sip.conf
Ejemplo:
[113]
; id del usuario
callerid="delaf"
; nombre del usuario
md5secret=754ee2a8de2d24e4e7956e7237a2b174
; clave encriptada
context=anexos
; contexto al que pertenece
48
9.5. CENTRAL TELEFÓNICA FUNDO
type=friend
; tipo de peer
host=dynamic
; desde donde se conectará
Habilitación extensiones
Corresponde a la asociación que se realizará entre un número de extensión y un usuario,
se define en el archivo /etc/asterisk/extensions.conf
Ejemplo:
exten => 113,1,Dial(SIP/113,30)
; marcar extensión
exten => 113,n,Voicemail(113,u)
; no disponible
exten => 113,n,Voicemail(113,b)
; ocupado
exten => 113,n,Hangup
; colgar
Buzón de Voz
Se creará una casilla de buzón de mensajes, donde los mensajes serán enviados vı́a correo
electrónico al usuario dueño de la extensión. Esto se define en el archivo /etc/asterisk/voicemail.conf
Además se debe modificar el archivo extensions.conf para permitir el traslado a buzón en
caso de no disponible o ocupado. Esto se puede ver en el ejemplo anterior.
Ejemplo:
113 => 113,Esteban De La Fuente Rubio,[email protected]
9.5.3.
Estadı́sticas de llamadas
Se debe configurar las estádisticas mediante CDR, esto permitirá almacenar las llamadas
realizadas por los usuarios de la central. Por defecto Asterisk solo crea un log, por lo cual se
deberá cambiar la configuración para que se utilice una base de datos, por ejemplo mysql.
49
9.6. EQUIPOS OFICINA CENTRAL
9.5.4.
Acceso a la PSTN
Configuración mediante un proveedor de servicios externos, en el caso del proyecto se
utilizará la empresa RedVoiss. Mediante la cual se tendrá acceso a la PSTN.
Enlace RedVoiss
Se deberá modificar el archivo sip.conf para permitir el registro de la central en la red de
telefonı́a IP externa. Además se modificará extensions.conf para permitir que usuarios dentro
de la red puedan salir hacia la PSTN.
Menú Interactivo
Se debe crear un menú que reciba las llamadas entrantes desde la PSTN y permita que
el llamante digite una extensión, para posteriormente ser redireccionado a esta.
9.6.
Equipos oficina central
Se deberá configurar el firewall y la central telefónica de manera similar a lo realizado en
el fundo.
9.6.1.
Capacitación SysAdmin
La empresa solicitó, posteriormente al análisis de requerimientos del proyecto, que se
capacitará a un empleado de planta ubicado en la oficina de Melipilla, esto con el objetivo
de que pudiese solucionar problemas en caso de presentarse alguno.
Se deberá instruir a un empleado sobre el uso del firewall, especı́ficamente:
Comándos básicos de GNU/Linux.
Manejo de demonios en GNU/Linux.
Redireccionamiento de puertos en IPTables.
50
9.7. VPN SITIO A SITIO
Bloqueo de alguna IP para acceder a Internet en IPtables.
Modificación de las ACL en Squid.
9.7.
9.7.1.
VPN Sitio a Sitio
Habilitación en OpenVPN
Anteriormente se describieron los pasos para la implementación de una VPN para usuarios
remotos. En esta etapa se deberá configurar el software OpenVPN para unir las redes del
Fundo y Melipilla. De esta forma se contará con un acceso desde cualquier punto de una red
a la otra.
Se utilizará una clave precompartida la cual la conocerán ambos firewalls, quienes deberán
proporcionar además las rutas necesarias para acceder a la red ubicada en el otro extremo
de la VPN.
Al igual que en el caso del tele trabajo, el tráfico será comprimido.
9.8.
9.8.1.
Troncal IAX
Configuración Troncal
En las sección 9.5 se describieron los pasos para la implementación de la central telefónica
con su propia red de anexos. En esta etapa se deberá crear el troncal IAX en ambas centrales
para permitir las llamadas entre una central y otra.
Se deberán modificar los archivos iax.conf y extensions.conf, respectivamente definiendo
usuarios IAX y como se realizarán las llamadas.
Se debe considerar que en el fundo los anexos estarán en el rango 100 a 199 y en Melipilla
en el rango 200 a 299, esto permitirá definir en extensións.conf el redireccionamiento hacia
el canal IAX.
51
9.9. DOCUMENTACIÓN
9.9.
Documentación
Durante todo el proceso de implementación se deberá ir documentando lo realizado, realizar respaldos de las configuraciones y estas debidamente comentadas. Todo esto con el
objetivo de al momento de confeccionar la memoria de titulación disponer de los datos de
manera más fácil.
Además se deberán crear pequeños tutoriales que indiquen los pasos realizados para obtener el funcionamiento global del sistema.
52
Capı́tulo 10
Resultados
10.1.
Pruebas
A continuación se presentan las pruebas realizadas al sistema una vez que fue implementado.
Notas para leer las pruebas:
En los resultados de las pruebas se utilizará [...] para indicar que en ese lugar habı́a
más texto pero fue considerado poco relevante, por lo cual fue quitado.
En los casos de lı́neas que debieron ser cortadas se utilizo \más un espacio.
10.1.1.
Pruebas en Fundo
Escaneando puertos
Utilizando software nmap se han escaneado los puertos que se encuentran abiertos desde
la WAN y desde la LAN. Con esto se puede verificar que solo dejemos acceso al equipo en
los puertos que hemos determinado en nuestro firewall.
Se permite el acceso por SSH desde la LAN, desde la WAN no se permite el acceso,
habrá que conectarse mediante la VPN previo a inicar sesión SSH desde Internet.
53
10.1. PRUEBAS
CAPÍTULO 10. RESULTADOS
killua:~# nmap -A -p1-65000 172.16.1.134
Starting Nmap 4.62 ( http://nmap.org ) at 2009-09-22 21:55 CLT
[...]
Interesting ports on 172.16.1.134:
Not shown: 63973 closed ports, 1026 filtered ports
PORT
STATE SERVICE VERSION
50178/tcp open
rpcbind
MAC Address: 00:25:11:1C:21:48 (Unknown)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.13 - 2.6.24
Uptime: 0.027 days (since Tue Sep 22 21:16:52 2009)
Network Distance: 1 hop
[...]
Nmap done: 1 IP address (1 host up) scanned in 25.013 seconds
delaf@edward:~$ nmap -A -p1-65000 -PN 10.2.0.1
Starting Nmap 4.62 ( http://nmap.org ) at 2009-09-22 21:51 CLT
[...]
Interesting ports on 10.2.0.1:
Not shown: 64999 filtered ports
PORT
STATE SERVICE VERSION
22/tcp open
ssh
(protocol 2.0)
[...]
Nmap done: 1 IP address (1 host up) scanned in 145.607 seconds
Denegar acceso a Internet a ciertos usuarios
Para la siguiente prueba se creo una regla en el firewall de tal forma que la IP 10.2.0.201
no tenga acceso a Internet.
54
10.1. PRUEBAS
iptables -A FORWARD -s 10.2.0.201/32 -o $WAN_IF -j DROP
Luego se verifico desde el cliente que efectivamente podı́a acceder a la LAN y a la DMZ
pero no hacia el exterior.
delaf@edward:~$ sudo ifconfig eth0 | grep addr:
inet addr:10.2.0.201
Bcast:10.2.1.255
Mask:255.255.254.0
inet6 addr: fe80::21e:ecff:fe39:d593/64 Scope:Link
delaf@edward:~$ sudo route -n
Kernel IP routing table
Destination
Gateway
Genmask
Flags Metric Ref
Use Iface
10.2.0.0
0.0.0.0
255.255.254.0
U
0
0
0 eth0
0.0.0.0
10.2.0.1
0.0.0.0
UG
0
0
0 eth0
delaf@edward:~$ ping 172.16.1.1
PING 172.16.1.1 (172.16.1.1) 56(84) bytes of data.
^C
--- 172.16.1.1 ping statistics --2 packets transmitted, 0 received, 100% packet loss, time 1013ms
64 bytes from 10.2.0.1: icmp_seq=1 ttl=64 time=0.107 ms
^C
rtt min/avg/max/mdev = 0.095/0.101/0.107/0.006 ms
55
10.1. PRUEBAS
^C
DHCP estático
Dentro del archivo de configuració de DHCP se han definido asignaciones de IP estáticas
mediante la MAC de los equipos, en esta prueba se verifica que se ha asignado efectivamente
la IP que corresponde al equipo.
host edward-eth {
hardware ethernet 00:1e:ec:39:d5:93;
fixed-address 10.2.0.201;
}
delaf@edward:~$ sudo ifconfig eth0
eth0
Link encap:Ethernet
HWaddr 00:1e:ec:39:d5:93
Bcast:10.2.1.255
Mask:255.255.254.0
[...]
Sitios web denegados y sitios permitidos
Se muestra parte del log /var/log/squid/access.log donde se ve como una web es dejada
pasar (www.google.cl) y otra es bloqueada (www.emol.com), además en las figuras 10.1 y
10.2 se aprecian los respectivos resultados.
1253655549.890
0 10.1.0.91 TCP_HIT/200 8152 GET http://www.google.cl/intl
\ /en_com/images/logo_plain.png - NONE/- image/png
1253655549.918
980 10.1.0.91 TCP_MISS/200 4000 GET http://www.google.cl/ -
\ DIRECT/208.69.32.230 text/html
56
1253655550.093
10.1. PRUEBAS
0 10.1.0.91 TCP_HIT/200 5971 GET http://www.google.cl/imag
\ es/nav_logo7.png - NONE/- image/png
1253655551.528
482 10.1.0.91 TCP_MISS/204 424 GET http://www.google.cl/csi?
\ - DIRECT/208.69.32.231 text/html
1253655551.533
598 10.1.0.91 TCP_MISS/200 3609 GET http://www.google.cl/ext
\ ern_chrome/ac8f3578e9ba214e.js - DIRECT/208.69.32.230 text/html
1253655551.892
554 10.1.0.91 TCP_MISS/204 293 GET http://clients1.google.cl
\ /generate_204 - DIRECT/74.125.65.102 text/html
[...]
1253655706.201
179 10.1.0.91 TCP_DENIED/403 1376 GET http://www.emol.com/ -
\ NONE/- text/html
1253655706.389
0 10.1.0.91 TCP_DENIED/403 1399 GET http://www.emol.com/fav
\icon.ico - NONE/- text/html
Interfaces de red firewall
A continuación se muestran las interfaces de red, tanto fı́sicas, lógicas y de túnel disponibles
en el firewall bart.
bart:~# ifconfig
eth0
Link encap:Ethernet
HWaddr 00:25:11:1b:25:0a
inet addr:192.168.30.100
Bcast:192.168.30.255
Mask:255.255.255.0
[...]
eth1
Link encap:Ethernet
inet addr:10.1.0.1
HWaddr 00:21:91:21:28:61
Bcast:10.1.1.255
Mask:255.255.254.0
[...]
eth2
Link encap:Ethernet
HWaddr 00:21:91:8c:fe:69
57
10.1. PRUEBAS
Figura 10.1: Squid permitió acceso a www.google.cl
inet addr:10.1.2.1
Bcast:10.1.2.15
Mask:255.255.255.240
[...]
lo
Link encap:Local Loopback
inet addr:127.0.0.1
Mask:255.0.0.0
[...]
tun0
Link encap:UNSPEC
HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
P-t-P:10.99.99.2
Mask:255.255.255.255
[...]
tun1
Link encap:UNSPEC
HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
[...]
58
10.1. PRUEBAS
Figura 10.2: Squid denegó acceso a www.emol.cl
Tabla de rutas en los firewalls
La siguiente tabla muestra la redes y como llegar a ellas desde bart (firewall 1), análogamente existe una tabla similar para krusty.
bart:~# route -n
Destination
Gateway
Genmask
Flags Metric Ref
10.97.97.2
0.0.0.0
255.255.255.255 UH
0
0
0 tun1
10.99.99.2
0.0.0.0
255.255.255.255 UH
0
0
0 tun0
10.2.2.0
10.99.99.2
255.255.255.240 UG
0
0
0 tun0
10.1.2.0
0.0.0.0
255.255.255.240 U
0
0
0 eth2
10.97.97.0
10.97.97.2
255.255.255.0
UG
0
0
0 tun1
192.168.30.0
0.0.0.0
255.255.255.0
U
0
0
0 eth0
Use Iface
59
10.1. PRUEBAS
10.98.98.0
10.99.99.2
255.255.255.0
UG
0
0
0 tun0
10.2.0.0
10.99.99.2
255.255.254.0
UG
0
0
0 tun0
10.1.0.0
0.0.0.0
255.255.254.0
U
0
0
0 eth1
0.0.0.0
192.168.30.1
0.0.0.0
UG
0
0
0 eth0
Tabla de rutas en firewall 2, alias krusty.
krusty:~# route -n
Destination
Gateway
Genmask
Flags Metric Ref
Use Iface
10.99.99.1
0.0.0.0
255.255.255.255 UH
0
0
0 tun0
10.98.98.2
0.0.0.0
255.255.255.255 UH
0
0
0 tun1
10.2.2.0
0.0.0.0
255.255.255.240 U
0
0
0 eth2
10.1.2.0
10.99.99.1
255.255.255.240 UG
0
0
0 tun0
172.16.1.128
0.0.0.0
255.255.255.192 U
0
0
0 eth0
10.97.97.0
10.99.99.1
255.255.255.0
UG
0
0
0 tun0
10.98.98.0
10.98.98.2
255.255.255.0
UG
0
0
0 tun1
10.2.0.0
0.0.0.0
255.255.254.0
U
0
0
0 eth1
10.1.0.0
10.99.99.1
255.255.254.0
UG
0
0
0 tun0
0.0.0.0
172.16.1.129
0.0.0.0
UG
0
0
0 eth0
Conexión sitio a sitio
En esta prueba se realizó un ping desde un equipo cliente desde la red 2 al firewall en la
red 1, esto se hizo utilizando como dirección de destino (para el ping) la IP de la LAN del
firewall 1. Como se podrá observar el cliente se encuentra en la red 10.2.0.0/23 y en su tabla
de rutas NO existe una ruta válida para la red 10.1.0.0/23, se llega mediante la VPN sitio a
sitio entre el firewall 1 y el firewall 2.
delaf@edward:~$ sudo ifconfig eth0 | grep addr:
60
Bcast:10.2.1.255
Mask:255.255.254.0
10.1. PRUEBAS
Destination
Gateway
Genmask
Flags Metric Ref
Use Iface
10.2.0.0
0.0.0.0
255.255.254.0
U
0
0
0 eth0
0.0.0.0
10.2.0.1
0.0.0.0
UG
0
0
0 eth0
^C
Log openvpn-roadwarrior.log
Se muestra a continuación el log correspondiente al inicio de sesión y autenticación de un
cliente móvil (roadwarrior) en la VPN.
Tue Sep 22 22:15:39 2009 us=719179 MULTI: multi_create_instance called
Tue Sep 22 22:15:39 2009 us=719239 200.83.234.243:38951 Re-using SSL/TLS context
Tue Sep 22 22:15:39 2009 us=719318 200.83.234.243:38951 Control Channel MTU parms
\ [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Sep 22 22:15:39 2009 us=719334 200.83.234.243:38951 Data Channel MTU parms
\ [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Tue Sep 22 22:15:39 2009 us=719369 200.83.234.243:38951 Local Options String:
\ ’V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth SHA1
61
10.1. PRUEBAS
\ ,keysize 128,key-method 2,tls-server’
Tue Sep 22 22:15:39 2009 us=719380 200.83.234.243:38951 Expected Remote Options
\ String: ’V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth
\ SHA1,keysize 128,key-method 2,tls-client’
Tue Sep 22 22:15:39 2009 us=719402 200.83.234.243:38951 Local Options hash
\ (VER=V4): ’239669a8’
Tue Sep 22 22:15:39 2009 us=719419 200.83.234.243:38951 Expected Remote Options
\ hash (VER=V4): ’3514370b’
RTue Sep 22 22:15:39 2009 us=719456 200.83.234.243:38951 TLS: Initial packet from
\ 200.83.234.243:38951, sid=67c838a9 301bfe81
Tue Sep 22 22:15:45 2009 us=502065 200.83.234.243:38951 VERIFY OK: depth=1,
\ /C=CL/ST=Metropolitana/L=Pallocabe__Melipilla/O=Fundo_Santa_Rosa/CN=bart
Tue Sep 22 22:15:45 2009 us=502189 200.83.234.243:38951 VERIFY OK: depth=0,
\ /C=CL/ST=Metropolitana/O=Fundo_Santa_Rosa/CN=delaf
Tue Sep 22 22:15:47 2009 us=974970 200.83.234.243:38951 Data Channel Encrypt:
\ Cipher ’BF-CBC’ initialized with 128 bit key
Tue Sep 22 22:15:47 2009 us=974999 200.83.234.243:38951 Data Channel Encrypt:
\ Using 160 bit message hash ’SHA1’ for HMAC authentication
Tue Sep 22 22:15:47 2009 us=975050 200.83.234.243:38951 Data Channel Decrypt:
\ Cipher ’BF-CBC’ initialized with 128 bit key
Tue Sep 22 22:15:47 2009 us=975064 200.83.234.243:38951 Data Channel Decrypt:
\ Using 160 bit message hash ’SHA1’ for HMAC authentication
WWWRWRRRTue Sep 22 22:15:48 2009 us=113985 200.83.234.243:38951 Control Channel:
\ TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Sep 22 22:15:48 2009 us=114014 200.83.234.243:38951 [delaf] Peer Connection
\ Initiated with 200.83.234.243:38951
Tue Sep 22 22:15:48 2009 us=114071 delaf/200.83.234.243:38951 MULTI: Learn:
\ 10.97.97.6 -> delaf/200.83.234.243:38951
62
10.1. PRUEBAS
Tue Sep 22 22:15:48 2009 us=114085 delaf/200.83.234.243:38951 MULTI: primary
\ virtual IP for delaf/200.83.234.243:38951: 10.97.97.6
RTue Sep 22 22:15:49 2009 us=217453 delaf/200.83.234.243:38951 PUSH: Received
\ control message: ’PUSH_REQUEST’
Tue Sep 22 22:15:49 2009 us=217530 delaf/200.83.234.243:38951 SENT CONTROL [delaf]:
\ ’PUSH_REPLY,route 10.1.0.0 255.255.254.0,route 10.1.2.0 255.255.255.240,route
\ 10.2.0.0 255.255.254.0,route 10.2.2.0 255.255.255.240,route 10.98.98.0
\ 255.255.255.0,route 10.97.97.0 255.255.255.0 logs,route 10.97.97.1,topology
\ net30,ping 10,ping-restart 60,ifconfig 10.97.97.6 10.97.97.5’ (status=1)
[...]
Ping desde cliente roadwarrior a VPN
El cliente se encuentra fuera de la red, simulando como si estuviese en Internet. Y se
conecta como roadwarrior a la VPN en el firewall 1. Se muestra la IP del cliente, que no
corresponde a ninguno de los rangos de las redes coorporativas y en la tabla de ruta se observa
que para llegar a la red 10.0.0.0/8 (que incluye a la red 10.1.0.0/23 y a la red 10.2.0.0/23),
el cliente debe conectarse a través de la interfaz de la VPN tun0.
delaf@edward:~$ sudo ifconfig ath0 | grep addr:
inet addr:172.16.1.20
Bcast:172.16.1.63
Mask:255.255.255.192
inet6 addr: fe80::21b:9eff:feeb:16af/64 Scope:Link
delaf@edward:~$ sudo ifconfig tun0 | grep addr:
P-t-P:10.97.97.5
Mask:255.255.255.255
Destination
Gateway
Genmask
Flags Metric Ref
190.196.19.30
172.16.1.1
255.255.255.255 UGH
0
0
0 ath0
172.16.1.0
0.0.0.0
255.255.255.192 U
0
0
0 ath0
169.254.0.0
0.0.0.0
255.255.0.0
0
0
0 eth0
U
Use Iface
63
10.1. PRUEBAS
10.0.0.0
0.0.0.0
255.0.0.0
U
0
0
0 tun0
0.0.0.0
172.16.1.1
0.0.0.0
UG
0
0
0 ath0
0.0.0.0
0.0.0.0
0.0.0.0
U
1000
0
0 eth0
^C
^C
Acceso a recursos de la red desde la VPN
La situación aquı́ es la misma descrita en el caso anterior. La diferencia es que en vez
de realizar un ping se accede a un servidor de archivos SAMBA que se encuentra en la red
64
10.1. PRUEBAS
(ip 10.1.2.2). en la figura 10.3 se puede ver una conexión al servidor de archivos mediante la
VPN.
Para estas pruebas tener las siguientes consideraciones:
homero: central telefónica en el fundo.
killua: central telefónica en lugar pruebas.
Llamada desde killua a anexos de homero mediante IAX
Se muestra el debug en la CLI1 de homero. Se observa como se define el codec a utilizar,
luego se contesta la llamada, anexo 111 suena y finalmente se corta.
homero*CLI>
-- Accepting AUTHENTICATED call from 200.83.234.243:
> requested format = gsm,
> requested prefs = (gsm),
> actual format = gsm,
> host prefs = (),
> priority = caller
-- Executing [111@iax-in:1] Answer("IAX2/killua-4382", "") in new stack
-- Executing [111@iax-in:2] Goto("IAX2/killua-4382", "default|111|1") in new stack
-- Goto (default,111,1)
-- Executing [111@default:1] Dial("IAX2/killua-4382", "SIP/111|30") in new stack
-- Called 111
-- SIP/111-0920e680 is ringing
-- IAX2/killua-4382 requested special control 20, passing it to SIP/111-0920e680
1
CLI: Command line interface
65
10.1. PRUEBAS
== Spawn extension (default, 111, 1) exited non-zero on ’IAX2/killua-4382’
-- Hungup ’IAX2/killua-4382’
Llamada desde homero a killua
La mista situación que en el caso anterior pero esta ves la llamada es desde central homero
a un anexo en la central de killua.
Se muestra el log de homero que es desde donde se llama.
homero*CLI> console dial 511
[Sep 22 17:55:54] WARNING[14244]: chan_oss.c:682 setformat: Unable to re-open DSP
\ device /dev/dsp: No such file or directory
-- Executing [511@default:1] Answer("Console/dsp", "") in new stack
<< Console call has been answered >>
[Sep 22 17:55:54] NOTICE[18250]: pbx.c:1642 pbx_substitute_variables_helper_full:
\ Error in extension logic (missing ’}’)
[Sep 22 17:55:54] WARNING[18250]: pbx.c:1539 func_args: Can’t find trailing
\ parenthesis?
-- Executing [511@default:2] Set("Console/dsp", "CALLERID(number)=7") in new
\ stack
-- Executing [511@default:3] Dial("Console/dsp",
\ "IAX2/pallocabe:pallo.iax%@killua.sytes.net/11|30") in new stack
-- Called pallocabe:pallo.iax%@killua.sytes.net/11
-- Call accepted by 200.83.234.243 (format gsm)
-- Format for call is gsm
-- IAX2/killua-11453 answered Console/dsp
homero*CLI> console hangup
-- Hungup ’IAX2/killua-11453’
== Spawn extension (default, 511, 3) exited non-zero on ’Console/dsp’
<< Hangup on console >>
66
10.1. PRUEBAS
Log de killua.
killua*CLI>
-- Accepting AUTHENTICATED call from 190.196.19.30:
> requested format = gsm,
> requested prefs = (),
> actual format = gsm,
> host prefs = (gsm),
> priority = mine
-- Executing [11@iax-in:1] Answer("IAX2/pallocabe-11350", "") in new stack
-- Executing [11@iax-in:2] Goto("IAX2/pallocabe-11350", "default|11|1") in new sta
-- Executing [11@default:1] Dial("IAX2/pallocabe-11350", "SIP/11|30") in new stack
-- Called 11
-- SIP/11-09c4e7b8 is ringing
-- IAX2/pallocabe-11350 requested special control 20, passing it to SIP/11-09c4e7b
== Spawn extension (default, 11, 1) exited non-zero on ’IAX2/pallocabe-11350’
-- Hungup ’IAX2/pallocabe-11350’
Peers/usuarios en la central telefónica homero
Listado de peers. Se muestran los estados de los peers, observandose solo algunos conectados a la central a la hora de realizar estas pruebas (aproximadamente 17:30 horas).
homero*CLI> sip show peers
Name/username
Host
Dyn Nat ACL Port
191/191
10.1.0.91
D
58976
OK (106 ms)
151
(Unspecified)
D
0
UNKNOWN
Status
67
10.1. PRUEBAS
141/141
(Unspecified)
D
0
UNKNOWN
131/131
(Unspecified)
D
0
UNKNOWN
126
(Unspecified)
D
0
UNKNOWN
125
(Unspecified)
D
0
UNKNOWN
124/124
10.1.0.24
D
19906
UNREACHABLE
123/123
10.1.0.23
D
26342
UNREACHABLE
122
(Unspecified)
D
0
UNKNOWN
121/121
10.1.0.21
D
50785
UNREACHABLE
114/114
(Unspecified)
D
0
UNKNOWN
113
(Unspecified)
D
0
UNKNOWN
112/112
10.1.0.12
D
55123
UNREACHABLE
111/111
10.1.0.108
D
5060
OK (20 ms)
REDLIBRE/131070
190.54.42.58
5060
OK (63 ms)
REDVOISS/ID_86884
64.76.154.110
5060
OK (57 ms)
16 sip peers [Monitored: 4 online, 12 offline Unmonitored: 0 online, 0 offline]
Llamada entre anexos
Llamada desde un anexo a otro en la central homero. En la figura 10.4 se puede ver al
softphone haciendo la llamada.
homero*CLI>
-- Executing [111@default:1] Dial("SIP/191-b7117ff0", "SIP/111|30") in new stack
-- Called 111
-- SIP/111-b711bf68 is ringing
== Spawn extension (default, 111, 1) exited non-zero on ’SIP/191-b7117ff0’
Llamada desde PSTN a homero
Llamada desde la PSTN a central telefónica homero. En la figura 10.5 se puede ver la
llamada perdida que quedó por marcar la extensión 121. En el log se puede observar la
68
10.1. PRUEBAS
ejecución del menú IVR y las opciones ingresadas por el usuario.
homero*CLI>
-- Executing [s@default:1] Answer("SIP/ID_86884-b711ab10", "") in new stack
-- Executing [s@default:2] Set("SIP/ID_86884-b711ab10", "TIMEOUT(digit)=4")
\ in new stack
-- Digit timeout set to 4
-- Executing [s@default:3] Set("SIP/ID_86884-b711ab10", "TIMEOUT(response)=8")
\ in new stack
-- Response timeout set to 8
-- Executing [s@default:4] BackGround("SIP/ID_86884-b711ab10", "bienvenida")
\ in new stack
-- <SIP/ID_86884-b711ab10> Playing ’bienvenida’ (language ’es’)
-- Executing [s@default:5] Wait("SIP/ID_86884-b711ab10", "1") in new stack
-- Executing [s@default:6] BackGround("SIP/ID_86884-b711ab10", "beep") in new
\ stack
-- <SIP/ID_86884-b711ab10> Playing ’beep’ (language ’es’)
-- Executing [s@default:7] Read("SIP/ID_86884-b711ab10", "extension||3") in
\ new stack
-- Accepting a maximum of 3 digits.
-- User entered ’121’
-- Executing [s@default:8] BackGround("SIP/ID_86884-b711ab10", "transfer") in
\ new stack
-- <SIP/ID_86884-b711ab10> Playing ’transfer’ (language ’es’)
-- Executing [s@default:9] Wait("SIP/ID_86884-b711ab10", "1") in new stack
-- Executing [s@default:10] Goto("SIP/ID_86884-b711ab10", "default|121|1") in
\ new stack
-- Executing [121@default:1] Dial("SIP/ID_86884-b711ab10", "SIP/121|30") in
69
10.1. PRUEBAS
\ new stack
-- Called 121
-- SIP/121-0920dd98 is ringing
-- SIP/121-0920dd98 answered SIP/ID_86884-b711ab10
-- Packet2Packet bridging SIP/ID_86884-b711ab10 and SIP/121-0920dd98
== Spawn extension (default, 121, 1) exited non-zero on ’SIP/ID_86884-b711ab10’
Correo de voz
En el log se puede apreciar como se realiza una llamada desde la PSTN a un usuario y al
no estar disponible es enviada la llamada al buzón de voz indicándoselo al usuario que llama.
Además en la figura 10.6 se puede ver como llega el mensaje de voz al usuario mediante
correo electrónico.
homero*CLI>
-- Executing [s@default:1] Answer("SIP/ID_86884-b7117ff0", "") in new stack
-- Executing [s@default:2] Set("SIP/ID_86884-b7117ff0", "TIMEOUT(digit)=4")
\ in new stack
-- Digit timeout set to 4
-- Executing [s@default:3] Set("SIP/ID_86884-b7117ff0", "TIMEOUT(response)=8")
\ in new stack
-- Response timeout set to 8
-- Executing [s@default:4] BackGround("SIP/ID_86884-b7117ff0", "bienvenida")
\ in new stack
-- <SIP/ID_86884-b7117ff0> Playing ’bienvenida’ (language ’es’)
-- Executing [s@default:5] Wait("SIP/ID_86884-b7117ff0", "1") in new stack
-- Executing [s@default:6] BackGround("SIP/ID_86884-b7117ff0", "beep") in new
\ stack
-- <SIP/ID_86884-b7117ff0> Playing ’beep’ (language ’es’)
-- Executing [s@default:7] Read("SIP/ID_86884-b7117ff0", "extension||3") in
70
10.1. PRUEBAS
\ new stack
-- Accepting a maximum of 3 digits.
-- User entered ’113’
-- Executing [s@default:8] BackGround("SIP/ID_86884-b7117ff0", "transfer")
\ in new stack
-- <SIP/ID_86884-b7117ff0> Playing ’transfer’ (language ’es’)
-- Executing [s@default:9] Wait("SIP/ID_86884-b7117ff0", "1") in new stack
-- Executing [s@default:10] Goto("SIP/ID_86884-b7117ff0", "default|113|1")
\ in new stack
-- Executing [113@default:1] Dial("SIP/ID_86884-b7117ff0", "SIP/113|30")
\ in new stack
[Sep 22 18:02:16] WARNING[18435]: app_dial.c:1202 dial_exec_full: Unable to create
\ channel of type ’SIP’ (cause 3 - No route to destination)
== Everyone is busy/congested at this time (1:0/0/1)
-- Executing [113@default:2] VoiceMail("SIP/ID_86884-b7117ff0", "113|u") in
\ new stack
-- <SIP/ID_86884-b7117ff0> Playing ’vm-theperson’ (language ’es’)
-- <SIP/ID_86884-b7117ff0> Playing ’digits/1’ (language ’es’)
-- <SIP/ID_86884-b7117ff0> Playing ’vm-isunavail’ (language ’es’)
[Sep 22 18:02:21] NOTICE[18435]: sched.c:220 ast_sched_add_variable: Scheduled
\ event in 0 ms?
-- <SIP/ID_86884-b7117ff0> Playing ’vm-intro’ (language ’es’)
-- <SIP/ID_86884-b7117ff0> Playing ’beep’ (language ’es’)
-- Recording the message
-- x=0, open writing:
/var/spool/asterisk/voicemail/default/113/tmp/6thRlR
71
10.1. PRUEBAS
\ format: wav49, 0x917adc8
-- User hung up
== Spawn extension (default, 113, 2) exited non-zero on ’SIP/ID_86884-b7117ff0’
Estadı́sticas CDR
En la figura 10.7 se aprecia una forma de ver los registros de llamadas.
72
10.1. PRUEBAS
Figura 10.3: Conexión a servidor SAMBA mediante VPN.
73
10.1. PRUEBAS
Figura 10.4: Llamada perdida desde la PSTN
74
10.1. PRUEBAS
Figura 10.5: Llamada perdida desde la PSTN
75
10.1. PRUEBAS
Figura 10.6: Mensaje de voz enviado al correo del usuario.
76
10.1. PRUEBAS
Figura 10.7: Registro de llamadas dı́a 2009-09-04
77
10.1. PRUEBAS
78
Capı́tulo 11
Conclusiones
El proyecto realizado cumplió con las expectativas del cliente, el cual indico sentirse satisfecho con lo entregado como producto final. Además se lograron aplicar varios conocimientos
adquiridos en asignaturas de la carrera la cual cursamos, y explorando temas desconocidos o
no vistos en esta.
Como equipo de trabajo logramos administrar de forma correcta los tiempos para realizar
todo el proceso, tanto de análisis de problemática como de ejecución de la solución propuesta,
claro respetando los plazos estipulados por la carrera en cuanto al tiempo de evaluación
correspondiente a la asignatura pertinente.
Algo importante que se rescato en esta memoria para futuros proyectos, es que todos los
acuerdos realizados con el cliente deben quedar documentados y firmados por ambas partes
para que en el transcurso de este no hayan cambios bruscos en lo pactado en el origen.
Por otro lado se debe tener en cuenta la documentación de todo lo realizado como solución
e implementación, ya que el tener claro esto se puede realizar un análisis más rápido y fluido
en caso de verificar errores, identificando la etapa en la cual este se encuentra con más rapidez
ası́ no afectando al tiempo el cual es muy importante.
Claramente algo fundamental es tener claro los objetivos trazados al inicio ya que el
cumplimiento de estos entregan la satisfacción tanto del cliente, como a forma personal por
alcanzar las metas personales propuestas.
79
CAPÍTULO 11. CONCLUSIONES
80
Capı́tulo 12
Bibliografı́a
12.1.
Bibliografı́a
“Integración de voz y datos: Call Centers, Tecnologı́a y Aplicaciones”, José Huidobro
y David Roldán, McGraw-Hill, 2003.
“Redes inalámbricas en los Paı́ses en Desarrollo”, http://wndw.net, Limehouse Book
Sprint Team, 2006.
“Material CCNA”, CISCO.
“Asterisk: El futuro de la telefonı́a y la VoIP ha llegado”, Saúl Ibarra, 2007.
“Voz sobre IP y Asterisk”, Gorka Gorrotxategi e Iñaki Baz, IRONTEC.
12.2.
Recursos digitales
http://www.ecualug.org/?q=2007/03/08/forums/squid
http://vive-libre.com/blog/2009/03/12/squid-proxy-acl-para-bloquear-msn/
http://www.ecualug.org/?q=2008/05/26/forums/bloquear skype
81
12.2. RECURSOS DIGITALES
CAPÍTULO 12. BIBLIOGRAFÍA
http://liberamemoria.blogspot.com/2007/02/enterprise-blacklist-project-beta.html
http://dns.bdat.net/documentos/squid/x30.html
http://www.linuxespanol.com/tema2121.html
http://hazual.blogspot.com/2008/05/squid-transparente-ubuntu-704 06.html
http://blog.unlugarenelmundo.es/2008/11/14/proxy-transparente-con-squid-en-debian
http://phylevn.mexrom.net/index.php/blog/category/8.html
http://www.asterisk-peru.com/node/1122
http://laurel.datsi.fi.upm.es/ rpons/openvpn como/
http://ubuntuforums.org/showthread.php?t=163928
http://www.debian-administration.org/articles/35
http://linuxsilo.net/articles/vpn.html
http://www.gir.me.uk/computers/debian vpn.html
http://www.xtech.com.ar/articulos/freeswan/tutorial-freeswan/
http://www.shorewall.net/IPSEC-2.6.html
http://osr600doc.sco.com/en/NET ipsec/ipsec top.html
http://www.kame.net/newsletter/20001119/
http://uw714doc.sco.com/en/NET ipsec/roadwarrior.html
http://shaddack.twibright.com/projects/ipx/
http://es.wikibooks.org/wiki/OpenVPN/Marco Teórico
http://preguntaslinux.org/archive/index.php/thread-3562.html
82
http://www.gratisweb.com/introd linux/at y crontab.htm
http://www.vicente-navarro.com/blog/2008/01/13/backups-con-rsync/
http://www.dcc.uchile.cl/ jbarrios/latex/
Además de los recursos anteriores se consultaron los manuales del sistema de los diferentes
comándos usados. Esto mediante el software “man”, por ejemplo “man iptables”.
83
84
Anexo A
Configuraciones
A.1.
Firewall Fundo
A.1.1.
/etc/network/interfaces
En este archivo se declaran las interfaces de red y sus configuraciones.
# The loopback network interface
auto lo
iface lo inet loopback
# WAN
auto eth0
iface eth0 inet static
address 192.168.30.100
netmask 255.255.255.0
network 192.168.30.0
broadcast 192.168.30.255
gateway 192.168.30.1
dns-nameservers 208.67.220.220 208.67.222.222
85
A.1. FIREWALL FUNDO
ANEXO A. CONFIGURACIONES
# LAN
auto eth1
address 10.1.0.1
netmask 255.255.254.0
network 10.1.0.0
broadcast 10.1.1.255
# DMZ
auto eth2
address 10.1.2.1
netmask 255.255.255.240
network 10.1.2.0
broadcast 10.1.2.15
A.1.2.
/etc/init.d/firewall.sh
Es este archivo se declaran las reglas del firewall y el enmascaramiento para el uso de
NAT.
#!/bin/sh
## Script para el firewall en bart
## VARIABLES
# interfaces de red
WAN_IF="eth0" # internet
86
A.1. FIREWALL FUNDO
LAN1_IF="eth1" # red interna fundo
LAN1_NET="10.1.0.0/23"
DMZ_IF="eth2" # granja servidores
DMZ_NET="10.1.2.0/28"
# filtro de contenido
SQUID_SERVER="10.1.0.1"
SQUID_PORT="3128"
### INICIA SCRIPT
echo -n "Aplicando las reglas del Firewall... "
### IPTABLES
## REGLAS GENERALES
# flush de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
# politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
87
A.1. FIREWALL FUNDO
# conexiones locales se permiten
iptables -A INPUT -i lo -j ACCEPT
## ACTIVAR NAT
# permitir que otros equipos puedan salir a traves del firewall
echo 1 > /proc/sys/net/ipv4/ip_forward
# enmascaramiento de las redes locales
iptables -t nat -A POSTROUTING -s $LAN1_NET -o $WAN_IF -j MASQUERADE
iptables -t nat -A POSTROUTING -s $DMZ_NET
-o $WAN_IF -j MASQUERADE
## OPENVPN
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
## WAN
# abrimos determinados puertos desde el exterior
iptables -A INPUT -i $WAN_IF -p tcp --dport 53 -j ACCEPT # dns
iptables -A INPUT -i $WAN_IF -p udp --dport 53 -j ACCEPT # dns
iptables -A INPUT -i $WAN_IF -p udp --dport 5000 -j ACCEPT # openvpn tunel
iptables -A INPUT -i $WAN_IF -p udp --dport 1194 -j ACCEPT # openvpn roadwarrior
# evitamos el acceso a puertos conocidos desde el exterior
iptables -A INPUT -i $WAN_IF -p tcp --dport 1:1024 -j DROP
iptables -A INPUT -i $WAN_IF -p udp --dport 1:1024 -j DROP
88
A.1. FIREWALL FUNDO
# evitamos el acceso a otros puertos desde el exterior
iptables -A INPUT -i $WAN_IF -p tcp --dport 3128 -j DROP # squid
# aceptar ICMP
iptables -A INPUT -i $WAN_IF -p icmp -j ACCEPT
# redireccionamiento de puertos
iptables -t nat -A PREROUTING -i $WAN_IF -p tcp --dport 22 -j DNAT \
--to 10.1.2.2:22 # ssh
--to 10.1.2.2:80 # http
--to 10.1.2.2:443 # https
--to 10.1.2.2:25 # imap
--to 10.1.2.2:143 # imap
iptables -t nat -A PREROUTING -i $WAN_IF -p udp --dport 4569 -j DNAT \
--to 10.1.2.2:4569 # iax2
## LAN1
# acceso al firewall no se permite desde la LAN1, solo SSH y PING desde la LAN1
iptables -A INPUT -s $LAN1_NET -i $LAN1_IF -p tcp --dport 22 -j ACCEPT # ssh
iptables -A INPUT -s $LAN1_NET -i $LAN1_IF -p icmp -j ACCEPT # icmp
iptables -A INPUT -s $LAN1_NET -i $LAN1_IF -j DROP
# mediante forward permitimos el accesos hacia el exterior (por default DROP todo)
89
A.1. FIREWALL FUNDO
iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 21 -j ACCEPT # ftp
iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 22 -j ACCEPT # ssh
iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 80 -j ACCEPT # http
iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 443 -j ACCEPT # https
iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 53 -j ACCEPT # dns
iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p udp --dport 53 -j ACCEPT # dns
iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -j DROP
# redireccionar solicitudes http a proxy squid
iptables -t nat -A PREROUTING -i $LAN1_IF -p tcp --dport 80 -d ! $DMZ_NET -j DNAT \
--to $SQUID_SERVER:$SQUID_PORT
## DMZ
# acceso al firewall no se permite desde la DMZ, solo SSH y PING desde la DMZ
iptables -A INPUT -s $DMZ_NET -i $DMZ_IF -p tcp --dport 22 -j ACCEPT # ssh
iptables -A INPUT -s $DMZ_NET -i $DMZ_IF -p icmp -j ACCEPT # icmp
iptables -A INPUT -s $DMZ_NET -i $DMZ_IF -j DROP
### FIN
echo "[OK]"
echo "Verificar con: iptables -L -n"
A.1.3.
/etc/squid3/squid.conf
En este archivo se declaran las listas de acceso y los permisos que tendrán los usuarios de
la red para acceder a los sitios web.
## CONFIGURACION GENERAL
90
A.2. VPN FUNDO
visible_hostname proxy.pallocabe.cl
http_port 3128 transparent
access_log /var/log/squid3/access.log squid
error_directory /usr/share/squid3/errors/Spanish
coredump_dir /var/spool/squid3
## ACL
# sitios y contenido destino
acl sitios_aceptados url_regex "/etc/squid3/acl/sitios_aceptados"
acl sitios_denegados url_regex "/etc/squid3/acl/sitios_denegados"
# ips locales
acl lan1 src 10.1.0.0/23
acl ip_vip src "/etc/squid3/acl/ip_vip"
## REGLAS
http_access allow ip_vip all
http_access allow sitios_aceptados all
http_access deny sitios_denegados
http_access allow lan1
http_access deny all
A.2.
VPN Fundo
A.2.1.
/etc/openvpn/tunel.conf
Archivo correspondiente a la VPN para el acceso mediante el tunel con la oficina central.
91
A.2. VPN FUNDO
remote IP_OFICINA_MELIPILLA
port 5000
proto udp
dev tun0
user nobody
disable-occ
ifconfig 10.99.99.1 10.99.99.2
comp-lzo
secret /etc/openvpn/clave.key
# rutas
push "route 10.1.0.0 255.255.254.0"
push "route 10.1.2.0 255.255.255.240"
route 10.2.0.0 255.255.254.0
route 10.2.2.0 255.255.255.240
route 10.98.98.0 255.255.255.0
# logs
status /var/log/openvpn-tunel-status.log
log /var/log/openvpn-tunel.log
verb 5
A.2.2.
/etc/openvpn/roadwarrior.conf
Archivo correspondiente a la VPN para el acceso de usuarios remotos.
port 1194
proto udp
dev tun1
persist-tun
92
A.2. VPN FUNDO
# certificados
ca /etc/openvpn/cert/cacert.pem
cert /etc/openvpn/cert/roadwarrior.crt
key /etc/openvpn/cert/roadwarrior.key
dh /etc/openvpn/cert/dh1024.pem
# red para los clientes
server 10.97.97.0 255.255.255.0
# rutas que se entregaran a los clientes
push "route 10.1.0.0 255.255.254.0"
push "route 10.1.2.0 255.255.255.240"
push "route 10.2.0.0 255.255.254.0"
push "route 10.2.2.0 255.255.255.240"
push "route 10.98.98.0 255.255.255.0"
push "route 10.97.97.0 255.255.255.0" logs
keepalive 10 60
user nobody
group nogroup
persist-key
# logs
status /var/log/openvpn-roadwarrior-status.log
log /var/log/openvpn-roadwarrior.log
verb 5
93
A.3. CENTRAL TELEFÓNICA FUNDO
Además se deben crear y firmar los certificados para cada usuario que se desee agregar,
la entidad certificadora se encuentra en el mismo firewall y los certificados se crean con el
siguiente script:
#!/bin/bash
openssl req -nodes -new -keyout $1.key -out $1.csr
openssl ca -out $1.crt -in $1.csr
A.3.
Central telefónica Fundo
A.3.1.
/etc/asterisk/sip.conf
Se declaran usuarios de la central telefónica.
[general]
CONTEXt=anexos
realm=voip.pallocabe.cl
bindport=5060
; codecs
disallow=all
allow=g729
allow=ulaw
allow=alaw
allow=gsm
language=es
; REDVOISS
register=>NUMERO:CLAVE:[email protected]
94
externip=190.196.19.30
localnet=10.0.0.0/8
nat=no
; clientes se pueden conectar entre ellos
canreinvite=yes
; dominios y sus contextos
domain=voip.pallocabe.cl,default
domain=10.1.2.2,default
domain=190.196.19.30,default
[REDVOISS]
type=peer
context=anexos
secret=CLAVE
username=ID
fromuser=NUMERO
fromdomain=pxext.redvoiss.net
canreinvite=no
dtmfmode=RFC2833
host=pxext.redvoiss.net
insecure=very
allow=g729
[111]
callerid="gdelafuente" <111>
95
md5secret=CLAVE_MD5
context=anexos
type=friend
host=dynamic
[112]
callerid="hmalhue" <112>
md5secret=CLAVE_MD5
context=anexos
type=friend
host=dynamic
[113]
callerid="delaf" <113>
md5secret=CLAVE_MD5
context=anexos
type=friend
host=dynamic
A.3.2.
/etc/asterisk/extensions.conf
Se declaran las extensiones que existirán, se asocian con usuarios y se crea el plan de
marcado.
[general]
static=yes ; =yes evita que pbx_config sobrescriba este fichero
writeprotect=yes ; evita usar "dialplan save" en CLI
autofallthrough=yes ; =yes termina llamada, =no busca nueva extension
clearglobalvars=no ; las variables globales seran limpiadas al usar reload
96
[pstn-out]
exten => _9X.,1,Set(CALLERID(number)=557100028822)
exten => _9X.,2,Dial(SIP/REDVOISS/${EXTEN:1})
exten => _9X.,3,Hangup
[iax-out]
exten => _6X.,1,Answer()
exten => _6X.,n,Set(CALLERID(number)=7${CALLERID(number))
exten => _6X.,n,Dial(IAX2/USUARIO:CLAVE@IP_OFICINA_MELIPILLA/${EXTEN:1},30)
exten => _6X.,n,Hangup()
[anexos]
exten => 111,1,Dial(SIP/111,30)
exten => 111,n,Dial(SIP/REDVOISS/0056990210321,30)
exten => 112,1,Dial(SIP/112,30)
exten => 113,1,Dial(SIP/113,30)
exten => 113,n,Voicemail(113,u) ; no disponible
exten => 113,n,Voicemail(113,b) ; ocupado
97
[ivr]
; extension para grabacion de mensaje de bienvenida
exten => **100,1,Wait(1)
exten => **100,n,Record(bienvenida.gsm,7,7) ; graba 7 segundos
exten => **100,n,Wait(1)
exten => **100,n,Playback(bienvenida)
exten => **100,n,Hangup
; extension para escuchar el mensaje de bienvenida
exten => **101,1,Wait(1)
exten => **101,n,Answer
exten => **101,n,Playback(bienvenida)
exten => **101,n,Hangup
; extension para probar el mainmenu
exten => 1000,1,Goto(ivr,s,1)
; start extension
exten => s,1,Answer() ; contestar extension IVR
exten => s,n,Set(TIMEOUT(digit)=4) ; Set Digit Timeout to 5 seconds
exten => s,n,Set(TIMEOUT(response)=8) ; Set Response Timeout to 10 seconds
exten => s,n(welcome),BackGround(bienvenida)
exten => s,n(beep),Wait(1)
exten => s,n,Background(beep)
exten => s,n,Read(extension||3)
98
exten => s,n,Background(transfer)
exten => s,n,Wait(1)
exten => s,n,Goto(default,${extension},1)
exten => s,n,Hangup()
;exten => s,n,WaitExten(5) ; Wait for an extension to be dialed.
exten => i,1,Playback(invalid) ; "That’s not valid, try again
exten => i,n,Goto(s,beep)
[servicios]
; buzon de voz
exten => 100,1,VoicemailMain
; prueba de eco
exten => 101,1,Playback(demo-echotest)
; Let them know what’s going on
exten => 101,n,Echo
; Do the echo test
exten => 101,n,Playback(demo-echodone)
; Let them know it’s over
[default]
include => ivr
include => anexos
include => servicios
include => iax-out
include => pstn-out
99
A.3.3.
/etc/asterisk/iax.conf
Se declaran usuarios para el uso del troncal IAX.
; bindport and bindaddr may be specified
bindport=4569
bindaddr=190.196.19.30
; Specify bandwidth of low, medium, or high to control which codecs are used
; in general.
bandwidth=low
[lisa]
type=friend
secret=******
context=iax-in
host=IP_OFICINA_MELIPILLA
notransfer=yes
A.3.4.
/etc/asterisk/voicemail.conf
Se declaran los buzones de voz a los usuarios, junto con el envio de los mensajes a los
correos.
[general]
; Formats for writing Voicemail.
Note that when using IMAP storage for
; voicemail, only the first format specified will be used.
format = wav49
; Who the e-mail notification should appear to come from
100
serveremail = [email protected]
; Should the email contain the voicemail as an attachment
attach = yes
; Maximum number of messages per folder.
; (100) is used.
If not specified, a default value
Maximum value for this option is 9999.
maxmsg = 100
; Maximum length of a voicemail message in seconds
maxmessage = 180
; Change the from, body and/or subject, variables:
emailsubject = [VoIP: mensaje ${VM_MSGNUM}]: Nuevo mensaje en buzon de voz de
${VM_MAILBOX}
emailbody = Estimado ${VM_NAME}:\n\nTiene un nuevo mensaje en su buzón, se adjunta
en este correo.
; 24h date format
emaildateformat = %A, %d %B %Y at %H:%M:%S
; After notification, the voicemail is deleted from the server. [per-mailbox only]
delete=yes
[default]
111 => 111,Gonzalo De La Fuente Valderrama,[email protected]
112 => 112,Hernaldo Malhue,[email protected]
101
113 => 113,Esteban De La Fuente Rubio,[email protected]
A.3.5.
/etc/asterisk/cdr mysql.conf
Se declara la configuración para el acceso a la base de datos MySQL.
[global]
hostname=localhost
dbname=asterisk
table=cdr
password=********
user=asterisk
port=3306
102

memoria

Transcripción

Documentos relacionados

Localización

HOW TO SOBRE REMOTE ACCESS VPN MODE EN LINUX

ESCUELA T´ECNICA SUPERIOR DE INGENIERÍA DE

universidad de castilla-la mancha escuela superior