Implementaci on Sistema de Telefon a IP y Seguridad Perimetralesteban.delaf.cl/archivos/universidad/unab/proyecto... · Debido a la necesidad de integrarse en un mercado cada vez

Implementacion Sistema de Telefonıa IP y

Seguridad Perimetral

Esteban De La Fuente Rubio y Eduardo Dıaz Valenzuela

Proyecto de tıtulo para optar al tıtulo

de Ingeniero en Redes y Comunicacion de Datos

Santiago - Chile

enero 2010

Agradecimientos

Damos infinitas gracias

a nuestros profesores guıas y de especialidad

por su apoyo y confianza.

A nuestros padres, familia, pareja y amigos

por tener fe en nuestras capacidades y

creer que cumplirıamos las metas propuestas

al inicio de este proyecto de vida.

Ademas debemos darnos gracias a nosotros mismos

por la perseverancia, el teson y el empuje

necesario para derribar los obstaculos que tuvimos

durante este proceso,

el cual claramente nos llena de satisfaccion.

Implementacion Sistema de Telefonıa IP y Seguridad Perimetral i

ii

Resumen

Debido a la necesidad de integrarse en un mercado cada vez mas competitivo, es necesario

incorporar mayor tecnologıa en las empresas para ası responder a las necesidades actuales, a

partir de estas inquietudes se realizo una busqueda de una empresa para poder llevar a cabo el

proyecto de tıtulo con el fin de dar termino a nuestra carrera. Se contacto a la empresa Pablo

Massoud Cıa y Ltda, tambien conocida como Fundo Santa Rosa, en donde se gestiono una

reunion primaria para presentar el objetivo de nuestro trabajo y ası crear expectativas para

comenzar este proyecto.

Como primera etapa se realizo un analisis de la red empresarial para poder entender que

falencias existıan y ofrecer mejoras a estas, para esto se realizaron visitas en terreno y se

recopilo informacion entregada directamente por el personal autorizado en las reuniones que

se mantuvieron durante el perıodo de analisis. Siguiendo a esto se preparo un informe con

la solucion tecnologica que se encontro mas apropiada aprovechando la tecnologıa que ya se

tenıa, esto solicitado por el cliente.

En las reuniones que se mantuvieron se dejo claro los puntos focales que se debıan abordar

con especial trato, la forma de comunicarse vıa telefonıa, tanto dentro del fundo como en la

oficina central ubicada en pleno centro de Melipilla, ademas ver la forma de tener control

del uso de Internet por los operarios ya que esto no existıa de forma alguna. Al terminar

el informe con la solucion disenada se realizo una presentacion pactada para poder entregar

esta al personal pertinente de la empresa para la aceptacion y posterior materializacion del

mismo.

En una segunda etapa luego que la empresa aprobara la solucion propuesta, se comenzo a

realizar la implementacion de la misma, la cual consistio en instalar un firewall tanto en el

fundo como en la oficina central, los cuales mediante Squid, OpenVPN e IPTables permitieron

realizar la limitacion del personal con el uso de Internet y la utilizacion tanto remota como

local de la informacion compartida. Ademas se implementaron dos centrales de telefonıa IP

en las areas ya mencionada para tener comunicacion tanto en el fundo como con la oficina

central, entregando con esto un mejor servicio y un mayor control en las comunicaciones.

Implementacion Sistema de Telefonıa IP y Seguridad Perimetral iii

Posteriormente al termino de la implementacion se realizo una reunion final con el cliente,

el cual mostro su satisfaccion con la labor realizada, indicando que al comparar la situacion

inicial y final de su empresa se encontro con una red empresarial mas segura, mas ordenada,

con mayor control de los usuarios y de las llamadas que ellos mismos ejecutan, y la utilizacion

correcta de Internet.

Finalmente, para la realizacion de este proyecto se aplicaron los conocimientos generales

de los ramos cursados y la informacion proporcionada por la Web.

iv Implementacion Sistema de Telefonıa IP y Seguridad Perimetral

Indice general

1. Introduccion 1

2. Objetivos 3

2.1. Objetivos generales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2.2. Objetivos especıficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

3. Empresa 5

3.1. Infraestructura de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

4. Marco teorico 9

4.1. LAN: Redes de Area Local . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

4.1.1. Topologıa de Estrella . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

4.2. WLAN: Redes inalambricas . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

4.2.1. Tipos de redes WLAN . . . . . . . . . . . . . . . . . . . . . . . . . . 12

4.2.2. Ventajas de las redes WLAN . . . . . . . . . . . . . . . . . . . . . . . 13

4.2.3. Desventajas de las redes WLAN . . . . . . . . . . . . . . . . . . . . . 14

4.3. VPN: Redes privadas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . 14

4.3.1. Tipos de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

4.3.2. Ventajas de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

4.3.3. Desventajas de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

4.4. VoIP: Voz sobre IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

4.4.1. Ventajas y desventajas . . . . . . . . . . . . . . . . . . . . . . . . . . 17

v

INDICE GENERAL INDICE GENERAL

4.4.2. Central telefonica Asterisk . . . . . . . . . . . . . . . . . . . . . . . . 18

5. Entorno y sus fundamentos 21

5.1. Problematica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

5.1.1. Seguridad perimetral y filtro de contenido . . . . . . . . . . . . . . . 22

5.1.2. Problemas de comunicacion . . . . . . . . . . . . . . . . . . . . . . . 22

5.1.3. Conexion remota a la red . . . . . . . . . . . . . . . . . . . . . . . . 23

5.2. Requerimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

6. Alcance del proyecto 25

6.1. Descripcion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

6.2. Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

6.3. Factores crıticos de exito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

7. Diseno de solucion 29

7.1. Diagrama de flujo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

7.2. Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

7.2.1. IPTables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

7.2.2. OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

7.2.3. Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

7.3. Central telefonica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

7.3.1. Empresa VOIP externa . . . . . . . . . . . . . . . . . . . . . . . . . . 34

7.3.2. Menu interactivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

7.3.3. Buzon de voz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

7.3.4. Estadısticas de llamadas . . . . . . . . . . . . . . . . . . . . . . . . . 35

7.3.5. Protocolo para troncal entre centrales . . . . . . . . . . . . . . . . . . 35

8. Plan de trabajo 41

8.1. Etapas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

8.1.1. Instalacion de Firewall y filtro de contenidos . . . . . . . . . . . . . . 41

vi Implementacion Sistema de Telefonıa IP y Seguridad Perimetral


8.1.2. Interconexion mediante VPN . . . . . . . . . . . . . . . . . . . . . . 42

8.1.3. Configuracion Servidor Asterisk en Fundo . . . . . . . . . . . . . . . 42

8.1.4. Configuracion Servidor Asterisk en Oficina Central . . . . . . . . . . 42

8.1.5. Implementacion de troncales entre Centrales VoIP . . . . . . . . . . . 42

8.1.6. Acceso de Central Fundo a PSTN . . . . . . . . . . . . . . . . . . . . 42

8.2. Recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

9. Implementacion 45

9.1. Estudios protocolos y software . . . . . . . . . . . . . . . . . . . . . . . . . . 45

9.2. Reunion implementacion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

9.3. Firewall Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

9.3.1. Instalacion Sistema Operativo . . . . . . . . . . . . . . . . . . . . . . 46

9.3.2. Configuracion IPTables . . . . . . . . . . . . . . . . . . . . . . . . . . 46

9.3.3. Configuracion Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

9.3.4. Instalacion y Pruebas . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

9.4. VPN Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

9.4.1. Instalacion OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . 47

9.4.2. Configuracion tele trabajo . . . . . . . . . . . . . . . . . . . . . . . . 48

9.5. Central telefonica Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

9.5.1. Instalacion Asterisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

9.5.2. Habilitacion cuentas . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

9.5.3. Estadısticas de llamadas . . . . . . . . . . . . . . . . . . . . . . . . . 49

9.5.4. Acceso a la PSTN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

9.6. Equipos oficina central . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

9.6.1. Capacitacion SysAdmin . . . . . . . . . . . . . . . . . . . . . . . . . 50

9.7. VPN Sitio a Sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

9.7.1. Habilitacion en OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . 51

9.8. Troncal IAX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

9.8.1. Configuracion Troncal . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Implementacion Sistema de Telefonıa IP y Seguridad Perimetral vii


9.9. Documentacion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

10.Resultados 53

10.1. Pruebas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

10.1.1. Pruebas en Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

11.Conclusiones 79

12.Bibliografıa 81

12.1. Bibliografıa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

12.2. Recursos digitales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

A. Configuraciones 85

A.1. Firewall Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

A.1.1. /etc/network/interfaces . . . . . . . . . . . . . . . . . . . . . . . . . 85

A.1.2. /etc/init.d/firewall.sh . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

A.1.3. /etc/squid3/squid.conf . . . . . . . . . . . . . . . . . . . . . . . . . . 90

A.2. VPN Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

A.2.1. /etc/openvpn/tunel.conf . . . . . . . . . . . . . . . . . . . . . . . . . 91

A.2.2. /etc/openvpn/roadwarrior.conf . . . . . . . . . . . . . . . . . . . . . 92

A.3. Central telefonica Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

A.3.1. /etc/asterisk/sip.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

A.3.2. /etc/asterisk/extensions.conf . . . . . . . . . . . . . . . . . . . . . . . 96

A.3.3. /etc/asterisk/iax.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

A.3.4. /etc/asterisk/voicemail.conf . . . . . . . . . . . . . . . . . . . . . . . 100

A.3.5. /etc/asterisk/cdr mysql.conf . . . . . . . . . . . . . . . . . . . . . . . 102

viii Implementacion Sistema de Telefonıa IP y Seguridad Perimetral

Indice de figuras

3.1. Mapa ubicacion Fundo y Oficina Melipilla . . . . . . . . . . . . . . . . . . . 6

3.2. Organigrama de la empresa Fundo Santa Rosa . . . . . . . . . . . . . . . . 7

3.3. Topologıa Fundo Santa Rosa . . . . . . . . . . . . . . . . . . . . . . . . . . 8

4.1. Ejemplo de topologıa de estrella . . . . . . . . . . . . . . . . . . . . . . . . 11

4.2. Red WiFi Infraestructura . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

4.3. Red WiFi Peer to Peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

4.4. Ejemplo de VPN sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . 16

4.5. Tabla de codec de audio en telefonıa IP . . . . . . . . . . . . . . . . . . . . 20

5.1. Mapa red inalambrica en el fundo . . . . . . . . . . . . . . . . . . . . . . . 23

7.1. Modelo de red propuesto . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

7.2. Flujo funcionamiento del firewall . . . . . . . . . . . . . . . . . . . . . . . . 36

7.3. Flujo funcionamiento del proxy . . . . . . . . . . . . . . . . . . . . . . . . . 37

7.4. Flujo funcionamiento de la central telefonica . . . . . . . . . . . . . . . . . . 38

7.5. Ubicacion y funcionamiento de un firewall . . . . . . . . . . . . . . . . . . . 39

7.6. VPN sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

10.1. Squid permitio acceso a www.google.cl . . . . . . . . . . . . . . . . . . . . . 58

10.2. Squid denego acceso a www.emol.cl . . . . . . . . . . . . . . . . . . . . . . . 59

10.3. Conexion a servidor SAMBA mediante VPN. . . . . . . . . . . . . . . . . . 73

10.4. Llamada perdida desde la PSTN . . . . . . . . . . . . . . . . . . . . . . . . 74

ix

INDICE DE FIGURAS INDICE DE FIGURAS

10.5. Llamada perdida desde la PSTN . . . . . . . . . . . . . . . . . . . . . . . . 75

10.6. Mensaje de voz enviado al correo del usuario. . . . . . . . . . . . . . . . . . 76

10.7. Registro de llamadas dıa 2009-09-04 . . . . . . . . . . . . . . . . . . . . . . 77

x Implementacion Sistema de Telefonıa IP y Seguridad Perimetral

Capıtulo 1

Introduccion

Durante el ano 2009, como parte del proceso de formacion educacional comprendido para

la obtencion del tıtulo de Ingeniero en Redes y Comunicacion de Datos de la universidad

Andres Bello, se ha desarrollado el presente trabajo de titulacion. Este tiene como objetivo

ser el punto culmine de nuestros estudios y la finalizacion de esta etapa. En las siguientes

hojas encontrara la empresa con la que se trabajo, la problematica detectada y como esta se

soluciono.

Hoy en dıa mantener una adecuada comunicacion al interior de cualquier empresa es un

signo claro de colaboracion entre los trabajadores. Sin embargo si no existe un adecuado

sistema que colabore con dicha tarea, esto se complica y comienzan a surgir los problemas.

Dentro de las alternativas existentes estan: correo electronicos, centrales telefonicas, telefonıa

celular, telefonıa fija, fax, sistema de mensajerıa corta, radios o aplicaciones en red (como

pueden ser redes sociales o una intranet). Las alternativas anteriores tienen diferentes costos

y no son aplicables al 100 % de las empresas, es por esto que en cada caso se debe evaluar

cual es la mejor alternativa disponible para facilitar las comunicaciones dentro del trabajo.

Como profesionales del area de redes nos llamo la atencion la telefonıa IP, ya que de

los sistemas anteriores mencionados, es uno de los cuales esta experimentando un rapido

crecimiento. Hoy existen diversas empresas que ofrecen este tipo de servicio, incluso ya no

debemos limitarnos solo a las companıas nacionales para optar a tener un numero telefonico.

1

CAPITULO 1. INTRODUCCION

Los costos que se pueden observar a nivel de llamadas nacionales o internacionales lo hacen

un sistema atractivo para empresas y particulares. Sin embargo un beneficio grande respecto

al sistema tradicional de telefonıa es que al utilizar redes de datos para transportar la voz

se puede utilizar la infraestructura de red existente en las empresas para tener una central

telefonica que ofrezca el servicio de telefonıa a los trabajadores.

Otro punto de interes es el relacionado con la seguridad en las redes, es un tema que en

ciertos lugares es muy poco considerado y en otros practicamente inexistente. La seguridad no

tiene relacion solo con el posible ataque de un extrano en Internet hacia la red, sino tambien

lo que los usuarios de las mismas redes pueden hacer en ellas y como afectan al resto. Por este

motivo es que el interes se fijo tanto en la proteccion de la red frente a posibles ataques del

exterior como la posibilidad de controlar el contenido que los usuarios revisan en Internet.

El trabajo se compone de diversas etapas, de las cuales se pueden destacar: definicion

del area de interes, busqueda de una empresa, levantamiento en el area de redes, propuesta

de una mejora e implementacion de la solucion disenada. La definicion del area de estudio

se ha descrito en los parrafos anteriores. El paso siguiente es buscar una empresa, para

esto se contacto con la empresa Fundo Santa Rosa quienes mostraron interes en recibir

soporte para el mejoramiento en su sistema de comunicacion vıa telefono. Ademas durante

las reuniones llevadas a cabo con trabajadores de la empresa se manifesto la preocupacion

por la poca seguridad de los contenidos visitados por los usuarios al navegar por Internet.

Esto se adecuaba perfectamente a los temas que se deseaban cubrir.

Durante la lectura de este trabajo se encontraran conceptos del area de redes y de la

gestion de proyectos, los cuales han sido utilizados para dar una mayor comprension de lo

que involucra el desarrollo de un trabajo de este tipo. De esta forma el proyecto se inicia con

el levantamiento de la situacion inicial de la red, confeccion de requerimientos, diseno de una

solucion y posteriormente la implementacion.

2 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral

Capıtulo 2

Objetivos

2.1. Objetivos generales

A continuacion se indican los objetivos generales del proyecto:

Aplicar las metodologıas de desarrollo de proyectos para poder entregar una solucion a

las problematicas encontradas en una empresa.

Realizar un proyecto acorde con las caracterısticas o estandares correspondientes a la

carrera Ingenierıa en Redes y Comunicacion de Datos.

Tener una buena comunicacion con la empresa o cliente, tanto en la etapa de analisis

como en la etapa de implementacion para lograr obtener su satisfaccion.

Aplicar tecnologıas actuales para dar soluciones que puedan mejorar los procesos y

ası posicionarse en el mercado actual.

2.2. Objetivos especıficos

Para poder lograr cumplir los objetivos generales es necesario primero cumplir los sigu-

inetes objetivos especıficos:

3

2.2. OBJETIVOS ESPECIFICOS CAPITULO 2. OBJETIVOS

Buscar y seleccionar empresa con las caracterısticas necesarias para desarrollar proyec-

to.

Establecer relacion publica con la empresa para comunicar ideas del proyecto.

Realizar inspecciones a la Empresa para conocer espacios, personal, recursos o insumos

que faciliten el analisis de la problematica existente el proyecto.

Detectar necesidades con los involucrados a traves de reuniones para conocer falencias.

Analizar y disenar solucion que involucre tanto telefonıa IP, como seguridad perimetral.

Entregar al cliente un analisis de ambas situaciones de la red (pre y post proyecto).

Realizar una planificacion clara, listando las actividades especıficas que se realizaran

en el proceso de implementacion de solucion.

Analizar resultados del plan operativo del proyecto.

Realizar una topologıa o esquema de diseno solucion para realizar la comparacion con

la situacion actual de la empresa.

Implementar un sistema de Telefonıa IP para la comunicacion interna entre las oficinas

centrales y el fundo de la empresa Fundo Santa Rosa.

Implementar un firewall que permite restringir el acceso a Internet.

Implementar un filtro de contenidos que permita controlar el acceso a Internet.

Implementar una Red Privada Virtual entre las oficinas centrales y el fundo de la

empresa Fundo Santa Rosa.

Ejecutar y monitorear plan de accion.


Capıtulo 3

Empresa

El trabajo de tıtulo se realizo en la empresa Fundo Santa Rosa la cual se encuentra

ubicada en la ciudad de Melipilla, a 60 km de la ciudad de Santiago.. Esta empresa cuenta

con sus oficinas centrales en el centro de la ciudad y cuenta con instalaciones en un sector

rural aproximadamente a 20 km al interior de la ciudad, ver figura 3.1.

El desarrollo de este proyecto se basa en el analisis de la problematica existente en la

red corporativa de la empresa, entregando la mejor solucion de acuerdo a las necesidades del

cliente.

Para las comunicaciones referente al proyecto, la empresa ha designado al Sr. Gonzalo De

La Fuente Valderrama, jefe de la Planta de Alimento.

La empresa cuenta en total con aproximadamente 600 trabajadores de los cuales aproxi-

madamente 70 son usuarios de computador.

En la figura 3.2 se puede observar el organigrama de la empresa.

3.1. Infraestructura de hardware

Luego de haber realizado un levantamiento en la empresa, se realizo un catastro tanto del

equipamiento computacional como el de red existente, el cual se describe a continuacion:

1 router Linksys WRT54GL con sistema operativo DD-WRT.

5

3.1. INFRAESTRUCTURA DE HARDWARE CAPITULO 3. EMPRESA

Figura 3.1: Mapa ubicacion Fundo y Oficina Melipilla

7 puntos de acceso Linksys WAP54G.

2 switches Linksys de 16 y 8 bocas respectivamente.

1 camara IP.

1 servidor IBM con sistema operativo Debian GNU/Linux, aloja aplicacion web AGATA

(software coorporativo).

13 computadores de los trabajadores con sistema operativo Microsoft Windows.

En la figura 3.3 se presenta la topologıa de la empresa al momento de realizar el lev-

antamiento. Se observa que el router Linksys (equipo indicado con nombre “bart”) es la

pasarela hacia Internet, y ademas el servidor (de archivos, correo y web) llamado “homero”


CAPITULO 3. EMPRESA 3.1. INFRAESTRUCTURA DE HARDWARE

Figura 3.2: Organigrama de la empresa Fundo Santa Rosa

se encuentra en la misma red que el resto de los computadores. La red utilizada es una red

LAN tipo estrella con redes inalambricas en modo infraestructura.

Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 7

3.1. INFRAESTRUCTURA DE HARDWARE CAPITULO 3. EMPRESA

Figura 3.3: Topologıa Fundo Santa Rosa


Capıtulo 4

Marco teorico

El proyecto desarrollado cuenta con diferentes conceptos teoricos importantes que se deben

considerar para dar una adecuada lectura a este documento.

4.1. LAN: Redes de Area Local

Son redes de propiedad privada de hasta unos cuantos kilometros de extension. Por ejem-

plo una oficina o un centro educativo. Este tipo de redes se utilizan para conectar computa-

doras personales u otros equipos de red, con objeto de compartir recursos e intercambiar

informacion.

La estructura de una red LAN esta definida segun su topologıa. Esta es una representacion

logica de como los computadores se encuentran conectados a la red. A continuacion se men-

ciona cada una de ellas:

Topologıa de bus circular.

Topologıa de anillo.

Topologıa de estrella.

Topologıa en estrella extendida.

9

4.1. LAN: REDES DE AREA LOCAL CAPITULO 4. MARCO TEORICO

Topologıa jerarquica.

Topologıa de malla.

La topologıa utilizada en la solucion y que se presentara en este proyecto es la estrella, la

cual se define a continuacion:

4.1.1. Topologıa de Estrella

La topologıa estrella es una de las topologıas mas populares actualmente. Corresponde

a una red en la cual las estaciones estan conectadas directamente a un punto central, en el

cual ocurren todas las comunicaciones que se realizan dentro de la red, normalmente este

dispositivo es un switch1.

Se utiliza sobre todo para redes locales. La mayorıa de las redes de area local que tienen un

enrutador (router), un conmutador (switch) o un concentrador (hub) siguen esta topologıa.

El nodo central en estas serıa el enrutador, el conmutador o el concentrador, por el que pasan

todos los paquetes2. En la figura 4.1 se puede apreciar una red con topologıa estrella.

Ventajas de la Topologıa de estrella

Es mas tolerante, esto quiere decir que si una computadora se desconecta o si su cable

falla solo esa computadora es afectada y el resto de la red mantiene su comunicacion

normalmente.

Es facil de reconfigurar, anadir o remover una computadora es tan simple como conectar

o desconectar un cable en el nodo central.

Permite que todos los nodos se comuniquen entre sı de manera conveniente.

Desventajas de la Topologıa de estrella

Es costosa ya que requiere mas cable que la topologıa Bus y Token Ring.

1Dispositivo de red, generalmente de capa 22Datos de que envıan los computadores entre sı


CAPITULO 4. MARCO TEORICO 4.2. WLAN: REDES INALAMBRICAS

Figura 4.1: Ejemplo de topologıa de estrella

El cable viaja por separado del nodo central a cada computadora.

Si el nodo central falla, toda la red se desconecta.

4.2. WLAN: Redes inalambricas

WLAN3 es un sistema de comunicacion de datos inalambrico flexible, muy utilizado co-

mo alternativa a las redes LAN cableadas o como extension de estas. Utiliza tecnologıa de

radiofrecuencia que permite mayor movilidad a los usuarios al minimizar las conexiones ca-

3Wireless Local Area Network o red de area local inalambrica


4.2. WLAN: REDES INALAMBRICAS CAPITULO 4. MARCO TEORICO

bleadas. Las WLAN van adquiriendo importancia en muchos campos, como almacenes o para

manufactura, en los que se transmite la informacion en tiempo real a un servidor central.

Tambien son muy populares en los hogares para compartir el acceso a Internet entre varias

computadoras.

4.2.1. Tipos de redes WLAN

Infraestructura

Esta es una configuracion tıpica de WLAN en donde los puntos de acceso (AP) se conectan

a la red cableada. El punto de acceso recibe la informacion, la almacena y la transmite entre

la WLAN y la LAN cableada. Un unico punto de acceso puede soportar un pequeno grupo de

usuarios y puede funcionar entre un rango de treinta metros hasta varios cientos de metros

a la redonda. El punto de acceso (o la antena conectada al punto de acceso) es normalmente

colocado en alto pero podrıa colocarse en cualquier lugar en que se obtenga la cobertura

de radio deseada. El usuario final accede a la red WLAN a traves de adaptadores. Estos

proporcionan una interfaz entre el sistema de operacion de red del cliente y las ondas. La

figura 4.2 muestra este tipo de WLAN

Figura 4.2: Red WiFi Infraestructura


CAPITULO 4. MARCO TEORICO 4.2. WLAN: REDES INALAMBRICAS

Peer to peer

Pueden ser de muy diversos tipos y tan simples o complejas como sea necesario. La mas

basica se da entre dos ordenadores equipados con tarjetas adaptadoras para WLAN, de modo

que pueden poner en funcionamiento una red independiente siempre que esten dentro del area

que cubre cada uno. Esto es llamado red de igual a igual (peer to peer). Cada cliente tendrıa

unicamente acceso a los recursos del otro cliente pero no a un servidor central. Este tipo de

redes no requiere administracion. La figura 4.3) muestra este tipo de WLAN.

Figura 4.3: Red WiFi Peer to Peer

4.2.2. Ventajas de las redes WLAN

Movilidad: las redes inalambricas proporcionan a los usuarios de una LAN acceso a la

informacion en tiempo real en cualquier lugar dentro de la organizacion o el entorno

publico (zona limitada) en el que estan desplegadas.

Simplicidad y rapidez en la instalacion: la instalacion de una WLAN es rapida y facil

y elimina la necesidad de colocar cables a traves de paredes y techos.


4.3. VPN: REDES PRIVADAS VIRTUALES CAPITULO 4. MARCO TEORICO

Flexibilidad en la instalacion: La tecnologıa inalambrica permite a la red llegar a puntos

de difıcil acceso para una LAN cableada.

Escalabilidad: los sistemas de WLAN pueden ser configurados en una variedad de

topologıas para satisfacer las necesidades de las instalaciones y aplicaciones especıfi-

cas.

Las configuraciones son muy faciles de cambiar y ademas resulta muy simple la incor-

poracion de nuevos usuarios a la red.

4.2.3. Desventajas de las redes WLAN

Mayor vulnerabilidad a interferencias y ataques.

En comparacion con una LAN tiene un desempeno de menor calidad.

4.3. VPN: Redes privadas virtuales

La Red Privada Virtual (RPV), en ingles Virtual Private Network (VPN), es una tec-

nologıa de red que permite una extension de la red local sobre una red publica o no controlada,

como por ejemplo Internet. En otras palabras corresponde a una red logica de computadores

unidos a traves de Internet. De esta forma al estar conectadas las dos redes mediante una

VPN se creara la sensacion al usuario que ambas redes estan fısicamente conectadas, pudi-

endo compartir recursos (impresoras, archivos, servicios) entre los equipos de las redes de

forma transparente.

Ademas las VPN pueden ser provistas de sistemas de seguridad para proteger la informa-

cion que esta viajando por internet, de esta forma se mejora la confidencialidad e integridad

de los datos transmitidos por la empresa.


CAPITULO 4. MARCO TEORICO 4.3. VPN: REDES PRIVADAS VIRTUALES

4.3.1. Tipos de VPN

VPN de acceso remoto: es quizas el modelo mas usado actualmente y consiste en

usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas

comerciales, domicilios, hoteles, aviones preparados, etcetera) utilizando Internet como

vınculo de acceso.

VPN punto a punto: este esquema se utiliza para conectar oficinas remotas con la

sede central de la organizacion. El servidor VPN, que posee un vınculo permanente a

Internet, acepta las conexiones vıa Internet provenientes de los sitios y establece el tunel

VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de

su proveedor local de Internet, tıpicamente mediante conexiones de banda ancha. Esto

permite eliminar los costosos vınculos punto a punto tradicionales, sobre todo en las

comunicaciones internacionales (ver figura 4.4).

VPN interna WLAN: este esquema es el menos difundido pero uno de los mas poderosos

para utilizar dentro de la empresa. Es una variante del tipo “acceso remoto” pero,

en vez de utilizar Internet como medio de conexion, emplea la misma red de area

local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta

capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las

redes inalambricas (WiFi).

4.3.2. Ventajas de VPN

Integridad, confidencialidad y seguridad de datos.

Las VPN reducen los costos y son sencillas de usar.

Facilita la comunicacion entre dos usuarios en lugares distantes.

Se puede cursar trafico de datos, imagenes en movimiento y voz simultaneamente.

Puede extenderse a cualquier sitio.


4.3. VPN: REDES PRIVADAS VIRTUALES CAPITULO 4. MARCO TEORICO

Figura 4.4: Ejemplo de VPN sitio a sitio

La capacidad de la red puede crecer gradualmente, segun como las necesidades de

conexion lo demanden.

Si en Internet un enlace se cae o congestiona demasiado, existen rutas alternativas para

hacer llegar los paquetes a su destino.

4.3.3. Desventajas de VPN

Se deben establecer correctamente las polıticas de seguridad y de acceso.

Mayor carga en el cliente VPN porque debe encapsular los paquetes de datos y encrip-

tarlos, esto produce una cierta lentitud en las conexiones.

No se garantiza disponibilidad (sin Internet no hay VPN).


CAPITULO 4. MARCO TEORICO 4.4. VOIP: VOZ SOBRE IP

Una VPN se considera segura, pero no hay que olvidar que la informacion sigue viajando

por Internet (de forma no segura y expuesta a ataques).

4.4. VoIP: Voz sobre IP

Se llama VoIP al conjunto de tecnologıas para la transmision de voz sobre redes que

funcionan con el protolo IP4, tambien es denominada telefonıa IP o telefonıa por Internet.

Esto ultimo no significa que solo se pueda utilizar sobre Internet, puesto que al utilizar el

protocolo IP podemos implementarla sobre la red informatica privada de una empresa.

4.4.1. Ventajas y desventajas

Ventajas telefonıa IP

Evita cargos altos de telefonıa, principalmente larga distancia.

No hay que pagarle a las companıas telefonicas por la comunicacion de Voz, pues solo

utilizamos nuestro servicio de Internet.

Puede funcionar sobre cualquier tipo red, como lo hacen otros servicios (como web).

Existe ınter operabilidad de distintos proveedores.

Existen distintos protocolos a utilizar, cada uno con sus ventajas y desventajas.

Servicio disponible solo con una conexion a Internet.

Desventajas

Es difıcil garantizar calidad de servicio, difıcil lograr una calidad exacta a la de una

PSTN.

4Internet Protocol


4.4. VOIP: VOZ SOBRE IP CAPITULO 4. MARCO TEORICO

Ya que los datos viajan en forma de paquetes es que pueden existir perdidas de infor-

macion y demoras en la transmision.

Se debe disponer de un mınimo de ancho de banda disponible segun la cantidad de

usuarios hablando.

Dentro de las soluciones de VoIP existentes hemos decidido utilizar Asterisk en el proyecto,

este se detalla a continuacion.

4.4.2. Central telefonica Asterisk

Asterisk es el lıder en centrales telefonicas de codigo libre, ofrece flexibilidad respecto a

las soluciones propietarias de comunicaciones y ha sido desarrollada para crear una solucion

avanzada de comunicacion.

Ventajas

Utiliza protocolos estandares y abiertos.

El desarrollo de los diversos codecs ha permitido que la voz se codifique cada vez en

menos bytes.

Funciona como una completa central telefonica, permitiendo tener casillas de voz, con-

testadora automatica, acceso a la PSTN (mediante tarjetas especiales), control de lla-

madas, registro de llamadas de los usuarios, musica en espera, operadora, etc.

Elementos a considerar al configurar Asterisk

Codificacion de audio: existen diversos algoritmos (codecs) que codifican el audio de

diferentes formas, el metodo a utilizar determinara, por ejemplo, la calidad del sonido

o la cantidad de ancho de banda necesario para realizar la llamada. Se debera usar el

mas adecuado segun los requerimientos del cliente.


CAPITULO 4. MARCO TEORICO 4.4. VOIP: VOZ SOBRE IP

Cancelacion de eco: esta caracterıstica evita que un usuario que este llamando escuche

su voz con un desfase.

Supresion de silencios: cuando en una llamada los interlocutores no emiten sonido al-

guno, el “silencio” se puede enviar por la lınea, sin embargo esto ocupara ancho de

banda, por lo cual se ha de tener presente que se debe evitar esto suprimiendo estos

silencios y que no sean enviados por la lınea.

Protocolos de senalizacion SIP

Corresponde al estandar para el inicio, modificacion y termino de sesiones de diversos

servicios en redes IP, tales como: video, voz, mensajerıa instantanea, juegos online y realidad

virtual.

Codificacion de audio

Los codecs permiten codificar el audio para poder transmitir por la red un audio comprim-

ido que haga un menor uso de los recursos de la red. El nivel de compresion dependera del

bit-rate, el cual a menor bit-rate5 mayor compresion pero peor calidad. Existen diversos tipos

de codecs disponibles, en la figura 4.5 se pueden apreciar algunos de ellos y sus caracterısticas.

De los codecs de audio disponibles hemos decidido utilizar el G711 por ser un codec que

cumple con los requerimientos del cliente y ademas no posee una licencia restrictiva. Este

codec sera el utilizado para la comunicacion de los equipos de las centrales telefonicas con

sus usuarios locales.

5Bits transmitidos en una unidad de tiempo, por ejemplo 16bps son 16 bits por segundo.


4.4. VOIP: VOZ SOBRE IP CAPITULO 4. MARCO TEORICO

Figura 4.5: Tabla de codec de audio en telefonıa IP


Capıtulo 5

Entorno y sus fundamentos

5.1. Problematica

Dentro de los temas analizados con el personal de la empresa en diversas reuniones re-

alizadas se logro acotar el objetivo del proyecto a puntos especıficos. Esto es importante de

mencionar, ya que durante el desarrollo de Taller de Tıtulo 1, se contemplaron muchos posi-

bles temas, como una optimizacion general de la red, tanto en equipos, software y cableado.

Sin embargo por decision de la empresa el trabajo fue acotado a los temas que se mencionan

a continuacion.

Para lograr conocer cuales eran los puntos a mejorar se realizo un estudio basado en los

problemas que presentaban los usuarios. Esto se realizado mediante entrevistas y reuniones

con el personal de la empresa. De estas reuniones surgieron las necesidades que se presentaban

respecto al funcionamiento de la red en ese momento.

Se detectaron tres puntos importantes:

Falta de control y seguridad en el acceso a Internet.

Falta de un sistema interno de comunicacion entre las dependencias del fundo.

Posibilidad de tele trabajo.

21

5.1. PROBLEMATICA CAPITULO 5. ENTORNO Y SUS FUNDAMENTOS

5.1.1. Seguridad perimetral y filtro de contenido

La red de la empresa cuenta con acceso directo a Internet, esto significa que cualquier

usuario podıa navegar libremente por sitios web que fuesen o no relacionados con el ambiente

laboral. Esto sumado a los problemas de seguridad que existen hoy en Internet correspondıa

a un tema delicado que afectaba el rendimiento de la red y de las personas.

Al no contar con un equipo capaz de realizar un filtrado del contenido todos los dispositivos

que ingresan a Internet tienen iguales privilegios en la conexion, o sea acceso completo a la red.

Esto representa problemas en la seguridad puesto que los usuarios pueden obtener cualquier

tipo de material pudiendo navegar por sitios maliciosos que pueden generar vulnerabilidad a

los equipos de los usuarios y potencialmente a otros equipos en la red. Ademas los usuarios al

poder acceder libremente a las paginas web muchas veces navegaran por sitios que no estan

vinculados a la empresa.

5.1.2. Problemas de comunicacion

Se han detectado problemas para realizar una comunicacion telefonica eficiente entre los

trabajadores de la empresa, especıficamente en el fundo. Esto provocado por la ubicacion

geografica en donde se encuentra este, ver figura 3.1. En la figura se observa que corresponde

a un sector rural, por lo cual no existen proveedores de telefonıa fija que cubran el lugar.

Ademas por estar el fundo rodeado por dos grandes cerros el servicio de telefonıa celular es

deficiente, habiendo una cobertura limitada de esta.

Los problemas de comunicacion se pueden dividir en los siguientes:

Comunicacion interna

Es necesario la comunicacion de 6 instalaciones, se pueden apreciar estos puntos en la

figura 5.1. En la imagen se observa la ubicacion de las instalaciones senaladas al interior

del fundo de la empresa. Actualmente existe una red de computadores mediante la cual

los funcionarios pueden transferir archivos y correo electronico, sin embargo para realizar

comunicacion vıa voz deben recurrir a equipos de radio.


CAPITULO 5. ENTORNO Y SUS FUNDAMENTOS 5.1. PROBLEMATICA

Figura 5.1: Mapa red inalambrica en el fundo

Comunicacion externa

Ademas es necesaria la comunicacion con la oficina central de la empresa, en la ciudad

de Melipilla. Actualmente esto se realiza mediante telefonıa celular, sin embargo esta es

deficiente en el sector y no existe la posibilidad de telefonıa fija.

5.1.3. Conexion remota a la red

Otro de los puntos que nos hicieron ver los ejecutivos de la empresa fue la necesidad de

poder conectarse a traves de Internet a la red interna de la empresa, esto con el objetivo de

acceder a los equipos y servicios que la componen. Dos servicios importantes son:

Aplicacion de la empresa, que funciona vıa web en la Intranet.

Servidor con los documentos de las distintas areas coorporativas.


5.2. REQUERIMIENTOS CAPITULO 5. ENTORNO Y SUS FUNDAMENTOS

5.2. Requerimientos

Segun el analisis realizado conjuntamente con el cliente, se rescataron los siguientes re-

querimientos, los cuales son para solucionar la problematica antes detallada, estos consisten

en:

Evitar que los usuarios tengan libre acceso a Internet.

Existiran distintos niveles de privilegios de filtrado de contenido segun defina el cliente.

Acceder en forma remota a la red de la empresa.

Permitir a los trabajadores comunicarse telefonicamente entre sı en el interior del fundo

y hacia el exterior

Implementar una central telefonica que permita a los trabajadores de la empresa co-

municarse entre sı al interior del fundo.

Central telefonica debera estar comunicada con la red publica de telefonıa.

Generar sistema de comunicacion telefonica interna entre el fundo y oficina central.


Capıtulo 6

Alcance del proyecto

En este capıtulo se indicara lo que nuestro proyecto de tıtulo cubrira, indicando los aspec-

tos formales que tienen relacion con responsabilidades por parte del cliente como de quienes

ejecutan el proyecto.

6.1. Descripcion

La solucion a implementar corresponde a la instalacion y puesta en marcha de equipos

capaces de realizar las tareas necesarias para proteger la red desde el exterior, ejercer un

control a nivel de contenido sobre lo que los usuarios pueden realizar en internet y ademas

la implementacion de centrales de telefonıa IP para ayudar en la comunicacion entre los

trabajadores de la empresa.

El proyecto esta compuesto de las siguientes etapas:

Configuracion de firewall: Se instalaran y configuraran dos firewall para generar

polıticas de acceso a Internet, filtro de contenido de paginas web y por otra parte

polıticas de acceso para proteger la red interna.

Instalacion de VPN: La instalacion de la red VPN sera para unir la Oficina Central

con el Fundo, ademas se considerara la necesidad de clientes que deseen conectarse

desde redes externas a la empresa.

25

6.2. LIMITACIONES CAPITULO 6. ALCANCE DEL PROYECTO

Central telefonica: Se considerara la instalacion de dos servidores en los cuales se

instalara el software que realizara las tareas de comunicacion de voz sobre ip y los

equipos terminales de telefonıa IP.

Segmentacion de red: Incluira la separacion de la granja de servidores de la red

corporativa.

6.2. Limitaciones

Las siguientes son limitaciones impuestas por el cliente al diseno del proyecto:

Se debera utilizar la actual red implementada en ambos lugares, proyecto no debe

contemplar cambios gruesos al cableado o instalaciones inalambricas.

Horario de trabajo en terreno solo fuera de horario de oficina, esto significa sabado o

domingo.

Se debe capacitar al personal de la empresa para la mantencion futura de los equipos

instalados.

6.3. Factores crıticos de exito

A continuacion se mencionan aquellos factores que seran decisivos y podrıan comprometer

el correcto desarrollo del proyecto.

Responder a los tiempos dispuestos o estipulados al inicio del proyecto.

Tener a disposicion el hardware necesario antes de la fecha dispuesta para la configu-

racion de estos.

Realizar pruebas de funcionalidad en las etapas correspondientes de la implementacion.

Responder a los requerimientos funcionales solicitados por la empresa.


CAPITULO 6. ALCANCE DEL PROYECTO 6.3. FACTORES CRITICOS DE EXITO

El cliente realice pruebas de satisfaccion luego de las pruebas internas de implementacion.

Realizar correcciones a los problemas encontrados al realizar la implementacion.

Realizar capacitacion al personal antes dispuesto, para que opere el equipamiento in-

stalado.

Cortes de energıa electrıca podrıan afectar el funcionamiento del sistema.

Disponer de una conexion a Internet al menos en los horarios de trabajo.

Realizar respaldos del sistema, a fin de evitar problemas en caso de fallas por hardware.


6.3. FACTORES CRITICOS DE EXITO CAPITULO 6. ALCANCE DEL PROYECTO


Capıtulo 7

Diseno de solucion

Estudiando la problematica detectada en la empresa se preparo una solucion al prob-

lema. En este capıtulo se muestra el diseno en detalle de la solucion que cumple con los

requerimientos del cliente.

En la figura 7.1 se puede apreciar una vision global del diseno final a implementar, el cual

incluye la solucion al problema de telefonıa, seguridad perimetral y conexion remota.

Figura 7.1: Modelo de red propuesto

29

7.1. DIAGRAMA DE FLUJO CAPITULO 7. DISENO DE SOLUCION

7.1. Diagrama de flujo

Para un mejor entendimiento del modelo de red propuesto se presentan diferentes diagra-

mas de flujo, los cuales ayudaran a la comprension de la solucion planteada:

Diagrama flujo firewall: ver figura 7.2.

Diagrama flujo proxy: ver figura 7.3.

Diagrama flujo central telefonica: ver figura 7.4.

7.2. Firewall

Existe la necesidad de instalacion en ambos sectores de un Firewall que separe la red

LAN de Internet, ver figura 7.5. Para esto se realizara la instalacion de un firewall utilizando

Debian GNU/Linux1, dentro de las ventajas presentes esta el hecho que es una solucion

economica si la comparamos con un firewall comercial y tan robusta como estos ultimos.

El firewall cumplira diversas funciones:

Filtrado utilizando IPTables.

VPN utilizando OpenVPN.

Proxy transparente utilizando Squid.

Router utilizando rutas estaticas.

Para el cumplimiento de lo anterior se implementaran sobre dos servidores que dispondran

de tres tarjetas de red, una conectada hacia internet, otra a la zona desmilitarizada (dmz,

donde se encontraran los servidores de la empresa) y la ultima hacia la red corporativa.

Mediante el software squid, iptables y openvpn se lograran los objetivos planteados para

estos equipos.

1http://www.debian.org


CAPITULO 7. DISENO DE SOLUCION 7.2. FIREWALL

La ventaja principal sera mejorar las horas productivas en la empresa, ya que al tener

libre acceso los usuarios pueden malgastar tiempo. Ademas se protegera la red desde posibles

ataques del exterior.

7.2.1. IPTables

IPTables es parte de un software llamado NetFilter disponible en el nucleo de las distribu-

ciones GNU/Linux. Corresponde a una herramienta, principalmente de capa 3 en el modelo

OSI de redes, que permitira generar diversas reglas de seguridad y usos de la red. Entre estas

se encuentran:

Enmascaramiento de IPs privada con la IP publica para la utilizacion de NAT.

Bloqueo de puertos e IP desde y hacia Internet.

Redireccionamiento de solicitudes web al proxy Squid.

Con esto se permitira que el administrador de la red pueda definir nuevas polıticas de

una manera sencilla y efectiva comparado con lo que se podrıa lograr con un equipo SOHO2

7.2.2. OpenVPN

La VPN se utilizara para crear un enlace sitio a sitio entre el fundo y Melipilla, esto

permitira que usuarios de ambas redes esten conectados como si estuviesen en la misma red.

Ademas se creara un acceso para clientes remotos3, permitiendo con esto ademas que los

trabajadores autorizados puedan ingresar a la red corporativa.

Ambos tipos de VPN (sitio a sitio, ver figura 7.6, y para clientes remotos) utilizaran

un canal comprimido y encriptado. En el caso del tunel sitio a sitio se utilizara una clave

compartida y en los clientes remotos un certificado digital.

2SOHO: Small Office Home Office, equipos de menor rendimiento y capacidades de configuracion.3Usuarios que se conectan desde diversos puntos de Internet


7.2. FIREWALL CAPITULO 7. DISENO DE SOLUCION

Se ha elegido utilizar OpenVPN por su simpleza, tanto en su configuracion y adminis-

tracion. Ademas sera sencillo para el administrador de red poder expandir el sistema, creando

nuevos usuarios que requieran conectarse.

Otro punto importante es que permite transportar protocolos como IPX, el cual es uti-

lizado por otra aplicacion dentro de la empresa. Si bien el uso de IPX en la VPN no es parte

de los requerimientos entregados por el cliente, es un tema que se podrıa implementar en el

futuro.

7.2.3. Squid

Para la implementacion del filtro de contenidos se uso Squid que corresponde a un proxy4,

este tiene diferentes caracterısticas, las cuales se pueden resumir en dos grupos:

Cache para sitios web: mediante esta opcion cuando un usuario solicita un sitio, si

existe almacenado en el servidor proxy se obtiene desde ahı, sino se busca en Internet.

Ayuda a optimizar el uso de la conexion hacia Internet.

Filtro de contenidos: permite o deniega contenido web a los usuarios de la red.

Es necesario llevar un registro de los sitios que visitan los usuarios, esto para posterior-

mente poder realizar alguna especie de revision y control. Es por esto que toda solicitud web

(puerto 80) debera ser redireccionada por el firewall al proxy, el cual de forma transparente,

descargara el sitio para el usuario que lo requiera.

A medida que se vayan detectando usos indebidos de Internet se deberan ir creando

restricciones, para esto se crearan 3 ACL5 basicas dentro de Squid:

Sitios denegados: url que no pueden ser accedidas.

Sisitos autorizados. url que deben ser permitidas.

IP libres: usuario VIP, a los cuales no se les aplica ninguna restriccion.

4Usuarios podran acceder a Internet a traves de este equipo5Access control list: listas de control de acceso


CAPITULO 7. DISENO DE SOLUCION 7.3. CENTRAL TELEFONICA

A pesar de existir usuarios VIP, el registro sera para todos los usuarios. Por lo cual a ellos

tambien se les llevara un listado de los sitios que visiten.

Ademas se contempla la implementacion de blacklist6, de esta forma y de manera au-

tomatica se iran actualizando y bloqueando sitios que no deben ser visitados.

7.3. Central telefonica

En la actualidad no es posible la utilizacion de telefonıa tradicional en el fundo y la

celular es deficiente, esto debido a las condiciones geograficas que existen en el lugar. Por

estas razones se ha determinado que la solucion viable en estos momentos es la comunicacion

mediante telefonıa IP. Para cumplir este objetivo se instalaran centrales de telefonıa IP en

ambos puntos, tanto en el fundo como en la oficina central.

Esta central proveera el servicio de telefonıa privada dentro del sector pudiendo utilizar

los enlaces de red ya existentes en los lugares que sea necesario comunicar. Dentro de las

soluciones de VoIP se trabajara con Asterik7.

Las principales ventajas al utilizar Asterisk son:

Control eficiente de las cuentas de telefonıa.

Comunicacion desde cualquier lugar con una unica cuenta de telefonıa.

Utiliza infraestructura de red ya existente.

Escalable, ya que permite un gran crecimiento.

Interconexion entre centrales telefonicas.

Dentro de los servicios solicitados por el cliente y que seran configurados estan:

Conexion a la PSTN8.

6Listas negras: archivos con direcciones potencialmente peligrosas7http://es.wikipedia.org/wiki/Asterisk8Red de telefonıa tradicional


7.3. CENTRAL TELEFONICA CAPITULO 7. DISENO DE SOLUCION

Menu IVR9.

Buzon de voz.

Registro de llamadas cursadas.

Conexion con otras centrales de telefonıa.

Estos servicios seran explicados a continuacion.

7.3.1. Empresa VOIP externa

La conexion con la PSTN en el fundo se realizara mediante un proveedor de servicios

de VoIP externo. El cual entregara una numeracion valida en la red telefonica publica y el

sera el proveedor del servicio de telefonıa a la red tradicional. Mediante un analisis de costos

y los posibles proveedores, se ha decidido ofrecer la conexion a traves de la empresa RedVoiss

ya que provee del servicio que se requiere a bajos costos.

El valor del servicio representara una disminucion en los costos de telefonıa. Sin embargo

estos ahorros se notaran fuertemente si la empresa realiza llamas internacionales, ya que en

este tipo de llamadas se puede alcanzar un ahorro de hasta un 70 %. En el caso de las llamas

nacionales el ahorro corresponde a aproximadamente un 20 %.

7.3.2. Menu interactivo

Se requiere la implementacion de un menu interactivo que permita al llamar desde la

PSTN poder discar cualquier extension valida de los usuarios y ser trasladado a ella. Este

menu se lograra mediante la creacion de reglas en el Dial Plan de Asterisk.

7.3.3. Buzon de voz

Se implementara un sistema de buzon de voz de manera que un usuario al estar ocupado

o no disponible pueda recibir igualmente el mensaje de la llamada. Lo importante aquı es que

9Interactive Voice Response



este mensaje debe llegar al correo electronico del dueno del anexo. Para esto se utilizara la

opcion de VoiceMail de Asterisk que permite tanto el almacenaje de los mensajes en el

servidor de telefonıa como el envio vıa email de los mismos.

7.3.4. Estadısticas de llamadas

Un tema importante que esta presente en la solucion planteada es el control que se lo-

grara tener sobre las llamadas que van a generar los trabajadores y el registro controlado

de los usuarios. Esto implicara poder determinar por ejemplo quienes utilizan el sistemas,

cuanto tiempo, en que horarios, ayudando a determinar si el uso de las llamadas es por mo-

tivos laborales o el sistema se esta usando con otros fines, lo cual no es posible con el sistema

actual.

Para el registro se utilizara una aplicacion web llamada Asterisk-Stat que permite generar

reportes leyendo la informacion entregada por Asterisk CDR10. Los reportes incluyen graficos,

reportes diarios, tiempos de mayor uso de la red, entre otras capacidades.

7.3.5. Protocolo para troncal entre centrales

IAX es el protocolo propio de Asterisk que se utiliza para la transferencia de llamadas

entre centrales Asterisk. Se utilizara para unir las dos centrales telefonicas (fundo y oficina

central). De esta forma usuarios de ambas centrales podran llamar entre sı.

Una caracterıstica importante aquı es que para el usuario debe ser transparente la forma

de llamar, o sea, no se han de considerar prefijos de marcado, a pesar que son 2 centrales

distintas. Esto se solucionara utilizando en el fundo la red de anexos 1XX y en Melipilla la

2XX. De esta forma, Asterisk, internamente manejara las extensiones de forma transparente

para el usuario.

10Call Detail Record



Figura 7.2: Flujo funcionamiento del firewall



Figura 7.3: Flujo funcionamiento del proxy



Figura 7.4: Flujo funcionamiento de la central telefonica



Figura 7.5: Ubicacion y funcionamiento de un firewall



Figura 7.6: VPN sitio a sitio


Capıtulo 8

Plan de trabajo

8.1. Etapas

En la siguiente seccion se indicaran las etapas que contiene la solucion que se entregara,

para ello indicamos el listado de actividades a continuacion:

1. Instalacion de Firewall y filtro de contenidos.

2. Interconexion mediante VPN.

3. Configuracion Servidor Asterisk en Fundo.

4. Configuracion Servidor Asterisk en Oficina Central.

5. Implementacion de troncales entre Centrales VoIP.

6. Acceso de Central Fundo a PSTN.

Es necesario mencionar que esta lista de actividades nos entrega la forma secuencial en que

se realizara dicha implementacion, a continuacion se entrega el detalle de cada Actividad:

8.1.1. Instalacion de Firewall y filtro de contenidos

En esta actividad se realizara la configuracion del Firewall y el filtro de contenido, con

las respectivas polıticas de seguridad, segun los requerimientos indicados por el cliente. Se

41

8.1. ETAPAS CAPITULO 8. PLAN DE TRABAJO

crearan las restricciones para evitar el acceso indeseado a ciertos puertos y ademas la creacion

de listas negras para prohibir sitios web a los empleados.

8.1.2. Interconexion mediante VPN

En esta etapa se realizara la configuracion de la VPN, para que funcione como sitio a

sitio y para tele trabajo. Con esto se conseguira la conexion de un trabajador a la red de la

empresa desde una ubicacion publica en Internet.

8.1.3. Configuracion Servidor Asterisk en Fundo

En esta parte se realizara tanto la instalacion como la configuracion de Asterisk, para que

funcione como central telefonica en las dependencias del fundo. Esto incluira la creacion de

las cuentas SIP de los usuarios, casillas de voz, plan de marcado y estadısticas de llamadas.

8.1.4. Configuracion Servidor Asterisk en Oficina Central

En esta actividad se realizara el mismo procedimiento detallada en la actividad anterior,

pero en la oficina central ubicada en Melipilla.

8.1.5. Implementacion de troncales entre Centrales VoIP

En esta etapa se realizara la configuracion para realizar la conexion o comunicacion entre

ambas centrales telefonicas (Fundo Santa Rosa y Oficina central). Esto se llevara a cabo

mediante el protocolo propio de Asterisk IAX.

8.1.6. Acceso de Central Fundo a PSTN

En este paso se realizara la comunicacion de la central telefonica ubicada en el fundo con

la empresa de telefonıa externa, la cual entregara el servicio de acceso a la red publica de

telefonıa.


CAPITULO 8. PLAN DE TRABAJO 8.2. RECURSOS

8.2. Recursos

A continuacion detallaremos los recursos incurridos en el proyecto realizado:

Recurso Humano

El Recurso Humano a utilizar esta indicado en los cargos incurridos en la lista de activi-

dades ya antes detallada, este personal debera estar debidamente capacitado para realizar las

actividades correspondientes. Se debe mencionar que el personal humano sera en gran parte

el grupo de trabajo del proyecto, los cuales en las distintas etapas cumpliran diferentes roles.

Recurso de Software

Todo el software a utilizar en el proyecto es libre, por lo cual es de facil acceso para la im-

plementacion. El tipo de licencia a utilizar, en la mayorıa de los casos, es la GPL1, se puede en-

contrar una copia de esta licencia en el siguiente enlace http://www.viti.es/gnu/licenses/gpl.html

Dentro de las ventajas de la utilizacion de software libre se encuentran:

Libertad de uso y distribucion.

Independencia tecnologica.

Sujeto a estandares.

Soporte y compatibilidad a largo plazo.

Sistemas seguros y rapida correccion de fallos.

No se incurrira en costos por el software a utilizar

Recurso de Hardware

El hardware necesario para el proyecto fue informado al cliente, el cual decidio acotarlo

y finalmente se decidio utilizar lo que se detalla a continuacion:

1General Public License


8.2. RECURSOS CAPITULO 8. PLAN DE TRABAJO

2 Equipos para centrales Telefonicas: procesador 2GHz, 1 Gb RAM, 160 GB disco duro,

1 tarjeta de red 1000Mbps.

2 Equipos para Firewall: procesador 2GHz, 2 Gb RAM, 160 GB disco duro, 2 tarjetas

de red 1000Mbps, 1 tarjeta de red 100Mbps.

4 Telefonos IP.

Cables de red y conectores.


Capıtulo 9

Implementacion

A continuacion se mencionan las actividades necesarias para la implementacion del proyec-

to, en caso de ser necesario se han adjuntado en el anexo A ejemplos de las configuraciones

realizadas en los equipos.

9.1. Estudios protocolos y software

Es necesario realizar un estudio de los protocolos que se utilizaran, el software y el diseno,

de tal forma de estar preparados para realizar una instalacion y configuracion rapida. Durante

esta etapa se hara un estudio teorico.

9.2. Reunion implementacion

Durante esta reunion se definiran aspectos que tienen relacion con los objetivos y necesi-

dades que se buscan cumplir.

Por ejemplo se han de indicar el tipo de sitios webs que seran restringidos, la cantidad de

anexos que deberan ser habilitados o el tipo de trafico que se debera permitir hacia Internet.

Aspectos relacionados directamente con el uso que se le dara a los sistemas instalados.

45

9.3. FIREWALL FUNDO CAPITULO 9. IMPLEMENTACION

9.3. Firewall Fundo

9.3.1. Instalacion Sistema Operativo

Se debe realizar la instalacion del sistema operativo Debian GNU/Linux. Ya que el uso

sera para un ambiente servidor se utilizara una instalacion por red, de esta forma se instalaran

solo los paquetes basicos del sistema. Cualquier otro software sera instalado cuando sea

necesario. Los pasos, basicos, para realizar la instalacion son:

Configuracion tarjeta de red.

Particionamiento disco duro (se separara en /, /var y /tmp).

Seleccion de paquetes a instalar.

Configuracion de usuarios y contrasenas.

Esta etapa sera necesaria de realizar en el otro firewall y ambas centrales telefonicas. Por

lo cual, al estar explicadas en este apartado, se omitiran en las siguientes secciones.

9.3.2. Configuracion IPTables

Segun los requerimientos entregados por el cliente y polıticas definidas con el cliente, ver

seccion 9.2, se deberan realizar las siguientes tareas mediante IPTables:

Enmascaramiento de la LAN y DMZ para utilizar NAT.

Restriccion del acceso a puertos no conocidos desde la red local.

Bloquear el acceso a puertos desde Internet.

Bloqueo en capa 3 del acceso de usuarios a Internet.

Redireccion de solicitudes web al servidor proxy.


CAPITULO 9. IMPLEMENTACION 9.4. VPN FUNDO

9.3.3. Configuracion Squid

Squid sera utilizado por peticion del cliente para funcionar como un filtro de contenidos

de la red. Para tal objetivo se crearan tres ACL1, estas permitiran manejar las siguientes

opciones:

Usuarios VIP: usuarios que no deben ser bloqueados.

Sitios aceptados: webs que no deben ser bloqueadas.

Sitios bloqueados: sitios web prohibidos.

Ademas se debera contar con alguna forma de supervisar el acceso web, para esto se

utilizaran los logs que genera Squid. Se desarrollara un script que permita de una forma

simple acceder a los contenidos visitados por los usuarios.

9.3.4. Instalacion y Pruebas

Durante esta etapa se instalara fısicamente el equipo en las dependencias de la empresa y

se realizaran las mismas pruebas hechas para el documento Casos de Prueba (entregado ante-

riormente) pero esta vez en un ambiente real (no de laboratorio). Esta etapa se debera realizar

con los 4 equipos a instalar (2 firewall y 2 centrales).

9.4. VPN Fundo

9.4.1. Instalacion OpenVPN

Se debera realizar la instalacion del software Open VPN el cual sera configurado, en esta

etapa, para permitir el acceso de usuarios desde Internet al interior de la red.

1Lista de control de acceso


9.5. CENTRAL TELEFONICA FUNDO CAPITULO 9. IMPLEMENTACION

9.4.2. Configuracion tele trabajo

Se definiran usuarios mediante certificados digitales, los cuales podran acceder a traves

de un cliente VPN a la red corporativa.

Todo el trafico cursado a traves de la VPN sera encriptado y comprimido, de esta forma

se busca disminuir la cantidad de trafico efectivo cursado por Internet.

9.5. Central telefonica Fundo

9.5.1. Instalacion Asterisk

Se debe realizar la instalacion de la central telefonica Asterisk. Actualmente la version

estable dentro del sistema Debian GNU/Linux corresponde a la 1.4 y sera la que se utilizara.

9.5.2. Habilitacion cuentas

Se deben crear las cuentas de usuario y sus extensiones, es importante destacar que Aster-

isk hace diferencia entre ambos puntos, ya que un usuario puede poseer muchas extensiones,

por ejemplo podemos tener el usuario Juan que tendra la extension 10 y 11 apuntando a el.

A pesar de lo anterior se utilizara un esquema donde un usuario tendra una extension y

una casilla de correo. El nombre de usuario correspondera al numero de extension.

Con estas consideraciones se procedera a la habilitacion de las cuentas.

Cuentas SIP

Definicion de usuarios dentro del sistema en el archivo /etc/asterisk/sip.conf

Ejemplo:

[113] ; id del usuario

callerid="delaf" ; nombre del usuario

md5secret=754ee2a8de2d24e4e7956e7237a2b174 ; clave encriptada

context=anexos ; contexto al que pertenece


CAPITULO 9. IMPLEMENTACION 9.5. CENTRAL TELEFONICA FUNDO

type=friend ; tipo de peer

host=dynamic ; desde donde se conectara

Habilitacion extensiones

Corresponde a la asociacion que se realizara entre un numero de extension y un usuario,

se define en el archivo /etc/asterisk/extensions.conf

Ejemplo:

exten => 113,1,Dial(SIP/113,30) ; marcar extension

exten => 113,n,Voicemail(113,u) ; no disponible

exten => 113,n,Voicemail(113,b) ; ocupado

exten => 113,n,Hangup ; colgar

Buzon de Voz

Se creara una casilla de buzon de mensajes, donde los mensajes seran enviados vıa correo

electronico al usuario dueno de la extension. Esto se define en el archivo /etc/asterisk/voicemail.conf

Ademas se debe modificar el archivo extensions.conf para permitir el traslado a buzon en

caso de no disponible o ocupado. Esto se puede ver en el ejemplo anterior.

Ejemplo:

113 => 113,Esteban De La Fuente Rubio,[email protected]

9.5.3. Estadısticas de llamadas

Se debe configurar las estadisticas mediante CDR, esto permitira almacenar las llamadas

realizadas por los usuarios de la central. Por defecto Asterisk solo crea un log, por lo cual se

debera cambiar la configuracion para que se utilice una base de datos, por ejemplo mysql.


9.6. EQUIPOS OFICINA CENTRAL CAPITULO 9. IMPLEMENTACION

9.5.4. Acceso a la PSTN

Configuracion mediante un proveedor de servicios externos, en el caso del proyecto se

utilizara la empresa RedVoiss. Mediante la cual se tendra acceso a la PSTN.

Enlace RedVoiss

Se debera modificar el archivo sip.conf para permitir el registro de la central en la red de

telefonıa IP externa. Ademas se modificara extensions.conf para permitir que usuarios dentro

de la red puedan salir hacia la PSTN.

Menu Interactivo

Se debe crear un menu que reciba las llamadas entrantes desde la PSTN y permita que

el llamante digite una extension, para posteriormente ser redireccionado a esta.

9.6. Equipos oficina central

Se debera configurar el firewall y la central telefonica de manera similar a lo realizado en

el fundo.

9.6.1. Capacitacion SysAdmin

La empresa solicito, posteriormente al analisis de requerimientos del proyecto, que se

capacitara a un empleado de planta ubicado en la oficina de Melipilla, esto con el objetivo

de que pudiese solucionar problemas en caso de presentarse alguno.

Se debera instruir a un empleado sobre el uso del firewall, especıficamente:

Comandos basicos de GNU/Linux.

Manejo de demonios en GNU/Linux.

Redireccionamiento de puertos en IPTables.


CAPITULO 9. IMPLEMENTACION 9.7. VPN SITIO A SITIO

Bloqueo de alguna IP para acceder a Internet en IPtables.

Modificacion de las ACL en Squid.

9.7. VPN Sitio a Sitio

9.7.1. Habilitacion en OpenVPN

Anteriormente se describieron los pasos para la implementacion de una VPN para usuarios

remotos. En esta etapa se debera configurar el software OpenVPN para unir las redes del

Fundo y Melipilla. De esta forma se contara con un acceso desde cualquier punto de una red

a la otra.

Se utilizara una clave precompartida la cual la conoceran ambos firewalls, quienes deberan

proporcionar ademas las rutas necesarias para acceder a la red ubicada en el otro extremo

de la VPN.

Al igual que en el caso del tele trabajo, el trafico sera comprimido.

9.8. Troncal IAX

9.8.1. Configuracion Troncal

En las seccion 9.5 se describieron los pasos para la implementacion de la central telefonica

con su propia red de anexos. En esta etapa se debera crear el troncal IAX en ambas centrales

para permitir las llamadas entre una central y otra.

Se deberan modificar los archivos iax.conf y extensions.conf, respectivamente definiendo

usuarios IAX y como se realizaran las llamadas.

Se debe considerar que en el fundo los anexos estaran en el rango 100 a 199 y en Melipilla

en el rango 200 a 299, esto permitira definir en extensions.conf el redireccionamiento hacia

el canal IAX.


9.9. DOCUMENTACION CAPITULO 9. IMPLEMENTACION

9.9. Documentacion

Durante todo el proceso de implementacion se debera ir documentando lo realizado, re-

alizar respaldos de las configuraciones y estas debidamente comentadas. Todo esto con el

objetivo de al momento de confeccionar la memoria de titulacion disponer de los datos de

manera mas facil.

Ademas se deberan crear pequenos tutoriales que indiquen los pasos realizados para obten-

er el funcionamiento global del sistema.


Capıtulo 10

Resultados

10.1. Pruebas

A continuacion se presentan las pruebas realizadas al sistema una vez que fue implemen-

tado.

Notas para leer las pruebas:

En los resultados de las pruebas se utilizara [...] para indicar que en ese lugar habıa

mas texto pero fue considerado poco relevante, por lo cual fue quitado.

En los casos de lıneas que debieron ser cortadas se utilizo \mas un espacio.

10.1.1. Pruebas en Fundo

Escaneando puertos

Utilizando software nmap se han escaneado los puertos que se encuentran abiertos desde

la WAN y desde la LAN. Con esto se puede verificar que solo dejemos acceso al equipo en

los puertos que hemos determinado en nuestro firewall.

Se permite el acceso por SSH desde la LAN, desde la WAN no se permite el acceso,

habra que conectarse mediante la VPN previo a inicar sesion SSH desde Internet.

53

10.1. PRUEBAS CAPITULO 10. RESULTADOS

killua:~# nmap -A -p1-65000 172.16.1.134

Starting Nmap 4.62 ( http://nmap.org ) at 2009-09-22 21:55 CLT

[...]

Interesting ports on 172.16.1.134:

Not shown: 63973 closed ports, 1026 filtered ports

PORT STATE SERVICE VERSION

50178/tcp open rpcbind

MAC Address: 00:25:11:1C:21:48 (Unknown)

Device type: general purpose

Running: Linux 2.6.X

OS details: Linux 2.6.13 - 2.6.24

Uptime: 0.027 days (since Tue Sep 22 21:16:52 2009)

Network Distance: 1 hop

[...]

Nmap done: 1 IP address (1 host up) scanned in 25.013 seconds

delaf@edward:~$ nmap -A -p1-65000 -PN 10.2.0.1

Starting Nmap 4.62 ( http://nmap.org ) at 2009-09-22 21:51 CLT

[...]

Interesting ports on 10.2.0.1:

Not shown: 64999 filtered ports

PORT STATE SERVICE VERSION

22/tcp open ssh (protocol 2.0)

[...]

Nmap done: 1 IP address (1 host up) scanned in 145.607 seconds

Denegar acceso a Internet a ciertos usuarios

Para la siguiente prueba se creo una regla en el firewall de tal forma que la IP 10.2.0.201

no tenga acceso a Internet.


CAPITULO 10. RESULTADOS 10.1. PRUEBAS

iptables -A FORWARD -s 10.2.0.201/32 -o $WAN_IF -j DROP

Luego se verifico desde el cliente que efectivamente podıa acceder a la LAN y a la DMZ

pero no hacia el exterior.

delaf@edward:~$ sudo ifconfig eth0 | grep addr:

inet addr:10.2.0.201 Bcast:10.2.1.255 Mask:255.255.254.0

inet6 addr: fe80::21e:ecff:fe39:d593/64 Scope:Link

delaf@edward:~$ sudo route -n

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

10.2.0.0 0.0.0.0 255.255.254.0 U 0 0 0 eth0

0.0.0.0 10.2.0.1 0.0.0.0 UG 0 0 0 eth0

delaf@edward:~$ ping 172.16.1.1

PING 172.16.1.1 (172.16.1.1) 56(84) bytes of data.

^C

--- 172.16.1.1 ping statistics ---

2 packets transmitted, 0 received, 100% packet loss, time 1013ms



64 bytes from 10.2.0.1: icmp_seq=1 ttl=64 time=0.107 ms


^C



rtt min/avg/max/mdev = 0.095/0.101/0.107/0.006 ms







^C




DHCP estatico

Dentro del archivo de configuracio de DHCP se han definido asignaciones de IP estaticas

mediante la MAC de los equipos, en esta prueba se verifica que se ha asignado efectivamente

la IP que corresponde al equipo.

host edward-eth {

hardware ethernet 00:1e:ec:39:d5:93;

fixed-address 10.2.0.201;

}

delaf@edward:~$ sudo ifconfig eth0

eth0 Link encap:Ethernet HWaddr 00:1e:ec:39:d5:93


[...]

Sitios web denegados y sitios permitidos

Se muestra parte del log /var/log/squid/access.log donde se ve como una web es dejada

pasar (www.google.cl) y otra es bloqueada (www.emol.com), ademas en las figuras 10.1 y

10.2 se aprecian los respectivos resultados.

1253655549.890 0 10.1.0.91 TCP_HIT/200 8152 GET http://www.google.cl/intl

\ /en_com/images/logo_plain.png - NONE/- image/png

1253655549.918 980 10.1.0.91 TCP_MISS/200 4000 GET http://www.google.cl/ -

\ DIRECT/208.69.32.230 text/html



1253655550.093 0 10.1.0.91 TCP_HIT/200 5971 GET http://www.google.cl/imag

\ es/nav_logo7.png - NONE/- image/png

1253655551.528 482 10.1.0.91 TCP_MISS/204 424 GET http://www.google.cl/csi?

\ - DIRECT/208.69.32.231 text/html

1253655551.533 598 10.1.0.91 TCP_MISS/200 3609 GET http://www.google.cl/ext

\ ern_chrome/ac8f3578e9ba214e.js - DIRECT/208.69.32.230 text/html

1253655551.892 554 10.1.0.91 TCP_MISS/204 293 GET http://clients1.google.cl

\ /generate_204 - DIRECT/74.125.65.102 text/html

[...]

1253655706.201 179 10.1.0.91 TCP_DENIED/403 1376 GET http://www.emol.com/ -

\ NONE/- text/html

1253655706.389 0 10.1.0.91 TCP_DENIED/403 1399 GET http://www.emol.com/fav

\icon.ico - NONE/- text/html

Interfaces de red firewall

A continuacion se muestran las interfaces de red, tanto fısicas, logicas y de tunel disponibles

en el firewall bart.

bart:~# ifconfig

eth0 Link encap:Ethernet HWaddr 00:25:11:1b:25:0a


[...]

eth1 Link encap:Ethernet HWaddr 00:21:91:21:28:61


[...]

eth2 Link encap:Ethernet HWaddr 00:21:91:8c:fe:69



Figura 10.1: Squid permitio acceso a www.google.cl


[...]

lo Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.0.0.0

[...]

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

inet addr:10.99.99.1 P-t-P:10.99.99.2 Mask:255.255.255.255

[...]

tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

[...]



Figura 10.2: Squid denego acceso a www.emol.cl

Tabla de rutas en los firewalls

La siguiente tabla muestra la redes y como llegar a ellas desde bart (firewall 1), analoga-

mente existe una tabla similar para krusty.

bart:~# route -n



10.97.97.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun1

10.99.99.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0

10.2.2.0 10.99.99.2 255.255.255.240 UG 0 0 0 tun0

10.1.2.0 0.0.0.0 255.255.255.240 U 0 0 0 eth2

10.97.97.0 10.97.97.2 255.255.255.0 UG 0 0 0 tun1

192.168.30.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0



10.98.98.0 10.99.99.2 255.255.255.0 UG 0 0 0 tun0

10.2.0.0 10.99.99.2 255.255.254.0 UG 0 0 0 tun0

10.1.0.0 0.0.0.0 255.255.254.0 U 0 0 0 eth1

0.0.0.0 192.168.30.1 0.0.0.0 UG 0 0 0 eth0

Tabla de rutas en firewall 2, alias krusty.

krusty:~# route -n



10.99.99.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0

10.98.98.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun1

10.2.2.0 0.0.0.0 255.255.255.240 U 0 0 0 eth2

10.1.2.0 10.99.99.1 255.255.255.240 UG 0 0 0 tun0

172.16.1.128 0.0.0.0 255.255.255.192 U 0 0 0 eth0

10.97.97.0 10.99.99.1 255.255.255.0 UG 0 0 0 tun0

10.98.98.0 10.98.98.2 255.255.255.0 UG 0 0 0 tun1

10.2.0.0 0.0.0.0 255.255.254.0 U 0 0 0 eth1

10.1.0.0 10.99.99.1 255.255.254.0 UG 0 0 0 tun0

0.0.0.0 172.16.1.129 0.0.0.0 UG 0 0 0 eth0

Conexion sitio a sitio

En esta prueba se realizo un ping desde un equipo cliente desde la red 2 al firewall en la

red 1, esto se hizo utilizando como direccion de destino (para el ping) la IP de la LAN del

firewall 1. Como se podra observar el cliente se encuentra en la red 10.2.0.0/23 y en su tabla

de rutas NO existe una ruta valida para la red 10.1.0.0/23, se llega mediante la VPN sitio a

sitio entre el firewall 1 y el firewall 2.

delaf@edward:~$ sudo ifconfig eth0 | grep addr:







10.2.0.0 0.0.0.0 255.255.254.0 U 0 0 0 eth0

0.0.0.0 10.2.0.1 0.0.0.0 UG 0 0 0 eth0








^C




Log openvpn-roadwarrior.log

Se muestra a continuacion el log correspondiente al inicio de sesion y autenticacion de un

cliente movil (roadwarrior) en la VPN.

Tue Sep 22 22:15:39 2009 us=719179 MULTI: multi_create_instance called

Tue Sep 22 22:15:39 2009 us=719239 200.83.234.243:38951 Re-using SSL/TLS context

Tue Sep 22 22:15:39 2009 us=719318 200.83.234.243:38951 Control Channel MTU parms

\ [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]

Tue Sep 22 22:15:39 2009 us=719334 200.83.234.243:38951 Data Channel MTU parms

\ [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]

Tue Sep 22 22:15:39 2009 us=719369 200.83.234.243:38951 Local Options String:

\ ’V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth SHA1



\ ,keysize 128,key-method 2,tls-server’

Tue Sep 22 22:15:39 2009 us=719380 200.83.234.243:38951 Expected Remote Options

\ String: ’V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth

\ SHA1,keysize 128,key-method 2,tls-client’

Tue Sep 22 22:15:39 2009 us=719402 200.83.234.243:38951 Local Options hash

\ (VER=V4): ’239669a8’

Tue Sep 22 22:15:39 2009 us=719419 200.83.234.243:38951 Expected Remote Options

\ hash (VER=V4): ’3514370b’

RTue Sep 22 22:15:39 2009 us=719456 200.83.234.243:38951 TLS: Initial packet from

\ 200.83.234.243:38951, sid=67c838a9 301bfe81

Tue Sep 22 22:15:45 2009 us=502065 200.83.234.243:38951 VERIFY OK: depth=1,

\ /C=CL/ST=Metropolitana/L=Pallocabe__Melipilla/O=Fundo_Santa_Rosa/CN=bart

Tue Sep 22 22:15:45 2009 us=502189 200.83.234.243:38951 VERIFY OK: depth=0,

\ /C=CL/ST=Metropolitana/O=Fundo_Santa_Rosa/CN=delaf

Tue Sep 22 22:15:47 2009 us=974970 200.83.234.243:38951 Data Channel Encrypt:

\ Cipher ’BF-CBC’ initialized with 128 bit key

Tue Sep 22 22:15:47 2009 us=974999 200.83.234.243:38951 Data Channel Encrypt:

\ Using 160 bit message hash ’SHA1’ for HMAC authentication

Tue Sep 22 22:15:47 2009 us=975050 200.83.234.243:38951 Data Channel Decrypt:

\ Cipher ’BF-CBC’ initialized with 128 bit key

Tue Sep 22 22:15:47 2009 us=975064 200.83.234.243:38951 Data Channel Decrypt:

\ Using 160 bit message hash ’SHA1’ for HMAC authentication

WWWRWRRRTue Sep 22 22:15:48 2009 us=113985 200.83.234.243:38951 Control Channel:

\ TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

Tue Sep 22 22:15:48 2009 us=114014 200.83.234.243:38951 [delaf] Peer Connection

\ Initiated with 200.83.234.243:38951

Tue Sep 22 22:15:48 2009 us=114071 delaf/200.83.234.243:38951 MULTI: Learn:

\ 10.97.97.6 -> delaf/200.83.234.243:38951



Tue Sep 22 22:15:48 2009 us=114085 delaf/200.83.234.243:38951 MULTI: primary

\ virtual IP for delaf/200.83.234.243:38951: 10.97.97.6

RTue Sep 22 22:15:49 2009 us=217453 delaf/200.83.234.243:38951 PUSH: Received

\ control message: ’PUSH_REQUEST’

Tue Sep 22 22:15:49 2009 us=217530 delaf/200.83.234.243:38951 SENT CONTROL [delaf]:

\ ’PUSH_REPLY,route 10.1.0.0 255.255.254.0,route 10.1.2.0 255.255.255.240,route

\ 10.2.0.0 255.255.254.0,route 10.2.2.0 255.255.255.240,route 10.98.98.0

\ 255.255.255.0,route 10.97.97.0 255.255.255.0 logs,route 10.97.97.1,topology

\ net30,ping 10,ping-restart 60,ifconfig 10.97.97.6 10.97.97.5’ (status=1)

[...]

Ping desde cliente roadwarrior a VPN

El cliente se encuentra fuera de la red, simulando como si estuviese en Internet. Y se

conecta como roadwarrior a la VPN en el firewall 1. Se muestra la IP del cliente, que no

corresponde a ninguno de los rangos de las redes coorporativas y en la tabla de ruta se observa

que para llegar a la red 10.0.0.0/8 (que incluye a la red 10.1.0.0/23 y a la red 10.2.0.0/23),

el cliente debe conectarse a traves de la interfaz de la VPN tun0.

delaf@edward:~$ sudo ifconfig ath0 | grep addr:


inet6 addr: fe80::21b:9eff:feeb:16af/64 Scope:Link

delaf@edward:~$ sudo ifconfig tun0 | grep addr:

inet addr:10.97.97.6 P-t-P:10.97.97.5 Mask:255.255.255.255




190.196.19.30 172.16.1.1 255.255.255.255 UGH 0 0 0 ath0

172.16.1.0 0.0.0.0 255.255.255.192 U 0 0 0 ath0

169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0



10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 tun0

0.0.0.0 172.16.1.1 0.0.0.0 UG 0 0 0 ath0

0.0.0.0 0.0.0.0 0.0.0.0 U 1000 0 0 eth0









^C









^C




Acceso a recursos de la red desde la VPN

La situacion aquı es la misma descrita en el caso anterior. La diferencia es que en vez

de realizar un ping se accede a un servidor de archivos SAMBA que se encuentra en la red



(ip 10.1.2.2). en la figura 10.3 se puede ver una conexion al servidor de archivos mediante la

VPN.

Para estas pruebas tener las siguientes consideraciones:

homero: central telefonica en el fundo.

killua: central telefonica en lugar pruebas.

Llamada desde killua a anexos de homero mediante IAX

Se muestra el debug en la CLI1 de homero. Se observa como se define el codec a utilizar,

luego se contesta la llamada, anexo 111 suena y finalmente se corta.

homero*CLI>

-- Accepting AUTHENTICATED call from 200.83.234.243:

> requested format = gsm,

> requested prefs = (gsm),

> actual format = gsm,

> host prefs = (),

> priority = caller

-- Executing [111@iax-in:1] Answer("IAX2/killua-4382", "") in new stack

-- Executing [111@iax-in:2] Goto("IAX2/killua-4382", "default|111|1") in new stack

-- Goto (default,111,1)

-- Executing [111@default:1] Dial("IAX2/killua-4382", "SIP/111|30") in new stack

-- Called 111

-- SIP/111-0920e680 is ringing

-- IAX2/killua-4382 requested special control 20, passing it to SIP/111-0920e680




1CLI: Command line interface



== Spawn extension (default, 111, 1) exited non-zero on ’IAX2/killua-4382’

-- Hungup ’IAX2/killua-4382’

Llamada desde homero a killua

La mista situacion que en el caso anterior pero esta ves la llamada es desde central homero

a un anexo en la central de killua.

Se muestra el log de homero que es desde donde se llama.

homero*CLI> console dial 511

[Sep 22 17:55:54] WARNING[14244]: chan_oss.c:682 setformat: Unable to re-open DSP

\ device /dev/dsp: No such file or directory

-- Executing [511@default:1] Answer("Console/dsp", "") in new stack

<< Console call has been answered >>

[Sep 22 17:55:54] NOTICE[18250]: pbx.c:1642 pbx_substitute_variables_helper_full:

\ Error in extension logic (missing ’}’)

[Sep 22 17:55:54] WARNING[18250]: pbx.c:1539 func_args: Can’t find trailing

\ parenthesis?

-- Executing [511@default:2] Set("Console/dsp", "CALLERID(number)=7") in new

\ stack

-- Executing [511@default:3] Dial("Console/dsp",

\ "IAX2/pallocabe:pallo.iax%@killua.sytes.net/11|30") in new stack

-- Called pallocabe:pallo.iax%@killua.sytes.net/11

-- Call accepted by 200.83.234.243 (format gsm)

-- Format for call is gsm

-- IAX2/killua-11453 answered Console/dsp

homero*CLI> console hangup

-- Hungup ’IAX2/killua-11453’

== Spawn extension (default, 511, 3) exited non-zero on ’Console/dsp’

<< Hangup on console >>



Log de killua.

killua*CLI>

-- Accepting AUTHENTICATED call from 190.196.19.30:

> requested format = gsm,

> requested prefs = (),

> actual format = gsm,

> host prefs = (gsm),

> priority = mine

-- Executing [11@iax-in:1] Answer("IAX2/pallocabe-11350", "") in new stack

-- Executing [11@iax-in:2] Goto("IAX2/pallocabe-11350", "default|11|1") in new stack


-- Executing [11@default:1] Dial("IAX2/pallocabe-11350", "SIP/11|30") in new stack

-- Called 11

-- SIP/11-09c4e7b8 is ringing

-- IAX2/pallocabe-11350 requested special control 20, passing it to SIP/11-09c4e7b8




== Spawn extension (default, 11, 1) exited non-zero on ’IAX2/pallocabe-11350’

-- Hungup ’IAX2/pallocabe-11350’

Peers/usuarios en la central telefonica homero

Listado de peers. Se muestran los estados de los peers, observandose solo algunos conec-

tados a la central a la hora de realizar estas pruebas (aproximadamente 17:30 horas).

homero*CLI> sip show peers

Name/username Host Dyn Nat ACL Port Status

191/191 10.1.0.91 D 58976 OK (106 ms)

151 (Unspecified) D 0 UNKNOWN



141/141 (Unspecified) D 0 UNKNOWN




124/124 10.1.0.24 D 19906 UNREACHABLE

123/123 10.1.0.23 D 26342 UNREACHABLE


121/121 10.1.0.21 D 50785 UNREACHABLE



112/112 10.1.0.12 D 55123 UNREACHABLE

111/111 10.1.0.108 D 5060 OK (20 ms)

REDLIBRE/131070 190.54.42.58 5060 OK (63 ms)

REDVOISS/ID_86884 64.76.154.110 5060 OK (57 ms)

16 sip peers [Monitored: 4 online, 12 offline Unmonitored: 0 online, 0 offline]

Llamada entre anexos

Llamada desde un anexo a otro en la central homero. En la figura 10.4 se puede ver al

softphone haciendo la llamada.

homero*CLI>

-- Executing [111@default:1] Dial("SIP/191-b7117ff0", "SIP/111|30") in new stack

-- Called 111

-- SIP/111-b711bf68 is ringing

== Spawn extension (default, 111, 1) exited non-zero on ’SIP/191-b7117ff0’

Llamada desde PSTN a homero

Llamada desde la PSTN a central telefonica homero. En la figura 10.5 se puede ver la

llamada perdida que quedo por marcar la extension 121. En el log se puede observar la



ejecucion del menu IVR y las opciones ingresadas por el usuario.

homero*CLI>

-- Executing [s@default:1] Answer("SIP/ID_86884-b711ab10", "") in new stack

-- Executing [s@default:2] Set("SIP/ID_86884-b711ab10", "TIMEOUT(digit)=4")

\ in new stack

-- Digit timeout set to 4

-- Executing [s@default:3] Set("SIP/ID_86884-b711ab10", "TIMEOUT(response)=8")

\ in new stack

-- Response timeout set to 8

-- Executing [s@default:4] BackGround("SIP/ID_86884-b711ab10", "bienvenida")

\ in new stack

-- <SIP/ID_86884-b711ab10> Playing ’bienvenida’ (language ’es’)

-- Executing [s@default:5] Wait("SIP/ID_86884-b711ab10", "1") in new stack

-- Executing [s@default:6] BackGround("SIP/ID_86884-b711ab10", "beep") in new

\ stack

-- <SIP/ID_86884-b711ab10> Playing ’beep’ (language ’es’)

-- Executing [s@default:7] Read("SIP/ID_86884-b711ab10", "extension||3") in

\ new stack

-- Accepting a maximum of 3 digits.

-- User entered ’121’

-- Executing [s@default:8] BackGround("SIP/ID_86884-b711ab10", "transfer") in

\ new stack

-- <SIP/ID_86884-b711ab10> Playing ’transfer’ (language ’es’)

-- Executing [s@default:9] Wait("SIP/ID_86884-b711ab10", "1") in new stack

-- Executing [s@default:10] Goto("SIP/ID_86884-b711ab10", "default|121|1") in

\ new stack


-- Executing [121@default:1] Dial("SIP/ID_86884-b711ab10", "SIP/121|30") in



\ new stack

-- Called 121

-- SIP/121-0920dd98 is ringing

-- SIP/121-0920dd98 answered SIP/ID_86884-b711ab10

-- Packet2Packet bridging SIP/ID_86884-b711ab10 and SIP/121-0920dd98

== Spawn extension (default, 121, 1) exited non-zero on ’SIP/ID_86884-b711ab10’

Correo de voz

En el log se puede apreciar como se realiza una llamada desde la PSTN a un usuario y al

no estar disponible es enviada la llamada al buzon de voz indicandoselo al usuario que llama.

Ademas en la figura 10.6 se puede ver como llega el mensaje de voz al usuario mediante

correo electronico.

homero*CLI>

-- Executing [s@default:1] Answer("SIP/ID_86884-b7117ff0", "") in new stack

-- Executing [s@default:2] Set("SIP/ID_86884-b7117ff0", "TIMEOUT(digit)=4")

\ in new stack

-- Digit timeout set to 4

-- Executing [s@default:3] Set("SIP/ID_86884-b7117ff0", "TIMEOUT(response)=8")

\ in new stack

-- Response timeout set to 8

-- Executing [s@default:4] BackGround("SIP/ID_86884-b7117ff0", "bienvenida")

\ in new stack

-- <SIP/ID_86884-b7117ff0> Playing ’bienvenida’ (language ’es’)

-- Executing [s@default:5] Wait("SIP/ID_86884-b7117ff0", "1") in new stack

-- Executing [s@default:6] BackGround("SIP/ID_86884-b7117ff0", "beep") in new

\ stack

-- <SIP/ID_86884-b7117ff0> Playing ’beep’ (language ’es’)

-- Executing [s@default:7] Read("SIP/ID_86884-b7117ff0", "extension||3") in



\ new stack

-- Accepting a maximum of 3 digits.

-- User entered ’113’

-- Executing [s@default:8] BackGround("SIP/ID_86884-b7117ff0", "transfer")

\ in new stack

-- <SIP/ID_86884-b7117ff0> Playing ’transfer’ (language ’es’)

-- Executing [s@default:9] Wait("SIP/ID_86884-b7117ff0", "1") in new stack

-- Executing [s@default:10] Goto("SIP/ID_86884-b7117ff0", "default|113|1")

\ in new stack


-- Executing [113@default:1] Dial("SIP/ID_86884-b7117ff0", "SIP/113|30")

\ in new stack

[Sep 22 18:02:16] WARNING[18435]: app_dial.c:1202 dial_exec_full: Unable to create

\ channel of type ’SIP’ (cause 3 - No route to destination)

== Everyone is busy/congested at this time (1:0/0/1)

-- Executing [113@default:2] VoiceMail("SIP/ID_86884-b7117ff0", "113|u") in

\ new stack

-- <SIP/ID_86884-b7117ff0> Playing ’vm-theperson’ (language ’es’)

-- <SIP/ID_86884-b7117ff0> Playing ’digits/1’ (language ’es’)



-- <SIP/ID_86884-b7117ff0> Playing ’vm-isunavail’ (language ’es’)

[Sep 22 18:02:21] NOTICE[18435]: sched.c:220 ast_sched_add_variable: Scheduled

\ event in 0 ms?

-- <SIP/ID_86884-b7117ff0> Playing ’vm-intro’ (language ’es’)

-- <SIP/ID_86884-b7117ff0> Playing ’beep’ (language ’es’)

-- Recording the message

-- x=0, open writing: /var/spool/asterisk/voicemail/default/113/tmp/6thRlR



\ format: wav49, 0x917adc8

-- User hung up

== Spawn extension (default, 113, 2) exited non-zero on ’SIP/ID_86884-b7117ff0’

Estadısticas CDR

En la figura 10.7 se aprecia una forma de ver los registros de llamadas.



Figura 10.3: Conexion a servidor SAMBA mediante VPN.



Figura 10.4: Llamada perdida desde la PSTN



Figura 10.5: Llamada perdida desde la PSTN



Figura 10.6: Mensaje de voz enviado al correo del usuario.



Figura 10.7: Registro de llamadas dıa 2009-09-04




Capıtulo 11

Conclusiones

El proyecto realizado cumplio con las expectativas del cliente, el cual indico sentirse satis-

fecho con lo entregado como producto final. Ademas se lograron aplicar varios conocimientos

adquiridos en asignaturas de la carrera la cual cursamos, y explorando temas desconocidos o

no vistos en esta.

Como equipo de trabajo logramos administrar de forma correcta los tiempos para realizar

todo el proceso, tanto de analisis de problematica como de ejecucion de la solucion propuesta,

claro respetando los plazos estipulados por la carrera en cuanto al tiempo de evaluacion

correspondiente a la asignatura pertinente.

Algo importante que se rescato en esta memoria para futuros proyectos, es que todos los

acuerdos realizados con el cliente deben quedar documentados y firmados por ambas partes

para que en el transcurso de este no hayan cambios bruscos en lo pactado en el origen.

Por otro lado se debe tener en cuenta la documentacion de todo lo realizado como solucion

e implementacion, ya que el tener claro esto se puede realizar un analisis mas rapido y fluido

en caso de verificar errores, identificando la etapa en la cual este se encuentra con mas rapidez

ası no afectando al tiempo el cual es muy importante.

Claramente algo fundamental es tener claro los objetivos trazados al inicio ya que el

cumplimiento de estos entregan la satisfaccion tanto del cliente, como a forma personal por

alcanzar las metas personales propuestas.

79

CAPITULO 11. CONCLUSIONES


Capıtulo 12

Bibliografıa

12.1. Bibliografıa

“Integracion de voz y datos: Call Centers, Tecnologıa y Aplicaciones”, Jose Huidobro

y David Roldan, McGraw-Hill, 2003.

“Redes inalambricas en los Paıses en Desarrollo”, http://wndw.net, Limehouse Book

Sprint Team, 2006.

“Material CCNA”, CISCO.

“Asterisk: El futuro de la telefonıa y la VoIP ha llegado”, Saul Ibarra, 2007.

“Voz sobre IP y Asterisk”, Gorka Gorrotxategi e Inaki Baz, IRONTEC.

12.2. Recursos digitales

http://www.ecualug.org/?q=2007/03/08/forums/squid

http://vive-libre.com/blog/2009/03/12/squid-proxy-acl-para-bloquear-msn/

http://www.ecualug.org/?q=2008/05/26/forums/bloquear skype

81

12.2. RECURSOS DIGITALES CAPITULO 12. BIBLIOGRAFIA

http://liberamemoria.blogspot.com/2007/02/enterprise-blacklist-project-beta.html

http://dns.bdat.net/documentos/squid/x30.html

http://www.linuxespanol.com/tema2121.html

http://hazual.blogspot.com/2008/05/squid-transparente-ubuntu-704 06.html

http://blog.unlugarenelmundo.es/2008/11/14/proxy-transparente-con-squid-en-debian

http://phylevn.mexrom.net/index.php/blog/category/8.html

http://www.asterisk-peru.com/node/1122

http://laurel.datsi.fi.upm.es/ rpons/openvpn como/

http://ubuntuforums.org/showthread.php?t=163928

http://www.debian-administration.org/articles/35

http://linuxsilo.net/articles/vpn.html

http://www.gir.me.uk/computers/debian vpn.html

http://www.xtech.com.ar/articulos/freeswan/tutorial-freeswan/

http://www.shorewall.net/IPSEC-2.6.html

http://osr600doc.sco.com/en/NET ipsec/ipsec top.html

http://www.kame.net/newsletter/20001119/

http://uw714doc.sco.com/en/NET ipsec/roadwarrior.html

http://shaddack.twibright.com/projects/ipx/

http://es.wikibooks.org/wiki/OpenVPN/Marco Teorico

http://preguntaslinux.org/archive/index.php/thread-3562.html


CAPITULO 12. BIBLIOGRAFIA 12.2. RECURSOS DIGITALES

http://www.gratisweb.com/introd linux/at y crontab.htm

http://www.vicente-navarro.com/blog/2008/01/13/backups-con-rsync/

http://www.dcc.uchile.cl/ jbarrios/latex/

Ademas de los recursos anteriores se consultaron los manuales del sistema de los diferentes

comandos usados. Esto mediante el software “man”, por ejemplo “man iptables”.


12.2. RECURSOS DIGITALES CAPITULO 12. BIBLIOGRAFIA


Anexo A

Configuraciones

A.1. Firewall Fundo

A.1.1. /etc/network/interfaces

En este archivo se declaran las interfaces de red y sus configuraciones.

# The loopback network interface

auto lo

iface lo inet loopback

# WAN

auto eth0

iface eth0 inet static

address 192.168.30.100

netmask 255.255.255.0

network 192.168.30.0

broadcast 192.168.30.255

gateway 192.168.30.1

dns-nameservers 208.67.220.220 208.67.222.222

85

A.1. FIREWALL FUNDO ANEXO A. CONFIGURACIONES

# LAN

auto eth1


address 10.1.0.1

netmask 255.255.254.0

network 10.1.0.0

broadcast 10.1.1.255

# DMZ

auto eth2


address 10.1.2.1

netmask 255.255.255.240

network 10.1.2.0

broadcast 10.1.2.15

A.1.2. /etc/init.d/firewall.sh

Es este archivo se declaran las reglas del firewall y el enmascaramiento para el uso de

NAT.

#!/bin/sh

## Script para el firewall en bart

## VARIABLES

# interfaces de red

WAN_IF="eth0" # internet


ANEXO A. CONFIGURACIONES A.1. FIREWALL FUNDO

LAN1_IF="eth1" # red interna fundo

LAN1_NET="10.1.0.0/23"

DMZ_IF="eth2" # granja servidores

DMZ_NET="10.1.2.0/28"

# filtro de contenido

SQUID_SERVER="10.1.0.1"

SQUID_PORT="3128"

### INICIA SCRIPT

echo -n "Aplicando las reglas del Firewall... "

### IPTABLES

## REGLAS GENERALES

# flush de reglas

iptables -F

iptables -X

iptables -Z

iptables -t nat -F

# politica por defecto

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -t nat -P PREROUTING ACCEPT

iptables -t nat -P POSTROUTING ACCEPT



# conexiones locales se permiten

iptables -A INPUT -i lo -j ACCEPT

## ACTIVAR NAT

# permitir que otros equipos puedan salir a traves del firewall

echo 1 > /proc/sys/net/ipv4/ip_forward

# enmascaramiento de las redes locales

iptables -t nat -A POSTROUTING -s $LAN1_NET -o $WAN_IF -j MASQUERADE

iptables -t nat -A POSTROUTING -s $DMZ_NET -o $WAN_IF -j MASQUERADE

## OPENVPN

iptables -A INPUT -i tun+ -j ACCEPT

iptables -A FORWARD -i tun+ -j ACCEPT

## WAN

# abrimos determinados puertos desde el exterior

iptables -A INPUT -i $WAN_IF -p tcp --dport 53 -j ACCEPT # dns

iptables -A INPUT -i $WAN_IF -p udp --dport 53 -j ACCEPT # dns

iptables -A INPUT -i $WAN_IF -p udp --dport 5000 -j ACCEPT # openvpn tunel

iptables -A INPUT -i $WAN_IF -p udp --dport 1194 -j ACCEPT # openvpn roadwarrior

# evitamos el acceso a puertos conocidos desde el exterior

iptables -A INPUT -i $WAN_IF -p tcp --dport 1:1024 -j DROP

iptables -A INPUT -i $WAN_IF -p udp --dport 1:1024 -j DROP


ANEXO A. CONFIGURACIONES A.1. FIREWALL FUNDO

# evitamos el acceso a otros puertos desde el exterior

iptables -A INPUT -i $WAN_IF -p tcp --dport 3128 -j DROP # squid

# aceptar ICMP

iptables -A INPUT -i $WAN_IF -p icmp -j ACCEPT

# redireccionamiento de puertos

iptables -t nat -A PREROUTING -i $WAN_IF -p tcp --dport 22 -j DNAT \

--to 10.1.2.2:22 # ssh


--to 10.1.2.2:80 # http


--to 10.1.2.2:443 # https


--to 10.1.2.2:25 # imap


--to 10.1.2.2:143 # imap

iptables -t nat -A PREROUTING -i $WAN_IF -p udp --dport 4569 -j DNAT \

--to 10.1.2.2:4569 # iax2

## LAN1

# acceso al firewall no se permite desde la LAN1, solo SSH y PING desde la LAN1

iptables -A INPUT -s $LAN1_NET -i $LAN1_IF -p tcp --dport 22 -j ACCEPT # ssh

iptables -A INPUT -s $LAN1_NET -i $LAN1_IF -p icmp -j ACCEPT # icmp

iptables -A INPUT -s $LAN1_NET -i $LAN1_IF -j DROP

# mediante forward permitimos el accesos hacia el exterior (por default DROP todo)



iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 21 -j ACCEPT # ftp

iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 22 -j ACCEPT # ssh

iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 80 -j ACCEPT # http

iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 443 -j ACCEPT # https

iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 53 -j ACCEPT # dns

iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p udp --dport 53 -j ACCEPT # dns

iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -j DROP

# redireccionar solicitudes http a proxy squid

iptables -t nat -A PREROUTING -i $LAN1_IF -p tcp --dport 80 -d ! $DMZ_NET -j DNAT \

--to $SQUID_SERVER:$SQUID_PORT

## DMZ

# acceso al firewall no se permite desde la DMZ, solo SSH y PING desde la DMZ

iptables -A INPUT -s $DMZ_NET -i $DMZ_IF -p tcp --dport 22 -j ACCEPT # ssh

iptables -A INPUT -s $DMZ_NET -i $DMZ_IF -p icmp -j ACCEPT # icmp

iptables -A INPUT -s $DMZ_NET -i $DMZ_IF -j DROP

### FIN

echo "[OK]"

echo "Verificar con: iptables -L -n"

A.1.3. /etc/squid3/squid.conf

En este archivo se declaran las listas de acceso y los permisos que tendran los usuarios de

la red para acceder a los sitios web.

## CONFIGURACION GENERAL


ANEXO A. CONFIGURACIONES A.2. VPN FUNDO

visible_hostname proxy.pallocabe.cl

http_port 3128 transparent

access_log /var/log/squid3/access.log squid

error_directory /usr/share/squid3/errors/Spanish

coredump_dir /var/spool/squid3

## ACL

# sitios y contenido destino

acl sitios_aceptados url_regex "/etc/squid3/acl/sitios_aceptados"

acl sitios_denegados url_regex "/etc/squid3/acl/sitios_denegados"

# ips locales

acl lan1 src 10.1.0.0/23

acl ip_vip src "/etc/squid3/acl/ip_vip"

## REGLAS

http_access allow ip_vip all

http_access allow sitios_aceptados all

http_access deny sitios_denegados

http_access allow lan1

http_access deny all

A.2. VPN Fundo

A.2.1. /etc/openvpn/tunel.conf

Archivo correspondiente a la VPN para el acceso mediante el tunel con la oficina central.


A.2. VPN FUNDO ANEXO A. CONFIGURACIONES

remote IP_OFICINA_MELIPILLA

port 5000

proto udp

dev tun0

user nobody

disable-occ

ifconfig 10.99.99.1 10.99.99.2

comp-lzo

secret /etc/openvpn/clave.key

# rutas

push "route 10.1.0.0 255.255.254.0"

push "route 10.1.2.0 255.255.255.240"

route 10.2.0.0 255.255.254.0

route 10.2.2.0 255.255.255.240

route 10.98.98.0 255.255.255.0

# logs

status /var/log/openvpn-tunel-status.log

log /var/log/openvpn-tunel.log

verb 5

A.2.2. /etc/openvpn/roadwarrior.conf

Archivo correspondiente a la VPN para el acceso de usuarios remotos.

port 1194

proto udp

dev tun1

persist-tun


ANEXO A. CONFIGURACIONES A.2. VPN FUNDO

# certificados

ca /etc/openvpn/cert/cacert.pem

cert /etc/openvpn/cert/roadwarrior.crt

key /etc/openvpn/cert/roadwarrior.key

dh /etc/openvpn/cert/dh1024.pem

# red para los clientes

server 10.97.97.0 255.255.255.0

# rutas que se entregaran a los clientes

push "route 10.1.0.0 255.255.254.0"

push "route 10.1.2.0 255.255.255.240"

push "route 10.2.0.0 255.255.254.0"

push "route 10.2.2.0 255.255.255.240"

push "route 10.98.98.0 255.255.255.0"

push "route 10.97.97.0 255.255.255.0" logs

keepalive 10 60

user nobody

group nogroup

persist-key

# logs

status /var/log/openvpn-roadwarrior-status.log

log /var/log/openvpn-roadwarrior.log

verb 5


A.3. CENTRAL TELEFONICA FUNDO ANEXO A. CONFIGURACIONES

Ademas se deben crear y firmar los certificados para cada usuario que se desee agregar,

la entidad certificadora se encuentra en el mismo firewall y los certificados se crean con el

siguiente script:

#!/bin/bash

openssl req -nodes -new -keyout $1.key -out $1.csr

openssl ca -out $1.crt -in $1.csr

A.3. Central telefonica Fundo

A.3.1. /etc/asterisk/sip.conf

Se declaran usuarios de la central telefonica.

[general]

CONTEXt=anexos

realm=voip.pallocabe.cl

bindport=5060

; codecs

disallow=all

allow=g729

allow=ulaw

allow=alaw

allow=gsm

language=es

; REDVOISS

register=>NUMERO:CLAVE:[email protected]


ANEXO A. CONFIGURACIONES A.3. CENTRAL TELEFONICA FUNDO

externip=190.196.19.30

localnet=10.0.0.0/8

nat=no

; clientes se pueden conectar entre ellos

canreinvite=yes

; dominios y sus contextos

domain=voip.pallocabe.cl,default

domain=10.1.2.2,default

domain=190.196.19.30,default

[REDVOISS]

type=peer

context=anexos

secret=CLAVE

username=ID

fromuser=NUMERO

fromdomain=pxext.redvoiss.net

canreinvite=no

dtmfmode=RFC2833

host=pxext.redvoiss.net

insecure=very

allow=g729

[111]

callerid="gdelafuente" <111>



md5secret=CLAVE_MD5

context=anexos

type=friend

host=dynamic

[112]

callerid="hmalhue" <112>

md5secret=CLAVE_MD5

context=anexos

type=friend

host=dynamic

[113]

callerid="delaf" <113>

md5secret=CLAVE_MD5

context=anexos

type=friend

host=dynamic

A.3.2. /etc/asterisk/extensions.conf

Se declaran las extensiones que existiran, se asocian con usuarios y se crea el plan de

marcado.

[general]

static=yes ; =yes evita que pbx_config sobrescriba este fichero

writeprotect=yes ; evita usar "dialplan save" en CLI

autofallthrough=yes ; =yes termina llamada, =no busca nueva extension

clearglobalvars=no ; las variables globales seran limpiadas al usar reload



[pstn-out]

exten => _9X.,1,Set(CALLERID(number)=557100028822)

exten => _9X.,2,Dial(SIP/REDVOISS/${EXTEN:1})

exten => _9X.,3,Hangup

[iax-out]

exten => _6X.,1,Answer()

exten => _6X.,n,Set(CALLERID(number)=7${CALLERID(number))

exten => _6X.,n,Dial(IAX2/USUARIO:CLAVE@IP_OFICINA_MELIPILLA/${EXTEN:1},30)

exten => _6X.,n,Hangup()

[anexos]

exten => 111,1,Dial(SIP/111,30)

exten => 111,n,Dial(SIP/REDVOISS/0056990210321,30)

exten => 111,n,Voicemail(111,u)

exten => 111,n,Voicemail(111,b)

exten => 111,n,Hangup

exten => 112,1,Dial(SIP/112,30)

exten => 112,n,Voicemail(112,u)

exten => 112,n,Voicemail(112,b)


exten => 113,1,Dial(SIP/113,30)

exten => 113,n,Voicemail(113,u) ; no disponible

exten => 113,n,Voicemail(113,b) ; ocupado




[ivr]

; extension para grabacion de mensaje de bienvenida

exten => **100,1,Wait(1)

exten => **100,n,Record(bienvenida.gsm,7,7) ; graba 7 segundos

exten => **100,n,Wait(1)

exten => **100,n,Playback(bienvenida)


exten => **100,n,Hangup

; extension para escuchar el mensaje de bienvenida

exten => **101,1,Wait(1)

exten => **101,n,Answer

exten => **101,n,Playback(bienvenida)


exten => **101,n,Hangup

; extension para probar el mainmenu

exten => 1000,1,Goto(ivr,s,1)

; start extension

exten => s,1,Answer() ; contestar extension IVR

exten => s,n,Set(TIMEOUT(digit)=4) ; Set Digit Timeout to 5 seconds

exten => s,n,Set(TIMEOUT(response)=8) ; Set Response Timeout to 10 seconds

exten => s,n(welcome),BackGround(bienvenida)

exten => s,n(beep),Wait(1)

exten => s,n,Background(beep)

exten => s,n,Read(extension||3)



exten => s,n,Background(transfer)

exten => s,n,Wait(1)

exten => s,n,Goto(default,${extension},1)

exten => s,n,Hangup()

;exten => s,n,WaitExten(5) ; Wait for an extension to be dialed.

exten => i,1,Playback(invalid) ; "That’s not valid, try again

exten => i,n,Goto(s,beep)

[servicios]

; buzon de voz

exten => 100,1,VoicemailMain


; prueba de eco

exten => 101,1,Playback(demo-echotest) ; Let them know what’s going on

exten => 101,n,Echo ; Do the echo test

exten => 101,n,Playback(demo-echodone) ; Let them know it’s over


[default]

include => ivr

include => anexos

include => servicios

include => iax-out

include => pstn-out



A.3.3. /etc/asterisk/iax.conf

Se declaran usuarios para el uso del troncal IAX.

; bindport and bindaddr may be specified

bindport=4569

bindaddr=190.196.19.30

; Specify bandwidth of low, medium, or high to control which codecs are used

; in general.

bandwidth=low

[lisa]

type=friend

secret=******

context=iax-in

host=IP_OFICINA_MELIPILLA

notransfer=yes

A.3.4. /etc/asterisk/voicemail.conf

Se declaran los buzones de voz a los usuarios, junto con el envio de los mensajes a los

correos.

[general]

; Formats for writing Voicemail. Note that when using IMAP storage for

; voicemail, only the first format specified will be used.

format = wav49

; Who the e-mail notification should appear to come from



serveremail = [email protected]

; Should the email contain the voicemail as an attachment

attach = yes

; Maximum number of messages per folder. If not specified, a default value

; (100) is used. Maximum value for this option is 9999.

maxmsg = 100

; Maximum length of a voicemail message in seconds

maxmessage = 180

; Change the from, body and/or subject, variables:

emailsubject = [VoIP: mensaje ${VM_MSGNUM}]: Nuevo mensaje en buzon de voz de

${VM_MAILBOX}

emailbody = Estimado ${VM_NAME}:\n\nTiene un nuevo mensaje en su buzon, se adjunta

en este correo.

; 24h date format

emaildateformat = %A, %d %B %Y at %H:%M:%S

; After notification, the voicemail is deleted from the server. [per-mailbox only]

delete=yes

[default]

111 => 111,Gonzalo De La Fuente Valderrama,[email protected]

112 => 112,Hernaldo Malhue,[email protected]



113 => 113,Esteban De La Fuente Rubio,[email protected]

A.3.5. /etc/asterisk/cdr mysql.conf

Se declara la configuracion para el acceso a la base de datos MySQL.

[global]

hostname=localhost

dbname=asterisk

table=cdr

password=********

user=asterisk

port=3306


Documents

Implementaci on Sistema de Telefon a IP y Seguridad Perimetralesteban.delaf.cl/archivos/universidad/unab/proyecto... · Debido a la necesidad de integrarse en un mercado cada vez