Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Implementacion Sistema de Telefonıa IP y
Seguridad Perimetral
Esteban De La Fuente Rubio y Eduardo Dıaz Valenzuela
Proyecto de tıtulo para optar al tıtulo
de Ingeniero en Redes y Comunicacion de Datos
Santiago - Chile
enero 2010
Agradecimientos
Damos infinitas gracias
a nuestros profesores guıas y de especialidad
por su apoyo y confianza.
A nuestros padres, familia, pareja y amigos
por tener fe en nuestras capacidades y
creer que cumplirıamos las metas propuestas
al inicio de este proyecto de vida.
Ademas debemos darnos gracias a nosotros mismos
por la perseverancia, el teson y el empuje
necesario para derribar los obstaculos que tuvimos
durante este proceso,
el cual claramente nos llena de satisfaccion.
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral i
ii
Resumen
Debido a la necesidad de integrarse en un mercado cada vez mas competitivo, es necesario
incorporar mayor tecnologıa en las empresas para ası responder a las necesidades actuales, a
partir de estas inquietudes se realizo una busqueda de una empresa para poder llevar a cabo el
proyecto de tıtulo con el fin de dar termino a nuestra carrera. Se contacto a la empresa Pablo
Massoud Cıa y Ltda, tambien conocida como Fundo Santa Rosa, en donde se gestiono una
reunion primaria para presentar el objetivo de nuestro trabajo y ası crear expectativas para
comenzar este proyecto.
Como primera etapa se realizo un analisis de la red empresarial para poder entender que
falencias existıan y ofrecer mejoras a estas, para esto se realizaron visitas en terreno y se
recopilo informacion entregada directamente por el personal autorizado en las reuniones que
se mantuvieron durante el perıodo de analisis. Siguiendo a esto se preparo un informe con
la solucion tecnologica que se encontro mas apropiada aprovechando la tecnologıa que ya se
tenıa, esto solicitado por el cliente.
En las reuniones que se mantuvieron se dejo claro los puntos focales que se debıan abordar
con especial trato, la forma de comunicarse vıa telefonıa, tanto dentro del fundo como en la
oficina central ubicada en pleno centro de Melipilla, ademas ver la forma de tener control
del uso de Internet por los operarios ya que esto no existıa de forma alguna. Al terminar
el informe con la solucion disenada se realizo una presentacion pactada para poder entregar
esta al personal pertinente de la empresa para la aceptacion y posterior materializacion del
mismo.
En una segunda etapa luego que la empresa aprobara la solucion propuesta, se comenzo a
realizar la implementacion de la misma, la cual consistio en instalar un firewall tanto en el
fundo como en la oficina central, los cuales mediante Squid, OpenVPN e IPTables permitieron
realizar la limitacion del personal con el uso de Internet y la utilizacion tanto remota como
local de la informacion compartida. Ademas se implementaron dos centrales de telefonıa IP
en las areas ya mencionada para tener comunicacion tanto en el fundo como con la oficina
central, entregando con esto un mejor servicio y un mayor control en las comunicaciones.
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral iii
Posteriormente al termino de la implementacion se realizo una reunion final con el cliente,
el cual mostro su satisfaccion con la labor realizada, indicando que al comparar la situacion
inicial y final de su empresa se encontro con una red empresarial mas segura, mas ordenada,
con mayor control de los usuarios y de las llamadas que ellos mismos ejecutan, y la utilizacion
correcta de Internet.
Finalmente, para la realizacion de este proyecto se aplicaron los conocimientos generales
de los ramos cursados y la informacion proporcionada por la Web.
iv Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
Indice general
1. Introduccion 1
2. Objetivos 3
2.1. Objetivos generales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.2. Objetivos especıficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
3. Empresa 5
3.1. Infraestructura de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
4. Marco teorico 9
4.1. LAN: Redes de Area Local . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
4.1.1. Topologıa de Estrella . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
4.2. WLAN: Redes inalambricas . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
4.2.1. Tipos de redes WLAN . . . . . . . . . . . . . . . . . . . . . . . . . . 12
4.2.2. Ventajas de las redes WLAN . . . . . . . . . . . . . . . . . . . . . . . 13
4.2.3. Desventajas de las redes WLAN . . . . . . . . . . . . . . . . . . . . . 14
4.3. VPN: Redes privadas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . 14
4.3.1. Tipos de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
4.3.2. Ventajas de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
4.3.3. Desventajas de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
4.4. VoIP: Voz sobre IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4.4.1. Ventajas y desventajas . . . . . . . . . . . . . . . . . . . . . . . . . . 17
v
INDICE GENERAL INDICE GENERAL
4.4.2. Central telefonica Asterisk . . . . . . . . . . . . . . . . . . . . . . . . 18
5. Entorno y sus fundamentos 21
5.1. Problematica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
5.1.1. Seguridad perimetral y filtro de contenido . . . . . . . . . . . . . . . 22
5.1.2. Problemas de comunicacion . . . . . . . . . . . . . . . . . . . . . . . 22
5.1.3. Conexion remota a la red . . . . . . . . . . . . . . . . . . . . . . . . 23
5.2. Requerimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
6. Alcance del proyecto 25
6.1. Descripcion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
6.2. Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
6.3. Factores crıticos de exito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
7. Diseno de solucion 29
7.1. Diagrama de flujo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
7.2. Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
7.2.1. IPTables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
7.2.2. OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
7.2.3. Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
7.3. Central telefonica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
7.3.1. Empresa VOIP externa . . . . . . . . . . . . . . . . . . . . . . . . . . 34
7.3.2. Menu interactivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
7.3.3. Buzon de voz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
7.3.4. Estadısticas de llamadas . . . . . . . . . . . . . . . . . . . . . . . . . 35
7.3.5. Protocolo para troncal entre centrales . . . . . . . . . . . . . . . . . . 35
8. Plan de trabajo 41
8.1. Etapas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
8.1.1. Instalacion de Firewall y filtro de contenidos . . . . . . . . . . . . . . 41
vi Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
INDICE GENERAL INDICE GENERAL
8.1.2. Interconexion mediante VPN . . . . . . . . . . . . . . . . . . . . . . 42
8.1.3. Configuracion Servidor Asterisk en Fundo . . . . . . . . . . . . . . . 42
8.1.4. Configuracion Servidor Asterisk en Oficina Central . . . . . . . . . . 42
8.1.5. Implementacion de troncales entre Centrales VoIP . . . . . . . . . . . 42
8.1.6. Acceso de Central Fundo a PSTN . . . . . . . . . . . . . . . . . . . . 42
8.2. Recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
9. Implementacion 45
9.1. Estudios protocolos y software . . . . . . . . . . . . . . . . . . . . . . . . . . 45
9.2. Reunion implementacion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
9.3. Firewall Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
9.3.1. Instalacion Sistema Operativo . . . . . . . . . . . . . . . . . . . . . . 46
9.3.2. Configuracion IPTables . . . . . . . . . . . . . . . . . . . . . . . . . . 46
9.3.3. Configuracion Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
9.3.4. Instalacion y Pruebas . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
9.4. VPN Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
9.4.1. Instalacion OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . 47
9.4.2. Configuracion tele trabajo . . . . . . . . . . . . . . . . . . . . . . . . 48
9.5. Central telefonica Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
9.5.1. Instalacion Asterisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
9.5.2. Habilitacion cuentas . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
9.5.3. Estadısticas de llamadas . . . . . . . . . . . . . . . . . . . . . . . . . 49
9.5.4. Acceso a la PSTN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
9.6. Equipos oficina central . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
9.6.1. Capacitacion SysAdmin . . . . . . . . . . . . . . . . . . . . . . . . . 50
9.7. VPN Sitio a Sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
9.7.1. Habilitacion en OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . 51
9.8. Troncal IAX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
9.8.1. Configuracion Troncal . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral vii
INDICE GENERAL INDICE GENERAL
9.9. Documentacion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
10.Resultados 53
10.1. Pruebas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
10.1.1. Pruebas en Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
11.Conclusiones 79
12.Bibliografıa 81
12.1. Bibliografıa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
12.2. Recursos digitales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
A. Configuraciones 85
A.1. Firewall Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
A.1.1. /etc/network/interfaces . . . . . . . . . . . . . . . . . . . . . . . . . 85
A.1.2. /etc/init.d/firewall.sh . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
A.1.3. /etc/squid3/squid.conf . . . . . . . . . . . . . . . . . . . . . . . . . . 90
A.2. VPN Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
A.2.1. /etc/openvpn/tunel.conf . . . . . . . . . . . . . . . . . . . . . . . . . 91
A.2.2. /etc/openvpn/roadwarrior.conf . . . . . . . . . . . . . . . . . . . . . 92
A.3. Central telefonica Fundo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
A.3.1. /etc/asterisk/sip.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
A.3.2. /etc/asterisk/extensions.conf . . . . . . . . . . . . . . . . . . . . . . . 96
A.3.3. /etc/asterisk/iax.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
A.3.4. /etc/asterisk/voicemail.conf . . . . . . . . . . . . . . . . . . . . . . . 100
A.3.5. /etc/asterisk/cdr mysql.conf . . . . . . . . . . . . . . . . . . . . . . . 102
viii Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
Indice de figuras
3.1. Mapa ubicacion Fundo y Oficina Melipilla . . . . . . . . . . . . . . . . . . . 6
3.2. Organigrama de la empresa Fundo Santa Rosa . . . . . . . . . . . . . . . . 7
3.3. Topologıa Fundo Santa Rosa . . . . . . . . . . . . . . . . . . . . . . . . . . 8
4.1. Ejemplo de topologıa de estrella . . . . . . . . . . . . . . . . . . . . . . . . 11
4.2. Red WiFi Infraestructura . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
4.3. Red WiFi Peer to Peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
4.4. Ejemplo de VPN sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . 16
4.5. Tabla de codec de audio en telefonıa IP . . . . . . . . . . . . . . . . . . . . 20
5.1. Mapa red inalambrica en el fundo . . . . . . . . . . . . . . . . . . . . . . . 23
7.1. Modelo de red propuesto . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
7.2. Flujo funcionamiento del firewall . . . . . . . . . . . . . . . . . . . . . . . . 36
7.3. Flujo funcionamiento del proxy . . . . . . . . . . . . . . . . . . . . . . . . . 37
7.4. Flujo funcionamiento de la central telefonica . . . . . . . . . . . . . . . . . . 38
7.5. Ubicacion y funcionamiento de un firewall . . . . . . . . . . . . . . . . . . . 39
7.6. VPN sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
10.1. Squid permitio acceso a www.google.cl . . . . . . . . . . . . . . . . . . . . . 58
10.2. Squid denego acceso a www.emol.cl . . . . . . . . . . . . . . . . . . . . . . . 59
10.3. Conexion a servidor SAMBA mediante VPN. . . . . . . . . . . . . . . . . . 73
10.4. Llamada perdida desde la PSTN . . . . . . . . . . . . . . . . . . . . . . . . 74
ix
INDICE DE FIGURAS INDICE DE FIGURAS
10.5. Llamada perdida desde la PSTN . . . . . . . . . . . . . . . . . . . . . . . . 75
10.6. Mensaje de voz enviado al correo del usuario. . . . . . . . . . . . . . . . . . 76
10.7. Registro de llamadas dıa 2009-09-04 . . . . . . . . . . . . . . . . . . . . . . 77
x Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
Capıtulo 1
Introduccion
Durante el ano 2009, como parte del proceso de formacion educacional comprendido para
la obtencion del tıtulo de Ingeniero en Redes y Comunicacion de Datos de la universidad
Andres Bello, se ha desarrollado el presente trabajo de titulacion. Este tiene como objetivo
ser el punto culmine de nuestros estudios y la finalizacion de esta etapa. En las siguientes
hojas encontrara la empresa con la que se trabajo, la problematica detectada y como esta se
soluciono.
Hoy en dıa mantener una adecuada comunicacion al interior de cualquier empresa es un
signo claro de colaboracion entre los trabajadores. Sin embargo si no existe un adecuado
sistema que colabore con dicha tarea, esto se complica y comienzan a surgir los problemas.
Dentro de las alternativas existentes estan: correo electronicos, centrales telefonicas, telefonıa
celular, telefonıa fija, fax, sistema de mensajerıa corta, radios o aplicaciones en red (como
pueden ser redes sociales o una intranet). Las alternativas anteriores tienen diferentes costos
y no son aplicables al 100 % de las empresas, es por esto que en cada caso se debe evaluar
cual es la mejor alternativa disponible para facilitar las comunicaciones dentro del trabajo.
Como profesionales del area de redes nos llamo la atencion la telefonıa IP, ya que de
los sistemas anteriores mencionados, es uno de los cuales esta experimentando un rapido
crecimiento. Hoy existen diversas empresas que ofrecen este tipo de servicio, incluso ya no
debemos limitarnos solo a las companıas nacionales para optar a tener un numero telefonico.
1
CAPITULO 1. INTRODUCCION
Los costos que se pueden observar a nivel de llamadas nacionales o internacionales lo hacen
un sistema atractivo para empresas y particulares. Sin embargo un beneficio grande respecto
al sistema tradicional de telefonıa es que al utilizar redes de datos para transportar la voz
se puede utilizar la infraestructura de red existente en las empresas para tener una central
telefonica que ofrezca el servicio de telefonıa a los trabajadores.
Otro punto de interes es el relacionado con la seguridad en las redes, es un tema que en
ciertos lugares es muy poco considerado y en otros practicamente inexistente. La seguridad no
tiene relacion solo con el posible ataque de un extrano en Internet hacia la red, sino tambien
lo que los usuarios de las mismas redes pueden hacer en ellas y como afectan al resto. Por este
motivo es que el interes se fijo tanto en la proteccion de la red frente a posibles ataques del
exterior como la posibilidad de controlar el contenido que los usuarios revisan en Internet.
El trabajo se compone de diversas etapas, de las cuales se pueden destacar: definicion
del area de interes, busqueda de una empresa, levantamiento en el area de redes, propuesta
de una mejora e implementacion de la solucion disenada. La definicion del area de estudio
se ha descrito en los parrafos anteriores. El paso siguiente es buscar una empresa, para
esto se contacto con la empresa Fundo Santa Rosa quienes mostraron interes en recibir
soporte para el mejoramiento en su sistema de comunicacion vıa telefono. Ademas durante
las reuniones llevadas a cabo con trabajadores de la empresa se manifesto la preocupacion
por la poca seguridad de los contenidos visitados por los usuarios al navegar por Internet.
Esto se adecuaba perfectamente a los temas que se deseaban cubrir.
Durante la lectura de este trabajo se encontraran conceptos del area de redes y de la
gestion de proyectos, los cuales han sido utilizados para dar una mayor comprension de lo
que involucra el desarrollo de un trabajo de este tipo. De esta forma el proyecto se inicia con
el levantamiento de la situacion inicial de la red, confeccion de requerimientos, diseno de una
solucion y posteriormente la implementacion.
2 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
Capıtulo 2
Objetivos
2.1. Objetivos generales
A continuacion se indican los objetivos generales del proyecto:
Aplicar las metodologıas de desarrollo de proyectos para poder entregar una solucion a
las problematicas encontradas en una empresa.
Realizar un proyecto acorde con las caracterısticas o estandares correspondientes a la
carrera Ingenierıa en Redes y Comunicacion de Datos.
Tener una buena comunicacion con la empresa o cliente, tanto en la etapa de analisis
como en la etapa de implementacion para lograr obtener su satisfaccion.
Aplicar tecnologıas actuales para dar soluciones que puedan mejorar los procesos y
ası posicionarse en el mercado actual.
2.2. Objetivos especıficos
Para poder lograr cumplir los objetivos generales es necesario primero cumplir los sigu-
inetes objetivos especıficos:
3
2.2. OBJETIVOS ESPECIFICOS CAPITULO 2. OBJETIVOS
Buscar y seleccionar empresa con las caracterısticas necesarias para desarrollar proyec-
to.
Establecer relacion publica con la empresa para comunicar ideas del proyecto.
Realizar inspecciones a la Empresa para conocer espacios, personal, recursos o insumos
que faciliten el analisis de la problematica existente el proyecto.
Detectar necesidades con los involucrados a traves de reuniones para conocer falencias.
Analizar y disenar solucion que involucre tanto telefonıa IP, como seguridad perimetral.
Entregar al cliente un analisis de ambas situaciones de la red (pre y post proyecto).
Realizar una planificacion clara, listando las actividades especıficas que se realizaran
en el proceso de implementacion de solucion.
Analizar resultados del plan operativo del proyecto.
Realizar una topologıa o esquema de diseno solucion para realizar la comparacion con
la situacion actual de la empresa.
Implementar un sistema de Telefonıa IP para la comunicacion interna entre las oficinas
centrales y el fundo de la empresa Fundo Santa Rosa.
Implementar un firewall que permite restringir el acceso a Internet.
Implementar un filtro de contenidos que permita controlar el acceso a Internet.
Implementar una Red Privada Virtual entre las oficinas centrales y el fundo de la
empresa Fundo Santa Rosa.
Ejecutar y monitorear plan de accion.
4 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
Capıtulo 3
Empresa
El trabajo de tıtulo se realizo en la empresa Fundo Santa Rosa la cual se encuentra
ubicada en la ciudad de Melipilla, a 60 km de la ciudad de Santiago.. Esta empresa cuenta
con sus oficinas centrales en el centro de la ciudad y cuenta con instalaciones en un sector
rural aproximadamente a 20 km al interior de la ciudad, ver figura 3.1.
El desarrollo de este proyecto se basa en el analisis de la problematica existente en la
red corporativa de la empresa, entregando la mejor solucion de acuerdo a las necesidades del
cliente.
Para las comunicaciones referente al proyecto, la empresa ha designado al Sr. Gonzalo De
La Fuente Valderrama, jefe de la Planta de Alimento.
La empresa cuenta en total con aproximadamente 600 trabajadores de los cuales aproxi-
madamente 70 son usuarios de computador.
En la figura 3.2 se puede observar el organigrama de la empresa.
3.1. Infraestructura de hardware
Luego de haber realizado un levantamiento en la empresa, se realizo un catastro tanto del
equipamiento computacional como el de red existente, el cual se describe a continuacion:
1 router Linksys WRT54GL con sistema operativo DD-WRT.
5
3.1. INFRAESTRUCTURA DE HARDWARE CAPITULO 3. EMPRESA
Figura 3.1: Mapa ubicacion Fundo y Oficina Melipilla
7 puntos de acceso Linksys WAP54G.
2 switches Linksys de 16 y 8 bocas respectivamente.
1 camara IP.
1 servidor IBM con sistema operativo Debian GNU/Linux, aloja aplicacion web AGATA
(software coorporativo).
13 computadores de los trabajadores con sistema operativo Microsoft Windows.
En la figura 3.3 se presenta la topologıa de la empresa al momento de realizar el lev-
antamiento. Se observa que el router Linksys (equipo indicado con nombre “bart”) es la
pasarela hacia Internet, y ademas el servidor (de archivos, correo y web) llamado “homero”
6 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 3. EMPRESA 3.1. INFRAESTRUCTURA DE HARDWARE
Figura 3.2: Organigrama de la empresa Fundo Santa Rosa
se encuentra en la misma red que el resto de los computadores. La red utilizada es una red
LAN tipo estrella con redes inalambricas en modo infraestructura.
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 7
3.1. INFRAESTRUCTURA DE HARDWARE CAPITULO 3. EMPRESA
Figura 3.3: Topologıa Fundo Santa Rosa
8 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
Capıtulo 4
Marco teorico
El proyecto desarrollado cuenta con diferentes conceptos teoricos importantes que se deben
considerar para dar una adecuada lectura a este documento.
4.1. LAN: Redes de Area Local
Son redes de propiedad privada de hasta unos cuantos kilometros de extension. Por ejem-
plo una oficina o un centro educativo. Este tipo de redes se utilizan para conectar computa-
doras personales u otros equipos de red, con objeto de compartir recursos e intercambiar
informacion.
La estructura de una red LAN esta definida segun su topologıa. Esta es una representacion
logica de como los computadores se encuentran conectados a la red. A continuacion se men-
ciona cada una de ellas:
Topologıa de bus circular.
Topologıa de anillo.
Topologıa de estrella.
Topologıa en estrella extendida.
9
4.1. LAN: REDES DE AREA LOCAL CAPITULO 4. MARCO TEORICO
Topologıa jerarquica.
Topologıa de malla.
La topologıa utilizada en la solucion y que se presentara en este proyecto es la estrella, la
cual se define a continuacion:
4.1.1. Topologıa de Estrella
La topologıa estrella es una de las topologıas mas populares actualmente. Corresponde
a una red en la cual las estaciones estan conectadas directamente a un punto central, en el
cual ocurren todas las comunicaciones que se realizan dentro de la red, normalmente este
dispositivo es un switch1.
Se utiliza sobre todo para redes locales. La mayorıa de las redes de area local que tienen un
enrutador (router), un conmutador (switch) o un concentrador (hub) siguen esta topologıa.
El nodo central en estas serıa el enrutador, el conmutador o el concentrador, por el que pasan
todos los paquetes2. En la figura 4.1 se puede apreciar una red con topologıa estrella.
Ventajas de la Topologıa de estrella
Es mas tolerante, esto quiere decir que si una computadora se desconecta o si su cable
falla solo esa computadora es afectada y el resto de la red mantiene su comunicacion
normalmente.
Es facil de reconfigurar, anadir o remover una computadora es tan simple como conectar
o desconectar un cable en el nodo central.
Permite que todos los nodos se comuniquen entre sı de manera conveniente.
Desventajas de la Topologıa de estrella
Es costosa ya que requiere mas cable que la topologıa Bus y Token Ring.
1Dispositivo de red, generalmente de capa 22Datos de que envıan los computadores entre sı
10 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 4. MARCO TEORICO 4.2. WLAN: REDES INALAMBRICAS
Figura 4.1: Ejemplo de topologıa de estrella
El cable viaja por separado del nodo central a cada computadora.
Si el nodo central falla, toda la red se desconecta.
4.2. WLAN: Redes inalambricas
WLAN3 es un sistema de comunicacion de datos inalambrico flexible, muy utilizado co-
mo alternativa a las redes LAN cableadas o como extension de estas. Utiliza tecnologıa de
radiofrecuencia que permite mayor movilidad a los usuarios al minimizar las conexiones ca-
3Wireless Local Area Network o red de area local inalambrica
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 11
4.2. WLAN: REDES INALAMBRICAS CAPITULO 4. MARCO TEORICO
bleadas. Las WLAN van adquiriendo importancia en muchos campos, como almacenes o para
manufactura, en los que se transmite la informacion en tiempo real a un servidor central.
Tambien son muy populares en los hogares para compartir el acceso a Internet entre varias
computadoras.
4.2.1. Tipos de redes WLAN
Infraestructura
Esta es una configuracion tıpica de WLAN en donde los puntos de acceso (AP) se conectan
a la red cableada. El punto de acceso recibe la informacion, la almacena y la transmite entre
la WLAN y la LAN cableada. Un unico punto de acceso puede soportar un pequeno grupo de
usuarios y puede funcionar entre un rango de treinta metros hasta varios cientos de metros
a la redonda. El punto de acceso (o la antena conectada al punto de acceso) es normalmente
colocado en alto pero podrıa colocarse en cualquier lugar en que se obtenga la cobertura
de radio deseada. El usuario final accede a la red WLAN a traves de adaptadores. Estos
proporcionan una interfaz entre el sistema de operacion de red del cliente y las ondas. La
figura 4.2 muestra este tipo de WLAN
Figura 4.2: Red WiFi Infraestructura
12 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 4. MARCO TEORICO 4.2. WLAN: REDES INALAMBRICAS
Peer to peer
Pueden ser de muy diversos tipos y tan simples o complejas como sea necesario. La mas
basica se da entre dos ordenadores equipados con tarjetas adaptadoras para WLAN, de modo
que pueden poner en funcionamiento una red independiente siempre que esten dentro del area
que cubre cada uno. Esto es llamado red de igual a igual (peer to peer). Cada cliente tendrıa
unicamente acceso a los recursos del otro cliente pero no a un servidor central. Este tipo de
redes no requiere administracion. La figura 4.3) muestra este tipo de WLAN.
Figura 4.3: Red WiFi Peer to Peer
4.2.2. Ventajas de las redes WLAN
Movilidad: las redes inalambricas proporcionan a los usuarios de una LAN acceso a la
informacion en tiempo real en cualquier lugar dentro de la organizacion o el entorno
publico (zona limitada) en el que estan desplegadas.
Simplicidad y rapidez en la instalacion: la instalacion de una WLAN es rapida y facil
y elimina la necesidad de colocar cables a traves de paredes y techos.
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 13
4.3. VPN: REDES PRIVADAS VIRTUALES CAPITULO 4. MARCO TEORICO
Flexibilidad en la instalacion: La tecnologıa inalambrica permite a la red llegar a puntos
de difıcil acceso para una LAN cableada.
Escalabilidad: los sistemas de WLAN pueden ser configurados en una variedad de
topologıas para satisfacer las necesidades de las instalaciones y aplicaciones especıfi-
cas.
Las configuraciones son muy faciles de cambiar y ademas resulta muy simple la incor-
poracion de nuevos usuarios a la red.
4.2.3. Desventajas de las redes WLAN
Mayor vulnerabilidad a interferencias y ataques.
En comparacion con una LAN tiene un desempeno de menor calidad.
4.3. VPN: Redes privadas virtuales
La Red Privada Virtual (RPV), en ingles Virtual Private Network (VPN), es una tec-
nologıa de red que permite una extension de la red local sobre una red publica o no controlada,
como por ejemplo Internet. En otras palabras corresponde a una red logica de computadores
unidos a traves de Internet. De esta forma al estar conectadas las dos redes mediante una
VPN se creara la sensacion al usuario que ambas redes estan fısicamente conectadas, pudi-
endo compartir recursos (impresoras, archivos, servicios) entre los equipos de las redes de
forma transparente.
Ademas las VPN pueden ser provistas de sistemas de seguridad para proteger la informa-
cion que esta viajando por internet, de esta forma se mejora la confidencialidad e integridad
de los datos transmitidos por la empresa.
14 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 4. MARCO TEORICO 4.3. VPN: REDES PRIVADAS VIRTUALES
4.3.1. Tipos de VPN
VPN de acceso remoto: es quizas el modelo mas usado actualmente y consiste en
usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas
comerciales, domicilios, hoteles, aviones preparados, etcetera) utilizando Internet como
vınculo de acceso.
VPN punto a punto: este esquema se utiliza para conectar oficinas remotas con la
sede central de la organizacion. El servidor VPN, que posee un vınculo permanente a
Internet, acepta las conexiones vıa Internet provenientes de los sitios y establece el tunel
VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de
su proveedor local de Internet, tıpicamente mediante conexiones de banda ancha. Esto
permite eliminar los costosos vınculos punto a punto tradicionales, sobre todo en las
comunicaciones internacionales (ver figura 4.4).
VPN interna WLAN: este esquema es el menos difundido pero uno de los mas poderosos
para utilizar dentro de la empresa. Es una variante del tipo “acceso remoto” pero,
en vez de utilizar Internet como medio de conexion, emplea la misma red de area
local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta
capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las
redes inalambricas (WiFi).
4.3.2. Ventajas de VPN
Integridad, confidencialidad y seguridad de datos.
Las VPN reducen los costos y son sencillas de usar.
Facilita la comunicacion entre dos usuarios en lugares distantes.
Se puede cursar trafico de datos, imagenes en movimiento y voz simultaneamente.
Puede extenderse a cualquier sitio.
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 15
4.3. VPN: REDES PRIVADAS VIRTUALES CAPITULO 4. MARCO TEORICO
Figura 4.4: Ejemplo de VPN sitio a sitio
La capacidad de la red puede crecer gradualmente, segun como las necesidades de
conexion lo demanden.
Si en Internet un enlace se cae o congestiona demasiado, existen rutas alternativas para
hacer llegar los paquetes a su destino.
4.3.3. Desventajas de VPN
Se deben establecer correctamente las polıticas de seguridad y de acceso.
Mayor carga en el cliente VPN porque debe encapsular los paquetes de datos y encrip-
tarlos, esto produce una cierta lentitud en las conexiones.
No se garantiza disponibilidad (sin Internet no hay VPN).
16 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 4. MARCO TEORICO 4.4. VOIP: VOZ SOBRE IP
Una VPN se considera segura, pero no hay que olvidar que la informacion sigue viajando
por Internet (de forma no segura y expuesta a ataques).
4.4. VoIP: Voz sobre IP
Se llama VoIP al conjunto de tecnologıas para la transmision de voz sobre redes que
funcionan con el protolo IP4, tambien es denominada telefonıa IP o telefonıa por Internet.
Esto ultimo no significa que solo se pueda utilizar sobre Internet, puesto que al utilizar el
protocolo IP podemos implementarla sobre la red informatica privada de una empresa.
4.4.1. Ventajas y desventajas
Ventajas telefonıa IP
Evita cargos altos de telefonıa, principalmente larga distancia.
No hay que pagarle a las companıas telefonicas por la comunicacion de Voz, pues solo
utilizamos nuestro servicio de Internet.
Puede funcionar sobre cualquier tipo red, como lo hacen otros servicios (como web).
Existe ınter operabilidad de distintos proveedores.
Existen distintos protocolos a utilizar, cada uno con sus ventajas y desventajas.
Servicio disponible solo con una conexion a Internet.
Desventajas
Es difıcil garantizar calidad de servicio, difıcil lograr una calidad exacta a la de una
PSTN.
4Internet Protocol
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 17
4.4. VOIP: VOZ SOBRE IP CAPITULO 4. MARCO TEORICO
Ya que los datos viajan en forma de paquetes es que pueden existir perdidas de infor-
macion y demoras en la transmision.
Se debe disponer de un mınimo de ancho de banda disponible segun la cantidad de
usuarios hablando.
Dentro de las soluciones de VoIP existentes hemos decidido utilizar Asterisk en el proyecto,
este se detalla a continuacion.
4.4.2. Central telefonica Asterisk
Asterisk es el lıder en centrales telefonicas de codigo libre, ofrece flexibilidad respecto a
las soluciones propietarias de comunicaciones y ha sido desarrollada para crear una solucion
avanzada de comunicacion.
Ventajas
Utiliza protocolos estandares y abiertos.
El desarrollo de los diversos codecs ha permitido que la voz se codifique cada vez en
menos bytes.
Funciona como una completa central telefonica, permitiendo tener casillas de voz, con-
testadora automatica, acceso a la PSTN (mediante tarjetas especiales), control de lla-
madas, registro de llamadas de los usuarios, musica en espera, operadora, etc.
Elementos a considerar al configurar Asterisk
Codificacion de audio: existen diversos algoritmos (codecs) que codifican el audio de
diferentes formas, el metodo a utilizar determinara, por ejemplo, la calidad del sonido
o la cantidad de ancho de banda necesario para realizar la llamada. Se debera usar el
mas adecuado segun los requerimientos del cliente.
18 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 4. MARCO TEORICO 4.4. VOIP: VOZ SOBRE IP
Cancelacion de eco: esta caracterıstica evita que un usuario que este llamando escuche
su voz con un desfase.
Supresion de silencios: cuando en una llamada los interlocutores no emiten sonido al-
guno, el “silencio” se puede enviar por la lınea, sin embargo esto ocupara ancho de
banda, por lo cual se ha de tener presente que se debe evitar esto suprimiendo estos
silencios y que no sean enviados por la lınea.
Protocolos de senalizacion SIP
Corresponde al estandar para el inicio, modificacion y termino de sesiones de diversos
servicios en redes IP, tales como: video, voz, mensajerıa instantanea, juegos online y realidad
virtual.
Codificacion de audio
Los codecs permiten codificar el audio para poder transmitir por la red un audio comprim-
ido que haga un menor uso de los recursos de la red. El nivel de compresion dependera del
bit-rate, el cual a menor bit-rate5 mayor compresion pero peor calidad. Existen diversos tipos
de codecs disponibles, en la figura 4.5 se pueden apreciar algunos de ellos y sus caracterısticas.
De los codecs de audio disponibles hemos decidido utilizar el G711 por ser un codec que
cumple con los requerimientos del cliente y ademas no posee una licencia restrictiva. Este
codec sera el utilizado para la comunicacion de los equipos de las centrales telefonicas con
sus usuarios locales.
5Bits transmitidos en una unidad de tiempo, por ejemplo 16bps son 16 bits por segundo.
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 19
4.4. VOIP: VOZ SOBRE IP CAPITULO 4. MARCO TEORICO
Figura 4.5: Tabla de codec de audio en telefonıa IP
20 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
Capıtulo 5
Entorno y sus fundamentos
5.1. Problematica
Dentro de los temas analizados con el personal de la empresa en diversas reuniones re-
alizadas se logro acotar el objetivo del proyecto a puntos especıficos. Esto es importante de
mencionar, ya que durante el desarrollo de Taller de Tıtulo 1, se contemplaron muchos posi-
bles temas, como una optimizacion general de la red, tanto en equipos, software y cableado.
Sin embargo por decision de la empresa el trabajo fue acotado a los temas que se mencionan
a continuacion.
Para lograr conocer cuales eran los puntos a mejorar se realizo un estudio basado en los
problemas que presentaban los usuarios. Esto se realizado mediante entrevistas y reuniones
con el personal de la empresa. De estas reuniones surgieron las necesidades que se presentaban
respecto al funcionamiento de la red en ese momento.
Se detectaron tres puntos importantes:
Falta de control y seguridad en el acceso a Internet.
Falta de un sistema interno de comunicacion entre las dependencias del fundo.
Posibilidad de tele trabajo.
21
5.1. PROBLEMATICA CAPITULO 5. ENTORNO Y SUS FUNDAMENTOS
5.1.1. Seguridad perimetral y filtro de contenido
La red de la empresa cuenta con acceso directo a Internet, esto significa que cualquier
usuario podıa navegar libremente por sitios web que fuesen o no relacionados con el ambiente
laboral. Esto sumado a los problemas de seguridad que existen hoy en Internet correspondıa
a un tema delicado que afectaba el rendimiento de la red y de las personas.
Al no contar con un equipo capaz de realizar un filtrado del contenido todos los dispositivos
que ingresan a Internet tienen iguales privilegios en la conexion, o sea acceso completo a la red.
Esto representa problemas en la seguridad puesto que los usuarios pueden obtener cualquier
tipo de material pudiendo navegar por sitios maliciosos que pueden generar vulnerabilidad a
los equipos de los usuarios y potencialmente a otros equipos en la red. Ademas los usuarios al
poder acceder libremente a las paginas web muchas veces navegaran por sitios que no estan
vinculados a la empresa.
5.1.2. Problemas de comunicacion
Se han detectado problemas para realizar una comunicacion telefonica eficiente entre los
trabajadores de la empresa, especıficamente en el fundo. Esto provocado por la ubicacion
geografica en donde se encuentra este, ver figura 3.1. En la figura se observa que corresponde
a un sector rural, por lo cual no existen proveedores de telefonıa fija que cubran el lugar.
Ademas por estar el fundo rodeado por dos grandes cerros el servicio de telefonıa celular es
deficiente, habiendo una cobertura limitada de esta.
Los problemas de comunicacion se pueden dividir en los siguientes:
Comunicacion interna
Es necesario la comunicacion de 6 instalaciones, se pueden apreciar estos puntos en la
figura 5.1. En la imagen se observa la ubicacion de las instalaciones senaladas al interior
del fundo de la empresa. Actualmente existe una red de computadores mediante la cual
los funcionarios pueden transferir archivos y correo electronico, sin embargo para realizar
comunicacion vıa voz deben recurrir a equipos de radio.
22 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 5. ENTORNO Y SUS FUNDAMENTOS 5.1. PROBLEMATICA
Figura 5.1: Mapa red inalambrica en el fundo
Comunicacion externa
Ademas es necesaria la comunicacion con la oficina central de la empresa, en la ciudad
de Melipilla. Actualmente esto se realiza mediante telefonıa celular, sin embargo esta es
deficiente en el sector y no existe la posibilidad de telefonıa fija.
5.1.3. Conexion remota a la red
Otro de los puntos que nos hicieron ver los ejecutivos de la empresa fue la necesidad de
poder conectarse a traves de Internet a la red interna de la empresa, esto con el objetivo de
acceder a los equipos y servicios que la componen. Dos servicios importantes son:
Aplicacion de la empresa, que funciona vıa web en la Intranet.
Servidor con los documentos de las distintas areas coorporativas.
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 23
5.2. REQUERIMIENTOS CAPITULO 5. ENTORNO Y SUS FUNDAMENTOS
5.2. Requerimientos
Segun el analisis realizado conjuntamente con el cliente, se rescataron los siguientes re-
querimientos, los cuales son para solucionar la problematica antes detallada, estos consisten
en:
Evitar que los usuarios tengan libre acceso a Internet.
Existiran distintos niveles de privilegios de filtrado de contenido segun defina el cliente.
Acceder en forma remota a la red de la empresa.
Permitir a los trabajadores comunicarse telefonicamente entre sı en el interior del fundo
y hacia el exterior
Implementar una central telefonica que permita a los trabajadores de la empresa co-
municarse entre sı al interior del fundo.
Central telefonica debera estar comunicada con la red publica de telefonıa.
Generar sistema de comunicacion telefonica interna entre el fundo y oficina central.
24 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
Capıtulo 6
Alcance del proyecto
En este capıtulo se indicara lo que nuestro proyecto de tıtulo cubrira, indicando los aspec-
tos formales que tienen relacion con responsabilidades por parte del cliente como de quienes
ejecutan el proyecto.
6.1. Descripcion
La solucion a implementar corresponde a la instalacion y puesta en marcha de equipos
capaces de realizar las tareas necesarias para proteger la red desde el exterior, ejercer un
control a nivel de contenido sobre lo que los usuarios pueden realizar en internet y ademas
la implementacion de centrales de telefonıa IP para ayudar en la comunicacion entre los
trabajadores de la empresa.
El proyecto esta compuesto de las siguientes etapas:
Configuracion de firewall: Se instalaran y configuraran dos firewall para generar
polıticas de acceso a Internet, filtro de contenido de paginas web y por otra parte
polıticas de acceso para proteger la red interna.
Instalacion de VPN: La instalacion de la red VPN sera para unir la Oficina Central
con el Fundo, ademas se considerara la necesidad de clientes que deseen conectarse
desde redes externas a la empresa.
25
6.2. LIMITACIONES CAPITULO 6. ALCANCE DEL PROYECTO
Central telefonica: Se considerara la instalacion de dos servidores en los cuales se
instalara el software que realizara las tareas de comunicacion de voz sobre ip y los
equipos terminales de telefonıa IP.
Segmentacion de red: Incluira la separacion de la granja de servidores de la red
corporativa.
6.2. Limitaciones
Las siguientes son limitaciones impuestas por el cliente al diseno del proyecto:
Se debera utilizar la actual red implementada en ambos lugares, proyecto no debe
contemplar cambios gruesos al cableado o instalaciones inalambricas.
Horario de trabajo en terreno solo fuera de horario de oficina, esto significa sabado o
domingo.
Se debe capacitar al personal de la empresa para la mantencion futura de los equipos
instalados.
6.3. Factores crıticos de exito
A continuacion se mencionan aquellos factores que seran decisivos y podrıan comprometer
el correcto desarrollo del proyecto.
Responder a los tiempos dispuestos o estipulados al inicio del proyecto.
Tener a disposicion el hardware necesario antes de la fecha dispuesta para la configu-
racion de estos.
Realizar pruebas de funcionalidad en las etapas correspondientes de la implementacion.
Responder a los requerimientos funcionales solicitados por la empresa.
26 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 6. ALCANCE DEL PROYECTO 6.3. FACTORES CRITICOS DE EXITO
El cliente realice pruebas de satisfaccion luego de las pruebas internas de implementacion.
Realizar correcciones a los problemas encontrados al realizar la implementacion.
Realizar capacitacion al personal antes dispuesto, para que opere el equipamiento in-
stalado.
Cortes de energıa electrıca podrıan afectar el funcionamiento del sistema.
Disponer de una conexion a Internet al menos en los horarios de trabajo.
Realizar respaldos del sistema, a fin de evitar problemas en caso de fallas por hardware.
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 27
6.3. FACTORES CRITICOS DE EXITO CAPITULO 6. ALCANCE DEL PROYECTO
28 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
Capıtulo 7
Diseno de solucion
Estudiando la problematica detectada en la empresa se preparo una solucion al prob-
lema. En este capıtulo se muestra el diseno en detalle de la solucion que cumple con los
requerimientos del cliente.
En la figura 7.1 se puede apreciar una vision global del diseno final a implementar, el cual
incluye la solucion al problema de telefonıa, seguridad perimetral y conexion remota.
Figura 7.1: Modelo de red propuesto
29
7.1. DIAGRAMA DE FLUJO CAPITULO 7. DISENO DE SOLUCION
7.1. Diagrama de flujo
Para un mejor entendimiento del modelo de red propuesto se presentan diferentes diagra-
mas de flujo, los cuales ayudaran a la comprension de la solucion planteada:
Diagrama flujo firewall: ver figura 7.2.
Diagrama flujo proxy: ver figura 7.3.
Diagrama flujo central telefonica: ver figura 7.4.
7.2. Firewall
Existe la necesidad de instalacion en ambos sectores de un Firewall que separe la red
LAN de Internet, ver figura 7.5. Para esto se realizara la instalacion de un firewall utilizando
Debian GNU/Linux1, dentro de las ventajas presentes esta el hecho que es una solucion
economica si la comparamos con un firewall comercial y tan robusta como estos ultimos.
El firewall cumplira diversas funciones:
Filtrado utilizando IPTables.
VPN utilizando OpenVPN.
Proxy transparente utilizando Squid.
Router utilizando rutas estaticas.
Para el cumplimiento de lo anterior se implementaran sobre dos servidores que dispondran
de tres tarjetas de red, una conectada hacia internet, otra a la zona desmilitarizada (dmz,
donde se encontraran los servidores de la empresa) y la ultima hacia la red corporativa.
Mediante el software squid, iptables y openvpn se lograran los objetivos planteados para
estos equipos.
1http://www.debian.org
30 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 7. DISENO DE SOLUCION 7.2. FIREWALL
La ventaja principal sera mejorar las horas productivas en la empresa, ya que al tener
libre acceso los usuarios pueden malgastar tiempo. Ademas se protegera la red desde posibles
ataques del exterior.
7.2.1. IPTables
IPTables es parte de un software llamado NetFilter disponible en el nucleo de las distribu-
ciones GNU/Linux. Corresponde a una herramienta, principalmente de capa 3 en el modelo
OSI de redes, que permitira generar diversas reglas de seguridad y usos de la red. Entre estas
se encuentran:
Enmascaramiento de IPs privada con la IP publica para la utilizacion de NAT.
Bloqueo de puertos e IP desde y hacia Internet.
Redireccionamiento de solicitudes web al proxy Squid.
Con esto se permitira que el administrador de la red pueda definir nuevas polıticas de
una manera sencilla y efectiva comparado con lo que se podrıa lograr con un equipo SOHO2
7.2.2. OpenVPN
La VPN se utilizara para crear un enlace sitio a sitio entre el fundo y Melipilla, esto
permitira que usuarios de ambas redes esten conectados como si estuviesen en la misma red.
Ademas se creara un acceso para clientes remotos3, permitiendo con esto ademas que los
trabajadores autorizados puedan ingresar a la red corporativa.
Ambos tipos de VPN (sitio a sitio, ver figura 7.6, y para clientes remotos) utilizaran
un canal comprimido y encriptado. En el caso del tunel sitio a sitio se utilizara una clave
compartida y en los clientes remotos un certificado digital.
2SOHO: Small Office Home Office, equipos de menor rendimiento y capacidades de configuracion.3Usuarios que se conectan desde diversos puntos de Internet
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 31
7.2. FIREWALL CAPITULO 7. DISENO DE SOLUCION
Se ha elegido utilizar OpenVPN por su simpleza, tanto en su configuracion y adminis-
tracion. Ademas sera sencillo para el administrador de red poder expandir el sistema, creando
nuevos usuarios que requieran conectarse.
Otro punto importante es que permite transportar protocolos como IPX, el cual es uti-
lizado por otra aplicacion dentro de la empresa. Si bien el uso de IPX en la VPN no es parte
de los requerimientos entregados por el cliente, es un tema que se podrıa implementar en el
futuro.
7.2.3. Squid
Para la implementacion del filtro de contenidos se uso Squid que corresponde a un proxy4,
este tiene diferentes caracterısticas, las cuales se pueden resumir en dos grupos:
Cache para sitios web: mediante esta opcion cuando un usuario solicita un sitio, si
existe almacenado en el servidor proxy se obtiene desde ahı, sino se busca en Internet.
Ayuda a optimizar el uso de la conexion hacia Internet.
Filtro de contenidos: permite o deniega contenido web a los usuarios de la red.
Es necesario llevar un registro de los sitios que visitan los usuarios, esto para posterior-
mente poder realizar alguna especie de revision y control. Es por esto que toda solicitud web
(puerto 80) debera ser redireccionada por el firewall al proxy, el cual de forma transparente,
descargara el sitio para el usuario que lo requiera.
A medida que se vayan detectando usos indebidos de Internet se deberan ir creando
restricciones, para esto se crearan 3 ACL5 basicas dentro de Squid:
Sitios denegados: url que no pueden ser accedidas.
Sisitos autorizados. url que deben ser permitidas.
IP libres: usuario VIP, a los cuales no se les aplica ninguna restriccion.
4Usuarios podran acceder a Internet a traves de este equipo5Access control list: listas de control de acceso
32 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 7. DISENO DE SOLUCION 7.3. CENTRAL TELEFONICA
A pesar de existir usuarios VIP, el registro sera para todos los usuarios. Por lo cual a ellos
tambien se les llevara un listado de los sitios que visiten.
Ademas se contempla la implementacion de blacklist6, de esta forma y de manera au-
tomatica se iran actualizando y bloqueando sitios que no deben ser visitados.
7.3. Central telefonica
En la actualidad no es posible la utilizacion de telefonıa tradicional en el fundo y la
celular es deficiente, esto debido a las condiciones geograficas que existen en el lugar. Por
estas razones se ha determinado que la solucion viable en estos momentos es la comunicacion
mediante telefonıa IP. Para cumplir este objetivo se instalaran centrales de telefonıa IP en
ambos puntos, tanto en el fundo como en la oficina central.
Esta central proveera el servicio de telefonıa privada dentro del sector pudiendo utilizar
los enlaces de red ya existentes en los lugares que sea necesario comunicar. Dentro de las
soluciones de VoIP se trabajara con Asterik7.
Las principales ventajas al utilizar Asterisk son:
Control eficiente de las cuentas de telefonıa.
Comunicacion desde cualquier lugar con una unica cuenta de telefonıa.
Utiliza infraestructura de red ya existente.
Escalable, ya que permite un gran crecimiento.
Interconexion entre centrales telefonicas.
Dentro de los servicios solicitados por el cliente y que seran configurados estan:
Conexion a la PSTN8.
6Listas negras: archivos con direcciones potencialmente peligrosas7http://es.wikipedia.org/wiki/Asterisk8Red de telefonıa tradicional
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 33
7.3. CENTRAL TELEFONICA CAPITULO 7. DISENO DE SOLUCION
Menu IVR9.
Buzon de voz.
Registro de llamadas cursadas.
Conexion con otras centrales de telefonıa.
Estos servicios seran explicados a continuacion.
7.3.1. Empresa VOIP externa
La conexion con la PSTN en el fundo se realizara mediante un proveedor de servicios
de VoIP externo. El cual entregara una numeracion valida en la red telefonica publica y el
sera el proveedor del servicio de telefonıa a la red tradicional. Mediante un analisis de costos
y los posibles proveedores, se ha decidido ofrecer la conexion a traves de la empresa RedVoiss
ya que provee del servicio que se requiere a bajos costos.
El valor del servicio representara una disminucion en los costos de telefonıa. Sin embargo
estos ahorros se notaran fuertemente si la empresa realiza llamas internacionales, ya que en
este tipo de llamadas se puede alcanzar un ahorro de hasta un 70 %. En el caso de las llamas
nacionales el ahorro corresponde a aproximadamente un 20 %.
7.3.2. Menu interactivo
Se requiere la implementacion de un menu interactivo que permita al llamar desde la
PSTN poder discar cualquier extension valida de los usuarios y ser trasladado a ella. Este
menu se lograra mediante la creacion de reglas en el Dial Plan de Asterisk.
7.3.3. Buzon de voz
Se implementara un sistema de buzon de voz de manera que un usuario al estar ocupado
o no disponible pueda recibir igualmente el mensaje de la llamada. Lo importante aquı es que
9Interactive Voice Response
34 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 7. DISENO DE SOLUCION 7.3. CENTRAL TELEFONICA
este mensaje debe llegar al correo electronico del dueno del anexo. Para esto se utilizara la
opcion de VoiceMail de Asterisk que permite tanto el almacenaje de los mensajes en el
servidor de telefonıa como el envio vıa email de los mismos.
7.3.4. Estadısticas de llamadas
Un tema importante que esta presente en la solucion planteada es el control que se lo-
grara tener sobre las llamadas que van a generar los trabajadores y el registro controlado
de los usuarios. Esto implicara poder determinar por ejemplo quienes utilizan el sistemas,
cuanto tiempo, en que horarios, ayudando a determinar si el uso de las llamadas es por mo-
tivos laborales o el sistema se esta usando con otros fines, lo cual no es posible con el sistema
actual.
Para el registro se utilizara una aplicacion web llamada Asterisk-Stat que permite generar
reportes leyendo la informacion entregada por Asterisk CDR10. Los reportes incluyen graficos,
reportes diarios, tiempos de mayor uso de la red, entre otras capacidades.
7.3.5. Protocolo para troncal entre centrales
IAX es el protocolo propio de Asterisk que se utiliza para la transferencia de llamadas
entre centrales Asterisk. Se utilizara para unir las dos centrales telefonicas (fundo y oficina
central). De esta forma usuarios de ambas centrales podran llamar entre sı.
Una caracterıstica importante aquı es que para el usuario debe ser transparente la forma
de llamar, o sea, no se han de considerar prefijos de marcado, a pesar que son 2 centrales
distintas. Esto se solucionara utilizando en el fundo la red de anexos 1XX y en Melipilla la
2XX. De esta forma, Asterisk, internamente manejara las extensiones de forma transparente
para el usuario.
10Call Detail Record
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 35
7.3. CENTRAL TELEFONICA CAPITULO 7. DISENO DE SOLUCION
Figura 7.2: Flujo funcionamiento del firewall
36 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 7. DISENO DE SOLUCION 7.3. CENTRAL TELEFONICA
Figura 7.3: Flujo funcionamiento del proxy
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 37
7.3. CENTRAL TELEFONICA CAPITULO 7. DISENO DE SOLUCION
Figura 7.4: Flujo funcionamiento de la central telefonica
38 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 7. DISENO DE SOLUCION 7.3. CENTRAL TELEFONICA
Figura 7.5: Ubicacion y funcionamiento de un firewall
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 39
7.3. CENTRAL TELEFONICA CAPITULO 7. DISENO DE SOLUCION
Figura 7.6: VPN sitio a sitio
40 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
Capıtulo 8
Plan de trabajo
8.1. Etapas
En la siguiente seccion se indicaran las etapas que contiene la solucion que se entregara,
para ello indicamos el listado de actividades a continuacion:
1. Instalacion de Firewall y filtro de contenidos.
2. Interconexion mediante VPN.
3. Configuracion Servidor Asterisk en Fundo.
4. Configuracion Servidor Asterisk en Oficina Central.
5. Implementacion de troncales entre Centrales VoIP.
6. Acceso de Central Fundo a PSTN.
Es necesario mencionar que esta lista de actividades nos entrega la forma secuencial en que
se realizara dicha implementacion, a continuacion se entrega el detalle de cada Actividad:
8.1.1. Instalacion de Firewall y filtro de contenidos
En esta actividad se realizara la configuracion del Firewall y el filtro de contenido, con
las respectivas polıticas de seguridad, segun los requerimientos indicados por el cliente. Se
41
8.1. ETAPAS CAPITULO 8. PLAN DE TRABAJO
crearan las restricciones para evitar el acceso indeseado a ciertos puertos y ademas la creacion
de listas negras para prohibir sitios web a los empleados.
8.1.2. Interconexion mediante VPN
En esta etapa se realizara la configuracion de la VPN, para que funcione como sitio a
sitio y para tele trabajo. Con esto se conseguira la conexion de un trabajador a la red de la
empresa desde una ubicacion publica en Internet.
8.1.3. Configuracion Servidor Asterisk en Fundo
En esta parte se realizara tanto la instalacion como la configuracion de Asterisk, para que
funcione como central telefonica en las dependencias del fundo. Esto incluira la creacion de
las cuentas SIP de los usuarios, casillas de voz, plan de marcado y estadısticas de llamadas.
8.1.4. Configuracion Servidor Asterisk en Oficina Central
En esta actividad se realizara el mismo procedimiento detallada en la actividad anterior,
pero en la oficina central ubicada en Melipilla.
8.1.5. Implementacion de troncales entre Centrales VoIP
En esta etapa se realizara la configuracion para realizar la conexion o comunicacion entre
ambas centrales telefonicas (Fundo Santa Rosa y Oficina central). Esto se llevara a cabo
mediante el protocolo propio de Asterisk IAX.
8.1.6. Acceso de Central Fundo a PSTN
En este paso se realizara la comunicacion de la central telefonica ubicada en el fundo con
la empresa de telefonıa externa, la cual entregara el servicio de acceso a la red publica de
telefonıa.
42 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 8. PLAN DE TRABAJO 8.2. RECURSOS
8.2. Recursos
A continuacion detallaremos los recursos incurridos en el proyecto realizado:
Recurso Humano
El Recurso Humano a utilizar esta indicado en los cargos incurridos en la lista de activi-
dades ya antes detallada, este personal debera estar debidamente capacitado para realizar las
actividades correspondientes. Se debe mencionar que el personal humano sera en gran parte
el grupo de trabajo del proyecto, los cuales en las distintas etapas cumpliran diferentes roles.
Recurso de Software
Todo el software a utilizar en el proyecto es libre, por lo cual es de facil acceso para la im-
plementacion. El tipo de licencia a utilizar, en la mayorıa de los casos, es la GPL1, se puede en-
contrar una copia de esta licencia en el siguiente enlace http://www.viti.es/gnu/licenses/gpl.html
Dentro de las ventajas de la utilizacion de software libre se encuentran:
Libertad de uso y distribucion.
Independencia tecnologica.
Sujeto a estandares.
Soporte y compatibilidad a largo plazo.
Sistemas seguros y rapida correccion de fallos.
No se incurrira en costos por el software a utilizar
Recurso de Hardware
El hardware necesario para el proyecto fue informado al cliente, el cual decidio acotarlo
y finalmente se decidio utilizar lo que se detalla a continuacion:
1General Public License
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 43
8.2. RECURSOS CAPITULO 8. PLAN DE TRABAJO
2 Equipos para centrales Telefonicas: procesador 2GHz, 1 Gb RAM, 160 GB disco duro,
1 tarjeta de red 1000Mbps.
2 Equipos para Firewall: procesador 2GHz, 2 Gb RAM, 160 GB disco duro, 2 tarjetas
de red 1000Mbps, 1 tarjeta de red 100Mbps.
4 Telefonos IP.
Cables de red y conectores.
44 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
Capıtulo 9
Implementacion
A continuacion se mencionan las actividades necesarias para la implementacion del proyec-
to, en caso de ser necesario se han adjuntado en el anexo A ejemplos de las configuraciones
realizadas en los equipos.
9.1. Estudios protocolos y software
Es necesario realizar un estudio de los protocolos que se utilizaran, el software y el diseno,
de tal forma de estar preparados para realizar una instalacion y configuracion rapida. Durante
esta etapa se hara un estudio teorico.
9.2. Reunion implementacion
Durante esta reunion se definiran aspectos que tienen relacion con los objetivos y necesi-
dades que se buscan cumplir.
Por ejemplo se han de indicar el tipo de sitios webs que seran restringidos, la cantidad de
anexos que deberan ser habilitados o el tipo de trafico que se debera permitir hacia Internet.
Aspectos relacionados directamente con el uso que se le dara a los sistemas instalados.
45
9.3. FIREWALL FUNDO CAPITULO 9. IMPLEMENTACION
9.3. Firewall Fundo
9.3.1. Instalacion Sistema Operativo
Se debe realizar la instalacion del sistema operativo Debian GNU/Linux. Ya que el uso
sera para un ambiente servidor se utilizara una instalacion por red, de esta forma se instalaran
solo los paquetes basicos del sistema. Cualquier otro software sera instalado cuando sea
necesario. Los pasos, basicos, para realizar la instalacion son:
Configuracion tarjeta de red.
Particionamiento disco duro (se separara en /, /var y /tmp).
Seleccion de paquetes a instalar.
Configuracion de usuarios y contrasenas.
Esta etapa sera necesaria de realizar en el otro firewall y ambas centrales telefonicas. Por
lo cual, al estar explicadas en este apartado, se omitiran en las siguientes secciones.
9.3.2. Configuracion IPTables
Segun los requerimientos entregados por el cliente y polıticas definidas con el cliente, ver
seccion 9.2, se deberan realizar las siguientes tareas mediante IPTables:
Enmascaramiento de la LAN y DMZ para utilizar NAT.
Restriccion del acceso a puertos no conocidos desde la red local.
Bloquear el acceso a puertos desde Internet.
Bloqueo en capa 3 del acceso de usuarios a Internet.
Redireccion de solicitudes web al servidor proxy.
46 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 9. IMPLEMENTACION 9.4. VPN FUNDO
9.3.3. Configuracion Squid
Squid sera utilizado por peticion del cliente para funcionar como un filtro de contenidos
de la red. Para tal objetivo se crearan tres ACL1, estas permitiran manejar las siguientes
opciones:
Usuarios VIP: usuarios que no deben ser bloqueados.
Sitios aceptados: webs que no deben ser bloqueadas.
Sitios bloqueados: sitios web prohibidos.
Ademas se debera contar con alguna forma de supervisar el acceso web, para esto se
utilizaran los logs que genera Squid. Se desarrollara un script que permita de una forma
simple acceder a los contenidos visitados por los usuarios.
9.3.4. Instalacion y Pruebas
Durante esta etapa se instalara fısicamente el equipo en las dependencias de la empresa y
se realizaran las mismas pruebas hechas para el documento Casos de Prueba (entregado ante-
riormente) pero esta vez en un ambiente real (no de laboratorio). Esta etapa se debera realizar
con los 4 equipos a instalar (2 firewall y 2 centrales).
9.4. VPN Fundo
9.4.1. Instalacion OpenVPN
Se debera realizar la instalacion del software Open VPN el cual sera configurado, en esta
etapa, para permitir el acceso de usuarios desde Internet al interior de la red.
1Lista de control de acceso
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 47
9.5. CENTRAL TELEFONICA FUNDO CAPITULO 9. IMPLEMENTACION
9.4.2. Configuracion tele trabajo
Se definiran usuarios mediante certificados digitales, los cuales podran acceder a traves
de un cliente VPN a la red corporativa.
Todo el trafico cursado a traves de la VPN sera encriptado y comprimido, de esta forma
se busca disminuir la cantidad de trafico efectivo cursado por Internet.
9.5. Central telefonica Fundo
9.5.1. Instalacion Asterisk
Se debe realizar la instalacion de la central telefonica Asterisk. Actualmente la version
estable dentro del sistema Debian GNU/Linux corresponde a la 1.4 y sera la que se utilizara.
9.5.2. Habilitacion cuentas
Se deben crear las cuentas de usuario y sus extensiones, es importante destacar que Aster-
isk hace diferencia entre ambos puntos, ya que un usuario puede poseer muchas extensiones,
por ejemplo podemos tener el usuario Juan que tendra la extension 10 y 11 apuntando a el.
A pesar de lo anterior se utilizara un esquema donde un usuario tendra una extension y
una casilla de correo. El nombre de usuario correspondera al numero de extension.
Con estas consideraciones se procedera a la habilitacion de las cuentas.
Cuentas SIP
Definicion de usuarios dentro del sistema en el archivo /etc/asterisk/sip.conf
Ejemplo:
[113] ; id del usuario
callerid="delaf" ; nombre del usuario
md5secret=754ee2a8de2d24e4e7956e7237a2b174 ; clave encriptada
context=anexos ; contexto al que pertenece
48 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 9. IMPLEMENTACION 9.5. CENTRAL TELEFONICA FUNDO
type=friend ; tipo de peer
host=dynamic ; desde donde se conectara
Habilitacion extensiones
Corresponde a la asociacion que se realizara entre un numero de extension y un usuario,
se define en el archivo /etc/asterisk/extensions.conf
Ejemplo:
exten => 113,1,Dial(SIP/113,30) ; marcar extension
exten => 113,n,Voicemail(113,u) ; no disponible
exten => 113,n,Voicemail(113,b) ; ocupado
exten => 113,n,Hangup ; colgar
Buzon de Voz
Se creara una casilla de buzon de mensajes, donde los mensajes seran enviados vıa correo
electronico al usuario dueno de la extension. Esto se define en el archivo /etc/asterisk/voicemail.conf
Ademas se debe modificar el archivo extensions.conf para permitir el traslado a buzon en
caso de no disponible o ocupado. Esto se puede ver en el ejemplo anterior.
Ejemplo:
113 => 113,Esteban De La Fuente Rubio,[email protected]
9.5.3. Estadısticas de llamadas
Se debe configurar las estadisticas mediante CDR, esto permitira almacenar las llamadas
realizadas por los usuarios de la central. Por defecto Asterisk solo crea un log, por lo cual se
debera cambiar la configuracion para que se utilice una base de datos, por ejemplo mysql.
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 49
9.6. EQUIPOS OFICINA CENTRAL CAPITULO 9. IMPLEMENTACION
9.5.4. Acceso a la PSTN
Configuracion mediante un proveedor de servicios externos, en el caso del proyecto se
utilizara la empresa RedVoiss. Mediante la cual se tendra acceso a la PSTN.
Enlace RedVoiss
Se debera modificar el archivo sip.conf para permitir el registro de la central en la red de
telefonıa IP externa. Ademas se modificara extensions.conf para permitir que usuarios dentro
de la red puedan salir hacia la PSTN.
Menu Interactivo
Se debe crear un menu que reciba las llamadas entrantes desde la PSTN y permita que
el llamante digite una extension, para posteriormente ser redireccionado a esta.
9.6. Equipos oficina central
Se debera configurar el firewall y la central telefonica de manera similar a lo realizado en
el fundo.
9.6.1. Capacitacion SysAdmin
La empresa solicito, posteriormente al analisis de requerimientos del proyecto, que se
capacitara a un empleado de planta ubicado en la oficina de Melipilla, esto con el objetivo
de que pudiese solucionar problemas en caso de presentarse alguno.
Se debera instruir a un empleado sobre el uso del firewall, especıficamente:
Comandos basicos de GNU/Linux.
Manejo de demonios en GNU/Linux.
Redireccionamiento de puertos en IPTables.
50 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 9. IMPLEMENTACION 9.7. VPN SITIO A SITIO
Bloqueo de alguna IP para acceder a Internet en IPtables.
Modificacion de las ACL en Squid.
9.7. VPN Sitio a Sitio
9.7.1. Habilitacion en OpenVPN
Anteriormente se describieron los pasos para la implementacion de una VPN para usuarios
remotos. En esta etapa se debera configurar el software OpenVPN para unir las redes del
Fundo y Melipilla. De esta forma se contara con un acceso desde cualquier punto de una red
a la otra.
Se utilizara una clave precompartida la cual la conoceran ambos firewalls, quienes deberan
proporcionar ademas las rutas necesarias para acceder a la red ubicada en el otro extremo
de la VPN.
Al igual que en el caso del tele trabajo, el trafico sera comprimido.
9.8. Troncal IAX
9.8.1. Configuracion Troncal
En las seccion 9.5 se describieron los pasos para la implementacion de la central telefonica
con su propia red de anexos. En esta etapa se debera crear el troncal IAX en ambas centrales
para permitir las llamadas entre una central y otra.
Se deberan modificar los archivos iax.conf y extensions.conf, respectivamente definiendo
usuarios IAX y como se realizaran las llamadas.
Se debe considerar que en el fundo los anexos estaran en el rango 100 a 199 y en Melipilla
en el rango 200 a 299, esto permitira definir en extensions.conf el redireccionamiento hacia
el canal IAX.
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 51
9.9. DOCUMENTACION CAPITULO 9. IMPLEMENTACION
9.9. Documentacion
Durante todo el proceso de implementacion se debera ir documentando lo realizado, re-
alizar respaldos de las configuraciones y estas debidamente comentadas. Todo esto con el
objetivo de al momento de confeccionar la memoria de titulacion disponer de los datos de
manera mas facil.
Ademas se deberan crear pequenos tutoriales que indiquen los pasos realizados para obten-
er el funcionamiento global del sistema.
52 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
Capıtulo 10
Resultados
10.1. Pruebas
A continuacion se presentan las pruebas realizadas al sistema una vez que fue implemen-
tado.
Notas para leer las pruebas:
En los resultados de las pruebas se utilizara [...] para indicar que en ese lugar habıa
mas texto pero fue considerado poco relevante, por lo cual fue quitado.
En los casos de lıneas que debieron ser cortadas se utilizo \mas un espacio.
10.1.1. Pruebas en Fundo
Escaneando puertos
Utilizando software nmap se han escaneado los puertos que se encuentran abiertos desde
la WAN y desde la LAN. Con esto se puede verificar que solo dejemos acceso al equipo en
los puertos que hemos determinado en nuestro firewall.
Se permite el acceso por SSH desde la LAN, desde la WAN no se permite el acceso,
habra que conectarse mediante la VPN previo a inicar sesion SSH desde Internet.
53
10.1. PRUEBAS CAPITULO 10. RESULTADOS
killua:~# nmap -A -p1-65000 172.16.1.134
Starting Nmap 4.62 ( http://nmap.org ) at 2009-09-22 21:55 CLT
[...]
Interesting ports on 172.16.1.134:
Not shown: 63973 closed ports, 1026 filtered ports
PORT STATE SERVICE VERSION
50178/tcp open rpcbind
MAC Address: 00:25:11:1C:21:48 (Unknown)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.13 - 2.6.24
Uptime: 0.027 days (since Tue Sep 22 21:16:52 2009)
Network Distance: 1 hop
[...]
Nmap done: 1 IP address (1 host up) scanned in 25.013 seconds
delaf@edward:~$ nmap -A -p1-65000 -PN 10.2.0.1
Starting Nmap 4.62 ( http://nmap.org ) at 2009-09-22 21:51 CLT
[...]
Interesting ports on 10.2.0.1:
Not shown: 64999 filtered ports
PORT STATE SERVICE VERSION
22/tcp open ssh (protocol 2.0)
[...]
Nmap done: 1 IP address (1 host up) scanned in 145.607 seconds
Denegar acceso a Internet a ciertos usuarios
Para la siguiente prueba se creo una regla en el firewall de tal forma que la IP 10.2.0.201
no tenga acceso a Internet.
54 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 10. RESULTADOS 10.1. PRUEBAS
iptables -A FORWARD -s 10.2.0.201/32 -o $WAN_IF -j DROP
Luego se verifico desde el cliente que efectivamente podıa acceder a la LAN y a la DMZ
pero no hacia el exterior.
delaf@edward:~$ sudo ifconfig eth0 | grep addr:
inet addr:10.2.0.201 Bcast:10.2.1.255 Mask:255.255.254.0
inet6 addr: fe80::21e:ecff:fe39:d593/64 Scope:Link
delaf@edward:~$ sudo route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.2.0.0 0.0.0.0 255.255.254.0 U 0 0 0 eth0
0.0.0.0 10.2.0.1 0.0.0.0 UG 0 0 0 eth0
delaf@edward:~$ ping 172.16.1.1
PING 172.16.1.1 (172.16.1.1) 56(84) bytes of data.
^C
--- 172.16.1.1 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1013ms
delaf@edward:~$ ping 10.2.0.1
PING 10.2.0.1 (10.2.0.1) 56(84) bytes of data.
64 bytes from 10.2.0.1: icmp_seq=1 ttl=64 time=0.107 ms
64 bytes from 10.2.0.1: icmp_seq=2 ttl=64 time=0.095 ms
^C
--- 10.2.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 0.095/0.101/0.107/0.006 ms
delaf@edward:~$ ping 10.2.2.1
PING 10.2.2.1 (10.2.2.1) 56(84) bytes of data.
64 bytes from 10.2.2.1: icmp_seq=1 ttl=64 time=0.084 ms
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 55
10.1. PRUEBAS CAPITULO 10. RESULTADOS
64 bytes from 10.2.2.1: icmp_seq=2 ttl=64 time=0.095 ms
^C
--- 10.2.2.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.084/0.089/0.095/0.010 ms
DHCP estatico
Dentro del archivo de configuracio de DHCP se han definido asignaciones de IP estaticas
mediante la MAC de los equipos, en esta prueba se verifica que se ha asignado efectivamente
la IP que corresponde al equipo.
host edward-eth {
hardware ethernet 00:1e:ec:39:d5:93;
fixed-address 10.2.0.201;
}
delaf@edward:~$ sudo ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:1e:ec:39:d5:93
inet addr:10.2.0.201 Bcast:10.2.1.255 Mask:255.255.254.0
[...]
Sitios web denegados y sitios permitidos
Se muestra parte del log /var/log/squid/access.log donde se ve como una web es dejada
pasar (www.google.cl) y otra es bloqueada (www.emol.com), ademas en las figuras 10.1 y
10.2 se aprecian los respectivos resultados.
1253655549.890 0 10.1.0.91 TCP_HIT/200 8152 GET http://www.google.cl/intl
\ /en_com/images/logo_plain.png - NONE/- image/png
1253655549.918 980 10.1.0.91 TCP_MISS/200 4000 GET http://www.google.cl/ -
\ DIRECT/208.69.32.230 text/html
56 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 10. RESULTADOS 10.1. PRUEBAS
1253655550.093 0 10.1.0.91 TCP_HIT/200 5971 GET http://www.google.cl/imag
\ es/nav_logo7.png - NONE/- image/png
1253655551.528 482 10.1.0.91 TCP_MISS/204 424 GET http://www.google.cl/csi?
\ - DIRECT/208.69.32.231 text/html
1253655551.533 598 10.1.0.91 TCP_MISS/200 3609 GET http://www.google.cl/ext
\ ern_chrome/ac8f3578e9ba214e.js - DIRECT/208.69.32.230 text/html
1253655551.892 554 10.1.0.91 TCP_MISS/204 293 GET http://clients1.google.cl
\ /generate_204 - DIRECT/74.125.65.102 text/html
[...]
1253655706.201 179 10.1.0.91 TCP_DENIED/403 1376 GET http://www.emol.com/ -
\ NONE/- text/html
1253655706.389 0 10.1.0.91 TCP_DENIED/403 1399 GET http://www.emol.com/fav
\icon.ico - NONE/- text/html
Interfaces de red firewall
A continuacion se muestran las interfaces de red, tanto fısicas, logicas y de tunel disponibles
en el firewall bart.
bart:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:25:11:1b:25:0a
inet addr:192.168.30.100 Bcast:192.168.30.255 Mask:255.255.255.0
[...]
eth1 Link encap:Ethernet HWaddr 00:21:91:21:28:61
inet addr:10.1.0.1 Bcast:10.1.1.255 Mask:255.255.254.0
[...]
eth2 Link encap:Ethernet HWaddr 00:21:91:8c:fe:69
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 57
10.1. PRUEBAS CAPITULO 10. RESULTADOS
Figura 10.1: Squid permitio acceso a www.google.cl
inet addr:10.1.2.1 Bcast:10.1.2.15 Mask:255.255.255.240
[...]
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
[...]
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.99.99.1 P-t-P:10.99.99.2 Mask:255.255.255.255
[...]
tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
[...]
58 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 10. RESULTADOS 10.1. PRUEBAS
Figura 10.2: Squid denego acceso a www.emol.cl
Tabla de rutas en los firewalls
La siguiente tabla muestra la redes y como llegar a ellas desde bart (firewall 1), analoga-
mente existe una tabla similar para krusty.
bart:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.97.97.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun1
10.99.99.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
10.2.2.0 10.99.99.2 255.255.255.240 UG 0 0 0 tun0
10.1.2.0 0.0.0.0 255.255.255.240 U 0 0 0 eth2
10.97.97.0 10.97.97.2 255.255.255.0 UG 0 0 0 tun1
192.168.30.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 59
10.1. PRUEBAS CAPITULO 10. RESULTADOS
10.98.98.0 10.99.99.2 255.255.255.0 UG 0 0 0 tun0
10.2.0.0 10.99.99.2 255.255.254.0 UG 0 0 0 tun0
10.1.0.0 0.0.0.0 255.255.254.0 U 0 0 0 eth1
0.0.0.0 192.168.30.1 0.0.0.0 UG 0 0 0 eth0
Tabla de rutas en firewall 2, alias krusty.
krusty:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.99.99.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
10.98.98.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun1
10.2.2.0 0.0.0.0 255.255.255.240 U 0 0 0 eth2
10.1.2.0 10.99.99.1 255.255.255.240 UG 0 0 0 tun0
172.16.1.128 0.0.0.0 255.255.255.192 U 0 0 0 eth0
10.97.97.0 10.99.99.1 255.255.255.0 UG 0 0 0 tun0
10.98.98.0 10.98.98.2 255.255.255.0 UG 0 0 0 tun1
10.2.0.0 0.0.0.0 255.255.254.0 U 0 0 0 eth1
10.1.0.0 10.99.99.1 255.255.254.0 UG 0 0 0 tun0
0.0.0.0 172.16.1.129 0.0.0.0 UG 0 0 0 eth0
Conexion sitio a sitio
En esta prueba se realizo un ping desde un equipo cliente desde la red 2 al firewall en la
red 1, esto se hizo utilizando como direccion de destino (para el ping) la IP de la LAN del
firewall 1. Como se podra observar el cliente se encuentra en la red 10.2.0.0/23 y en su tabla
de rutas NO existe una ruta valida para la red 10.1.0.0/23, se llega mediante la VPN sitio a
sitio entre el firewall 1 y el firewall 2.
delaf@edward:~$ sudo ifconfig eth0 | grep addr:
inet addr:10.2.0.201 Bcast:10.2.1.255 Mask:255.255.254.0
60 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 10. RESULTADOS 10.1. PRUEBAS
delaf@edward:~$ sudo route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.2.0.0 0.0.0.0 255.255.254.0 U 0 0 0 eth0
0.0.0.0 10.2.0.1 0.0.0.0 UG 0 0 0 eth0
delaf@edward:~$ ping 10.1.0.1
PING 10.1.0.1 (10.1.0.1) 56(84) bytes of data.
64 bytes from 10.1.0.1: icmp_seq=1 ttl=63 time=85.5 ms
64 bytes from 10.1.0.1: icmp_seq=2 ttl=63 time=69.6 ms
64 bytes from 10.1.0.1: icmp_seq=3 ttl=63 time=47.6 ms
64 bytes from 10.1.0.1: icmp_seq=4 ttl=63 time=57.1 ms
64 bytes from 10.1.0.1: icmp_seq=5 ttl=63 time=62.2 ms
^C
--- 10.1.0.1 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4016ms
rtt min/avg/max/mdev = 47.653/64.436/85.537/12.752 ms
Log openvpn-roadwarrior.log
Se muestra a continuacion el log correspondiente al inicio de sesion y autenticacion de un
cliente movil (roadwarrior) en la VPN.
Tue Sep 22 22:15:39 2009 us=719179 MULTI: multi_create_instance called
Tue Sep 22 22:15:39 2009 us=719239 200.83.234.243:38951 Re-using SSL/TLS context
Tue Sep 22 22:15:39 2009 us=719318 200.83.234.243:38951 Control Channel MTU parms
\ [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Sep 22 22:15:39 2009 us=719334 200.83.234.243:38951 Data Channel MTU parms
\ [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Tue Sep 22 22:15:39 2009 us=719369 200.83.234.243:38951 Local Options String:
\ ’V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth SHA1
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 61
10.1. PRUEBAS CAPITULO 10. RESULTADOS
\ ,keysize 128,key-method 2,tls-server’
Tue Sep 22 22:15:39 2009 us=719380 200.83.234.243:38951 Expected Remote Options
\ String: ’V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth
\ SHA1,keysize 128,key-method 2,tls-client’
Tue Sep 22 22:15:39 2009 us=719402 200.83.234.243:38951 Local Options hash
\ (VER=V4): ’239669a8’
Tue Sep 22 22:15:39 2009 us=719419 200.83.234.243:38951 Expected Remote Options
\ hash (VER=V4): ’3514370b’
RTue Sep 22 22:15:39 2009 us=719456 200.83.234.243:38951 TLS: Initial packet from
\ 200.83.234.243:38951, sid=67c838a9 301bfe81
Tue Sep 22 22:15:45 2009 us=502065 200.83.234.243:38951 VERIFY OK: depth=1,
\ /C=CL/ST=Metropolitana/L=Pallocabe__Melipilla/O=Fundo_Santa_Rosa/CN=bart
Tue Sep 22 22:15:45 2009 us=502189 200.83.234.243:38951 VERIFY OK: depth=0,
\ /C=CL/ST=Metropolitana/O=Fundo_Santa_Rosa/CN=delaf
Tue Sep 22 22:15:47 2009 us=974970 200.83.234.243:38951 Data Channel Encrypt:
\ Cipher ’BF-CBC’ initialized with 128 bit key
Tue Sep 22 22:15:47 2009 us=974999 200.83.234.243:38951 Data Channel Encrypt:
\ Using 160 bit message hash ’SHA1’ for HMAC authentication
Tue Sep 22 22:15:47 2009 us=975050 200.83.234.243:38951 Data Channel Decrypt:
\ Cipher ’BF-CBC’ initialized with 128 bit key
Tue Sep 22 22:15:47 2009 us=975064 200.83.234.243:38951 Data Channel Decrypt:
\ Using 160 bit message hash ’SHA1’ for HMAC authentication
WWWRWRRRTue Sep 22 22:15:48 2009 us=113985 200.83.234.243:38951 Control Channel:
\ TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Sep 22 22:15:48 2009 us=114014 200.83.234.243:38951 [delaf] Peer Connection
\ Initiated with 200.83.234.243:38951
Tue Sep 22 22:15:48 2009 us=114071 delaf/200.83.234.243:38951 MULTI: Learn:
\ 10.97.97.6 -> delaf/200.83.234.243:38951
62 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 10. RESULTADOS 10.1. PRUEBAS
Tue Sep 22 22:15:48 2009 us=114085 delaf/200.83.234.243:38951 MULTI: primary
\ virtual IP for delaf/200.83.234.243:38951: 10.97.97.6
RTue Sep 22 22:15:49 2009 us=217453 delaf/200.83.234.243:38951 PUSH: Received
\ control message: ’PUSH_REQUEST’
Tue Sep 22 22:15:49 2009 us=217530 delaf/200.83.234.243:38951 SENT CONTROL [delaf]:
\ ’PUSH_REPLY,route 10.1.0.0 255.255.254.0,route 10.1.2.0 255.255.255.240,route
\ 10.2.0.0 255.255.254.0,route 10.2.2.0 255.255.255.240,route 10.98.98.0
\ 255.255.255.0,route 10.97.97.0 255.255.255.0 logs,route 10.97.97.1,topology
\ net30,ping 10,ping-restart 60,ifconfig 10.97.97.6 10.97.97.5’ (status=1)
[...]
Ping desde cliente roadwarrior a VPN
El cliente se encuentra fuera de la red, simulando como si estuviese en Internet. Y se
conecta como roadwarrior a la VPN en el firewall 1. Se muestra la IP del cliente, que no
corresponde a ninguno de los rangos de las redes coorporativas y en la tabla de ruta se observa
que para llegar a la red 10.0.0.0/8 (que incluye a la red 10.1.0.0/23 y a la red 10.2.0.0/23),
el cliente debe conectarse a traves de la interfaz de la VPN tun0.
delaf@edward:~$ sudo ifconfig ath0 | grep addr:
inet addr:172.16.1.20 Bcast:172.16.1.63 Mask:255.255.255.192
inet6 addr: fe80::21b:9eff:feeb:16af/64 Scope:Link
delaf@edward:~$ sudo ifconfig tun0 | grep addr:
inet addr:10.97.97.6 P-t-P:10.97.97.5 Mask:255.255.255.255
delaf@edward:~$ sudo route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
190.196.19.30 172.16.1.1 255.255.255.255 UGH 0 0 0 ath0
172.16.1.0 0.0.0.0 255.255.255.192 U 0 0 0 ath0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 63
10.1. PRUEBAS CAPITULO 10. RESULTADOS
10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 tun0
0.0.0.0 172.16.1.1 0.0.0.0 UG 0 0 0 ath0
0.0.0.0 0.0.0.0 0.0.0.0 U 1000 0 0 eth0
delaf@edward:~$ ping 10.1.0.1
PING 10.1.0.1 (10.1.0.1) 56(84) bytes of data.
64 bytes from 10.1.0.1: icmp_seq=1 ttl=64 time=50.4 ms
64 bytes from 10.1.0.1: icmp_seq=2 ttl=64 time=54.5 ms
64 bytes from 10.1.0.1: icmp_seq=3 ttl=64 time=44.1 ms
64 bytes from 10.1.0.1: icmp_seq=4 ttl=64 time=50.5 ms
64 bytes from 10.1.0.1: icmp_seq=5 ttl=64 time=41.5 ms
64 bytes from 10.1.0.1: icmp_seq=6 ttl=64 time=56.0 ms
^C
--- 10.1.0.1 ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5022ms
rtt min/avg/max/mdev = 41.541/49.552/56.080/5.201 ms
delaf@edward:~$ ping 10.1.2.2
PING 10.1.2.2 (10.1.2.2) 56(84) bytes of data.
64 bytes from 10.1.2.2: icmp_seq=1 ttl=63 time=60.4 ms
64 bytes from 10.1.2.2: icmp_seq=2 ttl=63 time=46.3 ms
64 bytes from 10.1.2.2: icmp_seq=3 ttl=63 time=58.7 ms
^C
--- 10.1.2.2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2006ms
rtt min/avg/max/mdev = 46.356/55.187/60.413/6.285 ms
Acceso a recursos de la red desde la VPN
La situacion aquı es la misma descrita en el caso anterior. La diferencia es que en vez
de realizar un ping se accede a un servidor de archivos SAMBA que se encuentra en la red
64 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 10. RESULTADOS 10.1. PRUEBAS
(ip 10.1.2.2). en la figura 10.3 se puede ver una conexion al servidor de archivos mediante la
VPN.
Para estas pruebas tener las siguientes consideraciones:
homero: central telefonica en el fundo.
killua: central telefonica en lugar pruebas.
Llamada desde killua a anexos de homero mediante IAX
Se muestra el debug en la CLI1 de homero. Se observa como se define el codec a utilizar,
luego se contesta la llamada, anexo 111 suena y finalmente se corta.
homero*CLI>
-- Accepting AUTHENTICATED call from 200.83.234.243:
> requested format = gsm,
> requested prefs = (gsm),
> actual format = gsm,
> host prefs = (),
> priority = caller
-- Executing [111@iax-in:1] Answer("IAX2/killua-4382", "") in new stack
-- Executing [111@iax-in:2] Goto("IAX2/killua-4382", "default|111|1") in new stack
-- Goto (default,111,1)
-- Executing [111@default:1] Dial("IAX2/killua-4382", "SIP/111|30") in new stack
-- Called 111
-- SIP/111-0920e680 is ringing
-- IAX2/killua-4382 requested special control 20, passing it to SIP/111-0920e680
-- IAX2/killua-4382 requested special control 20, passing it to SIP/111-0920e680
-- IAX2/killua-4382 requested special control 20, passing it to SIP/111-0920e680
-- IAX2/killua-4382 requested special control 20, passing it to SIP/111-0920e680
1CLI: Command line interface
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 65
10.1. PRUEBAS CAPITULO 10. RESULTADOS
== Spawn extension (default, 111, 1) exited non-zero on ’IAX2/killua-4382’
-- Hungup ’IAX2/killua-4382’
Llamada desde homero a killua
La mista situacion que en el caso anterior pero esta ves la llamada es desde central homero
a un anexo en la central de killua.
Se muestra el log de homero que es desde donde se llama.
homero*CLI> console dial 511
[Sep 22 17:55:54] WARNING[14244]: chan_oss.c:682 setformat: Unable to re-open DSP
\ device /dev/dsp: No such file or directory
-- Executing [511@default:1] Answer("Console/dsp", "") in new stack
<< Console call has been answered >>
[Sep 22 17:55:54] NOTICE[18250]: pbx.c:1642 pbx_substitute_variables_helper_full:
\ Error in extension logic (missing ’}’)
[Sep 22 17:55:54] WARNING[18250]: pbx.c:1539 func_args: Can’t find trailing
\ parenthesis?
-- Executing [511@default:2] Set("Console/dsp", "CALLERID(number)=7") in new
\ stack
-- Executing [511@default:3] Dial("Console/dsp",
\ "IAX2/pallocabe:pallo.iax%@killua.sytes.net/11|30") in new stack
-- Called pallocabe:pallo.iax%@killua.sytes.net/11
-- Call accepted by 200.83.234.243 (format gsm)
-- Format for call is gsm
-- IAX2/killua-11453 answered Console/dsp
homero*CLI> console hangup
-- Hungup ’IAX2/killua-11453’
== Spawn extension (default, 511, 3) exited non-zero on ’Console/dsp’
<< Hangup on console >>
66 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 10. RESULTADOS 10.1. PRUEBAS
Log de killua.
killua*CLI>
-- Accepting AUTHENTICATED call from 190.196.19.30:
> requested format = gsm,
> requested prefs = (),
> actual format = gsm,
> host prefs = (gsm),
> priority = mine
-- Executing [11@iax-in:1] Answer("IAX2/pallocabe-11350", "") in new stack
-- Executing [11@iax-in:2] Goto("IAX2/pallocabe-11350", "default|11|1") in new stack
-- Goto (default,11,1)
-- Executing [11@default:1] Dial("IAX2/pallocabe-11350", "SIP/11|30") in new stack
-- Called 11
-- SIP/11-09c4e7b8 is ringing
-- IAX2/pallocabe-11350 requested special control 20, passing it to SIP/11-09c4e7b8
-- IAX2/pallocabe-11350 requested special control 20, passing it to SIP/11-09c4e7b8
-- IAX2/pallocabe-11350 requested special control 20, passing it to SIP/11-09c4e7b8
-- IAX2/pallocabe-11350 requested special control 20, passing it to SIP/11-09c4e7b8
== Spawn extension (default, 11, 1) exited non-zero on ’IAX2/pallocabe-11350’
-- Hungup ’IAX2/pallocabe-11350’
Peers/usuarios en la central telefonica homero
Listado de peers. Se muestran los estados de los peers, observandose solo algunos conec-
tados a la central a la hora de realizar estas pruebas (aproximadamente 17:30 horas).
homero*CLI> sip show peers
Name/username Host Dyn Nat ACL Port Status
191/191 10.1.0.91 D 58976 OK (106 ms)
151 (Unspecified) D 0 UNKNOWN
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 67
10.1. PRUEBAS CAPITULO 10. RESULTADOS
141/141 (Unspecified) D 0 UNKNOWN
131/131 (Unspecified) D 0 UNKNOWN
126 (Unspecified) D 0 UNKNOWN
125 (Unspecified) D 0 UNKNOWN
124/124 10.1.0.24 D 19906 UNREACHABLE
123/123 10.1.0.23 D 26342 UNREACHABLE
122 (Unspecified) D 0 UNKNOWN
121/121 10.1.0.21 D 50785 UNREACHABLE
114/114 (Unspecified) D 0 UNKNOWN
113 (Unspecified) D 0 UNKNOWN
112/112 10.1.0.12 D 55123 UNREACHABLE
111/111 10.1.0.108 D 5060 OK (20 ms)
REDLIBRE/131070 190.54.42.58 5060 OK (63 ms)
REDVOISS/ID_86884 64.76.154.110 5060 OK (57 ms)
16 sip peers [Monitored: 4 online, 12 offline Unmonitored: 0 online, 0 offline]
Llamada entre anexos
Llamada desde un anexo a otro en la central homero. En la figura 10.4 se puede ver al
softphone haciendo la llamada.
homero*CLI>
-- Executing [111@default:1] Dial("SIP/191-b7117ff0", "SIP/111|30") in new stack
-- Called 111
-- SIP/111-b711bf68 is ringing
== Spawn extension (default, 111, 1) exited non-zero on ’SIP/191-b7117ff0’
Llamada desde PSTN a homero
Llamada desde la PSTN a central telefonica homero. En la figura 10.5 se puede ver la
llamada perdida que quedo por marcar la extension 121. En el log se puede observar la
68 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 10. RESULTADOS 10.1. PRUEBAS
ejecucion del menu IVR y las opciones ingresadas por el usuario.
homero*CLI>
-- Executing [s@default:1] Answer("SIP/ID_86884-b711ab10", "") in new stack
-- Executing [s@default:2] Set("SIP/ID_86884-b711ab10", "TIMEOUT(digit)=4")
\ in new stack
-- Digit timeout set to 4
-- Executing [s@default:3] Set("SIP/ID_86884-b711ab10", "TIMEOUT(response)=8")
\ in new stack
-- Response timeout set to 8
-- Executing [s@default:4] BackGround("SIP/ID_86884-b711ab10", "bienvenida")
\ in new stack
-- <SIP/ID_86884-b711ab10> Playing ’bienvenida’ (language ’es’)
-- Executing [s@default:5] Wait("SIP/ID_86884-b711ab10", "1") in new stack
-- Executing [s@default:6] BackGround("SIP/ID_86884-b711ab10", "beep") in new
\ stack
-- <SIP/ID_86884-b711ab10> Playing ’beep’ (language ’es’)
-- Executing [s@default:7] Read("SIP/ID_86884-b711ab10", "extension||3") in
\ new stack
-- Accepting a maximum of 3 digits.
-- User entered ’121’
-- Executing [s@default:8] BackGround("SIP/ID_86884-b711ab10", "transfer") in
\ new stack
-- <SIP/ID_86884-b711ab10> Playing ’transfer’ (language ’es’)
-- Executing [s@default:9] Wait("SIP/ID_86884-b711ab10", "1") in new stack
-- Executing [s@default:10] Goto("SIP/ID_86884-b711ab10", "default|121|1") in
\ new stack
-- Goto (default,121,1)
-- Executing [121@default:1] Dial("SIP/ID_86884-b711ab10", "SIP/121|30") in
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 69
10.1. PRUEBAS CAPITULO 10. RESULTADOS
\ new stack
-- Called 121
-- SIP/121-0920dd98 is ringing
-- SIP/121-0920dd98 answered SIP/ID_86884-b711ab10
-- Packet2Packet bridging SIP/ID_86884-b711ab10 and SIP/121-0920dd98
== Spawn extension (default, 121, 1) exited non-zero on ’SIP/ID_86884-b711ab10’
Correo de voz
En el log se puede apreciar como se realiza una llamada desde la PSTN a un usuario y al
no estar disponible es enviada la llamada al buzon de voz indicandoselo al usuario que llama.
Ademas en la figura 10.6 se puede ver como llega el mensaje de voz al usuario mediante
correo electronico.
homero*CLI>
-- Executing [s@default:1] Answer("SIP/ID_86884-b7117ff0", "") in new stack
-- Executing [s@default:2] Set("SIP/ID_86884-b7117ff0", "TIMEOUT(digit)=4")
\ in new stack
-- Digit timeout set to 4
-- Executing [s@default:3] Set("SIP/ID_86884-b7117ff0", "TIMEOUT(response)=8")
\ in new stack
-- Response timeout set to 8
-- Executing [s@default:4] BackGround("SIP/ID_86884-b7117ff0", "bienvenida")
\ in new stack
-- <SIP/ID_86884-b7117ff0> Playing ’bienvenida’ (language ’es’)
-- Executing [s@default:5] Wait("SIP/ID_86884-b7117ff0", "1") in new stack
-- Executing [s@default:6] BackGround("SIP/ID_86884-b7117ff0", "beep") in new
\ stack
-- <SIP/ID_86884-b7117ff0> Playing ’beep’ (language ’es’)
-- Executing [s@default:7] Read("SIP/ID_86884-b7117ff0", "extension||3") in
70 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 10. RESULTADOS 10.1. PRUEBAS
\ new stack
-- Accepting a maximum of 3 digits.
-- User entered ’113’
-- Executing [s@default:8] BackGround("SIP/ID_86884-b7117ff0", "transfer")
\ in new stack
-- <SIP/ID_86884-b7117ff0> Playing ’transfer’ (language ’es’)
-- Executing [s@default:9] Wait("SIP/ID_86884-b7117ff0", "1") in new stack
-- Executing [s@default:10] Goto("SIP/ID_86884-b7117ff0", "default|113|1")
\ in new stack
-- Goto (default,113,1)
-- Executing [113@default:1] Dial("SIP/ID_86884-b7117ff0", "SIP/113|30")
\ in new stack
[Sep 22 18:02:16] WARNING[18435]: app_dial.c:1202 dial_exec_full: Unable to create
\ channel of type ’SIP’ (cause 3 - No route to destination)
== Everyone is busy/congested at this time (1:0/0/1)
-- Executing [113@default:2] VoiceMail("SIP/ID_86884-b7117ff0", "113|u") in
\ new stack
-- <SIP/ID_86884-b7117ff0> Playing ’vm-theperson’ (language ’es’)
-- <SIP/ID_86884-b7117ff0> Playing ’digits/1’ (language ’es’)
-- <SIP/ID_86884-b7117ff0> Playing ’digits/1’ (language ’es’)
-- <SIP/ID_86884-b7117ff0> Playing ’digits/3’ (language ’es’)
-- <SIP/ID_86884-b7117ff0> Playing ’vm-isunavail’ (language ’es’)
[Sep 22 18:02:21] NOTICE[18435]: sched.c:220 ast_sched_add_variable: Scheduled
\ event in 0 ms?
-- <SIP/ID_86884-b7117ff0> Playing ’vm-intro’ (language ’es’)
-- <SIP/ID_86884-b7117ff0> Playing ’beep’ (language ’es’)
-- Recording the message
-- x=0, open writing: /var/spool/asterisk/voicemail/default/113/tmp/6thRlR
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 71
10.1. PRUEBAS CAPITULO 10. RESULTADOS
\ format: wav49, 0x917adc8
-- User hung up
== Spawn extension (default, 113, 2) exited non-zero on ’SIP/ID_86884-b7117ff0’
Estadısticas CDR
En la figura 10.7 se aprecia una forma de ver los registros de llamadas.
72 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 10. RESULTADOS 10.1. PRUEBAS
Figura 10.3: Conexion a servidor SAMBA mediante VPN.
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 73
10.1. PRUEBAS CAPITULO 10. RESULTADOS
Figura 10.4: Llamada perdida desde la PSTN
74 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 10. RESULTADOS 10.1. PRUEBAS
Figura 10.5: Llamada perdida desde la PSTN
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 75
10.1. PRUEBAS CAPITULO 10. RESULTADOS
Figura 10.6: Mensaje de voz enviado al correo del usuario.
76 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 10. RESULTADOS 10.1. PRUEBAS
Figura 10.7: Registro de llamadas dıa 2009-09-04
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 77
10.1. PRUEBAS CAPITULO 10. RESULTADOS
78 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
Capıtulo 11
Conclusiones
El proyecto realizado cumplio con las expectativas del cliente, el cual indico sentirse satis-
fecho con lo entregado como producto final. Ademas se lograron aplicar varios conocimientos
adquiridos en asignaturas de la carrera la cual cursamos, y explorando temas desconocidos o
no vistos en esta.
Como equipo de trabajo logramos administrar de forma correcta los tiempos para realizar
todo el proceso, tanto de analisis de problematica como de ejecucion de la solucion propuesta,
claro respetando los plazos estipulados por la carrera en cuanto al tiempo de evaluacion
correspondiente a la asignatura pertinente.
Algo importante que se rescato en esta memoria para futuros proyectos, es que todos los
acuerdos realizados con el cliente deben quedar documentados y firmados por ambas partes
para que en el transcurso de este no hayan cambios bruscos en lo pactado en el origen.
Por otro lado se debe tener en cuenta la documentacion de todo lo realizado como solucion
e implementacion, ya que el tener claro esto se puede realizar un analisis mas rapido y fluido
en caso de verificar errores, identificando la etapa en la cual este se encuentra con mas rapidez
ası no afectando al tiempo el cual es muy importante.
Claramente algo fundamental es tener claro los objetivos trazados al inicio ya que el
cumplimiento de estos entregan la satisfaccion tanto del cliente, como a forma personal por
alcanzar las metas personales propuestas.
79
CAPITULO 11. CONCLUSIONES
80 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
Capıtulo 12
Bibliografıa
12.1. Bibliografıa
“Integracion de voz y datos: Call Centers, Tecnologıa y Aplicaciones”, Jose Huidobro
y David Roldan, McGraw-Hill, 2003.
“Redes inalambricas en los Paıses en Desarrollo”, http://wndw.net, Limehouse Book
Sprint Team, 2006.
“Material CCNA”, CISCO.
“Asterisk: El futuro de la telefonıa y la VoIP ha llegado”, Saul Ibarra, 2007.
“Voz sobre IP y Asterisk”, Gorka Gorrotxategi e Inaki Baz, IRONTEC.
12.2. Recursos digitales
http://www.ecualug.org/?q=2007/03/08/forums/squid
http://vive-libre.com/blog/2009/03/12/squid-proxy-acl-para-bloquear-msn/
http://www.ecualug.org/?q=2008/05/26/forums/bloquear skype
81
12.2. RECURSOS DIGITALES CAPITULO 12. BIBLIOGRAFIA
http://liberamemoria.blogspot.com/2007/02/enterprise-blacklist-project-beta.html
http://dns.bdat.net/documentos/squid/x30.html
http://www.linuxespanol.com/tema2121.html
http://hazual.blogspot.com/2008/05/squid-transparente-ubuntu-704 06.html
http://blog.unlugarenelmundo.es/2008/11/14/proxy-transparente-con-squid-en-debian
http://phylevn.mexrom.net/index.php/blog/category/8.html
http://www.asterisk-peru.com/node/1122
http://laurel.datsi.fi.upm.es/ rpons/openvpn como/
http://ubuntuforums.org/showthread.php?t=163928
http://www.debian-administration.org/articles/35
http://linuxsilo.net/articles/vpn.html
http://www.gir.me.uk/computers/debian vpn.html
http://www.xtech.com.ar/articulos/freeswan/tutorial-freeswan/
http://www.shorewall.net/IPSEC-2.6.html
http://osr600doc.sco.com/en/NET ipsec/ipsec top.html
http://www.kame.net/newsletter/20001119/
http://uw714doc.sco.com/en/NET ipsec/roadwarrior.html
http://shaddack.twibright.com/projects/ipx/
http://es.wikibooks.org/wiki/OpenVPN/Marco Teorico
http://preguntaslinux.org/archive/index.php/thread-3562.html
82 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
CAPITULO 12. BIBLIOGRAFIA 12.2. RECURSOS DIGITALES
http://www.gratisweb.com/introd linux/at y crontab.htm
http://www.vicente-navarro.com/blog/2008/01/13/backups-con-rsync/
http://www.dcc.uchile.cl/ jbarrios/latex/
Ademas de los recursos anteriores se consultaron los manuales del sistema de los diferentes
comandos usados. Esto mediante el software “man”, por ejemplo “man iptables”.
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 83
12.2. RECURSOS DIGITALES CAPITULO 12. BIBLIOGRAFIA
84 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
Anexo A
Configuraciones
A.1. Firewall Fundo
A.1.1. /etc/network/interfaces
En este archivo se declaran las interfaces de red y sus configuraciones.
# The loopback network interface
auto lo
iface lo inet loopback
# WAN
auto eth0
iface eth0 inet static
address 192.168.30.100
netmask 255.255.255.0
network 192.168.30.0
broadcast 192.168.30.255
gateway 192.168.30.1
dns-nameservers 208.67.220.220 208.67.222.222
85
A.1. FIREWALL FUNDO ANEXO A. CONFIGURACIONES
# LAN
auto eth1
iface eth1 inet static
address 10.1.0.1
netmask 255.255.254.0
network 10.1.0.0
broadcast 10.1.1.255
# DMZ
auto eth2
iface eth2 inet static
address 10.1.2.1
netmask 255.255.255.240
network 10.1.2.0
broadcast 10.1.2.15
A.1.2. /etc/init.d/firewall.sh
Es este archivo se declaran las reglas del firewall y el enmascaramiento para el uso de
NAT.
#!/bin/sh
## Script para el firewall en bart
## VARIABLES
# interfaces de red
WAN_IF="eth0" # internet
86 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
ANEXO A. CONFIGURACIONES A.1. FIREWALL FUNDO
LAN1_IF="eth1" # red interna fundo
LAN1_NET="10.1.0.0/23"
DMZ_IF="eth2" # granja servidores
DMZ_NET="10.1.2.0/28"
# filtro de contenido
SQUID_SERVER="10.1.0.1"
SQUID_PORT="3128"
### INICIA SCRIPT
echo -n "Aplicando las reglas del Firewall... "
### IPTABLES
## REGLAS GENERALES
# flush de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
# politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 87
A.1. FIREWALL FUNDO ANEXO A. CONFIGURACIONES
# conexiones locales se permiten
iptables -A INPUT -i lo -j ACCEPT
## ACTIVAR NAT
# permitir que otros equipos puedan salir a traves del firewall
echo 1 > /proc/sys/net/ipv4/ip_forward
# enmascaramiento de las redes locales
iptables -t nat -A POSTROUTING -s $LAN1_NET -o $WAN_IF -j MASQUERADE
iptables -t nat -A POSTROUTING -s $DMZ_NET -o $WAN_IF -j MASQUERADE
## OPENVPN
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
## WAN
# abrimos determinados puertos desde el exterior
iptables -A INPUT -i $WAN_IF -p tcp --dport 53 -j ACCEPT # dns
iptables -A INPUT -i $WAN_IF -p udp --dport 53 -j ACCEPT # dns
iptables -A INPUT -i $WAN_IF -p udp --dport 5000 -j ACCEPT # openvpn tunel
iptables -A INPUT -i $WAN_IF -p udp --dport 1194 -j ACCEPT # openvpn roadwarrior
# evitamos el acceso a puertos conocidos desde el exterior
iptables -A INPUT -i $WAN_IF -p tcp --dport 1:1024 -j DROP
iptables -A INPUT -i $WAN_IF -p udp --dport 1:1024 -j DROP
88 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
ANEXO A. CONFIGURACIONES A.1. FIREWALL FUNDO
# evitamos el acceso a otros puertos desde el exterior
iptables -A INPUT -i $WAN_IF -p tcp --dport 3128 -j DROP # squid
# aceptar ICMP
iptables -A INPUT -i $WAN_IF -p icmp -j ACCEPT
# redireccionamiento de puertos
iptables -t nat -A PREROUTING -i $WAN_IF -p tcp --dport 22 -j DNAT \
--to 10.1.2.2:22 # ssh
iptables -t nat -A PREROUTING -i $WAN_IF -p tcp --dport 80 -j DNAT \
--to 10.1.2.2:80 # http
iptables -t nat -A PREROUTING -i $WAN_IF -p tcp --dport 443 -j DNAT \
--to 10.1.2.2:443 # https
iptables -t nat -A PREROUTING -i $WAN_IF -p tcp --dport 25 -j DNAT \
--to 10.1.2.2:25 # imap
iptables -t nat -A PREROUTING -i $WAN_IF -p tcp --dport 143 -j DNAT \
--to 10.1.2.2:143 # imap
iptables -t nat -A PREROUTING -i $WAN_IF -p udp --dport 4569 -j DNAT \
--to 10.1.2.2:4569 # iax2
## LAN1
# acceso al firewall no se permite desde la LAN1, solo SSH y PING desde la LAN1
iptables -A INPUT -s $LAN1_NET -i $LAN1_IF -p tcp --dport 22 -j ACCEPT # ssh
iptables -A INPUT -s $LAN1_NET -i $LAN1_IF -p icmp -j ACCEPT # icmp
iptables -A INPUT -s $LAN1_NET -i $LAN1_IF -j DROP
# mediante forward permitimos el accesos hacia el exterior (por default DROP todo)
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 89
A.1. FIREWALL FUNDO ANEXO A. CONFIGURACIONES
iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 21 -j ACCEPT # ftp
iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 22 -j ACCEPT # ssh
iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 80 -j ACCEPT # http
iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 443 -j ACCEPT # https
iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p tcp --dport 53 -j ACCEPT # dns
iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -p udp --dport 53 -j ACCEPT # dns
iptables -A FORWARD -s $LAN1_NET -i $LAN1_IF -j DROP
# redireccionar solicitudes http a proxy squid
iptables -t nat -A PREROUTING -i $LAN1_IF -p tcp --dport 80 -d ! $DMZ_NET -j DNAT \
--to $SQUID_SERVER:$SQUID_PORT
## DMZ
# acceso al firewall no se permite desde la DMZ, solo SSH y PING desde la DMZ
iptables -A INPUT -s $DMZ_NET -i $DMZ_IF -p tcp --dport 22 -j ACCEPT # ssh
iptables -A INPUT -s $DMZ_NET -i $DMZ_IF -p icmp -j ACCEPT # icmp
iptables -A INPUT -s $DMZ_NET -i $DMZ_IF -j DROP
### FIN
echo "[OK]"
echo "Verificar con: iptables -L -n"
A.1.3. /etc/squid3/squid.conf
En este archivo se declaran las listas de acceso y los permisos que tendran los usuarios de
la red para acceder a los sitios web.
## CONFIGURACION GENERAL
90 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
ANEXO A. CONFIGURACIONES A.2. VPN FUNDO
visible_hostname proxy.pallocabe.cl
http_port 3128 transparent
access_log /var/log/squid3/access.log squid
error_directory /usr/share/squid3/errors/Spanish
coredump_dir /var/spool/squid3
## ACL
# sitios y contenido destino
acl sitios_aceptados url_regex "/etc/squid3/acl/sitios_aceptados"
acl sitios_denegados url_regex "/etc/squid3/acl/sitios_denegados"
# ips locales
acl lan1 src 10.1.0.0/23
acl ip_vip src "/etc/squid3/acl/ip_vip"
## REGLAS
http_access allow ip_vip all
http_access allow sitios_aceptados all
http_access deny sitios_denegados
http_access allow lan1
http_access deny all
A.2. VPN Fundo
A.2.1. /etc/openvpn/tunel.conf
Archivo correspondiente a la VPN para el acceso mediante el tunel con la oficina central.
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 91
A.2. VPN FUNDO ANEXO A. CONFIGURACIONES
remote IP_OFICINA_MELIPILLA
port 5000
proto udp
dev tun0
user nobody
disable-occ
ifconfig 10.99.99.1 10.99.99.2
comp-lzo
secret /etc/openvpn/clave.key
# rutas
push "route 10.1.0.0 255.255.254.0"
push "route 10.1.2.0 255.255.255.240"
route 10.2.0.0 255.255.254.0
route 10.2.2.0 255.255.255.240
route 10.98.98.0 255.255.255.0
# logs
status /var/log/openvpn-tunel-status.log
log /var/log/openvpn-tunel.log
verb 5
A.2.2. /etc/openvpn/roadwarrior.conf
Archivo correspondiente a la VPN para el acceso de usuarios remotos.
port 1194
proto udp
dev tun1
persist-tun
92 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
ANEXO A. CONFIGURACIONES A.2. VPN FUNDO
# certificados
ca /etc/openvpn/cert/cacert.pem
cert /etc/openvpn/cert/roadwarrior.crt
key /etc/openvpn/cert/roadwarrior.key
dh /etc/openvpn/cert/dh1024.pem
# red para los clientes
server 10.97.97.0 255.255.255.0
# rutas que se entregaran a los clientes
push "route 10.1.0.0 255.255.254.0"
push "route 10.1.2.0 255.255.255.240"
push "route 10.2.0.0 255.255.254.0"
push "route 10.2.2.0 255.255.255.240"
push "route 10.98.98.0 255.255.255.0"
push "route 10.97.97.0 255.255.255.0" logs
keepalive 10 60
user nobody
group nogroup
persist-key
# logs
status /var/log/openvpn-roadwarrior-status.log
log /var/log/openvpn-roadwarrior.log
verb 5
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 93
A.3. CENTRAL TELEFONICA FUNDO ANEXO A. CONFIGURACIONES
Ademas se deben crear y firmar los certificados para cada usuario que se desee agregar,
la entidad certificadora se encuentra en el mismo firewall y los certificados se crean con el
siguiente script:
#!/bin/bash
openssl req -nodes -new -keyout $1.key -out $1.csr
openssl ca -out $1.crt -in $1.csr
A.3. Central telefonica Fundo
A.3.1. /etc/asterisk/sip.conf
Se declaran usuarios de la central telefonica.
[general]
CONTEXt=anexos
realm=voip.pallocabe.cl
bindport=5060
; codecs
disallow=all
allow=g729
allow=ulaw
allow=alaw
allow=gsm
language=es
; REDVOISS
register=>NUMERO:CLAVE:[email protected]
94 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
ANEXO A. CONFIGURACIONES A.3. CENTRAL TELEFONICA FUNDO
externip=190.196.19.30
localnet=10.0.0.0/8
nat=no
; clientes se pueden conectar entre ellos
canreinvite=yes
; dominios y sus contextos
domain=voip.pallocabe.cl,default
domain=10.1.2.2,default
domain=190.196.19.30,default
[REDVOISS]
type=peer
context=anexos
secret=CLAVE
username=ID
fromuser=NUMERO
fromdomain=pxext.redvoiss.net
canreinvite=no
dtmfmode=RFC2833
host=pxext.redvoiss.net
insecure=very
allow=g729
[111]
callerid="gdelafuente" <111>
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 95
A.3. CENTRAL TELEFONICA FUNDO ANEXO A. CONFIGURACIONES
md5secret=CLAVE_MD5
context=anexos
type=friend
host=dynamic
[112]
callerid="hmalhue" <112>
md5secret=CLAVE_MD5
context=anexos
type=friend
host=dynamic
[113]
callerid="delaf" <113>
md5secret=CLAVE_MD5
context=anexos
type=friend
host=dynamic
A.3.2. /etc/asterisk/extensions.conf
Se declaran las extensiones que existiran, se asocian con usuarios y se crea el plan de
marcado.
[general]
static=yes ; =yes evita que pbx_config sobrescriba este fichero
writeprotect=yes ; evita usar "dialplan save" en CLI
autofallthrough=yes ; =yes termina llamada, =no busca nueva extension
clearglobalvars=no ; las variables globales seran limpiadas al usar reload
96 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
ANEXO A. CONFIGURACIONES A.3. CENTRAL TELEFONICA FUNDO
[pstn-out]
exten => _9X.,1,Set(CALLERID(number)=557100028822)
exten => _9X.,2,Dial(SIP/REDVOISS/${EXTEN:1})
exten => _9X.,3,Hangup
[iax-out]
exten => _6X.,1,Answer()
exten => _6X.,n,Set(CALLERID(number)=7${CALLERID(number))
exten => _6X.,n,Dial(IAX2/USUARIO:CLAVE@IP_OFICINA_MELIPILLA/${EXTEN:1},30)
exten => _6X.,n,Hangup()
[anexos]
exten => 111,1,Dial(SIP/111,30)
exten => 111,n,Dial(SIP/REDVOISS/0056990210321,30)
exten => 111,n,Voicemail(111,u)
exten => 111,n,Voicemail(111,b)
exten => 111,n,Hangup
exten => 112,1,Dial(SIP/112,30)
exten => 112,n,Voicemail(112,u)
exten => 112,n,Voicemail(112,b)
exten => 112,n,Hangup
exten => 113,1,Dial(SIP/113,30)
exten => 113,n,Voicemail(113,u) ; no disponible
exten => 113,n,Voicemail(113,b) ; ocupado
exten => 113,n,Hangup
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 97
A.3. CENTRAL TELEFONICA FUNDO ANEXO A. CONFIGURACIONES
[ivr]
; extension para grabacion de mensaje de bienvenida
exten => **100,1,Wait(1)
exten => **100,n,Record(bienvenida.gsm,7,7) ; graba 7 segundos
exten => **100,n,Wait(1)
exten => **100,n,Playback(bienvenida)
exten => **100,n,Wait(1)
exten => **100,n,Hangup
; extension para escuchar el mensaje de bienvenida
exten => **101,1,Wait(1)
exten => **101,n,Answer
exten => **101,n,Playback(bienvenida)
exten => **101,n,Wait(2)
exten => **101,n,Hangup
; extension para probar el mainmenu
exten => 1000,1,Goto(ivr,s,1)
; start extension
exten => s,1,Answer() ; contestar extension IVR
exten => s,n,Set(TIMEOUT(digit)=4) ; Set Digit Timeout to 5 seconds
exten => s,n,Set(TIMEOUT(response)=8) ; Set Response Timeout to 10 seconds
exten => s,n(welcome),BackGround(bienvenida)
exten => s,n(beep),Wait(1)
exten => s,n,Background(beep)
exten => s,n,Read(extension||3)
98 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
ANEXO A. CONFIGURACIONES A.3. CENTRAL TELEFONICA FUNDO
exten => s,n,Background(transfer)
exten => s,n,Wait(1)
exten => s,n,Goto(default,${extension},1)
exten => s,n,Hangup()
;exten => s,n,WaitExten(5) ; Wait for an extension to be dialed.
exten => i,1,Playback(invalid) ; "That’s not valid, try again
exten => i,n,Goto(s,beep)
[servicios]
; buzon de voz
exten => 100,1,VoicemailMain
exten => 100,n,Hangup
; prueba de eco
exten => 101,1,Playback(demo-echotest) ; Let them know what’s going on
exten => 101,n,Echo ; Do the echo test
exten => 101,n,Playback(demo-echodone) ; Let them know it’s over
exten => 101,n,Hangup
[default]
include => ivr
include => anexos
include => servicios
include => iax-out
include => pstn-out
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 99
A.3. CENTRAL TELEFONICA FUNDO ANEXO A. CONFIGURACIONES
A.3.3. /etc/asterisk/iax.conf
Se declaran usuarios para el uso del troncal IAX.
; bindport and bindaddr may be specified
bindport=4569
bindaddr=190.196.19.30
; Specify bandwidth of low, medium, or high to control which codecs are used
; in general.
bandwidth=low
[lisa]
type=friend
secret=******
context=iax-in
host=IP_OFICINA_MELIPILLA
notransfer=yes
A.3.4. /etc/asterisk/voicemail.conf
Se declaran los buzones de voz a los usuarios, junto con el envio de los mensajes a los
correos.
[general]
; Formats for writing Voicemail. Note that when using IMAP storage for
; voicemail, only the first format specified will be used.
format = wav49
; Who the e-mail notification should appear to come from
100 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral
ANEXO A. CONFIGURACIONES A.3. CENTRAL TELEFONICA FUNDO
serveremail = [email protected]
; Should the email contain the voicemail as an attachment
attach = yes
; Maximum number of messages per folder. If not specified, a default value
; (100) is used. Maximum value for this option is 9999.
maxmsg = 100
; Maximum length of a voicemail message in seconds
maxmessage = 180
; Change the from, body and/or subject, variables:
emailsubject = [VoIP: mensaje ${VM_MSGNUM}]: Nuevo mensaje en buzon de voz de
${VM_MAILBOX}
emailbody = Estimado ${VM_NAME}:\n\nTiene un nuevo mensaje en su buzon, se adjunta
en este correo.
; 24h date format
emaildateformat = %A, %d %B %Y at %H:%M:%S
; After notification, the voicemail is deleted from the server. [per-mailbox only]
delete=yes
[default]
111 => 111,Gonzalo De La Fuente Valderrama,[email protected]
112 => 112,Hernaldo Malhue,[email protected]
Implementacion Sistema de Telefonıa IP y Seguridad Perimetral 101
A.3. CENTRAL TELEFONICA FUNDO ANEXO A. CONFIGURACIONES
113 => 113,Esteban De La Fuente Rubio,[email protected]
A.3.5. /etc/asterisk/cdr mysql.conf
Se declara la configuracion para el acceso a la base de datos MySQL.
[global]
hostname=localhost
dbname=asterisk
table=cdr
password=********
user=asterisk
port=3306
102 Implementacion Sistema de Telefonıa IP y Seguridad Perimetral