UNIVERSIDAD CATÓLICA DE CUENCA

Transcripción

1 UNIVERSIDAD CATÓLICA DE CUENCA UNIDAD ACADÉMICA DE INGENIERÍA DE SISTEMAS, ELÉCTRICA Y ELECTRÓNICA CARRERA DE INGENIERÍA DE SISTEMAS DISEÑO Y SIMULACIÓN DE LA RED DE ACCESO PARA LA UNIDAD ACADÉMICA DE INGENIERÍA DE SISTEMAS, ELÉCTRICA Y ELECTRÓNICA DE LA UNIVERSIDAD CATÓLICA DE CUENCA USANDO MIKROTIK ROUTEROS TRABAJO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO DE SISTEMAS TEC. ANL. SIST. WENDY ELIZABETH SANTANA ROMERO wsantanar@hotmail.com Director: Ing. Javier Cabrera Mejía 2014

2 DECLARACIÓN Yo, Wendy Elizabeth Santana Romero, declaro bajo juramento que el trabajo aquí descrito es de mi autoría; que no ha sido previamente presentada para ningún grado o calificación profesional; y, que he consultado las referencias bibliográficas que se incluyen en este documento. La Universidad Católica de Cuenca puede hacer uso de los derechos correspondientes a este trabajo, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y la normatividad institucional vigente. Wendy Elizabeth Santana Romero - II -

3 CERTIFICACIÓN Certifico que el presente trabajo fue desarrollado por Wendy Elizabeth Santana Romero, bajo mi supervisión. Ing. Javier Cabrera Mejía DIRECTOR - III -

4 AGRADECIMIENTO Agradezco en primer lugar a Dios que gracias a su bondad y amor me ha conducido a cumplir las metas planteadas en mi vida. A todo el personal Docente y Administrativo de la Universidad Católica de Cuenca y en particular de la Facultad de Ingeniería de Sistemas, Eléctrica y Electrónica; en la cual curse mis estudios forjando y fortaleciendo mi perfil profesional. Debo agradecer de manera especial y sincera al Ing. Javier Cabrera por aceptarme para realizar este trabajo de investigación bajo su dirección. Su apoyo y confianza en mi trabajo y su capacidad para guiar mis ideas ha sido un aporte invaluable, no solamente en el desarrollo de esta tesis, sino también en mi formación profesional. A mi familia que ha estado junto a mí en esta meta cumplida brindándome su apoyo incondicional, amistad, consejos, ánimo y compañía en los momentos más difíciles de mi vida. Wendy - IV -

5 DEDICATORIA Dedico este trabajo de investigación a mí querida familia que tras duros momentos que hemos tenido que pasar, siempre me supieron apoyar creyendo en mí y encausándome a salir adelante. Mediante su ejemplo digno de entrega y superación hoy puedo ver finalizada una meta más en vida. Con mucho amor a mis dos hijos ya que ellos fueron mi motor para alcanzar esta meta, dándoles como ejemplo que todo esfuerzo y sacrificio son esenciales para llegar a superarse. A mis hermanas, mi querida madre y esposo, ya que por el apoyo y la ayuda brindada me ayudaron a alcanzar la meta de culminar mis estudios. Gracias por haber fomentado en mí el deseo de superación y el anhelo de triunfo en la vida. Wendy - V -

6 ÍNDICE DE CONTENIDO DECLARACIÓN II CERTIFICACIÓN III AGRADECIMIENTO IV DEDICATORIA V ÍNDICE DE CONTENIDO VI LISTA DE FIGURAS VIII LISTA DE TABLAS X RESUMEN XI ABSTRACT XII CAPITULO 1. FUNDAMENTACIÓN TEÓRICA INFORMACIÓN GENERAL DE ROUTEROS ROUTEROS MIKROTIK CARACTERÍSTICAS PRINCIPALES DE ROUTEROS WIRELESS FIREWALL ROUTING CALIDAD DE SERVICIO QOS CONTROL DE ANCHO DE BANDA SERVIDOR / CLIENTE LICENCIAMIENTO MODELOS DE PLACAS ROUTERBOARDS 17 CAPITULO 2. DIAGNÓSTICO SITUACIONAL TOPOLOGÍA DE LA RED ACTUAL TOPOLOGÍAS FÍSICAS TOPOLOGÍAS LÓGICAS DISTRIBUCIÓN DE PUNTOS DE ACCESO EN LA FACULTAD DE INGENIERÍA DE SISTEMAS 26 CAPITULO 3. PROPUESTA CONFIGURACIÓN DE ROUTEROS ASIGNACIÓN DE NOMBRES A INTERFACES Y DIRECCIONAMIENTO CREACIÓN DE LA RUTA POR DEFECTO, ENMASCARAMIENTO Y ASIGNACIÓN DE DNS SERVIDOR Y CLIENTE DHCP SERVIDOR DHCP CLIENTE DHCP FIREWALL EN ROUTEROS SERVIDOR DE HOTSPOT CONTROL DE ANCHO DE BANDA POR USUARIO DENEGACIÓN DE SERVICIO MEDIANTE LAYER HABILITAR GRÁFICAS MRTG (GRAPHING) SERVIDOR DE SNMP VI -

7 3.11 SERVIDOR RADIUS CONFIGURACIÓN SERVIDOR - CLIENTE JABBER. 68 CAPITULO 4. VALIDACIÓN DE LA PROPUESTA ANÁLISIS DE COSTOS COSTO DE INVERSIÓN COSTO DE OPERACIÓN BENEFICIOS OBTENIDOS DEL USO DE MIKROTIK ROUTEROS BENEFÍCIOS PARA LA FACULTAD DE INGENIERÍA DE SISTEMAS BENEFICIOS PARA EL ADMINISTRADOR DE RED BENEFICIOS DEL CONTROL DE ANCHO DE BANDA MEDIANTE MIKROTIK BENEFÍCIOS PERSONALES DESVENTAJAS DEL CONTROL DE ANCHO DE BANDA MEDIANTE MIKROTIK 71 CONCLUSIONES 72 RECOMENDACIONES 73 REFERENCIAS BIBLIOGRÁFICAS 74 - VII -

8 LISTA DE FIGURAS Fig. 1 Modelos Router MIKROTIK (ds3comunicaciones, s.f.) 17 Fig. 2 Modelos Router Mikrotik Rackeables (ds3comunicaciones, s.f.) 18 Fig. 3 Modelos de AccessPoint Mikrotik (ds3comunicaciones, s.f.) 18 Fig. 4 Modelos de AccessPoint Mikrotik (ds3comunicaciones, s.f.) 18 Fig. 5 Unidad Académica de Ingeniería de Sistemas, Eléctrica y Electrónica. (Fuente propia) 19 Fig. 6 Rack de la Unidad Académica. (Fuente propia) 20 Fig. 7 Rack de la Unidad Académica. (Fuente propia) 20 Fig. 8 Topología de bus (socipa4, s.f.) 21 Fig. 9 Topología de red en anillo (socipa4, s.f.) 21 Fig. 10 Topología de red en estrella. (socipa4, s.f.) 22 Fig. 11 Topología de red jerárquica (socipa4, s.f.) 22 Fig. 12 Topología de malla (socipa4, s.f.) 23 Fig. 13 Topología de red en árbol (socipa4, s.f.) 23 Fig. 14 Topología broadcast( (kajisoftnetwokr, s.f.) 24 Fig. 15 Transmisión de tokens (kajisoftnetwokr, s.f.) 24 Fig. 16 Laboratorio 303 (Fuente propia) 27 Fig. 17 Switch Laboratorio 303 (Fuente propia) 27 Fig. 18 Laboratorio 403 (Fuente propia) 28 Fig. 19 Switch Laboratorio Fig. 20 Selección de paquetes para instalar Mikrotik RouterOS. (Fuente propia) 29 Fig. 21 Guardar configuración para la instalación de Mikrotik RouterOS. (Fuente propia) 30 Fig. 22 Instalación de Mikrotik RouterOS. (Fuente propia) 31 Fig. 23 Verificación de la instalación de Mikrotik RouterOS. (Fuente propia) 31 Fig. 24 Pantalla de inicio Mikrotik RouterOS. (Fuente propia) 32 Fig. 25 Pantalla de inicio Mikrotik Winbox (Fuente propia) 32 Fig. 26 Mikrotik Winbox. (Fuente propia) 33 Fig. 27 Conectar a la Mac en Winbox. (Fuente propia) 33 Fig. 28 Iniciando Winbox (Fuente propia) 34 Fig. 29 Aceptar licencia Winbox. (Fuente propia) 34 Fig. 30 Pantalla principal de Winbox. (Fuente propia) 35 Fig. 31 Configuración de contraseña para el administrador. (Fuente propia) 35 Fig. 32 Propiedades del administrador. (Fuente propia) 36 Fig. 33 Creación del password para el administrador. (Fuente propia) 36 Fig. 34 Contraseñas. (Fuente propia) 37 Fig. 35 Creación de nuevo usuario con permisos de administrador. (Fuente propia) 37 Fig. 36 Lista de usuarios. (Fuente propia) 38 Fig. 37 Permisos y contraseñas del nuevo usuario (Fuente propia) 38 Fig. 38 Interfaces en Winbox. (Fuente propia) 39 Fig. 39 Modificación de Ip y mascara de subred (Fuente propia) 39 Fig. 40 Lista de Address (Fuente propia) 40 Fig. 41 Muestra la lista interface. (Fuente propia) 40 Fig. 42 Configuración de interface (Fuente propia) 41 Fig. 43 Búsqueda de los archivos. (Fuente propia) 41 Fig. 44 Lista de archivos (Fuente propia) 42 Fig. 45 Configuración de interface administración. (Fuente propia) 43 Fig. 46 Ingreso del DNS del proveedor. (Fuente propia) 43 Fig. 47 Configuración DHCP Administrador. (Fuente propia) 44 Fig. 48 Configuración DHCP Server. (Fuente propia) 45 - VIII -

9 Fig. 49 Configuración DHCP Client. (Fuente propia) 45 Fig. 50 Estado DHCP Cliente. (Fuente propia) 46 Fig. 51 Firewall. (Fuente propia) 46 Fig. 52 Rutas Configuradas. (Fuente propia) 47 Fig. 53 Selección del Hotspot interface. (Fuente propia) 47 Fig. 54 Local address of network. (Fuente propia) 48 Fig. 55 Address Pool of network. (Fuente propia) 48 Fig. 56 Selección del certificado (Fuente propia) 48 Fig. 57 Ip address de SMTP. (Fuente propia) 49 Fig. 58 Servidor DNS (hotspot). (Fuente propia) 49 Fig. 59 Nombre DNS (hotspot) (Fuente propia) 49 Fig. 60 Configuración Hotspot realizada (Fuente propia) 50 Fig. 61 Configuración servidor hotspot. (Fuente propia) 50 Fig. 62 Elementos de configuración de hotspot server. (Fuente propia) 51 Fig. 63 Configuraión Perfil de hotspot server. (Fuente propia) 51 Fig. 64 selección de Nas Port hotspot server. (Fuente propia) 52 Fig. 65 Perfil Nuevo Hotspot. (Fuente propia) 52 Fig. 66 Nuevo usuario hotspot. (Fuente propia) 53 Fig. 67 Información del Nuevo usuario hotspot. (Fuente propia) 53 Fig. 68 Perfil de Seguridad. (Fuente propia) 54 Fig. 69 EAP del perfil de Seguridad. (Fuente propia) 54 Fig. 70 Clave estática perfil de Seguridad. (Fuente propia) 55 Fig. 71 Interface. (Fuente propia) 55 Fig. 72 Servidor Radius. (Fuente propia) 56 Fig. 73 Lista Queue control ancho de banda. (Fuente propia) 57 Fig. 74 Configuración Queue control ancho de banda. (Fuente propia) 57 Fig. 75 Bloqueo MSN. (Fuente propia) 58 Fig. 76 Reflas firewall (Bloqueo MSN) (Fuente propia) 59 Fig. 77 Selección de protocolo layer 7 (bloqueo MSN) (Fuente propia) 60 Fig. 78 Drop Messenger MSN. (Fuente propia) 60 Fig. 79 habilitar gráficas mrtg. (Fuente propia) 61 Fig. 80 Reglas de interface ráficas mrtg. (Fuente propia) 61 Fig. 81 Nueva interface gráficas mrtg. (Fuente propia) 62 Fig. 82 Ejemplo de gráficas mrtg. (Fuente propia) 62 Fig. 83 Servidor snmp. (Fuente propia) 63 Fig. 84 Servidor snmp (community). (Fuente propia) 63 Fig. 85 Ventana de información de terminal (Fuente propia) 64 Fig. 86 Ventana de edición de configuración por comandos. (Fuente propia) 65 Fig. 87 Ventana de ingreso a cuenta. (Fuente propia) 69 - IX -

10 LISTA DE TABLAS TABLA I CARACTERÍSTICAS DE LICENCIAS MIKROTIK ROUTEROS 17 TABLA II COSTOS DE IMPLEMENTACIÓN 70 - X -

11 RESUMEN El propósito de esta investigación es implementar el Sistema Operativo RouterOS Mikrotik para Administración de redes Alámbricas e Inalámbricas a la Facultad de Ingeniería de Sistemas de la Universidad Católica de Cuenca. Con lo antes mencionado se pretende implementar una Red Segura basada en varios servicios los cuales nos ayudaran, a mejorar la calidad de servicio del Internet en los Laboratorio, Departamentos Administrativos, Departamento de Docentes, para una mayor conformidad de los usuarios. Este proyecto proporcionamos un ejemplo específicos de cómo construir una red cableada e inalámbrica de alta velocidad, con las debidas seguridades para los sistemas informáticos. Permitiendo incrementar la capacidad de los sistemas, y proveer conectividad en lugares donde no es muy factible la utilización de cables. Palabras claves: Mikrotik, RouterOs, segmentación, conectividad. - XI -

12 ABSTRACT The purpose of this research is to implement the Mikrotik RouterOS Operating System for Wired and Wireless Management to Systems Engineering Faculty of the Catholic University of Cuenca networks. With the above is to implement a Secure Network from various services which will help us to improve the quality of Internet service in the Laboratory, Administrative Departments, Department of Teachers, for increased user compliance. This project we provide a specific example of how to build a wired and wireless high-speed network, with appropriate security for computer systems. Allowing to increase the capacity of the systems, and provide connectivity in places where it is not feasible to use cables. Keywords: Mikrotik, RouterOS, segmentation, connectivity. - XII -

13 CAPITULO 1. FUNDAMENTACIÓN TEÓRICA 1.1 INFORMACIÓN GENERAL DE ROUTEROS Lo que se busca con esta Simulación de Implementación con Mikrotik RouterOs es fomentar a la Facultad de Ingeniería de Sistemas de Universidad Católica de Cuenca a tomar otras alternativas para la administración de sus redes ya que esta alternativa es muy buena y en relación a costos con otras herramientas de hardware y software, la misma presenta precios bajos y competitivos en el mercado con un alto índice de seguridad. Debido a la evolución de los dispositivos tecnológicos y sus aplicaciones, debemos estar prestos a ir evolucionando con ellos. Empleando nuevas políticas de calidad de servicio, de manera que podamos brindar a los usuarios un mejor servicio y optimicemos recursos de red como económicos. (Scrimger, 2006). En la actualidad existen diferentes herramientas de hardware y software que permiten mejorar la calidad de los servicios de red, por lo cual para el desarrollo de este proyecto utilizaré RouterOS Mikrotik, debido a la funcionalidad que ofrece y su costo. Mikrotik es un sistema operativo de routers, esto significa que con el podemos convertir cualquier computador en un poderoso Router. Mikrotik no necesita de un sistema operativo previamente instalado, ya que la herramienta viene encapsulada dentro de un microkernel de Linux, lo que nos brinda flexibilidad y escalabilidad. (BARION, 2006). 1.2 ROUTEROS MIKROTIK RouterOS es un sistema operativo de la empresa MikroTik basado en Linux, que permite convertir un equipo común o una placa RouterBOARD en un router dedicado, con funcionalidades como: administrador de ancho de banda, un dispositivo inalámbrico, administrador BGP (Border Gateway Protocol) (candorsolution, 2006). El sistema RouterOS fue creado por 2 estudiantes de Latvia país ex integrante de la Unión Soviética como tesis universitaria para diseñar un router basado en Linux que permita equiparar las funcionalidades de otros routers que se encontraban en el mercado. Con el pasar del tiempo se han integrado varias aplicaciones dentro del sistema, como: soluciones de telefónica IP, administración de protocolo BGP, integración de Ipv6, servidor de VPN s, administración de ancho de banda, calidad de servicio (QoS), administración de hotspots, puntos de acceso inalámbrico, backhaul inalámbrico, etc. (Luis Miguel Cabezas Granado, 2010). A partir del año 2002 se enfocaron en la creación del hardware que permita simplificar su operación, creando el RouterBOARD 230, luego desarrollaron una amplia gama de RouterBOARD RB, como: RB500, RB100, RB300, RB600, RB400 y RB1000, los cuales difieren entre sí en características 4 como: la velocidad del procesador, el número de puertos Ethernet, el número de slots mini-pci, capacidad de memoria, capacidad de almacenamiento de datos, nivel de licencia, etc. (Madrones). MikroTik es actualmente considerada como una de las grandes empresas de Networking, compitiendo con grandes fabricantes como Cisco, Juniper, 3Com, ó D-Link, etc

14 La principal diferencia de MikroTik frente al resto de marcas en el mercado, es su bajo costo de sus licencias y la amplia capacidad de adaptación a operaciones de networking, con lo cual su uso se ha extendido de forma extraordinaria y rápidamente. 1.3 CARACTERÍSTICAS PRINCIPALES DE ROUTEROS RouterOS es basado en el Kernel 2.6 de Linux, soporta multi-core (varios núcleos), y computadores multi-cpu (SMP- Symmetric Multiprocessing), la instalación y ejecución puede ser desde cualquier tipo de disco o memrias USB. Soporta varios métodos acceso a configuración: acceso local, con teclado y monitor, por consola mediante puerto serial, Telnet, secure SSH, interface WEB, además de una interface GUI (graphical user interface) propia llamada Winbox; también soporta una conexión a nivel de MAC address llamada Mac-Telnet. (seguridadwireless, 2006) WIRELESS RouterOS soporta una variedad de tecnologías inalámbricas, puede trabajar con diferentes configuraciones para diferentes aplicaciones, por ejemplo; Backhaul para enlaces punto a punto, Access Point para enlaces multipunto, Hotspot. Soporta estándares IEEE802.11a/b/g/n, con modulaciones; OFDM (Orthogonal frequency-division multiplexing): BPSK (Binary Phase Shift Keying), QPSK (Quadrature Phase Shift Keying), 16 QAM (Quadrature Amplitud Modulation), 64QAM, DSSS (Direct Sequence Spread Spectrum) (Scrimger, 2006): DBPSK (differential binary phase shift keying), DQPSK (Differential Quadrature Phase Shift Keying), CCK (Complementary Code Keying). Maneja protocolos propietario: Nstreme protocolo que permite extender el rango de cobertura y velocidad de lo radios y Nstream2 (dual) utiliza 2 tarjetas de radio una para transmisión y otra para recepción con lo cual se puede duplicar la capacidad de ancho de banda. (Nyhus, 2006). Mediante el uso de radios que soportan el estándar n, RouterOS tiene la capacidad de implementar la reciente tecnología MIMO (Multiple-input Multiple-output), que permite mediante diversidad de antenas (dos antenas simultaneas en diferentes frecuencias) incrementar el ancho de banda hasta una velocidad teórica de 600 Mbps. Puede administrar redes Wireless MESH (malla) y HWMP (Hybrid Wireless Mesh Protocol) para incrementar zonas de cobertura de la red inalámbrica. Soporta RTS/CTS (Request to Send / Clear to Send) para disminuir las colisiones, WDS (Wireless Distribution System) para extender una red Multipunto con varios puntos de acceso (AP s) con un mismo ssid (service set identifier) conservando las mismas direcciones MAC (Media Access Control) en los clientes. (Madrones). Implementa seguridades WEP (Wired Equivalent Privacy), WAP (Wireless Application Protocol), WPA2 (802.11i), además incorpora una lista de control de acceso de clientes mediante filtrado de direcciones MAC con seguridad mediante un algoritmo de 104 bits con WEP, permite la creación de puntos de acceso virtuales utilizando las mismas característica de frecuencia que el AP primario

15 1.3.2 FIREWALL El Firewall implementa filtrado de paquetes que es usado para administrar el flujo de datos, desde y a través del router. Junto con el NAT (Network Address Translation) previene el acceso no autorizado a redes internas, autorizando solo el tráfico de salida, es decir el tráfico generado desde la red interna hacia el Internet, por ejemplo solicitudes HTTP (Hypertex Transfer Protocol) o envío de correo electrónico. RouterOS permite crear un Firewall Stateful lo que significa que realiza una inspección de estado de paquetes y realiza un seguimiento de estado de conexiones que pasan a través de él. También soporta Source and Destination 5 NAT (Network Address Translation). (Hurle, 2006). El Firewall provee características para hacer uso de conexiones internas, ruteando y marcando paquetes. Permite detectar ataques por denegación de servicio (DoS) El filtrado puede ser por direcciones IP, rango de direcciones IP, por puerto, rango de puerto, protocolo IP, DSCP (Differentiated Services Code Point) y otros parámetros. Soporta también direccionamiento IP estático y dinámico, además de implementar características de capa 7 (Layer7) ROUTING RouteOS soporta ruteo estático, y una multitud de protocolos dinámicos de ruteo. Para IPv4 soporta RIP v1 y v2, OSPF (Open Shortest Path First) v2, BGP (Border Gateway Protocol). Para IPv6 soporta RIPng, OSPF v3 y BGP RouterOS soporta también Virtual Routing y Forwarding (VRF), ruteo basado en políticas, ruteo basado en interfaces, y ruteo ECMP (Equal-cost multi-path routing). Es posible usar el firewall para marcar conexiones específicas para hacer que el tráfico marcado use un diferente ISP (Internet Service Provider). Implementa el protocolo de ruteo MPLS (Multiprotocol Label Switching), el cual trabaja entre la segunda y la tercera capa de red del modelo OSI, y es comúnmente utilizado para manejo y administración de redes de alto rendimiento. Soporta BGP (Border Gateway Protocol) para la administración de sistemas autónomos. (Purbo, 2006). RouterOS permite implementar Bridging en dos o más interfaces, es decir; refleja el tráfico que se genera en una de las interfaces, a otra u otras interfaces del mismo router, esto permite crear uno o más canales de datos dentro del mismo router. RouterOS provee de un protocolo propietario para la implementación de túneles llamado EoIP el cual es un túnel Ethernet entre dos ruteadores sobre conexión IP CALIDAD DE SERVICIO QOS RouterOS puede implementar QoS (802.11Q): Tipo de colas: RED (Random Early Detection), BFIFO (Byte limited First In, First Out queue), PFIFO (Packet limited First In, First Out queue), PCQ (Packet Classification and Queuing)

16 Colas simples: por origen/destino de red, dirección IP de cliente, por interface. Árboles de colas: por protocolo, por puerto, por tipo de conexión CONTROL DE ANCHO DE BANDA El control de ancho de banda es un mecanismo que controla la asignación de la velocidad de los datos, tiempo de retraso, entrega oportuna de paquetes, confiabilidad en la entrega, es decir prioriza y da forma al tráfico de red. Algunas características de RouterOS para el control de tráfico son las siguientes: Limitación de tráfico por direcciones IP, subredes, por protocolo, por puerto, y otros parámetros. Limitación de tráfico peer to peer. Priorización de determinados flujos de paquetes sobre otros. Uso de trafico de colas para mayor rapidez de navegación. Aplicación de colas en intervalos de tiempos fijos. Manejo dinámico de cantidad de tráfico dependiendo de la carga del canal. RouterOS soporta Hierarchical Token Bucket (HTB), es un tipo de sistema jerárquico de calidad de servicio con CIR (Committed Information Rate) y MIR (Maximum Information Rate), ráfagas de datos y prioridad SERVIDOR / CLIENTE RouterOS incorpora varios servicios como servidor o cliente: DHCP (Dynamic Host Configuration Protocol): usado para la asignación dinámica de direcciones IP. Túneles tipo PPPoE (Point to Point Protocolo over Ethernet) utilizado para acceso DSL encapsulando tramas PPP dentro de tramas Ethernet. Túneles PPTP (Point to Point Tunneling Protocol): permite la transmisión de datos clienteservidor sobre la plataforma TCP/IP. Relay de DHCP (Dynamic Host Configuration Protocol): utilizado para administrar reenvíos de solicitudes de asignación IP de un cliente DHCP hacia un servidor DHCP. Cache web-proxy: utilizado para el almacenamiento temporal de archivos recurrentes. Gateway de Hotspot: provee autenticación, autorización, y seguridad para el uso de una red inalámbrica de acceso público. VPN (virtual private network) Server: permite establecer conexiones seguras sobre redes abiertas (sin seguridad), ó Internet

17 1.3.7 LICENCIAMIENTO RouterOS para ser activado requiere una licencia de nivel de aplicaciones, es decir existen varias licencias con limitaciones o características adicionales dependiendo del tipo de aplicación de red que se requiera. Las licencias de nivel 0 es una licencia demo, habilita todas sus funciones durante un periodo de 24 horas. La licencia de nivel 2 fue una licencia de transición e investigación, por lo que no se encuentran disponibles. La licencia de nivel 3 fue una licencia que operaba con características limitadas, y permitía el uso de interfaces inalámbricas solo para trabajar en modo cliente. Existen disponibles licencias del Sistema Operativo Mikrotik RouterOS en todos sus niveles (Level4, Level5 y Level6), la misma es original y su disponibilidad es inmediata. También están disponible las licencias extrachannel que le permiten aumentar el espectro de frecuencia en la cual puede transmitir una estación inalámbrica. TABLA I CARACTERÍSTICAS DE LICENCIAS MIKROTIK ROUTEROS Level 4 Level 5 Level 6 Actualizable hasta v6 v7 v7 AP Wireless Si Si Si Túneles PPP Sin Limite HotSpot Activos Sin Limite 1.4 MODELOS DE PLACAS ROUTERBOARDS Fig. 1 Modelos Router MIKROTIK (ds3comunicaciones, s.f.)

18 Fig. 2 Modelos Router Mikrotik Rackeables (ds3comunicaciones, s.f.) Fig. 3 Modelos de AccessPoint Mikrotik (ds3comunicaciones, s.f.) Fig. 4 Modelos de AccessPoint Mikrotik (ds3comunicaciones, s.f.)

19 CAPITULO 2. DIAGNÓSTICO SITUACIONAL Actualmente en la Unidad Académica se encuentran las facultades de Ingeniería de Sistemas Eléctrica y Electrónica, con un aproximado de 350 alumnos, 35 Docentes, 6 personas que son del personal administrativo, los cuales van a ser los posibles usuarios de la red. Fig. 5 Unidad Académica de Ingeniería de Sistemas, Eléctrica y Electrónica. (Fuente propia) En la Facultad de Ingeniería de Sistemas cuenta con sistema de red inalámbrica y cableada, nosotros como estudiantes hemos visto la necesidad de tratar de mejorar la red ya que la conectividad de la red no es eficiente. Durante muchos años hemos visto que ha habido muchos cambios para mejorar el servicio pero las mejoras han sido por corto plazo, por este motivo a nosotros como estudiantes nos ha dado la pauta para investigar y conocer nuevas herramientas las cuales nos podría ayudar a mejorar la calidad del servicio de red de la Unidad Académica de Ingeniería de Sistemas, Eléctrica y Electrónica. La Facultad de Ingeniería de Sistemas en el departamento de informática se encuentra ubicados los rack de la Unidad Académica como se muestra en la Fig

20 Fig. 6 Rack de la Unidad Académica. (Fuente propia) Fig. 7 Rack de la Unidad Académica. (Fuente propia)

21 2.1 TOPOLOGÍA DE LA RED ACTUAL La topología de red define la estructura de una red. Una parte de la definición topológica es la topología física, que es la disposición real de los cables o medios. La otra parte es la topología lógica, que define la forma en que los hosts acceden a los medios para enviar datos TOPOLOGÍAS FÍSICAS La topología de bus tiene todos sus nodos conectados directamente a un enlace y no tiene ninguna otra conexión entre nodos. Físicamente cada host está conectado a un cable común, por lo que se pueden comunicar directamente, aunque la ruptura del cable hace que los hosts queden desconectados. Fig. 8 Topología de bus (socipa4, s.f.) La topología de anillo conecta un host con el siguiente y al último host con el primero. Esto crea un anillo físico de cable. Fig. 9 Topología de red en anillo (socipa4, s.f.)

22 Una topología en estrella extendida conecta estrellas individuales entre sí mediante la conexión de hubs o switches. Esta topología puede extender el alcance y la cobertura de la red. La topología en estrella conecta todos los cables con un punto central de concentración. Fig. 10 Topología de red en estrella. (socipa4, s.f.) Una topología jerárquica es similar a una estrella extendida. Pero en lugar de conectar los hubs o switches entre sí, el sistema se conecta con un computador que controla el tráfico de la topología. Fig. 11 Topología de red jerárquica (socipa4, s.f.)

23 La topología de malla se implementa para proporcionar la mayor protección posible para evitar una interrupción del servicio. El uso de una topología de malla en los sistemas de control en red.en esta topología, cada host tiene sus propias conexiones con los demás hosts. Aunque Internet cuenta con múltiples rutas hacia cualquier ubicación, no adopta la topología de malla completa. Fig. 12 Topología de malla (socipa4, s.f.) La topología de árbol tiene varias terminales conectadas de forma que la red se ramifica desde un servidor base. Fig. 13 Topología de red en árbol (socipa4, s.f.)

24 2.1.2 TOPOLOGÍAS LÓGICAS La topología lógica de una red es la forma en que los hosts se comunican a través del medio. Los dos tipos más comunes de topologías lógicas son broadcast y transmisión de tokens. (Purbo, 2006). La topología broadcast simplemente significa que cada host envía sus datos hacia todos los demás hosts del medio de red. No existe una orden que las estaciones deban seguir para utilizar la red. Es por orden de llegada, es como funciona Ethernet. Fig. 14 Topología broadcast( (kajisoftnetwokr, s.f.) La topología transmisión de tokens controla el acceso a la red mediante la transmisión de un token electrónico a cada host de forma secuencial. Cuando un host recibe el token, ese host puede enviar datos a través de la red. Si el host no tiene ningún dato para enviar, transmite el token al siguiente host y el proceso se vuelve a repetir. Fig. 15 Transmisión de tokens (kajisoftnetwokr, s.f.)

25 La red de la Unidad Académica está diseñada de la siguiente manera: Todos los de color rojo esta en cuarto de comuni caciones LAB informatica 403 4ta Plantas switch Fibra ETAPA Convertidor switch UTP CAT 6 IP Publicas switch DATOS Servidor Proxy Filtrado Firewall Laboratorios TRIENDNED SIGEAC TRES INTERFACES Router. LAB2 4ta planta Switch.7 LABORATORIOS CUARTA PLANTA Switch8 Lab informatica 311 Lab 309 switch Lab 310 switch LAB informatica 303 switch LAB informatica 304 switch 5 Servidor Wireless Proxy Filtrado DHCP CISO DNS LABORATORIOS TERCERA PLANTA, Switch LAB informatica 305 switch Servidor Firewall Wrls SistemasWrls Sistemas Wrls Sistemas Planta Baja Planta Alta Planta Investigacion Profesores tiempo completo Switch 306 SIGEAC Switcj wifi 302 ` Router ADMINISTRADORES, Switch Secretaria Sub-Decanato Decanato Coordinación Sala de Profesores de Medio Tiempo Switch ADMINITRADOR Switch switch HUB Biblioteca 114 WIRELESS BILIOTECA Biblioteca 114 Imprenta Wifi Servidor Proxy Switch ELECTRICA Switch Switchn es para los dos laboratorio LABORATO de computo 105 PLANTA BAJA Switchn es para los dos laboratorio LABORATORIO PLANTA de computo 106BAJA Biblioteca 114 UNIVERSIDAD CATOLICA DE CUENCA FACULTAD DE INGENIERIA ELECTRICA Y ELECTRICA REDES Y TELECOMUNICACIONES PROYECTO PLANTEAMIENTO DE ETIQUETADO DE RED EDUARDO LUCERO MARCO MONGE CIRA VELE

26 2.2 DISTRIBUCIÓN DE PUNTOS DE ACCESO EN LA FACULTAD DE INGENIERÍA DE SISTEMAS En la Unidad Académica de Ingeniería de Sistemas Eléctrica y Electrónica, se puede visualizar en las locaciones en la que están instalados varios dispositivos de comunicación inalámbrica con los que provee el servicio de red a los usuarios los dispositivos con los que cuenta son: 3 Cisco Aironet Router AP Linksys. 1 Router AP D Link. 1 Router AP D Link Dir 90-DSL. También se puede constatar que existen varias redes inalámbricas que actualmente se encuentran activas en la Unidad Académica, las cuales brindan el servicio de internet a todos los usuarios de las facultades de Sistemas y Eléctrica las cuales detallo a continuación: WrlsSisElec,Pa. WrlsSisElecPb. WrlsSisElec. WrlsProfesores. WrlsBiblioteca, Investigación. UCACUE-WIFI. En la Facultad de Ingeniería de sistemas actualmente cuenta con los siguientes puntos de accesos: Ocho laboratorios. Departamento de docentes a tiempo completo. Departamento de docentes a tiempo parcial. Departamento de (sigeac). Secretaria. Coordinación. Decanato. Subdecanato. Biblioteca Departamento de Bienestar Estudiantil. Cada uno de los laboratorios cuenta con un switch de marca 3COM los cuales interconectan los equipos, como se muestran en las Fig. 15 hasta la Fig

27 Fig. 16 Laboratorio 303 (Fuente propia) Fig. 17 Switch Laboratorio 303 (Fuente propia)

28 Fig. 18 Laboratorio 403 (Fuente propia) Fig. 19 Switch Laboratorio

29 CAPITULO 3. PROPUESTA INSTALACIÓN Y CONFIGURACIÓN EN ROUTEROS 3.1 CONFIGURACIÓN DE ROUTEROS A continuación se realizará la instalación de Mikrotik RouterOs en primer lugar booteamos con un CD que contenga la imagen del Mikrotik RouterOs ya quemada. Luego nos aparecerá el menú de instalación que nos preguntará que paquetes deseamos instalar. Para desplazarnos por el menú utilizamos las tecla P o N o sino las flechas del teclado. Para seleccionar o deseleccionar los paquetes a instalar utilizamos la barra espaciadora. Luego presionamos la tecla I para comenzar la instalación local en nuestra plataforma. Los paquetes seleccionados para nuestra configuración son los que se muestran en la Fig. 13. Fig. 20 Selección de paquetes para instalar Mikrotik RouterOS. (Fuente propia) Cada uno de los paquetes detallaremos su uso a continuación: System: Es el paquete principal que posee los servicios básicos al igual que los drivers básicos. Ppp: (Protocolo punto a punto) provee de soporte para PPP, PPTP, L2TP, PPPoE e ISDN PPP. Dhcp: Servidor y cliente DHCP. Hotspot: provee de un hotspot. Hotspot-fix: Provee el parche para actualizar el módulo hotspot que presenta problemas en las versión

30 Ntp: Servidor y cliente NTP. Routerboard: provee de las utilidades para el routerboard. Routing: Provee soporte para RIP, OSPF y BGP4. Rstp-bridge-test: provee soporte para Rapid Spanning Tree Protocol. Security: Provee soporte para IPSEC, SSH y conectividad segura con Winbox. Telephony: Provee soporte para H.323. Ups: provee soporte para UPS APC. User-manager: Servicio de usuario del RouterOs. Web-Proxy: Paquete para realizar un Web Proxy. Wireless-legacy: Provee soporte para placas Cisco Aironet, PrismII, Atheros entre otras. (Nyhus, 2006). Luego de haber seleccionados los paquetes no vas a preguntar si deseamos continuar y colocamos la letra ( y ) para continuar con el proceso de instalación. Fig. 21 Guardar configuración para la instalación de Mikrotik RouterOS. (Fuente propia) El siguiente paso es guardar la configuración después de esto ponemos continuar y comienza la instalación de mikrotik

31 Fig. 22 Instalación de Mikrotik RouterOS. (Fuente propia) Luego mandamos a reiniciar el equito y comienza a verificar errores antes de iniciar. Fig. 23 Verificación de la instalación de Mikrotik RouterOS. (Fuente propia)

32 Luego nos aparecerá esta pantalla una vez que ya se instaló mikrotik. Fig. 24 Pantalla de inicio Mikrotik RouterOS. (Fuente propia) Para la configuración de Mikrotik RouterOS vamos a instalar la herramienta WinBox. Una vez que ejecutemos esta herramienta nos aparecerá la siguiente ventana. Fig. 25 Pantalla de inicio Mikrotik Winbox (Fuente propia)

33 Esta ventana es de la interfaces de Winbox. En donde dice Connet to al dar click ahí nos muestra la mac, ip Adress, mikrotik, versión y tipo de arquitectura en la que se montó el router. Fig. 26 Mikrotik Winbox. (Fuente propia) Seleccionamos la MAC sin colocar nada en la contraseña y luego ponemos conectar. Fig. 27 Conectar a la Mac en Winbox. (Fuente propia)

34 De ahí nos aparecerá el siguiente cuadro de dialogo. Fig. 28 Iniciando Winbox (Fuente propia) Fig. 29 Aceptar licencia Winbox. (Fuente propia)

35 Fig. 30 Pantalla principal de Winbox. (Fuente propia) Como primer paso vamos a proteger nuestro usuario administrador colocándole un password. Nos colocamos en la pestaña de System luego users. Fig. 31 Configuración de contraseña para el administrador. (Fuente propia)

36 Luego de haber dado click en users nos aparecerá la siguiente pantalla en la cual nos muestra el administrador, damos doble click en admin para poder ver las propiedades. Damos click en donde dice Password. Fig. 32 Propiedades del administrador. (Fuente propia) Fig. 33 Creación del password para el administrador. (Fuente propia)

37 Aquí le colocamos la contraseña y confirmamos y luego ponemos OK. en esta ventana y en la anterior. Fig. 34 Contraseñas. (Fuente propia) Damos click en el botón (+) para crear un nuevo usuario con permisos de administrador. Fig. 35 Creación de nuevo usuario con permisos de administrador. (Fuente propia) Nos aparecerá esta ventana en la cual le vamos a colocar un nombre al nuevo usuario

38 Fig. 36 Lista de usuarios. (Fuente propia) Fig. 37 Permisos y contraseñas del nuevo usuario (Fuente propia)

39 Fig. 38 Interfaces en Winbox. (Fuente propia) En interfaces podemos ver las tarjetas de red conectadas que se tiene en el router, podemos visualizar, nombre, tipo de tarjeta, tasa de transferencia actual. Fig. 39 Modificación de Ip y mascara de subred (Fuente propia) Desde aquí podemos modificar la ip y la máscara de subred de la interfaces seleccionada

40 Fig. 40 Lista de Address (Fuente propia) Fig. 41 Muestra la lista interface. (Fuente propia)

41 Fig. 42 Configuración de interface (Fuente propia) Fig. 43 Búsqueda de los archivos. (Fuente propia)

42 Fig. 44 Lista de archivos (Fuente propia) 3.2 ASIGNACIÓN DE NOMBRES A INTERFACES Y DIRECCIONAMIENTO. Actualmente las placas de red están funcionando pero les falta la configuración básica para que se pueda acceder a ellas. Para esto deberemos asignarles los IP a cada una de las interfaces. Asignación de nombres a las interfaces. Nos dirigimos al menú y elegimos interfaces. A continuación nos aparece la lista de interfaces que posee nuestro sistema. Hacemos doble clicks sobre las interfaces y les vamos cambiando el nombre asignándole los nombres correspondientes a cada una. Globalphone, para nuestra conexión dedicada con IP fijo. Movifonica para nuestra conexión dedicada con IP fijo con el otro proveedor. Administración: Será la interface exclusiva de Administración. Servers: Será la interface para la granja de servidores. ADSL: Será la interface para conectarse al ADSL de Backup. Hotspot: será la interface que proveerá acceso a la red mediante el hotspot

43 Fig. 45 Configuración de interface administración. (Fuente propia) Con los nombres asignados a las interfaces, debemos asignarle el IP a las mismas. Para ello debemos ir al menú IP / Addresses. 3.3 CREACIÓN DE LA RUTA POR DEFECTO, ENMASCARAMIENTO Y ASIGNACIÓN DE DNS Para definir los DNS simplemente hay que ir al menú IP / DNS. Se nos abre una ventana de configuración. Hacemos clic en Settings y escribimos los dns del proveedor de Internet. Fig. 46 Ingreso del DNS del proveedor. (Fuente propia)

44 3.4 SERVIDOR Y CLIENTE DHCP DHCP responde al protocolo de configuración dinámica de host. En otras palabras, es un protocolo que se utiliza para proporcionar una configuración IP a otros equipos asignándole el mismo segmento de red que el servidor. El servidor DHCP es aquel que proporciona direcciones ip dinámicas a equipos que lo soliciten. (Scrimger, 2006) SERVIDOR DHCP A continuación configuraremos servidor de DHCP. Para ello debemos ir al menú IP / DHCP Server. Se nos abrirá una ventana de configuración de servidores dhcp. Hacemos clic en el icono (+) y creamos nuestros servidores de dhcp para cada una de las áreas ya mencionadas. Ventana de configuración DHCP: En esta ventana iremos introduciendo todos los requisitos necesario para ir levantado los servidores de dhcp. La configuración para cada uno de los servidores dhcp fue la siguiente: DHCP Administración: Nombre: DHCP Administración. Interfase: Administración. Address Pool: Pool Administración. DHCP Servers: Fig. 47 Configuración DHCP Administrador. (Fuente propia) Nombre: DHCP Servers. Interfase: Servers

45 Address Pool: Pool Servers. Fig. 48 Configuración DHCP Server. (Fuente propia) CLIENTE DHCP Ahora vamos a la pestaña DHCP y quitamos el check de Use Peer NTP (Protocolo Temporizador de Red), seleccionamos la interfaz WAN y damos click en Apply. Fig. 49 Configuración DHCP Client. (Fuente propia)

46 Ya con esto quedo configurado el DHCP CLIENTE, damos click en Status y nos damos cuenta que nuestro proveedor de internet nos da una IP, Puerta de enlace y DNS como lo muestra la imagen. Fig. 50 Estado DHCP Cliente. (Fuente propia) 3.5 FIREWALL EN ROUTEROS Nos dirigimos a IP-Firewall-NAT y agregamos chain=srnat ----> Action=Masquerade. Fig. 51 Firewall. (Fuente propia)

47 3.6 SERVIDOR DE HOTSPOT HotSpot es una manera de autorizar a los usuarios para acceder a algunos recursos de red. No proporciona cifrado del tráfico. Para iniciar sesión, los usuarios pueden usar casi cualquier navegador web (HTTP o HTTPS), por lo que no es necesario instalar software adicional. La puerta de enlace es la contabilidad del tiempo de actividad y la cantidad de tráfico de cada uno de sus clientes se ha utilizado, y también puede enviar esta información a un servidor RADIUS. El sistema HotSpot puede limitar la tasa de bits de cada usuario en particular, la cantidad total de tráfico, el tiempo de actividad y otros parámetros mencionados más adelante en este documento. (Christer, 2010). El sistema de HotSpot está dirigido a proporcionar autenticación dentro de una red local (para acceder a Internet), pero puede también ser usado para autorizar el acceso de las redes externas a acceder a los recursos locales. En redes alámbricas o inalámbricas, tarifa por autentificar o acceso libre. Las rutas se ven configuradas de la siguiente manera: Fig. 52 Rutas Configuradas. (Fuente propia) A continuación deberemos configurar nuestro HotSpot. Para ello nos dirigimos al menú IP / Hotspot. En la nueva ventana dentro de la pestaña Servers, hacemos clic sobre el botón SETUP. En la ventana que nos aparece la configuramos de la siguiente manera. HotSpot interfase: wlan1. Fig. 53 Selección del Hotspot interface. (Fuente propia)

48 En la ventana siguiente elegimos la dirección de ip para la interfase de hotspot. La configuración es: Local Address of Network /24 (Aquí colocamos las ip de acuerdo a nuestra configuración)y marcamos el check Masquerade Network: Seleccionado. Fig. 54 Local address of network. (Fuente propia) A continuación le asignamos el pool de ip que nos interesa que dicha interfaces nos brinde a los clientes. La configuración es: Address Pool of Network: Fig. 55 Address Pool of network. (Fuente propia) Luego no le seleccionamos ningún certificado SSL. Fig. 56 Selección del certificado (Fuente propia)

49 Siguiendo nos pide la dirección del servidor STMP de nuestra red local es: IP Address of SMTP Server: Fig. 57 Ip address de SMTP. (Fuente propia) Luego le asignamos los dns correspondientes. DNS Servers: Fig. 58 Servidor DNS (hotspot). (Fuente propia) Seguimos con el nombre de nuestro servidor dns el cual es: DNS Name: hotspot.ucacue.edu.ec. Fig. 59 Nombre DNS (hotspot) (Fuente propia)

50 Finalizando creamos nuestro usuario administrador. Nuestro hotspot configurado se ve de la siguiente manera. Fig. 60 Configuración Hotspot realizada (Fuente propia) Le hacemos doble clic al hotspot1 para configurar sus parámetros. La configuración de los mismos son: Name: hotspot. Interfase: wlan1. Hs-pool-5. Profile hsprofile1. Idel Timeout: 00:05:00. Addresses per Mac: 2. Fig. 61 Configuración servidor hotspot. (Fuente propia)

51 Luego dentro de la pestaña Servers hacemos clic en profiles. Y luego editamos la configuración del profile hsprof1. La configuración del mismo es: Pestaña General: Name: hsprof1. Hotspot Address: DNS Name: ucacue.edu.ec. HTML Directory: hotspot. SMTP: Fig. 62 Elementos de configuración de hotspot server. (Fuente propia) Pestaña Login: HTTP CHAP y Cookie: Seleccionado. MAC, HTTP PAP, HTTPS y Trial: deseleccionado. HTTP Cookie Lifetime: 01:00:00. Fig. 63 Configuraión Perfil de hotspot server. (Fuente propia)

52 Pestaña RADIUS: Use RADIUS: (seleccionado). Default Domain: NAS PORT Type 19 (Wireless ). Fig. 64 selección de Nas Port hotspot server. (Fuente propia) Luego hacemos clic sobre la pestaña Users hacemos clic en el botón Profile y generamos uno. La configuración del mismo es: Name Profile_Hotspot. Address Pool: hs-pool-5. Idle Timeout. None. Keekalive Timeout: 00:02:00. Shared Users: 1. Rate limit: 128k/256k. Fig. 65 Perfil Nuevo Hotspot. (Fuente propia)

53 Pestaña Advertise: Advertise: deseleccionado. Pestaña Script: Fig. 66 Nuevo usuario hotspot. (Fuente propia) No se genera ningún script y queda configurada por default. Fig. 67 Información del Nuevo usuario hotspot. (Fuente propia) Finalmente generaremos un perfil de seguridad para las conexiones Wireless. Para ello debemos ir al menú WIRELESS, luego hacemos clic en al pestaña Security. Profiles. Y creamos un profile nuevo haciendo clic en el icono (+). Pestaña General: Name: Ucacue. Mode: dynamic keys. WPA PSK, WPA2 PSK: Seleccionados. Unicast ciphers

54 Tkip: Seleccionado. Aes ccm: Seleccionado. Group Ciphers. Tkip: Seleccionado. Aes ccm: Seleccionado. WPA Pre-Shared Key: ucacue. WPA2 Preshared Key:ucacue. RADIUS MAC Authentication (deseleccionado). Fig. 68 Perfil de Seguridad. (Fuente propia) Pestaña EAP (Protocolo de autenticación extensible): EAP Methods: TLS Mode: no certificate. TLS certifícate: none. Fig. 69 EAP del perfil de Seguridad. (Fuente propia)

55 Pestaña Static Keys: No utilizaremos llaves estáticas. Fig. 70 Clave estática perfil de Seguridad. (Fuente propia) A continuación debemos asígnale este perfil de seguridad a nuestra interfase. wilan1. Para ello nos dirigimos al menú WIRELESS. Dentro de la pestaña Interfaces. Le hacemos doble clic a nuestra interfase wlan1 y modificamos el siguiente valor. Security Profile: UCACUE-Secure. Fig. 71 Interface. (Fuente propia)

56 Finalmente Vamos al menú RADIUS. En la ventana nueva que se nos abre la hacemos clic en el icono (+). La nueva ventana la configuramos de la siguiente manera: Ppp, hotspot, login, wireless, telephony, dhcp. Address: Fig. 72 Servidor Radius. (Fuente propia) 3.7 CONTROL DE ANCHO DE BANDA POR USUARIO Debido a que muchas veces los usuarios realizan malos usos de los anchos de banda, hemos decidido configurar el router para poder controlar dicho problema, y tener un mejor rendimiento del ancho de banda para satisfacción de los usuarios. (Jesse Russell, 2012). Para los distintos grupos de usuarios les asignaremos distinto ancho de banda, como por ejemplo en la facultad hay varios usuarios como son los profesores y los alumnos. Le asignamos megas para subida y descarga por ejemplo de subida le ponemos 250M/Bits y de bajada 300 M/Bits. Para el control del ancho de banda debemos ir al menú QUEUES. Allí se nos abrirá una ventana de configuración. Las Queues simples son la manera más fácil de controlar las velocidades, permiten configurar las velocidades de upload y download

57 Fig. 73 Lista Queue control ancho de banda. (Fuente propia) Hacemos clic en el icono (+) de la pestaña Simple Queues. Se nos abre la nueva para configurar la nueva cola. Pestaña General: Name: Queue_Administracion (colocamos el nombre de los usuarios). Target Address: /24. Max Limit: 250M (upload), 300M (download). Fig. 74 Configuración Queue control ancho de banda. (Fuente propia)

58 3.8 DENEGACIÓN DE SERVICIO MEDIANTE LAYER 7. Layer 7 o L7, es un paquete de software diseñado para Linux Netfilter que es usado como un subsistema para categorizar paquetes IP con el fin de identificar lo mejor posible programas peer to peer (P2P), esto se realiza mediante la identificación de paquetes en la capa de datos mediante el uso de expresiones regulares llamadas también patrones. Las ventajas de usar filtrado de paquetes mediante filtros L7 son que ayudan a optimizar el ancho de banda, y permite un mejor uso de QoS, además de crear filtros para aplicaciones no deseadas como puede ser el P2P. Para configurar el filtrado de paquetes mediante L7 en RouterOS se ingresa en IP/Firewall, se busca la viñeta Layer7 Protocols, se ingresa una nueva regla con el signo (+). Fig. 75 Bloqueo MSN. (Fuente propia) En el campo de Name se ingresa el nombre de filtro, y en el campo Regexp se ingresa la expresión regular. Se puede encontrar patrones con filtros para protocolo L7 en la página Normalmente si se desea crear un filtro en un Firewall se identifica el tráfico que se desea filtrar mediante puerto, protocolo, o direcciones IP, etc. (Scrimger, 2006). Sin embargo algunas aplicaciones usan puertos comunes que son usados por otro tipo de aplicaciones. Por ejemplo algunas aplicaciones de mensajería instantánea como el Messenger MSN utiliza el puerto TCP 80 el cual es usado también para tráfico HTTP, con lo que es virtualmente imposible bloquear esta aplicación sin afectar la navegación. Para definir el filtro L7 se busca el patrón relacionado con MSN el cual es: ver [0-9]+ msnp[1-9][0-9]? [\x09-\x0d -~]*cvr0\x0d\x0a$ usr 1 [!-~]+ [0-9. ]+\x0d\x0a$ ans 1 [!-~]+ [0-9. ]+\x0d\x0a$. Este valor es desarrollado por desarrolladores de sistema Linux, para la creación de filtros L

59 Una vez creada la regla en el protocolo L7 se crea una regla en el Firewall que indique que todo el tráfico que marcado con L7 MSN será rechazada mediante DROP, para esto se ingresa en IP/ Firewall, en la viñeta General se ingresa los siguientes datos: Chain: Forward. Cadena que reenvía el tráfico hacia el filtro L7. Src. Address: /24. Red interna que se desea filtrar. Protocol: 6 tcp. Tipo de protocolo que se quiere filtrar. Fig. 76 Reflas firewall (Bloqueo MSN) (Fuente propia) En la viñeta de Advanced dentro de la regla de Firewall que se está creando se habilita el protocolo Layer7 Protocol de la siguiente manera:

60 Fig. 77 Selección de protocolo layer 7 (bloqueo MSN) (Fuente propia) Como último paso se indica que acción realizará la regla, para esto se ingresa en la viñeta Action y se marca drop. Fig. 78 Drop Messenger MSN. (Fuente propia) De esta manera se bloquea el tráfico MSN desde la red interna /24 sin necesidad de generar marcado de paquetes, los cuales pueden requerir de muchas reglas y no siempre son

61 efectivos ya que se puede realizar un cambio de puertos en la aplicación que administra en MSN. 3.9 HABILITAR GRÁFICAS MRTG (GRAPHING). Para activar monitorio de Interfaces físicas utilizando Mrtg se realiza lo siguiente: Ingreso a la Opcion Tools Graphing. Damos click en la pestaña Interface Rules. Fig. 79 habilitar gráficas mrtg. (Fuente propia) Fig. 80 Reglas de interface ráficas mrtg. (Fuente propia)

62 Ahora agregamos la interfaz que queremos monitorear con el MRTG (aquí elegimos cuál de las interfaz vamos a monitorear. Fig. 81 Nueva interface gráficas mrtg. (Fuente propia) La opción allow address le digo que cualquier ip lo puede visualizar y que todo se almacene en disco doy apply y luego ok para cerrar y observo que ya ha sido creada para probarlo simplemente voy al browser y le doy la ip del dispositivo y automáticamente el mikrotik me va a mostrar una interfaz gráfica en entorno web que me permite visualizar estas gracias de trafico: Fig. 82 Ejemplo de gráficas mrtg. (Fuente propia)

63 3.10 SERVIDOR DE SNMP. Debido a los beneficios que puede brindar el monitoreo remoto de los servicios de una red. Hemos decidido implementar y habilitarle el servidor de snmp de un router Mikrotik. Configuración Servidor SMNP. Dentro del winbox, nos dirigimos al menú SNMP, se nos abre la ventana de configuración, hacemos clic en el botón Settings y le cargamos los siguientes datos: Enabled (marcado). Contact info: administrador@server. Location: cba. Fig. 83 Servidor snmp. (Fuente propia) Luego creamos la comunidad snmp, a la cual le ponemos como nombre servers. Para ello hacemos clic en el icono (+) y se nos abre la ventana de configuración de comunidad y le cargamos los siguientes datos: Name: communa. Address: /24. Read Access (marcado). Fig. 84 Servidor snmp (community). (Fuente propia)

64 Dentro de winbox ir al menú New Terminal se nos abre una ventana de terminal en esa ventana escribimos lo siguiente para obtener las oid del sistema. # /interfase print oid La cual nos mostrará una ventana con los datos requeridos como esta: Fig. 85 Ventana de información de terminal (Fuente propia) Concluida esta parte de la configuración, deberemos instalar el software mrtg en el servidor que tenemos en la red. Para la instalación seguiremos los siguientes pasos. # apt-get install mrtg Con el software ya instalado editamos el archivo de configuración que se encuentra en: /etc/mrtg.cfg

65 Fig. 86 Ventana de edición de configuración por comandos. (Fuente propia) Esta configuración nos mostrara la carga del CPU y los paquetes enviados y recibidos por 4 interfaces. A continuación deberá crear el archivo index.html para que sea visualizada la información en forma de gráficos en una página Web. # indexmaker /etc/mrtg.cfg --columns=1 -- output \ /var/www/mrtg/index.html Finalmente debe correr 3 veces el comando mrtg para que se generen los archivos de base de datos necesarios. #mrtg

66 3.11 SERVIDOR RADIUS. Debido a la gran inseguridad que presentan las redes se ha decidido implementar un servidor radius para autenticar algunos de los usuarios. Para ello se necesitará instalar software adicional al Mikrotik. Partimos de la base de tener nuestro servidor con debian instalado. Los pasos a seguir son los siguientes: (Jesse Russell, 2012). Debemos instalar el servidor de base de datos MySQL y el servidor Web Apache. Digitamos lo siguiente: #apt-get install apache2 mysql-server mysql-common Para confirmar que estén funcionando utilizamos el cliente Web que poseamos y lo redirigimos a la dirección ip del servidor. Ahí nos aparecerá una venta que nos informa que el servidor Web está funcionando. Para verificar que el servidor MySQL esté funcionando simplemente desde la consola del servidor tipeamos: #mysql Esto nos mostrara que se pudo conectar al servidor de base de datos. Para salir de cliente de MySQL escribimos: #exit A continuación debemos instalar el servidor radius en sí y algunos otros componentes. # apt-get install freeradius freeradius-mysql freeradiusdialupadmin Seguido de la instalación de servidor nos toca la configuración del mismo. Para ello editamos el archivo /etc/freeradius/clients.conf. #nano /etc/freeradius/clients.conf En dicho archivo agregaremos el ip del Mikrotik y el secreto o contraseña que se eligió radius. # Client Name Key. # radius. A continuación debemos configurar el archive /etc/freeradius/naslist. Al mismo le agregamos la siguiente línea, que nos dice el número de ip de nuestro Mikrotik un nombre corto para identificarlo y el tipo. # NAS Name Short Name Type

67 # mikrotik mikrotik Editamos el archivo /etc/freeradius/radiusd.conf. #vi /etc/freeradius/radiusd.conf En el mismo buscamos las siguientes líneas dentro de la sección Unix, si están comentadas las descomentamos como está a continuación. De lo contrario las agregamos. passwd = /etc/passwd shadow = /etc/shadow group = /etc/group Buscamos en el archivo freeradius.conf dentro de la sección Authorize. La secuencia # sql. La descomentamos y también buscamos dentro de la misma sección. suffix y files a los mismos los comentamos. Buscamos luego la sección accounting la secuencia # sql y la descomentamos. Buscamos dentro de la sección modules dentro de pap la siguiente secuencia encryption_scheme= cryp la cambiamos por encryption_scheme = clear. Esto hará que cuando el freeradius nos lea la contraseña de la base de dato, la lea sin ningún tipo de encriptación como md5 u otra. Dentro de la sección modules nos dirigimos a la sub sección de mschap ahí descomentamos las siguientes líneas. Require_encryption = yes Require_strong = yes Finalizada la configuración del archivo /etc/freeradius/radiusd.conf. Ahora debemos configurar el archivo /etc/freeradius/sql.conf. #nano /etc/freeradius/sql.conf En el mismo buscamos la sección connect info y la dejamos de la siguiente manera. #connect info server = "localhost" login = "radius" password = "radius"

68 3.12 CONFIGURACIÓN SERVIDOR - CLIENTE JABBER. Debido a que constantemente los empleados pierden tiempo valioso de trabajo por utilizar el servicio de mensajería MSN Messenger o Yahoo Messenger entre otros. La empresa tomo la decisión de bloquear dichos servicio e instalar un servidor de mensajería privada para los empleados de la empresa y clientes. La instalación del servidor Jabber la hacemos en el servidor nuestro de la universidad que está en la dirección de ip Para instalarlo y configurarlos debemos realizar los siguientes pasos. Desde la consola del servidor logueado como root escribimos el siguiente comando. #apt-get install jabber Automáticamente se baja los paquetes necesarios para la instalación. Con el servidor funcionando. Debemos detenerlo para comenzar la simple configuración. # /etc/init.d/jabber stop Con la confirmación de que el servidor está detenido. Editamos el archivo de configuración del servidor /etc/jabber/jabber.cfg. Al mencionado archivo le agregamos la siguiente línea. JABBER_HOSTNAME=ucacue.edu.ec Con nuestro servidor Jabber instalado y configurado, lo que nos resta de la instalación simplemente es reiniciar el servidor de mensajería. Para ello desde la consola: # /etc/init.d/jabber start Para la instalación del cliente Jabber se ha elegido el cliente Pandion. Esto es debido a la facilidad de utilización que posee y la versatilidad del mismo. Para la instalación seguimos los siguientes pasos: Ejecutamos el instalador Pandion-2.5.exe, hacemos Clic En siguiente. Instalamos el programa.luego se nos abre la ventana de configuración de conexión

69 En la misma Hacemos clic en el botón CREAR CUENTA. Procedemos a crear nuestra cuenta luego de creada la cuenta, nos va aparecer una nueva ventana en la cual nos va a pedir colocar y la contraseña, como se muetra en la Fig. 81. Luego hacemos click en conectar y listo. Fig. 87 Ventana de ingreso a cuenta. (Fuente propia)