Implementación Sistema de Telefonía IP y Seguridad Perimetral

Transcripción

1 Implementación Sistema de Telefonía IP y Seguridad Perimetral Esteban De La Fuente Rubio y Eduardo Díaz Valenzuela Proyecto de título para optar al título de Ingeniero en Redes y Comunicación de Datos Santiago - Chile enero 2010

2

3 Agradecimientos Damos infinitas gracias a nuestros profesores guías y de especialidad por su apoyo y confianza. A nuestros padres, familia, pareja y amigos por tener fé en nuestras capacidades y creer que cumpliríamos las metas propuestas al inicio de este proyecto de vida. Además debemos darnos gracias a nosotros mismos por la perseverancia, el tesón y el empuje necesario para derribar los obstáculos que tuvimos durante este proceso, el cual claramente nos llena de satisfacción. Implementación Sistema de Telefonía IP y Seguridad Perimetral i

4 ii

5 Resumen Debido a la necesidad de integrarse en un mercado cada vez más competitivo, es necesario incorporar mayor tecnología en las empresas para así responder a las necesidades actuales, a partir de estas inquietudes se realizó una búsqueda de una empresa para poder llevar a cabo el proyecto de título con el fin de dar término a nuestra carrera. Se contactó a la empresa Pablo Massoud Cía y Ltda, también conocida como Fundo Santa Rosa, en donde se gestionó una reunión primaria para presentar el objetivo de nuestro trabajo y así crear expectativas para comenzar este proyecto. Como primera etapa se realizó un análisis de la red empresarial para poder entender que falencias existían y ofrecer mejoras a estas, para esto se realizaron visitas en terreno y se recopiló información entregada directamente por el personal autorizado en las reuniones que se mantuvieron durante el período de análisis. Siguiendo a esto se preparó un informe con la solución tecnológica que se encontró más apropiada aprovechando la tecnología que ya se tenía, esto solicitado por el cliente. En las reuniones que se mantuvieron se dejó claro los puntos focales que se debían abordar con especial trato, la forma de comunicarse vía telefonía, tanto dentro del fundo como en la oficina central ubicada en pleno centro de Melipilla, además ver la forma de tener control del uso de Internet por los operarios ya que esto no existía de forma alguna. Al terminar el informe con la solución diseñada se realizó una presentación pactada para poder entregar ésta al personal pertinente de la empresa para la aceptación y posterior materialización del mismo. En una segunda etapa luego que la empresa aprobara la solución propuesta, se comenzó a realizar la implementación de la misma, la cual consistió en instalar un firewall tanto en el fundo como en la oficina central, los cuales mediante Squid, OpenVPN e IPTables permitieron realizar la limitación del personal con el uso de Internet y la utilización tanto remota como local de la información compartida. Además se implementaron dos centrales de telefonía IP en las áreas ya mencionada para tener comunicación tanto en el fundo como con la oficina central, entregando con esto un mejor servicio y un mayor control en las comunicaciones. Implementación Sistema de Telefonía IP y Seguridad Perimetral iii

6 Posteriormente al término de la implementación se realizó una reunión final con el cliente, el cual mostró su satisfacción con la labor realizada, indicando que al comparar la situación inicial y final de su empresa se encontró con una red empresarial más segura, más ordenada, con mayor control de los usuarios y de las llamadas que ellos mismos ejecutan, y la utilización correcta de Internet. Finalmente, para la realización de este proyecto se aplicaron los conocimientos generales de los ramos cursados y la información proporcionada por la Web. iv Implementación Sistema de Telefonía IP y Seguridad Perimetral

7 Índice general 1. Introducción 1 2. Objetivos Objetivos generales Objetivos específicos Empresa Infraestructura de hardware Marco teórico LAN: Redes de Área Local Topología de Estrella WLAN: Redes inalámbricas Tipos de redes WLAN Ventajas de las redes WLAN Desventajas de las redes WLAN VPN: Redes privadas virtuales Tipos de VPN Ventajas de VPN Desventajas de VPN VoIP: Voz sobre IP Ventajas y desventajas v

8 ÍNDICE GENERAL ÍNDICE GENERAL Central telefónica Asterisk Entorno y sus fundamentos Problemática Seguridad perimetral y filtro de contenido Problemas de comunicación Conexión remota a la red Requerimientos Alcance del proyecto Descripción Limitaciones Factores críticos de éxito Diseño de solución Diagrama de flujo Firewall IPTables OpenVPN Squid Central telefónica Empresa VOIP externa Menú interactivo Buzón de voz Estadísticas de llamadas Protocolo para troncal entre centrales Plan de trabajo Etapas Instalación de Firewall y filtro de contenidos vi Implementación Sistema de Telefonía IP y Seguridad Perimetral

9 ÍNDICE GENERAL ÍNDICE GENERAL Interconexión mediante VPN Configuración Servidor Asterisk en Fundo Configuración Servidor Asterisk en Oficina Central Implementación de troncales entre Centrales VoIP Acceso de Central Fundo a PSTN Recursos Implementación Estudios protocolos y software Reunión implementación Firewall Fundo Instalación Sistema Operativo Configuración IPTables Configuración Squid Instalación y Pruebas VPN Fundo Instalación OpenVPN Configuración tele trabajo Central telefónica Fundo Instalación Asterisk Habilitación cuentas Estadísticas de llamadas Acceso a la PSTN Equipos oficina central Capacitación SysAdmin VPN Sitio a Sitio Habilitación en OpenVPN Troncal IAX Configuración Troncal Implementación Sistema de Telefonía IP y Seguridad Perimetral vii

10 ÍNDICE GENERAL ÍNDICE GENERAL 9.9. Documentación Resultados Pruebas Pruebas en Fundo Conclusiones Bibliografía Bibliografía Recursos digitales A. Configuraciones 85 A.1. Firewall Fundo A.1.1. /etc/network/interfaces A.1.2. /etc/init.d/firewall.sh A.1.3. /etc/squid3/squid.conf A.2. VPN Fundo A.2.1. /etc/openvpn/tunel.conf A.2.2. /etc/openvpn/roadwarrior.conf A.3. Central telefónica Fundo A.3.1. /etc/asterisk/sip.conf A.3.2. /etc/asterisk/extensions.conf A.3.3. /etc/asterisk/iax.conf A.3.4. /etc/asterisk/voic .conf A.3.5. /etc/asterisk/cdr mysql.conf viii Implementación Sistema de Telefonía IP y Seguridad Perimetral

11 Índice de figuras 3.1. Mapa ubicación Fundo y Oficina Melipilla Organigrama de la empresa Fundo Santa Rosa Topología Fundo Santa Rosa Ejemplo de topología de estrella Red WiFi Infraestructura Red WiFi Peer to Peer Ejemplo de VPN sitio a sitio Tabla de codec de audio en telefonía IP Mapa red inalámbrica en el fundo Modelo de red propuesto Flujo funcionamiento del firewall Flujo funcionamiento del proxy Flujo funcionamiento de la central telefónica Ubicación y funcionamiento de un firewall VPN sitio a sitio Squid permitió acceso a Squid denegó acceso a Conexión a servidor SAMBA mediante VPN Llamada perdida desde la PSTN ix

12 ÍNDICE DE FIGURAS ÍNDICE DE FIGURAS Llamada perdida desde la PSTN Mensaje de voz enviado al correo del usuario Registro de llamadas día x Implementación Sistema de Telefonía IP y Seguridad Perimetral

13 Capítulo 1 Introducción Durante el año 2009, como parte del proceso de formación educacional comprendido para la obtención del título de Ingeniero en Redes y Comunicación de Datos de la universidad Andrés Bello, se ha desarrollado el presente trabajo de titulación. Este tiene como objetivo ser el punto culmine de nuestros estudios y la finalización de esta etapa. En las siguientes hojas encontrará la empresa con la que se trabajó, la problemática detectada y como esta se solucionó. Hoy en día mantener una adecuada comunicación al interior de cualquier empresa es un signo claro de colaboración entre los trabajadores. Sin embargo si no existe un adecuado sistema que colabore con dicha tarea, esto se complica y comienzan a surgir los problemas. Dentro de las alternativas existentes están: correo electrónicos, centrales telefónicas, telefonía celular, telefonía fija, fax, sistema de mensajería corta, radios o aplicaciones en red (como pueden ser redes sociales o una intranet). Las alternativas anteriores tienen diferentes costos y no son aplicables al 100 % de las empresas, es por esto que en cada caso se debe evaluar cual es la mejor alternativa disponible para facilitar las comunicaciones dentro del trabajo. Como profesionales del área de redes nos llamó la atención la telefonía IP, ya que de los sistemas anteriores mencionados, es uno de los cuales está experimentando un rápido crecimiento. Hoy existen diversas empresas que ofrecen este tipo de servicio, incluso ya no debemos limitarnos solo a las compañías nacionales para optar a tener un número telefónico. 1

14 CAPÍTULO 1. INTRODUCCIÓN Los costos que se pueden observar a nivel de llamadas nacionales o internacionales lo hacen un sistema atractivo para empresas y particulares. Sin embargo un beneficio grande respecto al sistema tradicional de telefonía es que al utilizar redes de datos para transportar la voz se puede utilizar la infraestructura de red existente en las empresas para tener una central telefónica que ofrezca el servicio de telefonía a los trabajadores. Otro punto de interés es el relacionado con la seguridad en las redes, es un tema que en ciertos lugares es muy poco considerado y en otros prácticamente inexistente. La seguridad no tiene relación solo con el posible ataque de un extraño en Internet hacia la red, sino también lo que los usuarios de las mismas redes pueden hacer en ellas y como afectan al resto. Por este motivo es que el interés se fijó tanto en la protección de la red frente a posibles ataques del exterior como la posibilidad de controlar el contenido que los usuarios revisan en Internet. El trabajo se compone de diversas etapas, de las cuales se pueden destacar: definición del área de interés, búsqueda de una empresa, levantamiento en el área de redes, propuesta de una mejora e implementación de la solución diseñada. La definición del área de estudio se ha descrito en los párrafos anteriores. El paso siguiente es buscar una empresa, para esto se contactó con la empresa Fundo Santa Rosa quienes mostraron interés en recibir soporte para el mejoramiento en su sistema de comunicación vía teléfono. Además durante las reuniones llevadas a cabo con trabajadores de la empresa se manifestó la preocupación por la poca seguridad de los contenidos visitados por los usuarios al navegar por Internet. Esto se adecuaba perfectamente a los temas que se deseaban cubrir. Durante la lectura de este trabajo se encontrarán conceptos del área de redes y de la gestión de proyectos, los cuales han sido utilizados para dar una mayor comprensión de lo que involucra el desarrollo de un trabajo de este tipo. De esta forma el proyecto se inicia con el levantamiento de la situación inicial de la red, confección de requerimientos, diseño de una solución y posteriormente la implementación. 2 Implementación Sistema de Telefonía IP y Seguridad Perimetral

15 Capítulo 2 Objetivos 2.1. Objetivos generales A continuación se indican los objetivos generales del proyecto: Aplicar las metodologías de desarrollo de proyectos para poder entregar una solución a las problemáticas encontradas en una empresa. Realizar un proyecto acorde con las características o estándares correspondientes a la carrera Ingeniería en Redes y Comunicación de Datos. Tener una buena comunicación con la empresa o cliente, tanto en la etapa de análisis como en la etapa de implementación para lograr obtener su satisfacción. Aplicar tecnologías actuales para dar soluciones que puedan mejorar los procesos y así posicionarse en el mercado actual Objetivos específicos Para poder lograr cumplir los objetivos generales es necesario primero cumplir los siguinetes objetivos específicos: 3

16 2.2. OBJETIVOS ESPECÍFICOS CAPÍTULO 2. OBJETIVOS Buscar y seleccionar empresa con las características necesarias para desarrollar proyecto. Establecer relación pública con la empresa para comunicar ideas del proyecto. Realizar inspecciones a la Empresa para conocer espacios, personal, recursos o insumos que faciliten el análisis de la problemática existente el proyecto. Detectar necesidades con los involucrados a través de reuniones para conocer falencias. Analizar y diseñar solución que involucre tanto telefonía IP, como seguridad perimetral. Entregar al cliente un análisis de ambas situaciones de la red (pre y post proyecto). Realizar una planificación clara, listando las actividades específicas que se realizarán en el proceso de implementación de solución. Analizar resultados del plan operativo del proyecto. Realizar una topología o esquema de diseño solución para realizar la comparación con la situación actual de la empresa. Implementar un sistema de Telefonía IP para la comunicación interna entre las oficinas centrales y el fundo de la empresa Fundo Santa Rosa. Implementar un firewall que permite restringir el acceso a Internet. Implementar un filtro de contenidos que permita controlar el acceso a Internet. Implementar una Red Privada Virtual entre las oficinas centrales y el fundo de la empresa Fundo Santa Rosa. Ejecutar y monitorear plan de acción. 4 Implementación Sistema de Telefonía IP y Seguridad Perimetral

17 Capítulo 3 Empresa El trabajo de título se realizó en la empresa Fundo Santa Rosa la cual se encuentra ubicada en la ciudad de Melipilla, a 60 km de la ciudad de Santiago.. Esta empresa cuenta con sus oficinas centrales en el centro de la ciudad y cuenta con instalaciones en un sector rural aproximadamente a 20 km al interior de la ciudad, ver figura 3.1. El desarrollo de este proyecto se basa en el analisis de la problemática existente en la red corporativa de la empresa, entregando la mejor solución de acuerdo a las necesidades del cliente. Para las comunicaciones referente al proyecto, la empresa ha designado al Sr. Gonzalo De La Fuente Valderrama, jefe de la Planta de Alimento. La empresa cuenta en total con aproximadamente 600 trabajadores de los cuales aproximadamente 70 son usuarios de computador. En la figura 3.2 se puede observar el organigrama de la empresa Infraestructura de hardware Luego de haber realizado un levantamiento en la empresa, se realizó un catastro tanto del equipamiento computacional como el de red existente, el cual se describe a continuación: 1 router Linksys WRT54GL con sistema operativo DD-WRT. 5

18 3.1. INFRAESTRUCTURA DE HARDWARE CAPI TULO 3. EMPRESA Figura 3.1: Mapa ubicacio n Fundo y Oficina Melipilla 7 puntos de acceso Linksys WAP54G. 2 switches Linksys de 16 y 8 bocas respectivamente. 1 ca mara IP. 1 servidor IBM con sistema operativo Debian GNU/Linux, aloja aplicacio n web AGATA (software coorporativo). 13 computadores de los trabajadores con sistema operativo Microsoft Windows. En la figura 3.3 se presenta la topologı a de la empresa al momento de realizar el levantamiento. Se observa que el router Linksys (equipo indicado con nombre bart ) es la pasarela hacia Internet, y adema s el servidor (de archivos, correo y web) llamado homero 6 Implementacio n Sistema de Telefonı a IP y Seguridad Perimetral

19 CAPÍTULO 3. EMPRESA 3.1. INFRAESTRUCTURA DE HARDWARE Figura 3.2: Organigrama de la empresa Fundo Santa Rosa se encuentra en la misma red que el resto de los computadores. La red utilizada es una red LAN tipo estrella con redes inalámbricas en modo infraestructura. Implementación Sistema de Telefonía IP y Seguridad Perimetral 7

20 3.1. INFRAESTRUCTURA DE HARDWARE CAPÍTULO 3. EMPRESA Figura 3.3: Topología Fundo Santa Rosa 8 Implementación Sistema de Telefonía IP y Seguridad Perimetral

21 Capítulo 4 Marco teórico El proyecto desarrollado cuenta con diferentes conceptos teóricos importantes que se deben considerar para dar una adecuada lectura a este documento LAN: Redes de Área Local Son redes de propiedad privada de hasta unos cuantos kilómetros de extensión. Por ejemplo una oficina o un centro educativo. Este tipo de redes se utilizan para conectar computadoras personales u otros equipos de red, con objeto de compartir recursos e intercambiar información. La estructura de una red LAN está definida según su topología. Esta es una representación lógica de como los computadores se encuentran conectados a la red. A continuación se menciona cada una de ellas: Topología de bus circular. Topología de anillo. Topología de estrella. Topología en estrella extendida. 9

22 4.1. LAN: REDES DE ÁREA LOCAL CAPÍTULO 4. MARCO TEÓRICO Topología jerárquica. Topología de malla. La topología utilizada en la solución y que se presentará en este proyecto es la estrella, la cual se define a continuación: Topología de Estrella La topología estrella es una de las topologías más populares actualmente. Corresponde a una red en la cual las estaciones están conectadas directamente a un punto central, en el cual ocurren todas las comunicaciones que se realizan dentro de la red, normalmente este dispositivo es un switch 1. Se utiliza sobre todo para redes locales. La mayoría de las redes de área local que tienen un enrutador (router), un conmutador (switch) o un concentrador (hub) siguen esta topología. El nodo central en estas sería el enrutador, el conmutador o el concentrador, por el que pasan todos los paquetes 2. En la figura 4.1 se puede apreciar una red con topología estrella. Ventajas de la Topología de estrella Es más tolerante, esto quiere decir que si una computadora se desconecta o si su cable falla solo esa computadora es afectada y el resto de la red mantiene su comunicación normalmente. Es fácil de reconfigurar, añadir o remover una computadora es tan simple como conectar o desconectar un cable en el nodo central. Permite que todos los nodos se comuniquen entre sí de manera conveniente. Desventajas de la Topología de estrella Es costosa ya que requiere más cable que la topología Bus y Token Ring. 1 Dispositivo de red, generalmente de capa 2 2 Datos de que envían los computadores entre sí 10 Implementación Sistema de Telefonía IP y Seguridad Perimetral

23 CAPÍTULO 4. MARCO TEÓRICO 4.2. WLAN: REDES INALÁMBRICAS Figura 4.1: Ejemplo de topología de estrella El cable viaja por separado del nodo central a cada computadora. Si el nodo central falla, toda la red se desconecta WLAN: Redes inalámbricas WLAN 3 es un sistema de comunicación de datos inalámbrico flexible, muy utilizado como alternativa a las redes LAN cableadas o como extensión de éstas. Utiliza tecnología de radiofrecuencia que permite mayor movilidad a los usuarios al minimizar las conexiones ca- 3 Wireless Local Area Network o red de área local inalámbrica Implementación Sistema de Telefonía IP y Seguridad Perimetral 11

24 4.2. WLAN: REDES INALÁMBRICAS CAPÍTULO 4. MARCO TEÓRICO bleadas. Las WLAN van adquiriendo importancia en muchos campos, como almacenes o para manufactura, en los que se transmite la información en tiempo real a un servidor central. También son muy populares en los hogares para compartir el acceso a Internet entre varias computadoras Tipos de redes WLAN Infraestructura Esta es una configuración típica de WLAN en donde los puntos de acceso (AP) se conectan a la red cableada. El punto de acceso recibe la información, la almacena y la transmite entre la WLAN y la LAN cableada. Un único punto de acceso puede soportar un pequeño grupo de usuarios y puede funcionar entre un rango de treinta metros hasta varios cientos de metros a la redonda. El punto de acceso (o la antena conectada al punto de acceso) es normalmente colocado en alto pero podría colocarse en cualquier lugar en que se obtenga la cobertura de radio deseada. El usuario final accede a la red WLAN a través de adaptadores. Estos proporcionan una interfaz entre el sistema de operación de red del cliente y las ondas. La figura 4.2 muestra este tipo de WLAN Figura 4.2: Red WiFi Infraestructura 12 Implementación Sistema de Telefonía IP y Seguridad Perimetral

25 CAPÍTULO 4. MARCO TEÓRICO 4.2. WLAN: REDES INALÁMBRICAS Peer to peer Pueden ser de muy diversos tipos y tan simples o complejas como sea necesario. La más básica se da entre dos ordenadores equipados con tarjetas adaptadoras para WLAN, de modo que pueden poner en funcionamiento una red independiente siempre que estén dentro del área que cubre cada uno. Esto es llamado red de igual a igual (peer to peer). Cada cliente tendría únicamente acceso a los recursos del otro cliente pero no a un servidor central. Este tipo de redes no requiere administración. La figura 4.3) muestra este tipo de WLAN. Figura 4.3: Red WiFi Peer to Peer Ventajas de las redes WLAN Movilidad: las redes inalámbricas proporcionan a los usuarios de una LAN acceso a la información en tiempo real en cualquier lugar dentro de la organización o el entorno público (zona limitada) en el que están desplegadas. Simplicidad y rapidez en la instalación: la instalación de una WLAN es rápida y fácil y elimina la necesidad de colocar cables a través de paredes y techos. Implementación Sistema de Telefonía IP y Seguridad Perimetral 13

26 4.3. VPN: REDES PRIVADAS VIRTUALES CAPÍTULO 4. MARCO TEÓRICO Flexibilidad en la instalación: La tecnología inalámbrica permite a la red llegar a puntos de difícil acceso para una LAN cableada. Escalabilidad: los sistemas de WLAN pueden ser configurados en una variedad de topologías para satisfacer las necesidades de las instalaciones y aplicaciones específicas. Las configuraciones son muy fáciles de cambiar y además resulta muy simple la incorporación de nuevos usuarios a la red Desventajas de las redes WLAN Mayor vulnerabilidad a interferencias y ataques. En comparación con una LAN tiene un desempeño de menor calidad VPN: Redes privadas virtuales La Red Privada Virtual (RPV), en inglés Virtual Private Network (VPN), es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet. En otras palabras corresponde a una red lógica de computadores unidos a través de Internet. De esta forma al estar conectadas las dos redes mediante una VPN se creará la sensación al usuario que ambas redes están físicamente conectadas, pudiendo compartir recursos (impresoras, archivos, servicios) entre los equipos de las redes de forma transparente. Además las VPN pueden ser provistas de sistemas de seguridad para proteger la información que está viajando por internet, de esta forma se mejora la confidencialidad e integridad de los datos transmitidos por la empresa. 14 Implementación Sistema de Telefonía IP y Seguridad Perimetral

27 CAPÍTULO 4. MARCO TEÓRICO 4.3. VPN: REDES PRIVADAS VIRTUALES Tipos de VPN VPN de acceso remoto: es quizás el modelo más usado actualmente y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando Internet como vínculo de acceso. VPN punto a punto: este esquema se utiliza para conectar oficinas remotas con la sede central de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicionales, sobre todo en las comunicaciones internacionales (ver figura 4.4). VPN interna WLAN: este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo acceso remoto pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi) Ventajas de VPN Integridad, confidencialidad y seguridad de datos. Las VPN reducen los costos y son sencillas de usar. Facilita la comunicación entre dos usuarios en lugares distantes. Se puede cursar tráfico de datos, imágenes en movimiento y voz simultáneamente. Puede extenderse a cualquier sitio. Implementación Sistema de Telefonía IP y Seguridad Perimetral 15

28 4.3. VPN: REDES PRIVADAS VIRTUALES CAPÍTULO 4. MARCO TEÓRICO Figura 4.4: Ejemplo de VPN sitio a sitio La capacidad de la red puede crecer gradualmente, según como las necesidades de conexión lo demanden. Si en Internet un enlace se cae o congestiona demasiado, existen rutas alternativas para hacer llegar los paquetes a su destino Desventajas de VPN Se deben establecer correctamente las políticas de seguridad y de acceso. Mayor carga en el cliente VPN porque debe encapsular los paquetes de datos y encriptarlos, esto produce una cierta lentitud en las conexiones. No se garantiza disponibilidad (sin Internet no hay VPN). 16 Implementación Sistema de Telefonía IP y Seguridad Perimetral

29 CAPÍTULO 4. MARCO TEÓRICO 4.4. VOIP: VOZ SOBRE IP Una VPN se considera segura, pero no hay que olvidar que la información sigue viajando por Internet (de forma no segura y expuesta a ataques) VoIP: Voz sobre IP Se llama VoIP al conjunto de tecnologías para la transmisión de voz sobre redes que funcionan con el protolo IP 4, también es denominada telefonía IP o telefonía por Internet. Esto último no significa que solo se pueda utilizar sobre Internet, puesto que al utilizar el protocolo IP podemos implementarla sobre la red informática privada de una empresa Ventajas y desventajas Ventajas telefonía IP Evita cargos altos de telefonía, principalmente larga distancia. No hay que pagarle a las compañías telefónicas por la comunicación de Voz, pues solo utilizamos nuestro servicio de Internet. Puede funcionar sobre cualquier tipo red, como lo hacen otros servicios (como web). Existe ínter operabilidad de distintos proveedores. Existen distintos protocolos a utilizar, cada uno con sus ventajas y desventajas. Servicio disponible solo con una conexión a Internet. Desventajas Es difícil garantizar calidad de servicio, difícil lograr una calidad exacta a la de una PSTN. 4 Internet Protocol Implementación Sistema de Telefonía IP y Seguridad Perimetral 17

30 4.4. VOIP: VOZ SOBRE IP CAPÍTULO 4. MARCO TEÓRICO Ya que los datos viajan en forma de paquetes es que pueden existir perdidas de información y demoras en la transmisión. Se debe disponer de un mínimo de ancho de banda disponible según la cantidad de usuarios hablando. Dentro de las soluciones de VoIP existentes hemos decidido utilizar Asterisk en el proyecto, este se detalla a continuación Central telefónica Asterisk Asterisk es el líder en centrales telefónicas de código libre, ofrece flexibilidad respecto a las soluciones propietarias de comunicaciones y ha sido desarrollada para crear una solución avanzada de comunicación. Ventajas Utiliza protocolos estándares y abiertos. El desarrollo de los diversos codecs ha permitido que la voz se codifique cada vez en menos bytes. Funciona como una completa central telefónica, permitiendo tener casillas de voz, contestadora automática, acceso a la PSTN (mediante tarjetas especiales), control de llamadas, registro de llamadas de los usuarios, música en espera, operadora, etc. Elementos a considerar al configurar Asterisk Codificación de audio: existen diversos algoritmos (codecs) que codifican el audio de diferentes formas, el método a utilizar determinará, por ejemplo, la calidad del sonido o la cantidad de ancho de banda necesario para realizar la llamada. Se deberá usar el más adecuado según los requerimientos del cliente. 18 Implementación Sistema de Telefonía IP y Seguridad Perimetral

31 CAPÍTULO 4. MARCO TEÓRICO 4.4. VOIP: VOZ SOBRE IP Cancelación de eco: esta característica evita que un usuario que este llamando escuche su voz con un desfase. Supresión de silencios: cuando en una llamada los interlocutores no emiten sonido alguno, el silencio se puede enviar por la línea, sin embargo esto ocupará ancho de banda, por lo cual se ha de tener presente que se debe evitar esto suprimiendo estos silencios y que no sean enviados por la línea. Protocolos de señalización SIP Corresponde al estándar para el inicio, modificación y termino de sesiones de diversos servicios en redes IP, tales como: video, voz, mensajería instantánea, juegos online y realidad virtual. Codificación de audio Los codecs permiten codificar el audio para poder transmitir por la red un audio comprimido que haga un menor uso de los recursos de la red. El nivel de compresión dependerá del bit-rate, el cual a menor bit-rate 5 mayor compresión pero peor calidad. Existen diversos tipos de codecs disponibles, en la figura 4.5 se pueden apreciar algunos de ellos y sus características. De los codecs de audio disponibles hemos decidido utilizar el G711 por ser un codec que cumple con los requerimientos del cliente y además no posee una licencia restrictiva. Este codec será el utilizado para la comunicación de los equipos de las centrales telefónicas con sus usuarios locales. 5 Bits transmitidos en una unidad de tiempo, por ejemplo 16bps son 16 bits por segundo. Implementación Sistema de Telefonía IP y Seguridad Perimetral 19

32 4.4. VOIP: VOZ SOBRE IP CAPÍTULO 4. MARCO TEÓRICO Figura 4.5: Tabla de codec de audio en telefonía IP 20 Implementación Sistema de Telefonía IP y Seguridad Perimetral

33 Capítulo 5 Entorno y sus fundamentos 5.1. Problemática Dentro de los temas analizados con el personal de la empresa en diversas reuniones realizadas se logró acotar el objetivo del proyecto a puntos específicos. Esto es importante de mencionar, ya que durante el desarrollo de Taller de Título 1, se contemplaron muchos posibles temas, como una optimización general de la red, tanto en equipos, software y cableado. Sin embargo por decisión de la empresa el trabajo fue acotado a los temas que se mencionan a continuación. Para lograr conocer cuáles eran los puntos a mejorar se realizó un estudio basado en los problemas que presentaban los usuarios. Esto se realizado mediante entrevistas y reuniones con el personal de la empresa. De estas reuniones surgieron las necesidades que se presentaban respecto al funcionamiento de la red en ese momento. Se detectaron tres puntos importantes: Falta de control y seguridad en el acceso a Internet. Falta de un sistema interno de comunicación entre las dependencias del fundo. Posibilidad de tele trabajo. 21

34 5.1. PROBLEMÁTICA CAPÍTULO 5. ENTORNO Y SUS FUNDAMENTOS Seguridad perimetral y filtro de contenido La red de la empresa cuenta con acceso directo a Internet, esto significa que cualquier usuario podía navegar libremente por sitios web que fuesen o no relacionados con el ambiente laboral. Esto sumado a los problemas de seguridad que existen hoy en Internet correspondía a un tema delicado que afectaba el rendimiento de la red y de las personas. Al no contar con un equipo capaz de realizar un filtrado del contenido todos los dispositivos que ingresan a Internet tienen iguales privilegios en la conexión, o sea acceso completo a la red. Esto representa problemas en la seguridad puesto que los usuarios pueden obtener cualquier tipo de material pudiendo navegar por sitios maliciosos que pueden generar vulnerabilidad a los equipos de los usuarios y potencialmente a otros equipos en la red. Además los usuarios al poder acceder libremente a las páginas web muchas veces navegarán por sitios que no estan vinculados a la empresa Problemas de comunicación Se han detectado problemas para realizar una comunicación telefónica eficiente entre los trabajadores de la empresa, específicamente en el fundo. Esto provocado por la ubicación geográfica en donde se encuentra este, ver figura 3.1. En la figura se observa que corresponde a un sector rural, por lo cual no existen proveedores de telefonía fija que cubran el lugar. Además por estar el fundo rodeado por dos grandes cerros el servicio de telefonía celular es deficiente, habiendo una cobertura limitada de esta. Los problemas de comunicación se pueden dividir en los siguientes: Comunicación interna Es necesario la comunicación de 6 instalaciones, se pueden apreciar estos puntos en la figura 5.1. En la imagen se observa la ubicación de las instalaciones señaladas al interior del fundo de la empresa. Actualmente existe una red de computadores mediante la cual los funcionarios pueden transferir archivos y correo electrónico, sin embargo para realizar comunicación vía voz deben recurrir a equipos de radio. 22 Implementación Sistema de Telefonía IP y Seguridad Perimetral

35 CAPI TULO 5. ENTORNO Y SUS FUNDAMENTOS 5.1. PROBLEMA TICA Figura 5.1: Mapa red inala mbrica en el fundo Comunicacio n externa Adema s es necesaria la comunicacio n con la oficina central de la empresa, en la ciudad de Melipilla. Actualmente esto se realiza mediante telefonı a celular, sin embargo esta es deficiente en el sector y no existe la posibilidad de telefonı a fija Conexio n remota a la red Otro de los puntos que nos hicieron ver los ejecutivos de la empresa fue la necesidad de poder conectarse a trave s de Internet a la red interna de la empresa, esto con el objetivo de acceder a los equipos y servicios que la componen. Dos servicios importantes son: Aplicacio n de la empresa, que funciona vı a web en la Intranet. Servidor con los documentos de las distintas a reas coorporativas. Implementacio n Sistema de Telefonı a IP y Seguridad Perimetral 23

36 5.2. REQUERIMIENTOS CAPÍTULO 5. ENTORNO Y SUS FUNDAMENTOS 5.2. Requerimientos Según el análisis realizado conjuntamente con el cliente, se rescataron los siguientes requerimientos, los cuales son para solucionar la problemática antes detallada, estos consisten en: Evitar que los usuarios tengan libre acceso a Internet. Existiran distintos niveles de privilegios de filtrado de contenido según defina el cliente. Acceder en forma remota a la red de la empresa. Permitir a los trabajadores comunicarse telefonicamente entre sí en el interior del fundo y hacia el exterior Implementar una central telefónica que permita a los trabajadores de la empresa comunicarse entre sí al interior del fundo. Central telefónica deberá estar comunicada con la red pública de telefonía. Generar sistema de comunicación telefónica interna entre el fundo y oficina central. 24 Implementación Sistema de Telefonía IP y Seguridad Perimetral

37 Capítulo 6 Alcance del proyecto En este capítulo se indicará lo que nuestro proyecto de título cubrirá, indicando los aspectos formales que tienen relación con responsabilidades por parte del cliente como de quienes ejecutan el proyecto Descripción La solución a implementar corresponde a la instalación y puesta en marcha de equipos capaces de realizar las tareas necesarias para proteger la red desde el exterior, ejercer un control a nivel de contenido sobre lo que los usuarios pueden realizar en internet y además la implementación de centrales de telefonía IP para ayudar en la comunicación entre los trabajadores de la empresa. El proyecto está compuesto de las siguientes etapas: Configuración de firewall: Se instalarán y configurarán dos firewall para generar políticas de acceso a Internet, filtro de contenido de páginas web y por otra parte políticas de acceso para proteger la red interna. Instalación de VPN: La instalación de la red VPN será para unir la Oficina Central con el Fundo, además se considerará la necesidad de clientes que deseen conectarse desde redes externas a la empresa. 25

38 6.2. LIMITACIONES CAPÍTULO 6. ALCANCE DEL PROYECTO Central telefónica: Se considerará la instalación de dos servidores en los cuales se instalará el software que realizara las tareas de comunicación de voz sobre ip y los equipos terminales de telefonía IP. Segmentación de red: Incluirá la separación de la granja de servidores de la red corporativa Limitaciones Las siguientes son limitaciones impuestas por el cliente al diseño del proyecto: Se deberá utilizar la actual red implementada en ambos lugares, proyecto no debe contemplar cambios gruesos al cableado o instalaciones inalámbricas. Horario de trabajo en terreno solo fuera de horario de oficina, esto significa sábado o domingo. Se debe capacitar al personal de la empresa para la mantención futura de los equipos instalados Factores críticos de éxito A continuación se mencionan aquellos factores que serán decisivos y podrían comprometer el correcto desarrollo del proyecto. Responder a los tiempos dispuestos o estipulados al inicio del proyecto. Tener a disposición el hardware necesario antes de la fecha dispuesta para la configuración de estos. Realizar pruebas de funcionalidad en las etapas correspondientes de la implementación. Responder a los requerimientos funcionales solicitados por la empresa. 26 Implementación Sistema de Telefonía IP y Seguridad Perimetral

39 CAPÍTULO 6. ALCANCE DEL PROYECTO 6.3. FACTORES CRÍTICOS DE ÉXITO El cliente realice pruebas de satisfacción luego de las pruebas internas de implementación. Realizar correcciones a los problemas encontrados al realizar la implementación. Realizar capacitación al personal antes dispuesto, para que opere el equipamiento instalado. Cortes de energía electríca podrían afectar el funcionamiento del sistema. Disponer de una conexión a Internet al menos en los horarios de trabajo. Realizar respaldos del sistema, a fin de evitar problemas en caso de fallas por hardware. Implementación Sistema de Telefonía IP y Seguridad Perimetral 27

40 6.3. FACTORES CRÍTICOS DE ÉXITO CAPÍTULO 6. ALCANCE DEL PROYECTO 28 Implementación Sistema de Telefonía IP y Seguridad Perimetral

41 Capítulo 7 Diseño de solución Estudiando la problemática detectada en la empresa se preparó una solución al problema. En este capítulo se muestra el diseño en detalle de la solución que cumple con los requerimientos del cliente. En la figura 7.1 se puede apreciar una visión global del diseño final a implementar, el cual incluye la solución al problema de telefonía, seguridad perimetral y conexión remota. Figura 7.1: Modelo de red propuesto 29

42 7.1. DIAGRAMA DE FLUJO CAPÍTULO 7. DISEÑO DE SOLUCIÓN 7.1. Diagrama de flujo Para un mejor entendimiento del modelo de red propuesto se presentan diferentes diagramas de flujo, los cuales ayudarán a la comprensión de la solución planteada: Diagrama flujo firewall: ver figura 7.2. Diagrama flujo proxy: ver figura 7.3. Diagrama flujo central telefónica: ver figura Firewall Existe la necesidad de instalación en ambos sectores de un Firewall que separe la red LAN de Internet, ver figura 7.5. Para esto se realizará la instalación de un firewall utilizando Debian GNU/Linux 1, dentro de las ventajas presentes está el hecho que es una solución económica si la comparamos con un firewall comercial y tan robusta como estos últimos. El firewall cumplirá diversas funciones: Filtrado utilizando IPTables. VPN utilizando OpenVPN. Proxy transparente utilizando Squid. Router utilizando rutas estáticas. Para el cumplimiento de lo anterior se implementarán sobre dos servidores que dispondrán de tres tarjetas de red, una conectada hacia internet, otra a la zona desmilitarizada (dmz, donde se encontrarán los servidores de la empresa) y la última hacia la red corporativa. Mediante el software squid, iptables y openvpn se lograrán los objetivos planteados para estos equipos Implementación Sistema de Telefonía IP y Seguridad Perimetral

43 CAPÍTULO 7. DISEÑO DE SOLUCIÓN 7.2. FIREWALL La ventaja principal será mejorar las horas productivas en la empresa, ya que al tener libre acceso los usuarios pueden malgastar tiempo. Además se protegerá la red desde posibles ataques del exterior IPTables IPTables es parte de un software llamado NetFilter disponible en el núcleo de las distribuciones GNU/Linux. Corresponde a una herramienta, principalmente de capa 3 en el modelo OSI de redes, que permitirá generar diversas reglas de seguridad y usos de la red. Entre estas se encuentran: Enmascaramiento de IPs privada con la IP pública para la utilización de NAT. Bloqueo de puertos e IP desde y hacia Internet. Redireccionamiento de solicitudes web al proxy Squid. Con esto se permitirá que el administrador de la red pueda definir nuevas políticas de una manera sencilla y efectiva comparado con lo que se podría lograr con un equipo SOHO OpenVPN La VPN se utilizará para crear un enlace sitio a sitio entre el fundo y Melipilla, esto permitirá que usuarios de ambas redes esten conectados como si estuviesen en la misma red. Además se creará un acceso para clientes remotos 3, permitiendo con esto además que los trabajadores autorizados puedan ingresar a la red corporativa. Ambos tipos de VPN (sitio a sitio, ver figura 7.6, y para clientes remotos) utilizarán un canal comprimido y encriptado. En el caso del tunel sitio a sitio se utilizará una clave compartida y en los clientes remotos un certificado digital. 2 SOHO: Small Office Home Office, equipos de menor rendimiento y capacidades de configuración. 3 Usuarios que se conectan desde diversos puntos de Internet Implementación Sistema de Telefonía IP y Seguridad Perimetral 31

44 7.2. FIREWALL CAPÍTULO 7. DISEÑO DE SOLUCIÓN Se ha elegido utilizar OpenVPN por su simpleza, tanto en su configuración y administración. Además será sencillo para el administrador de red poder expandir el sistema, creando nuevos usuarios que requieran conectarse. Otro punto importante es que permite transportar protocolos como IPX, el cual es utilizado por otra aplicación dentro de la empresa. Si bien el uso de IPX en la VPN no es parte de los requerimientos entregados por el cliente, es un tema que se podría implementar en el futuro Squid Para la implementación del filtro de contenidos se usó Squid que corresponde a un proxy 4, este tiene diferentes características, las cuales se pueden resumir en dos grupos: Caché para sitios web: mediante esta opción cuando un usuario solicita un sitio, si existe almacenado en el servidor proxy se obtiene desde ahí, sino se busca en Internet. Ayuda a optimizar el uso de la conexión hacia Internet. Filtro de contenidos: permite o deniega contenido web a los usuarios de la red. Es necesario llevar un registro de los sitios que visitan los usuarios, esto para posteriormente poder realizar alguna especie de revisión y control. Es por esto que toda solicitud web (puerto 80) deberá ser redireccionada por el firewall al proxy, el cual de forma transparente, descargará el sitio para el usuario que lo requiera. A medida que se vayan detectando usos indebidos de Internet se deberán ir creando restricciones, para esto se crearán 3 ACL 5 básicas dentro de Squid: Sitios denegados: url que no pueden ser accedidas. Sisitos autorizados. url que deben ser permitidas. IP libres: usuario VIP, a los cuales no se les aplica ninguna restricción. 4 Usuarios podrán acceder a Internet a través de este equipo 5 Access control list: listas de control de acceso 32 Implementación Sistema de Telefonía IP y Seguridad Perimetral

45 CAPÍTULO 7. DISEÑO DE SOLUCIÓN 7.3. CENTRAL TELEFÓNICA A pesar de existir usuarios VIP, el registro será para todos los usuarios. Por lo cual a ellos también se les llevará un listado de los sitios que visiten. Además se contempla la implementación de blacklist 6, de esta forma y de manera automática se irán actualizando y bloqueando sitios que no deben ser visitados Central telefónica En la actualidad no es posible la utilización de telefonía tradicional en el fundo y la celular es deficiente, esto debido a las condiciones geográficas que existen en el lugar. Por estas razones se ha determinado que la solución viable en estos momentos es la comunicación mediante telefonía IP. Para cumplir este objetivo se instalarán centrales de telefonía IP en ambos puntos, tanto en el fundo como en la oficina central. Esta central proveerá el servicio de telefonía privada dentro del sector pudiendo utilizar los enlaces de red ya existentes en los lugares que sea necesario comunicar. Dentro de las soluciones de VoIP se trabajará con Asterik 7. Las principales ventajas al utilizar Asterisk son: Control eficiente de las cuentas de telefonía. Comunicación desde cualquier lugar con una única cuenta de telefonía. Utiliza infraestructura de red ya existente. Escalable, ya que permite un gran crecimiento. Interconexión entre centrales telefónicas. Dentro de los servicios solicitados por el cliente y que serán configurados están: Conexión a la PSTN 8. 6 Listas negras: archivos con direcciones potencialmente peligrosas Red de telefonía tradicional Implementación Sistema de Telefonía IP y Seguridad Perimetral 33

46 7.3. CENTRAL TELEFÓNICA CAPÍTULO 7. DISEÑO DE SOLUCIÓN Menú IVR 9. Buzón de voz. Registro de llamadas cursadas. Conexión con otras centrales de telefonía. Estos servicios serán explicados a continuación Empresa VOIP externa La conexión con la PSTN en el fundo se realizará mediante un proveedor de servicios de VoIP externo. El cual entregará una numeración válida en la red telefónica pública y el será el proveedor del servicio de telefonía a la red tradicional. Mediante un análisis de costos y los posibles proveedores, se ha decidido ofrecer la conexión a través de la empresa RedVoiss ya que provee del servicio que se requiere a bajos costos. El valor del servicio representará una disminución en los costos de telefonía. Sin embargo estos ahorros se notarán fuertemente si la empresa realiza llamas internacionales, ya que en este tipo de llamadas se puede alcanzar un ahorro de hasta un 70 %. En el caso de las llamas nacionales el ahorro corresponde a aproximadamente un 20 % Menú interactivo Se requiere la implementación de un menú interactivo que permita al llamar desde la PSTN poder discar cualquier extensión válida de los usuarios y ser trasladado a ella. Este menú se logrará mediante la creación de reglas en el Dial Plan de Asterisk Buzón de voz Se implementará un sistema de buzón de voz de manera que un usuario al estar ocupado o no disponible pueda recibir igualmente el mensaje de la llamada. Lo importante aquí es que 9 Interactive Voice Response 34 Implementación Sistema de Telefonía IP y Seguridad Perimetral

47 CAPÍTULO 7. DISEÑO DE SOLUCIÓN 7.3. CENTRAL TELEFÓNICA este mensaje debe llegar al correo electrónico del dueño del anexo. Para esto se utilizará la opción de Voic de Asterisk que permite tanto el almacenaje de los mensajes en el servidor de telefonía como el envio vía de los mismos Estadísticas de llamadas Un tema importante que esta presente en la solución planteada es el control que se logrará tener sobre las llamadas que van a generar los trabajadores y el registro controlado de los usuarios. Esto implicará poder determinar por ejemplo quienes utilizan el sistemas, cuanto tiempo, en que horarios, ayudando a determinar si el uso de las llamadas es por motivos laborales o el sistema se esta usando con otros fines, lo cual no es posible con el sistema actual. Para el registro se utilizará una aplicación web llamada Asterisk-Stat que permite generar reportes leyendo la información entregada por Asterisk CDR 10. Los reportes incluyen gráficos, reportes diarios, tiempos de mayor uso de la red, entre otras capacidades Protocolo para troncal entre centrales IAX es el protocolo propio de Asterisk que se utiliza para la transferencia de llamadas entre centrales Asterisk. Se utilizará para unir las dos centrales telefónicas (fundo y oficina central). De esta forma usuarios de ambas centrales podrán llamar entre sí. Una característica importante aquí es que para el usuario debe ser transparente la forma de llamar, o sea, no se han de considerar prefijos de marcado, a pesar que son 2 centrales distintas. Esto se solucionará utilizando en el fundo la red de anexos 1XX y en Melipilla la 2XX. De esta forma, Asterisk, internamente manejará las extensiones de forma transparente para el usuario. 10 Call Detail Record Implementación Sistema de Telefonía IP y Seguridad Perimetral 35

48 7.3. CENTRAL TELEFÓNICA CAPÍTULO 7. DISEÑO DE SOLUCIÓN Figura 7.2: Flujo funcionamiento del firewall 36 Implementación Sistema de Telefonía IP y Seguridad Perimetral

49 CAPÍTULO 7. DISEÑO DE SOLUCIÓN 7.3. CENTRAL TELEFÓNICA Figura 7.3: Flujo funcionamiento del proxy Implementación Sistema de Telefonía IP y Seguridad Perimetral 37

50 7.3. CENTRAL TELEFÓNICA CAPÍTULO 7. DISEÑO DE SOLUCIÓN Figura 7.4: Flujo funcionamiento de la central telefónica 38 Implementación Sistema de Telefonía IP y Seguridad Perimetral

51 CAPÍTULO 7. DISEÑO DE SOLUCIÓN 7.3. CENTRAL TELEFÓNICA Figura 7.5: Ubicación y funcionamiento de un firewall Implementación Sistema de Telefonía IP y Seguridad Perimetral 39

52 7.3. CENTRAL TELEFÓNICA CAPÍTULO 7. DISEÑO DE SOLUCIÓN Figura 7.6: VPN sitio a sitio 40 Implementación Sistema de Telefonía IP y Seguridad Perimetral

53 Capítulo 8 Plan de trabajo 8.1. Etapas En la siguiente sección se indicarán las etapas que contiene la solución que se entregará, para ello indicamos el listado de actividades a continuación: 1. Instalación de Firewall y filtro de contenidos. 2. Interconexión mediante VPN. 3. Configuración Servidor Asterisk en Fundo. 4. Configuración Servidor Asterisk en Oficina Central. 5. Implementación de troncales entre Centrales VoIP. 6. Acceso de Central Fundo a PSTN. Es necesario mencionar que esta lista de actividades nos entrega la forma secuencial en que se realizará dicha implementación, a continuación se entrega el detalle de cada Actividad: Instalación de Firewall y filtro de contenidos En esta actividad se realizará la configuración del Firewall y el filtro de contenido, con las respectivas políticas de seguridad, según los requerimientos indicados por el cliente. Se 41

54 8.1. ETAPAS CAPÍTULO 8. PLAN DE TRABAJO crearán las restricciones para evitar el acceso indeseado a ciertos puertos y además la creación de listas negras para prohibir sitios web a los empleados Interconexión mediante VPN En esta etapa se realizará la configuración de la VPN, para que funcione como sitio a sitio y para tele trabajo. Con esto se conseguirá la conexión de un trabajador a la red de la empresa desde una ubicación pública en Internet Configuración Servidor Asterisk en Fundo En esta parte se realizará tanto la instalación como la configuración de Asterisk, para que funcione como central telefónica en las dependencias del fundo. Esto incluirá la creación de las cuentas SIP de los usuarios, casillas de voz, plan de marcado y estadísticas de llamadas Configuración Servidor Asterisk en Oficina Central En esta actividad se realizará el mismo procedimiento detallada en la actividad anterior, pero en la oficina central ubicada en Melipilla Implementación de troncales entre Centrales VoIP En esta etapa se realizará la configuración para realizar la conexión o comunicación entre ambas centrales telefónicas (Fundo Santa Rosa y Oficina central). Esto se llevará a cabo mediante el protocolo propio de Asterisk IAX Acceso de Central Fundo a PSTN En este paso se realizará la comunicación de la central telefónica ubicada en el fundo con la empresa de telefonía externa, la cual entregará el servicio de acceso a la red pública de telefonía. 42 Implementación Sistema de Telefonía IP y Seguridad Perimetral

55 CAPÍTULO 8. PLAN DE TRABAJO 8.2. RECURSOS 8.2. Recursos A continuación detallaremos los recursos incurridos en el proyecto realizado: Recurso Humano El Recurso Humano a utilizar esta indicado en los cargos incurridos en la lista de actividades ya antes detallada, este personal deberá estar debidamente capacitado para realizar las actividades correspondientes. Se debe mencionar que el personal humano será en gran parte el grupo de trabajo del proyecto, los cuales en las distintas etapas cumplirán diferentes roles. Recurso de Software Todo el software a utilizar en el proyecto es libre, por lo cual es de fácil acceso para la implementación. El tipo de licencia a utilizar, en la mayoría de los casos, es la GPL 1, se puede encontrar una copia de esta licencia en el siguiente enlace Dentro de las ventajas de la utilización de software libre se encuentran: Libertad de uso y distribución. Independencia tecnológica. Sujeto a estándares. Soporte y compatibilidad a largo plazo. Sistemas seguros y rápida corrección de fallos. No se incurrirá en costos por el software a utilizar Recurso de Hardware El hardware necesario para el proyecto fue informado al cliente, el cual decidió acotarlo y finalmente se decidió utilizar lo que se detalla a continuación: 1 General Public License Implementación Sistema de Telefonía IP y Seguridad Perimetral 43

56 8.2. RECURSOS CAPÍTULO 8. PLAN DE TRABAJO 2 Equipos para centrales Telefónicas: procesador 2GHz, 1 Gb RAM, 160 GB disco duro, 1 tarjeta de red 1000Mbps. 2 Equipos para Firewall: procesador 2GHz, 2 Gb RAM, 160 GB disco duro, 2 tarjetas de red 1000Mbps, 1 tarjeta de red 100Mbps. 4 Teléfonos IP. Cables de red y conectores. 44 Implementación Sistema de Telefonía IP y Seguridad Perimetral

57 Capítulo 9 Implementación A continuación se mencionan las actividades necesarias para la implementación del proyecto, en caso de ser necesario se han adjuntado en el anexo A ejemplos de las configuraciones realizadas en los equipos Estudios protocolos y software Es necesario realizar un estudio de los protocolos que se utilizarán, el software y el diseño, de tal forma de estar preparados para realizar una instalación y configuración rápida. Durante esta etapa se hará un estudio teórico Reunión implementación Durante esta reunión se definiran aspectos que tienen relación con los objetivos y necesidades que se buscan cumplir. Por ejemplo se han de indicar el tipo de sitios webs que serán restringidos, la cantidad de anexos que deberán ser habilitados o el tipo de tráfico que se deberá permitir hacia Internet. Aspectos relacionados directamente con el uso que se le dará a los sistemas instalados. 45

58 9.3. FIREWALL FUNDO CAPÍTULO 9. IMPLEMENTACIÓN 9.3. Firewall Fundo Instalación Sistema Operativo Se debe realizar la instalación del sistema operativo Debian GNU/Linux. Ya que el uso será para un ambiente servidor se utilizará una instalación por red, de esta forma se instalarán solo los paquetes básicos del sistema. Cualquier otro software será instalado cuando sea necesario. Los pasos, básicos, para realizar la instalación son: Configuración tarjeta de red. Particionamiento disco duro (se separará en /, /var y /tmp). Selección de paquetes a instalar. Configuración de usuarios y contraseñas. Esta etapa será necesaria de realizar en el otro firewall y ambas centrales telefónicas. Por lo cual, al estar explicadas en este apartado, se omitirán en las siguientes secciones Configuración IPTables Según los requerimientos entregados por el cliente y políticas definidas con el cliente, ver sección 9.2, se deberán realizar las siguientes tareas mediante IPTables: Enmascaramiento de la LAN y DMZ para utilizar NAT. Restriccion del acceso a puertos no conocidos desde la red local. Bloquear el acceso a puertos desde Internet. Bloqueo en capa 3 del acceso de usuarios a Internet. Redirección de solicitudes web al servidor proxy. 46 Implementación Sistema de Telefonía IP y Seguridad Perimetral

59 CAPÍTULO 9. IMPLEMENTACIÓN 9.4. VPN FUNDO Configuración Squid Squid será utilizado por petición del cliente para funcionar como un filtro de contenidos de la red. Para tal objetivo se crearan tres ACL 1, estas permitiran manejar las siguientes opciones: Usuarios VIP: usuarios que no deben ser bloqueados. Sitios aceptados: webs que no deben ser bloqueadas. Sitios bloqueados: sitios web prohibidos. Además se deberá contar con alguna forma de supervisar el acceso web, para esto se utilizarán los logs que genera Squid. Se desarrollará un script que permita de una forma simple acceder a los contenidos visitados por los usuarios Instalación y Pruebas Durante esta etapa se instalará físicamente el equipo en las dependencias de la empresa y se realizarán las mismas pruebas hechas para el documento Casos de Prueba (entregado anteriormente) pero esta vez en un ambiente real (no de laboratorio). Esta etapa se deberá realizar con los 4 equipos a instalar (2 firewall y 2 centrales) VPN Fundo Instalación OpenVPN Se deberá realizar la instalación del software Open VPN el cual será configurado, en esta etapa, para permitir el acceso de usuarios desde Internet al interior de la red. 1 Lista de control de acceso Implementación Sistema de Telefonía IP y Seguridad Perimetral 47

60 9.5. CENTRAL TELEFÓNICA FUNDO CAPÍTULO 9. IMPLEMENTACIÓN Configuración tele trabajo Se definiran usuarios mediante certificados digitales, los cuales podrán acceder a través de un cliente VPN a la red corporativa. Todo el tráfico cursado a través de la VPN será encriptado y comprimido, de esta forma se busca disminuir la cantidad de tráfico efectivo cursado por Internet Central telefónica Fundo Instalación Asterisk Se debe realizar la instalación de la central telefónica Asterisk. Actualmente la versión estable dentro del sistema Debian GNU/Linux corresponde a la 1.4 y será la que se utilizará Habilitación cuentas Se deben crear las cuentas de usuario y sus extensiones, es importante destacar que Asterisk hace diferencia entre ambos puntos, ya que un usuario puede poseer muchas extensiones, por ejemplo podemos tener el usuario Juan que tendrá la extensión 10 y 11 apuntando a él. A pesar de lo anterior se utilizará un esquema donde un usuario tendra una extensión y una casilla de correo. El nombre de usuario corresponderá al número de extensión. Con estas consideraciones se procederá a la habilitación de las cuentas. Cuentas SIP Definición de usuarios dentro del sistema en el archivo /etc/asterisk/sip.conf Ejemplo: [113] ; id del usuario callerid="delaf" ; nombre del usuario md5secret=754ee2a8de2d24e4e7956e7237a2b174 ; clave encriptada context=anexos ; contexto al que pertenece 48 Implementación Sistema de Telefonía IP y Seguridad Perimetral

61 CAPÍTULO 9. IMPLEMENTACIÓN 9.5. CENTRAL TELEFÓNICA FUNDO type=friend host=dynamic ; tipo de peer ; desde donde se conectará Habilitación extensiones Corresponde a la asociación que se realizará entre un número de extensión y un usuario, se define en el archivo /etc/asterisk/extensions.conf Ejemplo: exten => 113,1,Dial(SIP/113,30) exten => 113,n,Voic (113,u) exten => 113,n,Voic (113,b) exten => 113,n,Hangup ; marcar extensión ; no disponible ; ocupado ; colgar Buzón de Voz Se creará una casilla de buzón de mensajes, donde los mensajes serán enviados vía correo electrónico al usuario dueño de la extensión. Esto se define en el archivo /etc/asterisk/voic .conf Además se debe modificar el archivo extensions.conf para permitir el traslado a buzón en caso de no disponible o ocupado. Esto se puede ver en el ejemplo anterior. Ejemplo: 113 => 113,Esteban De La Fuente Rubio,delaf@pallocabe.cl Estadísticas de llamadas Se debe configurar las estádisticas mediante CDR, esto permitirá almacenar las llamadas realizadas por los usuarios de la central. Por defecto Asterisk solo crea un log, por lo cual se deberá cambiar la configuración para que se utilice una base de datos, por ejemplo mysql. Implementación Sistema de Telefonía IP y Seguridad Perimetral 49

62 9.6. EQUIPOS OFICINA CENTRAL CAPÍTULO 9. IMPLEMENTACIÓN Acceso a la PSTN Configuración mediante un proveedor de servicios externos, en el caso del proyecto se utilizará la empresa RedVoiss. Mediante la cual se tendrá acceso a la PSTN. Enlace RedVoiss Se deberá modificar el archivo sip.conf para permitir el registro de la central en la red de telefonía IP externa. Además se modificará extensions.conf para permitir que usuarios dentro de la red puedan salir hacia la PSTN. Menú Interactivo Se debe crear un menú que reciba las llamadas entrantes desde la PSTN y permita que el llamante digite una extensión, para posteriormente ser redireccionado a esta Equipos oficina central Se deberá configurar el firewall y la central telefónica de manera similar a lo realizado en el fundo Capacitación SysAdmin La empresa solicitó, posteriormente al análisis de requerimientos del proyecto, que se capacitará a un empleado de planta ubicado en la oficina de Melipilla, esto con el objetivo de que pudiese solucionar problemas en caso de presentarse alguno. Se deberá instruir a un empleado sobre el uso del firewall, específicamente: Comándos básicos de GNU/Linux. Manejo de demonios en GNU/Linux. Redireccionamiento de puertos en IPTables. 50 Implementación Sistema de Telefonía IP y Seguridad Perimetral

63 CAPÍTULO 9. IMPLEMENTACIÓN 9.7. VPN SITIO A SITIO Bloqueo de alguna IP para acceder a Internet en IPtables. Modificación de las ACL en Squid VPN Sitio a Sitio Habilitación en OpenVPN Anteriormente se describieron los pasos para la implementación de una VPN para usuarios remotos. En esta etapa se deberá configurar el software OpenVPN para unir las redes del Fundo y Melipilla. De esta forma se contará con un acceso desde cualquier punto de una red a la otra. Se utilizará una clave precompartida la cual la conocerán ambos firewalls, quienes deberán proporcionar además las rutas necesarias para acceder a la red ubicada en el otro extremo de la VPN. Al igual que en el caso del tele trabajo, el tráfico será comprimido Troncal IAX Configuración Troncal En las sección 9.5 se describieron los pasos para la implementación de la central telefónica con su propia red de anexos. En esta etapa se deberá crear el troncal IAX en ambas centrales para permitir las llamadas entre una central y otra. Se deberán modificar los archivos iax.conf y extensions.conf, respectivamente definiendo usuarios IAX y como se realizarán las llamadas. Se debe considerar que en el fundo los anexos estarán en el rango 100 a 199 y en Melipilla en el rango 200 a 299, esto permitirá definir en extensións.conf el redireccionamiento hacia el canal IAX. Implementación Sistema de Telefonía IP y Seguridad Perimetral 51

64 9.9. DOCUMENTACIÓN CAPÍTULO 9. IMPLEMENTACIÓN 9.9. Documentación Durante todo el proceso de implementación se deberá ir documentando lo realizado, realizar respaldos de las configuraciones y estas debidamente comentadas. Todo esto con el objetivo de al momento de confeccionar la memoria de titulación disponer de los datos de manera más fácil. Además se deberán crear pequeños tutoriales que indiquen los pasos realizados para obtener el funcionamiento global del sistema. 52 Implementación Sistema de Telefonía IP y Seguridad Perimetral

65 Capítulo 10 Resultados Pruebas A continuación se presentan las pruebas realizadas al sistema una vez que fue implementado. Notas para leer las pruebas: En los resultados de las pruebas se utilizará [...] para indicar que en ese lugar había más texto pero fue considerado poco relevante, por lo cual fue quitado. En los casos de líneas que debieron ser cortadas se utilizo \más un espacio Pruebas en Fundo Escaneando puertos Utilizando software nmap se han escaneado los puertos que se encuentran abiertos desde la WAN y desde la LAN. Con esto se puede verificar que solo dejemos acceso al equipo en los puertos que hemos determinado en nuestro firewall. Se permite el acceso por SSH desde la LAN, desde la WAN no se permite el acceso, habrá que conectarse mediante la VPN previo a inicar sesión SSH desde Internet. 53

66 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS killua:~# nmap -A -p Starting Nmap 4.62 ( ) at :55 CLT [...] Interesting ports on : Not shown: closed ports, 1026 filtered ports PORT STATE SERVICE VERSION 50178/tcp open rpcbind MAC Address: 00:25:11:1C:21:48 (Unknown) Device type: general purpose Running: Linux 2.6.X OS details: Linux Uptime: days (since Tue Sep 22 21:16: ) Network Distance: 1 hop [...] Nmap done: 1 IP address (1 host up) scanned in seconds delaf@edward:~$ nmap -A -p PN Starting Nmap 4.62 ( ) at :51 CLT [...] Interesting ports on : Not shown: filtered ports PORT STATE SERVICE VERSION 22/tcp open ssh (protocol 2.0) [...] Nmap done: 1 IP address (1 host up) scanned in seconds Denegar acceso a Internet a ciertos usuarios Para la siguiente prueba se creo una regla en el firewall de tal forma que la IP no tenga acceso a Internet. 54 Implementación Sistema de Telefonía IP y Seguridad Perimetral

67 CAPÍTULO 10. RESULTADOS PRUEBAS iptables -A FORWARD -s /32 -o $WAN_IF -j DROP Luego se verifico desde el cliente que efectivamente podía acceder a la LAN y a la DMZ pero no hacia el exterior. delaf@edward:~$ sudo ifconfig eth0 grep addr: inet addr: Bcast: Mask: inet6 addr: fe80::21e:ecff:fe39:d593/64 Scope:Link delaf@edward:~$ sudo route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface U eth UG eth0 delaf@edward:~$ ping PING ( ) 56(84) bytes of data. ^C ping statistics packets transmitted, 0 received, 100% packet loss, time 1013ms delaf@edward:~$ ping PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=64 time=0.107 ms 64 bytes from : icmp_seq=2 ttl=64 time=0.095 ms ^C ping statistics packets transmitted, 2 received, 0% packet loss, time 1000ms rtt min/avg/max/mdev = 0.095/0.101/0.107/0.006 ms delaf@edward:~$ ping PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=64 time=0.084 ms Implementación Sistema de Telefonía IP y Seguridad Perimetral 55

68 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS 64 bytes from : icmp_seq=2 ttl=64 time=0.095 ms ^C ping statistics packets transmitted, 2 received, 0% packet loss, time 999ms rtt min/avg/max/mdev = 0.084/0.089/0.095/0.010 ms DHCP estático Dentro del archivo de configuració de DHCP se han definido asignaciones de IP estáticas mediante la MAC de los equipos, en esta prueba se verifica que se ha asignado efectivamente la IP que corresponde al equipo. host edward-eth { hardware ethernet 00:1e:ec:39:d5:93; fixed-address ; } delaf@edward:~$ sudo ifconfig eth0 eth0 Link encap:ethernet HWaddr 00:1e:ec:39:d5:93 inet addr: Bcast: Mask: [...] Sitios web denegados y sitios permitidos Se muestra parte del log /var/log/squid/access.log donde se ve como una web es dejada pasar ( y otra es bloqueada ( además en las figuras 10.1 y 10.2 se aprecian los respectivos resultados TCP_HIT/ GET \ /en_com/images/logo_plain.png - NONE/- image/png TCP_MISS/ GET - \ DIRECT/ text/html 56 Implementación Sistema de Telefonía IP y Seguridad Perimetral

69 CAPÍTULO 10. RESULTADOS PRUEBAS TCP_HIT/ GET \ es/nav_logo7.png - NONE/- image/png TCP_MISS/ GET \ - DIRECT/ text/html TCP_MISS/ GET \ ern_chrome/ac8f3578e9ba214e.js - DIRECT/ text/html TCP_MISS/ GET \ /generate_204 - DIRECT/ text/html [...] TCP_DENIED/ GET - \ NONE/- text/html TCP_DENIED/ GET \icon.ico - NONE/- text/html Interfaces de red firewall A continuación se muestran las interfaces de red, tanto físicas, lógicas y de túnel disponibles en el firewall bart. bart:~# ifconfig eth0 Link encap:ethernet HWaddr 00:25:11:1b:25:0a inet addr: Bcast: Mask: [...] eth1 Link encap:ethernet HWaddr 00:21:91:21:28:61 inet addr: Bcast: Mask: [...] eth2 Link encap:ethernet HWaddr 00:21:91:8c:fe:69 Implementación Sistema de Telefonía IP y Seguridad Perimetral 57

70 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS Figura 10.1: Squid permitió acceso a inet addr: Bcast: Mask: [...] lo Link encap:local Loopback inet addr: Mask: [...] tun0 Link encap:unspec HWaddr inet addr: P-t-P: Mask: [...] tun1 Link encap:unspec HWaddr [...] 58 Implementación Sistema de Telefonía IP y Seguridad Perimetral

71 CAPÍTULO 10. RESULTADOS PRUEBAS Figura 10.2: Squid denegó acceso a Tabla de rutas en los firewalls La siguiente tabla muestra la redes y como llegar a ellas desde bart (firewall 1), análogamente existe una tabla similar para krusty. bart:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface UH tun UH tun UG tun U eth UG tun U eth0 Implementación Sistema de Telefonía IP y Seguridad Perimetral 59

72 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS UG tun UG tun U eth UG eth0 Tabla de rutas en firewall 2, alias krusty. krusty:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface UH tun UH tun U eth UG tun U eth UG tun UG tun U eth UG tun UG eth0 Conexión sitio a sitio En esta prueba se realizó un ping desde un equipo cliente desde la red 2 al firewall en la red 1, esto se hizo utilizando como dirección de destino (para el ping) la IP de la LAN del firewall 1. Como se podrá observar el cliente se encuentra en la red /23 y en su tabla de rutas NO existe una ruta válida para la red /23, se llega mediante la VPN sitio a sitio entre el firewall 1 y el firewall 2. delaf@edward:~$ sudo ifconfig eth0 grep addr: inet addr: Bcast: Mask: Implementación Sistema de Telefonía IP y Seguridad Perimetral

73 CAPÍTULO 10. RESULTADOS PRUEBAS sudo route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface U eth UG eth0 delaf@edward:~$ ping PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=63 time=85.5 ms 64 bytes from : icmp_seq=2 ttl=63 time=69.6 ms 64 bytes from : icmp_seq=3 ttl=63 time=47.6 ms 64 bytes from : icmp_seq=4 ttl=63 time=57.1 ms 64 bytes from : icmp_seq=5 ttl=63 time=62.2 ms ^C ping statistics packets transmitted, 5 received, 0% packet loss, time 4016ms rtt min/avg/max/mdev = /64.436/85.537/ ms Log openvpn-roadwarrior.log Se muestra a continuación el log correspondiente al inicio de sesión y autenticación de un cliente móvil (roadwarrior) en la VPN. Tue Sep 22 22:15: us= MULTI: multi_create_instance called Tue Sep 22 22:15: us= :38951 Re-using SSL/TLS context Tue Sep 22 22:15: us= :38951 Control Channel MTU parms \ [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ] Tue Sep 22 22:15: us= :38951 Data Channel MTU parms \ [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ] Tue Sep 22 22:15: us= :38951 Local Options String: \ V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth SHA1 Implementación Sistema de Telefonía IP y Seguridad Perimetral 61

74 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS \,keysize 128,key-method 2,tls-server Tue Sep 22 22:15: us= :38951 Expected Remote Options \ String: V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth \ SHA1,keysize 128,key-method 2,tls-client Tue Sep 22 22:15: us= :38951 Local Options hash \ (VER=V4): a8 Tue Sep 22 22:15: us= :38951 Expected Remote Options \ hash (VER=V4): b RTue Sep 22 22:15: us= :38951 TLS: Initial packet from \ :38951, sid=67c838a9 301bfe81 Tue Sep 22 22:15: us= :38951 VERIFY OK: depth=1, \ /C=CL/ST=Metropolitana/L=Pallocabe Melipilla/O=Fundo_Santa_Rosa/CN=bart Tue Sep 22 22:15: us= :38951 VERIFY OK: depth=0, \ /C=CL/ST=Metropolitana/O=Fundo_Santa_Rosa/CN=delaf Tue Sep 22 22:15: us= :38951 Data Channel Encrypt: \ Cipher BF-CBC initialized with 128 bit key Tue Sep 22 22:15: us= :38951 Data Channel Encrypt: \ Using 160 bit message hash SHA1 for HMAC authentication Tue Sep 22 22:15: us= :38951 Data Channel Decrypt: \ Cipher BF-CBC initialized with 128 bit key Tue Sep 22 22:15: us= :38951 Data Channel Decrypt: \ Using 160 bit message hash SHA1 for HMAC authentication WWWRWRRRTue Sep 22 22:15: us= :38951 Control Channel: \ TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA Tue Sep 22 22:15: us= :38951 [delaf] Peer Connection \ Initiated with :38951 Tue Sep 22 22:15: us= delaf/ :38951 MULTI: Learn: \ > delaf/ : Implementación Sistema de Telefonía IP y Seguridad Perimetral

75 CAPÍTULO 10. RESULTADOS PRUEBAS Tue Sep 22 22:15: us= delaf/ :38951 MULTI: primary \ virtual IP for delaf/ :38951: RTue Sep 22 22:15: us= delaf/ :38951 PUSH: Received \ control message: PUSH_REQUEST Tue Sep 22 22:15: us= delaf/ :38951 SENT CONTROL [delaf]: \ PUSH_REPLY,route ,route ,route \ ,route ,route \ ,route logs,route ,topology \ net30,ping 10,ping-restart 60,ifconfig (status=1) [...] Ping desde cliente roadwarrior a VPN El cliente se encuentra fuera de la red, simulando como si estuviese en Internet. Y se conecta como roadwarrior a la VPN en el firewall 1. Se muestra la IP del cliente, que no corresponde a ninguno de los rangos de las redes coorporativas y en la tabla de ruta se observa que para llegar a la red /8 (que incluye a la red /23 y a la red /23), el cliente debe conectarse a través de la interfaz de la VPN tun0. delaf@edward:~$ sudo ifconfig ath0 grep addr: inet addr: Bcast: Mask: inet6 addr: fe80::21b:9eff:feeb:16af/64 Scope:Link delaf@edward:~$ sudo ifconfig tun0 grep addr: inet addr: P-t-P: Mask: delaf@edward:~$ sudo route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface UGH ath U ath U eth0 Implementación Sistema de Telefonía IP y Seguridad Perimetral 63

76 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS U tun UG ath U eth0 delaf@edward:~$ ping PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=64 time=50.4 ms 64 bytes from : icmp_seq=2 ttl=64 time=54.5 ms 64 bytes from : icmp_seq=3 ttl=64 time=44.1 ms 64 bytes from : icmp_seq=4 ttl=64 time=50.5 ms 64 bytes from : icmp_seq=5 ttl=64 time=41.5 ms 64 bytes from : icmp_seq=6 ttl=64 time=56.0 ms ^C ping statistics packets transmitted, 6 received, 0% packet loss, time 5022ms rtt min/avg/max/mdev = /49.552/56.080/5.201 ms delaf@edward:~$ ping PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=63 time=60.4 ms 64 bytes from : icmp_seq=2 ttl=63 time=46.3 ms 64 bytes from : icmp_seq=3 ttl=63 time=58.7 ms ^C ping statistics packets transmitted, 3 received, 0% packet loss, time 2006ms rtt min/avg/max/mdev = /55.187/60.413/6.285 ms Acceso a recursos de la red desde la VPN La situación aquí es la misma descrita en el caso anterior. La diferencia es que en vez de realizar un ping se accede a un servidor de archivos SAMBA que se encuentra en la red 64 Implementación Sistema de Telefonía IP y Seguridad Perimetral

77 CAPÍTULO 10. RESULTADOS PRUEBAS (ip ). en la figura 10.3 se puede ver una conexión al servidor de archivos mediante la VPN. Para estas pruebas tener las siguientes consideraciones: homero: central telefónica en el fundo. killua: central telefónica en lugar pruebas. Llamada desde killua a anexos de homero mediante IAX Se muestra el debug en la CLI 1 de homero. Se observa como se define el codec a utilizar, luego se contesta la llamada, anexo 111 suena y finalmente se corta. homero*cli> -- Accepting AUTHENTICATED call from : > requested format = gsm, > requested prefs = (gsm), > actual format = gsm, > host prefs = (), > priority = caller -- Executing [111@iax-in:1] Answer("IAX2/killua-4382", "") in new stack -- Executing [111@iax-in:2] Goto("IAX2/killua-4382", "default 111 1") in new stack -- Goto (default,111,1) -- Executing [111@default:1] Dial("IAX2/killua-4382", "SIP/111 30") in new stack -- Called SIP/ e680 is ringing -- IAX2/killua-4382 requested special control 20, passing it to SIP/ e IAX2/killua-4382 requested special control 20, passing it to SIP/ e IAX2/killua-4382 requested special control 20, passing it to SIP/ e IAX2/killua-4382 requested special control 20, passing it to SIP/ e680 1 CLI: Command line interface Implementación Sistema de Telefonía IP y Seguridad Perimetral 65

78 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS == Spawn extension (default, 111, 1) exited non-zero on IAX2/killua Hungup IAX2/killua-4382 Llamada desde homero a killua La mista situación que en el caso anterior pero esta ves la llamada es desde central homero a un anexo en la central de killua. Se muestra el log de homero que es desde donde se llama. homero*cli> console dial 511 [Sep 22 17:55:54] WARNING[14244]: chan_oss.c:682 setformat: Unable to re-open DSP \ device /dev/dsp: No such file or directory -- Executing [511@default:1] Answer("Console/dsp", "") in new stack << Console call has been answered >> [Sep 22 17:55:54] NOTICE[18250]: pbx.c:1642 pbx_substitute_variables_helper_full: \ Error in extension logic (missing } ) [Sep 22 17:55:54] WARNING[18250]: pbx.c:1539 func_args: Can t find trailing \ parenthesis? -- Executing [511@default:2] Set("Console/dsp", "CALLERID(number)=7") in new \ stack -- Executing [511@default:3] Dial("Console/dsp", \ "IAX2/pallocabe:pallo.iax%@killua.sytes.net/11 30") in new stack -- Called pallocabe:pallo.iax%@killua.sytes.net/11 -- Call accepted by (format gsm) -- Format for call is gsm -- IAX2/killua answered Console/dsp homero*cli> console hangup -- Hungup IAX2/killua == Spawn extension (default, 511, 3) exited non-zero on Console/dsp << Hangup on console >> 66 Implementación Sistema de Telefonía IP y Seguridad Perimetral

79 CAPÍTULO 10. RESULTADOS PRUEBAS Log de killua. killua*cli> -- Accepting AUTHENTICATED call from : > requested format = gsm, > requested prefs = (), > actual format = gsm, > host prefs = (gsm), > priority = mine -- Executing [11@iax-in:1] Answer("IAX2/pallocabe-11350", "") in new stack -- Executing [11@iax-in:2] Goto("IAX2/pallocabe-11350", "default 11 1") in new sta -- Goto (default,11,1) -- Executing [11@default:1] Dial("IAX2/pallocabe-11350", "SIP/11 30") in new stack -- Called SIP/11-09c4e7b8 is ringing -- IAX2/pallocabe requested special control 20, passing it to SIP/11-09c4e7b -- IAX2/pallocabe requested special control 20, passing it to SIP/11-09c4e7b -- IAX2/pallocabe requested special control 20, passing it to SIP/11-09c4e7b -- IAX2/pallocabe requested special control 20, passing it to SIP/11-09c4e7b == Spawn extension (default, 11, 1) exited non-zero on IAX2/pallocabe Hungup IAX2/pallocabe Peers/usuarios en la central telefónica homero Listado de peers. Se muestran los estados de los peers, observandose solo algunos conectados a la central a la hora de realizar estas pruebas (aproximadamente 17:30 horas). homero*cli> sip show peers Name/username Host Dyn Nat ACL Port Status 191/ D OK (106 ms) 151 (Unspecified) D 0 UNKNOWN Implementación Sistema de Telefonía IP y Seguridad Perimetral 67

80 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS 141/141 (Unspecified) D 0 UNKNOWN 131/131 (Unspecified) D 0 UNKNOWN 126 (Unspecified) D 0 UNKNOWN 125 (Unspecified) D 0 UNKNOWN 124/ D UNREACHABLE 123/ D UNREACHABLE 122 (Unspecified) D 0 UNKNOWN 121/ D UNREACHABLE 114/114 (Unspecified) D 0 UNKNOWN 113 (Unspecified) D 0 UNKNOWN 112/ D UNREACHABLE 111/ D 5060 OK (20 ms) REDLIBRE/ OK (63 ms) REDVOISS/ID_ OK (57 ms) 16 sip peers [Monitored: 4 online, 12 offline Unmonitored: 0 online, 0 offline] Llamada entre anexos Llamada desde un anexo a otro en la central homero. En la figura 10.4 se puede ver al softphone haciendo la llamada. homero*cli> -- Executing [111@default:1] Dial("SIP/191-b7117ff0", "SIP/111 30") in new stack -- Called SIP/111-b711bf68 is ringing == Spawn extension (default, 111, 1) exited non-zero on SIP/191-b7117ff0 Llamada desde PSTN a homero Llamada desde la PSTN a central telefónica homero. En la figura 10.5 se puede ver la llamada perdida que quedó por marcar la extensión 121. En el log se puede observar la 68 Implementación Sistema de Telefonía IP y Seguridad Perimetral

81 CAPÍTULO 10. RESULTADOS PRUEBAS ejecución del menú IVR y las opciones ingresadas por el usuario. homero*cli> -- Executing [s@default:1] Answer("SIP/ID_86884-b711ab10", "") in new stack -- Executing [s@default:2] Set("SIP/ID_86884-b711ab10", "TIMEOUT(digit)=4") \ in new stack -- Digit timeout set to 4 -- Executing [s@default:3] Set("SIP/ID_86884-b711ab10", "TIMEOUT(response)=8") \ in new stack -- Response timeout set to 8 -- Executing [s@default:4] BackGround("SIP/ID_86884-b711ab10", "bienvenida") \ in new stack -- <SIP/ID_86884-b711ab10> Playing bienvenida (language es ) -- Executing [s@default:5] Wait("SIP/ID_86884-b711ab10", "1") in new stack -- Executing [s@default:6] BackGround("SIP/ID_86884-b711ab10", "beep") in new \ stack -- <SIP/ID_86884-b711ab10> Playing beep (language es ) -- Executing [s@default:7] Read("SIP/ID_86884-b711ab10", "extension 3") in \ new stack -- Accepting a maximum of 3 digits. -- User entered Executing [s@default:8] BackGround("SIP/ID_86884-b711ab10", "transfer") in \ new stack -- <SIP/ID_86884-b711ab10> Playing transfer (language es ) -- Executing [s@default:9] Wait("SIP/ID_86884-b711ab10", "1") in new stack -- Executing [s@default:10] Goto("SIP/ID_86884-b711ab10", "default 121 1") in \ new stack -- Goto (default,121,1) -- Executing [121@default:1] Dial("SIP/ID_86884-b711ab10", "SIP/121 30") in Implementación Sistema de Telefonía IP y Seguridad Perimetral 69

82 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS \ new stack -- Called SIP/ dd98 is ringing -- SIP/ dd98 answered SIP/ID_86884-b711ab10 -- Packet2Packet bridging SIP/ID_86884-b711ab10 and SIP/ dd98 == Spawn extension (default, 121, 1) exited non-zero on SIP/ID_86884-b711ab10 Correo de voz En el log se puede apreciar como se realiza una llamada desde la PSTN a un usuario y al no estar disponible es enviada la llamada al buzón de voz indicándoselo al usuario que llama. Además en la figura 10.6 se puede ver como llega el mensaje de voz al usuario mediante correo electrónico. homero*cli> -- Executing [s@default:1] Answer("SIP/ID_86884-b7117ff0", "") in new stack -- Executing [s@default:2] Set("SIP/ID_86884-b7117ff0", "TIMEOUT(digit)=4") \ in new stack -- Digit timeout set to 4 -- Executing [s@default:3] Set("SIP/ID_86884-b7117ff0", "TIMEOUT(response)=8") \ in new stack -- Response timeout set to 8 -- Executing [s@default:4] BackGround("SIP/ID_86884-b7117ff0", "bienvenida") \ in new stack -- <SIP/ID_86884-b7117ff0> Playing bienvenida (language es ) -- Executing [s@default:5] Wait("SIP/ID_86884-b7117ff0", "1") in new stack -- Executing [s@default:6] BackGround("SIP/ID_86884-b7117ff0", "beep") in new \ stack -- <SIP/ID_86884-b7117ff0> Playing beep (language es ) -- Executing [s@default:7] Read("SIP/ID_86884-b7117ff0", "extension 3") in 70 Implementación Sistema de Telefonía IP y Seguridad Perimetral

83 CAPÍTULO 10. RESULTADOS PRUEBAS \ new stack -- Accepting a maximum of 3 digits. -- User entered Executing [s@default:8] BackGround("SIP/ID_86884-b7117ff0", "transfer") \ in new stack -- <SIP/ID_86884-b7117ff0> Playing transfer (language es ) -- Executing [s@default:9] Wait("SIP/ID_86884-b7117ff0", "1") in new stack -- Executing [s@default:10] Goto("SIP/ID_86884-b7117ff0", "default 113 1") \ in new stack -- Goto (default,113,1) -- Executing [113@default:1] Dial("SIP/ID_86884-b7117ff0", "SIP/113 30") \ in new stack [Sep 22 18:02:16] WARNING[18435]: app_dial.c:1202 dial_exec_full: Unable to create \ channel of type SIP (cause 3 - No route to destination) == Everyone is busy/congested at this time (1:0/0/1) -- Executing [113@default:2] Voic ("SIP/ID_86884-b7117ff0", "113 u") in \ new stack -- <SIP/ID_86884-b7117ff0> Playing vm-theperson (language es ) -- <SIP/ID_86884-b7117ff0> Playing digits/1 (language es ) -- <SIP/ID_86884-b7117ff0> Playing digits/1 (language es ) -- <SIP/ID_86884-b7117ff0> Playing digits/3 (language es ) -- <SIP/ID_86884-b7117ff0> Playing vm-isunavail (language es ) [Sep 22 18:02:21] NOTICE[18435]: sched.c:220 ast_sched_add_variable: Scheduled \ event in 0 ms? -- <SIP/ID_86884-b7117ff0> Playing vm-intro (language es ) -- <SIP/ID_86884-b7117ff0> Playing beep (language es ) -- Recording the message -- x=0, open writing: /var/spool/asterisk/voic /default/113/tmp/6thrlr Implementación Sistema de Telefonía IP y Seguridad Perimetral 71

84 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS \ format: wav49, 0x917adc8 -- User hung up == Spawn extension (default, 113, 2) exited non-zero on SIP/ID_86884-b7117ff0 Estadísticas CDR En la figura 10.7 se aprecia una forma de ver los registros de llamadas. 72 Implementación Sistema de Telefonía IP y Seguridad Perimetral

85 CAPÍTULO 10. RESULTADOS PRUEBAS Figura 10.3: Conexión a servidor SAMBA mediante VPN. Implementación Sistema de Telefonía IP y Seguridad Perimetral 73

86 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS Figura 10.4: Llamada perdida desde la PSTN 74 Implementación Sistema de Telefonía IP y Seguridad Perimetral

87 CAPÍTULO 10. RESULTADOS PRUEBAS Figura 10.5: Llamada perdida desde la PSTN Implementación Sistema de Telefonía IP y Seguridad Perimetral 75

88 10.1. PRUEBAS CAPÍTULO 10. RESULTADOS Figura 10.6: Mensaje de voz enviado al correo del usuario. 76 Implementación Sistema de Telefonía IP y Seguridad Perimetral

89 CAPÍTULO 10. RESULTADOS PRUEBAS Figura 10.7: Registro de llamadas día Implementación Sistema de Telefonía IP y Seguridad Perimetral 77