Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
167
CAPTULO 4
IMPLEMENTACIN DE LA RED PRIVADA VIRTUAL,
CONFIGURACIN DE EQUIPOS Y PRUEBAS DEL DISEO
IMPLEMENTADO
4.1
168
El mensaje anterior indica que el equipo est listo para ser configurado por el
usuario.
4.1.2
169
170
Figura 4.4 Valores de la configuracin por defecto de los puertos en el modo de red NAT/Route del FG300A [26]
Figura 4.5 Valores de la configuracin por defecto de los puertos en el modo de red Transparente del FG300A [26]
171
La figura 4.6 permite mostrar informacin que corresponde a las versiones del
sistema operativo, base de datos del antivirus, base de datos del IPS, del BIOS;
nombre por defecto del equipo y sobre todo el modo de operacin que est fijado
en NAT.
Como antecedente hay que recordar que el switch principal tiene configurado
varias VLANs. La VLAN con identificador 7 y etiqueta RED_EXTERNA tiene a los
4 primeros puertos Fast Ethernet de este switch en esta VLAN. El puerto 2 del
switch principal se conecta al router del proveedor.
172
red
Firewall
en
la
correspondiente
interfaz.
Direccin
173
diseo de este proyecto para este acceso indica que se requiere un switch
capa 2 que soporte IEEE 802.1q para configurar VLANs y un enlace de
trunk entre el FG300A y el switch mencionado. Para no desconectar el
acceso a las redes externas se mantendr provisionalmente el switch
original y progresivamente en coordinacin con las empresas externas se
migrar cada enlace al nuevo switch que est listo para la nueva
configuracin. Se le asigna la direccin 192.168.2.1 / 24 que tena el puerto
correspondiente en el IBM SecureWay Firewall. Para control de trfico de
red se le habilitar el PING y el protocolo SNMP.
Puerto 5. Para uso futuro.
Puerto 6. Para uso futuro.
SERVIDOR WEB
(www.eeq.com.ec)
DMZ
Ruteador Telconet
IP: 200.93.231.241 / 28
Switch Capa 2
IP: 192.168.21.10 / 24
Permitir: SNMP
IP: 200.93.231.242 / 28
IP: 132.147.160.34 / 22
Permitir: PING, SSH, HTTPS, SNMP
IP: 132.147.160.34 / 22
Permitir: PING, SNMP
Switch Capa 2
3COM Office Connect 8 puertos
Fortinet FG300A
Segmento de Internet
Segmento de Internet
Extranet
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
31X 33X
47X
16X
32X 34X
48X
STAT
DUPLX
SPEED
POE
2X
18X
SERIES
PoE-48
48
15X 17X
SYST
RPS
MODE
VLAN 1
Ruteador Servipagos
VLAN 6
VLAN 7
Ruteador Hunter - Porta
174
El procedimiento mostrado en la figura 4.8 se aplica a todos los puertos con sus
respectivos parmetros. En la figura 4.9 se puede observar el comando que se
ejecuta para poder ver la configuracin de los puertos del FG300A.
175
Figura 4.10 Errores de Certificado de Seguridad antes de ingresar a la consola del FG300A
176
177
178
existen otras formas de realizar el respaldo, como son por medio de USB y lnea
de comandos CLI desde un archivo de texto.
4.2
Una vez terminada esta configuracin se puede regresar a la opcin Status del
men System, y verificar que el cambio ha sido aplicado (Ver figura 4.16).
Cuando se realiza este cambio es necesario configurar una direccin IP diferente
para la administracin del equipo a travs de la red. Como la direccin IP
132.147.160.34 estar en uso se cambia a la direccin IP 132.147.163.249 que
179
180
despus de las 15h30, el flujo de trfico en todos los segmentos de red es muy
bajo.
181
182
En la figura 4.18 se indica por medio de recuadros rojos las sesiones que
mantiene el equipo con el cual se est realizando la configuracin del FG300A,
donde se puede tambin apreciar el puerto TCP 443 que est activo en el
FG300A para la administracin. La columna Policy ID muestra el identificador de
la poltica del IBM SecureWay Firewall asignada al flujo de trfico de la fila.
4.3
CONFIGURACIN
DEL
SISTEMA
DE
SEGURIDAD
INTEGRAL DE DATOS
Esta configuracin implica una serie de criterios y un adecuado conocimiento del
software que permite administrar este equipo de seguridad as como tambin
conocimiento en Redes de Comunicaciones de Datos y una lgica que llevar a
cabo toda la configuracin de seguridad como: polticas del firewall para el
acceso, proteccin y/o denegacin hacia recursos de la red corporativa, usuarios
y grupos de usuarios, redes privadas virtuales, etc.
183
184
El rea marcada con el nmero 4 tiene 3 opciones que tienen la funcin de:
contactar con un agente de servicio de Fortinet, la segunda para acceder al
soporte de ayuda en lnea sobre una determinada funcionalidad y la tercera para
salir de la consola de configuracin.
185
As la palabra Router indica la opcin del men principal, Static la opcin del
submen de Router y Static Route es una pestaa de la opcin Static.
186
El estado actual de las interfaces mostrado en la figura 4.20 indica que las 4
primeras interfaces estn activas y en funcionamiento mientras que las interfaces
5 y 6 estn en estado down o sin conexin.
187
esa red para llegar al FG300A (Ver figura 4.22). La ruta ingresada y otras pueden
ser observadas en la lista de rutas estticas que se muestra en la figura 4.23
luego haber ingresado la ruta de la figura 4.22.
188
Dentro de esta configuracin se tienen algunas opciones que las puede ver en la
figura 4.24.
189
Para ingresar un nuevo usuario local se debe ingresar a User Local Local
Route y en el botn Create New hacer un click y aparecer una pgina donde se
podr ingresar el nombre de usuario y la contrasea; para que esta cuenta de
usuario sea considerado como local se debe obviar las opciones LDAP y RADIUS
(Ver figura 4.25).
190
191
Los 3 grupos de usuarios pueden ser utilizados en cualquier poltica del firewall;
sin embargo cada uno de este tipo de grupos tiene diferencias relacionado al
mbito de usuarios que cubren. Cuando se tiene al menos un grupo de usuarios
de cada tipo, la lista de grupos de usuarios se distribuye segn la figura 4.31.
192
Los grupos de usuarios de tipo Firewall son utilizados cuando la poltica del
firewall requiere que ste autentique al usuario. Para el tipo Active Directory es
el servidor de Active Directory (AD) que autenticar a ese grupo de usuarios, para
lo cual se debe haber creado el vnculo o conexin con el servidor AD para que
ste a su vez exporte los usuarios que contenga su base de datos hacia el
FG300A. El tipo de grupo de usuarios SSL VPN permite darles versatilidad y una
configuracin nica a los clientes que se conecten a travs de una VPN de tipo
SSL. Cuando se revise la configuracin de SSL VPN se detallar este aspecto.
193
Para la configuracin del firewall se necesita tener conocimiento del tipo de trfico
que se quiere bloquear o permitir para el respectivo acceso hacia los segmentos
de red que convergen en el FG300A.
Las polticas del firewall recogen las mltiples configuraciones que se hay
realizado o que se vayan a realizar en cada una de las opciones de seguridad,
como se lo ver en el caso de filtrado web, perfiles de usuarios, usuarios, etc.
Tambin se destaca que es aqu donde se realiza la ltima configuracin de los
enlaces VPN de cualquier tipo que puedan ser configurados en el FG300A.
194
Para crear una nueva poltica se debe ir a Firewall Policy Policy, hacer un
click sobre el botn Create New el cual desplegar una pgina que contiene un
formulario para especificar una nueva poltica tal como se lo puede apreciar en la
figura 4.34.
En la figura 4.34 se puede observar que agregar una nueva poltica requiere de
algunos parmetros que necesitan ser explicados.
Source Interface/Zone. Puerto fsico o virtual donde se genera o realiza
una peticin.
195
Los primeros 7 parmetros para agregar una nueva poltica son obligatorios, los
restantes son opcionales u obligatorios dependiendo de la naturaleza de la
poltica, como el caso de una poltica que requiere aplicar NAT.
196
La finalidad de esta opcin es especificar los equipos que estarn dentro de una
poltica; como por ejemplo un grupo de equipos que necesiten tener acceso las 24
horas del da al Internet sin que los usuarios de estos equipos deban introducir
nombres de usuario y contraseas. A este grupo se le puede dar un nombre y as
poder identificarlo, para que cuando se realice la poltica que involucra a este
grupo de equipos le afecte nica y exclusivamente a este grupo de equipos o
hosts. Para agregar un nombre a una direccin o subred se debe ingresar a
Firewall Address Address, hacer un click sobre el botn Create New, esta
accin a su vez desplegar una pgina con un formulario donde se podr ingresar
el nombre que identificar la direccin o subred, la direccin como tal y el puerto
fsico al cual esta relacionado tal direccin (ver figura 4.35).
De esta manera se puede ir agregando todos los nombres que se requiera para ir
personalizando la configuracin general del FG300A y as tambin poder entender
197
198
199
La figura 4.39 muestra el listado de grupos de servicios que han sido configurados
basados en las necesidades de acceso de la E.E.Q.S.A. hacia el exterior y del
exterior hacia la E.E.Q.S.A. que previamente fueron configurados en IBM
SecureWay Firewall.
Esto permitir filtrar el trfico que debe pasar y tambin optimizar el uso de
direcciones IP pblicas disponibles, como tambin ofrecer un nivel de seguridad al
impedir que por algn puerto no permitido se realicen actos mal intencionados en
contra de la empresa.
200
En la figura 4.41 se puede apreciar que el servidor de nombre citrix2 necesita que
su servicio sea accedido a travs del Internet pero utilizando una direccin IP
pblica.
201
202
Web Filtering se aplica sobre patrones comunes y nocivos que estn por todo el
Internet como son: Sitios pornogrficos, juegos en red, descarga sin lmite de
archivos multimedia como audio o video en varios formatos, ocio, etc. En la figura
4.45 se muestra la lista de filtros web de tipo URL listos para ser utilizados en las
polticas del firewall.
203
IM/P2P son aplicaciones que sirven para interactuar con usuarios del Internet
permitiendo el uso y descarga de archivos y dems aplicaciones; si bien es cierto
se trata de una potencial herramienta, los usuarios tanto interno como externos a
la E.E.Q.S.A. no explotan de manera positiva esta herramienta y que por el
204
contrario distraen la actividad laboral de los empleados que tienen este acceso,
por lo tanto se deben bloquear hasta crear una cultura del buen uso de algunos
de estos aplicativos.
Figura 4.48 Firma o signature asociada a amenazas encontradas para el IOS de equipos Cisco
El IPS funciona de modo que los usuarios no perciben que los datos que ingresan
de un segmento a otro del FG300A son inspeccionados; se trata de verificar
posibles amenazas que pueden ingresar a la red de datos. El IPS tiene una base
de datos de las amenazas que pueden afectar a la red que se protege. Para esto
cuenta con un servicio de actualizacin desde los servidores de Fortinet
publicados en el Internet.
Para que esta configuracin surta efecto se la debe aplicar al perfil de proteccin.
205
Figura 4.50 Listado de anomalas con el valor del campo Action en Drop o rechazo
Las anomalas pueden ser editadas para poder asignarles la accin apropiada
(Ver figura 4.51).
206
Las configuraciones de polticas del firewall son administradas por el personal del
Departamento de Administracin de Sistemas y Bases de Datos y son solo ellos
quienes pueden crear nuevas polticas; cabe destacar en este punto que la
administracin de este equipo est compartida y coordinada con el Departamento
de Comunicaciones y Soporte, ya que el equipo si bien es cierto es un elemento
propiamente de red, tiene dentro de sus capacidades aspectos ntimamente
relacionados con la administracin de los sistemas informticos, bsicamente en
lo que respecta al acceso y manejo cuentas de usuarios.
207
Figura 4.52 Listado de polticas que corresponden al trfico en sentido Puerto 3 hacia Puerto 1
4.4
208
La figura 4.54 muestra los parmetros para la configuracin del servidor VPN
PPTP; cabe indicar que el direccionamiento IP utilizado es el propuesto en el
diseo de la seccin correspondiente del Captulo 3 del presente proyecto.
209
210
211
212
La figura 4.57 permite observar la ubicacin de la poltica dentro del grupo que
corresponde a las que van desde el Puerto 1 hacia el Puerto 3. Este grupo de
polticas tienen un comn denominador que son las direcciones de origen y que
en general est fijado en el valor de all por lo que la ubicacin estar determinada
por las direcciones destino. Para el caso de la poltica de VPN PPTP la ubicacin
es la adecuada ya que, si bien es cierto, la direcciones origen son de un rango
muy reducido, detrs de estas direcciones el establecimiento se da por medio de
cualquier direccin que est en el Internet, as que se trata de una poltica con un
matiz de tipo general.
213
214
Idle Timeout. El tiempo que una sesin est sin actividad se fijar en 300
segundos, es decir 5 minutos, tiempo en que el portal del navegador web
se reiniciar. Si se ha establecido el tnel a travs del cliente liviano, el
servidor considerar activa la conexin mientras se mantenga conectado el
tnel.
Portal Message. Es un mensaje que el portal mostrar al usuario que logre
autenticarse con xito.
Advanced. Permite aadir la informacin de direcciones de los servidores
DNS y WINS que utiliza la E.E.Q.S.A. para resolver los nombres de los
hosts en la red (Ver figura 4.59). Este campo es til para el cliente liviano.
215
Los parmetros para este grupo de usuarios cambian respecto a los de tipo
Firewall. La figura 4.60 permite observar que al seleccionar el tipo SSL VPN, el
parmetro Protection Profile desaparece as como el grupo de opciones
FortiGuard Web Filtering Override (Ver figura 4.30) es reemplazado por SSLVPN User Group Options que a diferencia del anterior grupo de opciones a este
grupo se lo va a tomar en cuenta para la respectiva personalizacin.
Restrict tunnel IP range for this group. Una de las ventajas de esta
configuracin es la de asignar a cada grupo de usuarios SSL VPN un rango
diferente de direcciones IP, esto ayudar a la administracin de las conexiones.
En el diseo se ha asignado para las conexiones SSL VPN el rango de
216
217
Figura 4.62 Configuracin poltica para el acceso VPN SSL primera parte
218
Figura 4.63 Configuracin poltica para el acceso VPN SSL segunda parte
Figura 4.64 Configuracin poltica para el acceso VPN SSL tercera parte
219
220
221
222
los repositorios del Internet que tienen este paquete y luego el usuario acepta la
descarga del paquete.
223
Figura 4.69 Proceso radiusd en espera de requerimientos de autenticacin de usuarios VPN IPSEC
224
225
Figura 4.71 Configuracin IPSec para Acceso Remoto Fase 1 (Primera Parte)
226
configurados y que tienen acceso a la red corporativa por este medio (Ver
figura 4.72), de ser necesario se escalar a este tipo de registro fijando la
opcin a una ms especfica para el identificador del par de conexin de la
VPN IPSec para un mejor control.
Figura 4.72 Configuracin IPSec para Acceso Remoto Fase 1 (Segunda Parte)
227
228
configuracin, para este caso se tiene configurada una fase 1 con nombre tunelIPSec-dial (Ver figura 4.71) con el cual se inicia la configuracin de la fase 2 (Ver
figura 4.73).
Figura 4.74 Configuracin servidor DHCP para conexiones VPN IPSec de Acceso Remoto
229
Para que este servidor tenga un contexto en VPN IPSec se debe seleccionar la
opcin IPSEC en el campo Type.
Una vez finalizada la configuracin VPN IPSec para acceso remoto, sta puede
ser observada en la lista de conexiones VPN IPSec disponibles. En figura 4.75 se
observa el listado de conexiones VPN IPSec.
230
Figura 4.76 Configuracin poltica de firewall para VPN IPSec de Acceso Remoto
Para finalizar se activan las opciones para permitir el trfico en doble sentido
(Allow inbound y Allow outbound).
231
232
233
Una vez listo el switch de acceso extranet, se procede a configurar las interfaces
virtuales en el FG300A las cuales estarn asociadas a las VLANs creadas en el
CE500-EXTRANET. Para configurar estos puertos virtuales se debe ir a
SystemNetworkInterface y luego de hacer click en el botn Create New se
despliega la pgina de creacin para una nueva interfaz. Esta nueva interfaz debe
tener un puerto fsico de referencia y un identificador (VLAN ID). La figura 4.81
muestra la configuracin de la interfaz virtual asociada a la VLAN_ADMIN con
identificador 101, la cual est referenciada al puerto fsico 5 y que se le asigna la
direccin IP 192.168.10.1 / 28, tal como se lo ha especificado en la seccin 3.7.3
de este proyecto.
De esta manera se pueden realizar las interfaces virtuales que sean necesarias.
La figura 4.82 permite observar la lista de interfaces virtuales configuradas sobre
el puerto 5 del FG300A.
234
Figura 4.81 Configuracin de una interfaz virtual asociada a una VLAN del CE500-EXTRANET
Desde la consola de comandos se puede verificar que las interfaces estn activas
y responden al comando exec ping del FG300A (Ver figura 4.83).
235
236
237
4.4.3.5 Configuracin la poltica de firewall para VPN IPSec en modo LAN - LAN
La poltica para este tipo de enlaces originar un par de variantes, tanto en la
poltica del firewall como en la fase 1 de la VPN IPSec.
Figura 4.87 Configuracin de la poltica de firewall para el enlace VPN IPSec de tipo LAN to LAN con SWITCHORM
238
ACCEPT como si fuese una poltica normal (ver figura 4.87). Para que esto
funcione es necesario que en la fase 1 en la seccin de configuracin avanzada
se active la opcin Enable IPSec Interface Mode (Ver figura 4.85) con lo cual se
crea una nueva interfaz virtual de tipo IPSec sobre el puerto 5, es decir sobre este
puerto fsico explcitamente se declara una interfaz virtual. Con estas dos
variantes se estableci la comunicacin entre los servidores VPN IPSec.
Figura 4.88 Listado de la poltica para el enlace VPN IPSec en modo LAN to LAN con SWITCHORM
Figura 4.89 Poltica en sentido contrario para el enlace VPN IPSec en modo LAN to LAN con SWITCHORM
La figura 4.89 muestra la poltica en sentido contrario para poder establecer una
comunicacin en doble sentido simultneamente.
239
Catalyst 3560
1
1X
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
31X 33X
47X
16 X
32X 34X
48X
STAT
DUPLX
SPEED
POE
2X
1 8X
SERIES
PoE-48
48
15 X 17X
SYST
RPS
MODE
Figura 4.90 Diagrama completo de la topologa para VPN IPSec modo LAN - LAN con SWITCHORM
240
Las figuras 4.92 y 4.93 muestran los listados de las polticas de todos los enlaces
VPN IPSec modo LAN - LAN.
Figura 4.92 Listado de las polticas para VPN IPSec en el primer sentido de trfico
241
Figura 4.93 Listado de las polticas para VPN IPSec en el segundo sentido de trfico
4.5
Figura 4.94 Inicializacin del asistente de instalacin y configuracin inicial de la PBX 3CX Phone System 7.0
Para poner en marcha el servicio de telefona sobre la VPN fue necesario buscar
alternativas, ya que el servicio de telefona IP de la empresa, que fue la idea
original, ya no dispone de extensiones actualmente, especficamente por razones
de licenciamiento; esto lleva a que se busque aplicativos, uno de stos fue el de
instalar una central de la marca 3CX que se est promocionando a travs del
Internet, y que para atraer a potenciales usuarios pone a disposicin una versin
gratuita del servidor de tipo SIP, as como el cliente que es un telfono en
software o softphone. En la pgina web de 3CX se encuentra disponible este
software.
242
243
Figura 4.95 Configuracin del nombre del servidor de telefona SIP 3CX
244
El servicio de PBX cuenta con una administracin a travs de un servidor web que
est incorporado en el sistema 3CX, en el cual se ha configurado el puerto TCP
8088 para el respectivo acceso por medio de un navegador web como Internet
Explorer 7, y es en donde se pueden configurar varios parmetros incluyendo
nuevas extensiones. En la figura 4.97 se puede observar la consola de
administracin en la que se encuentran listados los nmeros y usuarios de las
extensiones telefnicas inicialmente configuradas.
245
El cdec G.711 tiene una ocupacin de ancho de banda de 64 kbps, lo que para
ambientes LAN no es un problema, pero s para ambientes de red WAN o ms
an si la red que se va a utilizar es el Internet. Para esto se utilizar el G.728 o
GSM que genera un ancho de banda de entre 12 kbps y 15 kbps que es
adecuado para los propsitos de anlisis de trfico de este proyecto.
Como se puede apreciar en la figura 4.99 el estado del cliente indica el nmero de
extensin que corresponde y adems la lista de extensiones disponibles.
246
4.6
Para el caso de los CARs y equipos remotos de los usuarios se requiere que sean
computadores de escritorio o computadores porttiles, en los cuales se encuentre
instalado y funcionando adecuadamente el sistema operativo Windows XP
Professional SP2 actualizado, y que est disponible conexiones de red virtuales
PPTP.
247
En las figuras 4.101 y 4.102 se detalla cada uno de los parmetros que necesita
este cliente para conectarse con el servidor de VPN PPTP ubicado en la
E.E.Q.S.A. Al hacer click en el botn Siguiente se abre la ventana mostrada en la
figura 4.101.
248
La misma figura 4.101 indica que se puede escoger entre una Conexin de
acceso telefnico y una Conexin de red privada virtual, que es la opcin con
la que se va a trabajar.
De la misma forma como se abren las ventanas del Asistente para conexin
nueva la siguiente ventana permite asignar un nombre a la conexin, para este
caso el nombre seleccionado es EEQSA PPTP (Ver figura 4.102).
249
Una vez listo el nombre de la conexin se hace un click sobre el botn siguiente
para ingresar en la pantalla que corresponde a fijar la direccin IP pblica a la que
debe conectarse el cliente VPN PPTP, para el caso particular de la E.E.Q.S.A. la
direccin IP es 200.93.231.242 (Ver figura 4.103).
El acceso VPN est listo para ser usado en situaciones muy generales, es decir
tiene una configuracin por defecto y dicha configuracin inicial no es apropiada
para la red de la E.E.Q.S.A.
Figura 4.104 Verificacin de direccin IP destino (izquierda) y especificacin del tipo de VPN (derecha)
250
251
El cliente con las opciones antes configuradas, est apto para realizar la
comunicacin con el FG300A, en el caso de PPTP, no requiere de mayor
configuracin y por lo tanto se trata de una configuracin de rpido
establecimiento de conexin.
Para este grupo de clientes es necesario que el equipo que va a solicitar una
conexin VPN SSL cuente con el navegador web Internet Explorer 7 o Mozilla 3
como versiones recomendadas para la ejecucin de VPN SSL.
252
Al ingresar al portal se tiene varias opciones con las que se puede ingresar a
varios servidores que tienen activados los servicios de Web Server, Servicio
Telnet, Servicio FTP, Servicio VNC y Servicio RDP (Escritorio Remoto de
Microsoft Windows) (Ver figura 4.109); todos los servicios enumerados se
ejecutan sobre el navegador web y los servicios TELNET, VNC y RDP requieren
de la ejecucin de un Applet de java para su respectiva funcionalidad adecuada.
253
Una personalizacin del portal permite que el cliente a travs del navegador web
se convierta en un cliente verstil y de rpido acceso. La figura 4.111 permite
observar la personalizacin del portal donde se ha configurado varios accesos
hacia servidores y equipos de comunicacin a los cuales el usuario requiere
acceder a travs de una conexin remota.
Figura 4.111 Portal personalizado con accesos directos a varios servicios de la E.E.Q.S.A.
254
Es un software que tiene la firma del fabricante Fortinet lo cual permite que la
instalacin sea confiable (ver figura 4.113).
255
Figura 4.115 Agregacin de un nuevo interfaz de red de tipo virtual VPN SSL
256
Este
cliente
puede
ser
descargado
del
sitio
web
de
Fortinet
Este cliente est diseado para que funcione en el sistema operativo Windows
XP. Las figuras 4.116 a 4.122 detallan los pasos para instalar este cliente del
fabricante Fortinet.
A partir del cliente se lo ejecuta para instalarlo en el equipo que operar como
cliente remoto y en el cual se accedern a aplicaciones que se encuentran en los
servidores del centro de cmputo de la E.E.Q.S.A. La figura 4.117 muestra el
inicio del asistente de instalacin de la aplicacin cliente FortiClient.
Figura 4.117 Asistente de instalacin en el equipo que funcionar como cliente remoto
257
258
259
4.7
260
Pruebas de seguridades
Pruebas de medida de ocupacin del canal VPN y seguridad
Prueba de VoIP sobre VPN
Figura 4.123 Categoras de sitios web desarrollado por Fortinet y aplicado a perfiles de usuario
261
Firewall, lo que quiere decir que los usuarios pertenecen a un grupo de usuarios
de tipo Firewall y a su vez debern autenticarse con los nombres de usuario y
contrasea de la cuenta local almacenada en el FG300A.
262
Fortinet inyectan esta informacin hacia los equipos con licencias activas como es
el caso del FG300A de la E.E.Q.S.A.. Dentro de estas categoras se encuentran
los mostrados en la figura 4.123.
En la figura 4.123 se puede observar que dentro de la categora Potencially Nonproductive existe la subcategora Games; si el usuario intenta ingresar a una
pgina de este tipo automticamente se despliega una pgina que informa la
prohibicin de acceso a este tipo de sitios y no permite que se puede ejecutar la
navegacin en ese sitio (ver figura 4.124).
263
264
Figura 4.128 Acceso desde la red local al servidor de monitoreo de trfico de red
52
En la configuracin de red de rea local de las NICs de la E.E.Q.S.A. se tiene establecido el sufijo
eeq.com.ec,
por
lo
que
es
suficiente
escribir
http://comunica:8081
en
lugar
de
http://comunica.eeq.com.ec:8081 en la barra de direccin del navegador web
265
Figura 4.129 Acceso desde la red local al servidor de monitoreo de trfico de red utilizando el nombre registrado en el
servidor DNS
Al intentar ingresar a este servidor por medio del Internet se desplegar la pgina
de error del navegador web como se observa en la figura 4.130.
Figura 4.130 Pgina con el mensaje de problema en la conexin al intentar ingresar al servidor comunica desde el Internet
Para acceder a servidores y servicios que no estn en la lista de NAT del FG300A
de la red corporativa de la E.E.Q.S.A., los empleados y funcionarios que por
varios motivos lo deben realizar desde el Internet debern realizar accesos de tipo
seguro, como por ejemplo a travs de VPNs. A continuacin se revisarn los
aspectos de seguridad y de ocupacin del canal de comunicaciones para las
VPNs.
266
4.7.2.1 Pruebas de negociacin IKE, autenticacin con RADIUS y anlisis del trfico
generado
Para el acceso remoto se va a configurar el Traffic Shaping de la poltica en 128
kbps como valor garantizado y mximo de capacidad de trfico para esa poltica,
el cual se lo va a saturar realizando una descarga de archivos y ping desde el
equipo remoto, y a travs de un analizador de trfico verificar que la ocupacin del
canal no exceda los 128 kbps.
TELCONET
ha
facilitado
para
estas
pruebas
la
direccin
IP
pblica
267
La figura 4.131 indica los parmetros de red para la tarjeta Fast-Ethernet del
equipo de pruebas de VPN y seguridades. Desde este equipo se procede a
utilizar la aplicacin Forticlient para realizar la conexin VPN IPSEC con el
FG300A.
Figura 4.132 Configuracin de red del Forticlient y parmetros para la negociacin IKE
268
269
270
271
272
Figura 4.140 Informacin de los parmetros de red asignados por el servidor DHCP
Una vez establecida la conexin el ltimo paso es adquirir una direccin IP del
servidor DHCP y que reside en el FG300A. La figura 4.139 muestra la informacin
que es transferida al cliente remoto para que ste pueda obtener los parmetros
de red necesarios.
La interfaz virtual adquiere una direccin del pool de direcciones del DHCP. Esta
informacin es posible observarla a travs del comando ipconfig de Windows XP
Professional en la consola de comandos (ver figura 4.140).
273
Figura 4.141 Descarga de un archivo sin restriccin de la capacidad del canal VPN
Figura 4.142 Descarga del mismo archivo pero con restriccin del ancho de banda del enlace VPN
274
Figura 4.143 Reporte grfico del trfico generado en al interfaz virtual VPN
275
Figura 4.144 Detalle con valores tabulados de la velocidad de transmisin de las descargas realizadas
4.7.2.2 Comportamiento del estado de las VPNs IPSEC LAN LAN y monitoreo de
los enlaces VPN IPSEC
Los enlaces de tipo LAN LAN estn en funcionamiento, lo que se realizar es un
anlisis de lo ms relevante en el trfico generado por estos enlaces virtuales.
276
Figura 4.145 Grfico de trfico del enlace LAN - LAN con SWITCHORM
277
equipos de las redes remotas solo tienen acceso al puerto TCP 1521 que
corresponde al acceso al sistema de base de datos ORACLE. Sin embargo no
est por dems asegurar que este canal est fijado su capacidad en 128 kbps
como mximo.
La figura 4.146 muestra el monitoreo que se puede realizar a las conexiones VPN
IPSEC desde la consola de administracin del FG300A, tambin se puede
apreciar la diferencia del tipo de VPNs IPSEC configuradas en el FG300A. El tipo
Dialup corresponde al equipo de pruebas y que tiene direccin IP 172.16.20.51
para la interfaz virtual y la misma corresponde al pool de direcciones del DHCP
configurado en el puerto 1.
La informacin de la actividad del tnel Dialup slo puede ser vista si la conexin
est activa, caso contrario permanece el listado vaco. A diferencia del primer
grupo de tneles el segundo grupo de nombre Static IP and dynamic DNS
permanece en lista, ya que se ha creado interfaces virtuales dentro del FG300A,
mientras estas interfaces permanezcan configuradas, el listado de estos tneles
estar vigente an cuando no exista actividad.
La figura 4.147 muestra el listado de conexiones que utilizan el puerto UDP 500
para establecer una VPN IPSEC, estas dos sesiones corresponden a los enlaces
VPN IPSEC que se encuentran de respaldo, peridicamente el FG300A emite
estos mensajes para saber si el extremo remoto est disponible para realizar la
respectiva conexin.
278
Figura 4.148 Cliente con extensin 1000 realiza una llamada hacia la extensin 1001
279
Figura 4.149 Consola de administracin de la PBX muestra el estado de las extensiones que mantienen una llamada
Mientras la conversacin se inicia, dura y se libera, internamente la interfaz FastEthernet del equipo local y la interfaz del equipo de pruebas intercambian
paquetes con los datos de voz. Nuevamente se utiliza la aplicacin Wireshark
para observar el intercambio de paquetes y tramas. La figura 4.150 permite
mostrar la informacin de las tramas cuando se inicia la conversacin de VoIP.
La primera trama en su contenido tiene informacin que indica que las direcciones
MAC ADDRESS de los equipos que intervienen son del fabricante Fortinet lo que
es lgico ya que los interfaces que mantienen la conversacin a nivel de capa 2
son el FG300A y la interfaz virtual Forticlient. La direccin origen es la remota
172.16.20.51 y la destino la local 132.147.163.55, el puerto que se utiliza es el
UDP 5070 para el origen y el UDP 5060 para el destino.
280
La informacin del protocolo SIP revela los datos del registro de la extensin y la
marca del equipo cliente, entre otros parmetros (Ver figura 4.151).
281
Figura 4.152 Ocupacin del canal generado por la llamada de tipo SIP sobre el canal VPN