Upload
others
View
8
Download
0
Embed Size (px)
Citation preview
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
Diseño y simulación de portal cautivo, que permita: autenticación,
aplicación de herramientas, políticas de seguridad, QoS y sonda
de red para el filtrado de contenido mediante
equipo UTM en la CISC-CINT
PROYECTO DE TITULACIÓN
Previa a la obtención del Título de:
INGENIERO EN NETWORKING Y TELECOMUNICACIONES
AUTOR:
Linda Inés Andrade Cayambe
TUTOR:
Ing. Christian Omar Picón Farah
GUAYAQUIL – ECUADOR
2019
REPOSITORIO NACIONAL EN CIENCIAS Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS
TÍTULO:
Diseño y simulación de portal cautivo, que permita: autenticación, aplicación de
herramientas, políticas de seguridad, QoS y sonda de red para el filtrado de
contenido mediante equipo UTM en la CISC-CINT.
REVISOR:
Ing. Fausto Raúl Orozco
Lara
INSTITUCIÓN: Universidad de
Guayaquil
FACULTAD: Ciencias Matemáticas y
Físicas.
CARRERA: Ingeniería en Networking y Telecomunicaciones
FECHA DE PUBLICACIÓN:
ÁREA TEMÁTICA: Administración de la red Wireless
PALABRAS CLAVES: Firewall, portal cautivo, proxy, IDS, IPS, Qos.
RESUMEN: El proyecto tiene como objetivo diseñar una propuesta con
ambiente controlado de portal cautivo para el ingreso de la red inalámbrica en
la carrera de Sistemas y Networking de la Universidad de Guayaquil mediante
el uso de software open source para el manejo y administración de la red
wireless, a través de políticas de seguridad para prevenir problemas en la red,
mediante autenticación, monitoreo, bloqueo de contenido malicioso, acceso a
páginas web, calidad de servicio, utilizando procesos como: análisis, propuesta
de diseño, simulación de proyecto, pruebas y mejoras, documentación con
herramientas del tipo freeradius, ntopNG, pfblockerNG, squid, squidguard,
IDS/IPS (Suricata), Traffic Shaper.
No. DE REGISTRO: No. DE CLASIFICACIÓN:
DIRECCIÓN URL:
ADJUNTO PDF: Sí No
CONTACTO CON AUTOR: TELÉFONO: E-MAIL:
LINDA INÉS ANDRADE
CAYAMBE
0996736539 [email protected]
CONTACTO DE LA INSTITUCIÓN:
NOMBRE: ING. CHRISTIAN OMAR PICÓN FARAH
TELÉFONO: 0988943949
II
APROBACIÓN DEL TUTOR
En mi calidad de Tutor del trabajo de titulación, “Diseño y simulación de portal
cautivo, que permita: autenticación, aplicación de herramientas, políticas de
seguridad, QoS y sonda de red para el filtrado de contenido mediante equipo UTM
en la CISC-CINT“, elaborado por la Srta. Linda Inés Andrade Cayambe, Alumna
no titulada de la Carrera de Ingeniería en Networking y Telecomunicaciones de
la Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil,
previo a la obtención del Título de Ingeniera en Networking y Telecomunicaciones,
me permito declarar que luego de haber orientado, estudiado y revisado, la
Apruebo en todas sus partes.
Atentamente,
Ing. Christian Omar Picón Farah
TUTOR
III
DEDICATORIA
Dedico a las personas que me aman y
han sido importante en mi vida, me han
dado fuerza en los momentos difíciles y
me desean lo mejor como mi familia por
su apoyo incondicional, especialmente a
mi papá que me ha orientado a hacer lo
correcto, siempre aconsejándome, por
ayudarme en todo lo que necesitaba en
mis estudios, para que me prepare
profesionalmente, a mi mamá porque
siempre me decía prepárate que lo
lograrás, no te rindas, estoy contigo, a
mis hermanos que desean que me
supere y me vaya bien en la vida, ellos
me han enseñado a luchar y buscar la
manera de salir adelante para alcanzar
mis metas y objetivos.
También agradezco a una persona
importante José Vicente Núñez Delgado
que me apoyado en todo momento, ha
dado su paciencia, tiempo, dedicación, y
siempre me dice no te rindas, que tú
puedes.
Todos ustedes han sido mi fortaleza en
todos estos años, muchas gracias.
Linda Inés Andrade Cayambe
IV
AGRADECIMIENTO
Agradezco a Dios por su amor
incondicional, por escuchar mis
oraciones, dándome fuerza y no a ver
permitido que me rinda, y hacer lo
correcto, por conocer personas que con
el paso de los años han sido esenciales
y nos hemos permitido ayudarnos
mutuamente.
A los docentes por su dedicación, en
corregirnos y guiarnos con sus
conocimientos para formar
profesionales. Tiene mi gratitud el
docente Ing. Christian Omar Picón
Farah.
Linda Inés Andrade Cayambe
V
TRIBUNAL PROYECTO DE TITULACIÓN
Ing. Fausto Cabrera Montes, M.Sc.
DECANO
FACULTAD CIENCIAS MATEMÁTICAS Y
FÍSICAS
Ing. Abel Alarcon Salvatierra, Mgs
DIRECTOR
CARRERA DE INGENIERIA EN
NETWORKING Y TELECOMUNICACIONES
Ing. Fausto Raúl Orozco Lara
PROFESOR REVISOR DEL ÁREA
TRIBUNAL
Ing. Ángel Steven Asanza Briones
PROFESOR REVISOR DEL ÁREA
TRIBUNAL
Ing. Juan Chávez Atocha, Esp.
SECRETARIO TITULAR
Ing. Christian Omar Picón Farah
PROFESOR TUTOR DEL PROYECTO DE
TITULACIÓN
VI
DECLARACIÓN EXPRESA
“La responsabilidad del contenido de este
Proyecto de Titulación, me corresponden
exclusivamente; y el patrimonio intelectual
de la misma a la UNIVERSIDAD DE
GUAYAQUIL”
Linda Inés Andrade Cayambe
VII
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
Diseño y simulación de portal cautivo, que permita: autenticación,
aplicación de herramientas, políticas de seguridad, QoS y sonda
de red para el filtrado de contenido mediante
equipo UTM en la CISC-CINT
Proyecto de Titulación que se presenta como requisito para optar por el título de
INGENIERA EN NETWORKING Y TELECOMUNICACIONES
Autor: Linda Inés Andrade Cayambe
C.I. 0953395571
Tutor: Ing. Christian Omar Picón Farah
Guayaquil, Octubre del 2019
VIII
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo
Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de
Guayaquil.
CERTIFICO:
Que he analizado el Proyecto de Titulación presentado por la
estudiante LINDA INÉS ANDRADE CAYAMBE, como requisito previo para optar
por el título de INGENIERA EN NETWORKING Y TELECOMUNICACIONES,
cuyo tema es:
Diseño y simulación de portal cautivo, que permita: autenticación, aplicación
de herramientas, políticas de seguridad, QoS y sonda de red para el filtrado
de contenido mediante equipo UTM en la CISC-CINT.
Considero aprobado el trabajo en su totalidad.
Presentado por:
Andrade Cayambe Linda Inés Cédula de ciudadanía N° 0953395571
Tutor: Ing. Christian Omar Picón Farah
Guayaquil, Octubre del 2019
IX
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
AUTORIZACIÓN PARA PUBLICACIÓN DE PROYECTO DE TITULACIÓN EN FORMATO DIGITAL
1. Identificación del Proyecto de Titulación
Alumna: Linda Inés Andrade Cayambe
Dirección: Socio Vivienda 1 Mz 8E V11
Teléfono: 0996736539 E-mail: [email protected]
Facultad: Ciencias Matemáticas y Físicas.
Carrera: Ingeniería en Networking y Telecomunicaciones.
Título al que opta: Ingeniera en Networking y Telecomunicaciones.
Profesor guía: Ing. Christian Omar Picón Farah
Título del Proyecto de titulación: Diseño y simulación de portal cautivo, que permita: autenticación, aplicación de herramientas, políticas de seguridad, QoS y sonda de red para el filtrado de contenido mediante equipo UTM en la CISC-CINT.
2. Autorización de Publicación de Versión Electrónica del Proyecto de
Titulación.
A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y
a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica
de este Proyecto de titulación.
Publicación electrónica:
Inmediata X Después de 1 año
Linda Inés Andrade Cayambe
3. Forma de envío:
El texto del proyecto de titulación debe ser enviado en formato Word, como archivo
.Doc. O .RTF y .Puf para PC. Las imágenes que la acompañen pueden ser: .gif,
.jpg o .TIFF.
DVDROM CDROM
Tema del Proyecto de Titulación: Firewall, portal cautivo, proxy, IDS, IPS, QoS
X
X
INDICE GENERAL
Contenido APROBACIÓN DEL TUTOR .......................................................................................... II
DEDICATORIA ................................................................................................................ III
AGRADECIMIENTO ....................................................................................................... IV
TRIBUNAL PROYECTO DE TITULACIÓN .................................................................. V
DECLARACIÓN EXPRESA ........................................................................................... VI
CERTIFICADO DE ACEPTACIÓN DEL TUTOR ..................................................... VIII
AUTORIZACIÓN PARA PUBLICACIÓN ..................................................................... IX
INDICE GENERAL ........................................................................................................... X
ABREVIATURAS ............................................................................................................ XII
RESUMEN..................................................................................................................... XVII
ABSTRACT .................................................................................................................. XVIII
INTRODUCCIÓN ............................................................................................................. 1
CAPÍTULO I ...................................................................................................................... 4
EL PROBLEMA ................................................................................................................ 4
PLANTEAMIENTO DEL PROBLEMA ........................................................................... 4
UBICACIÓN DEL PROBLEMA EN UN CONTEXTO ................................................. 4
SITUACIÓN CONFLICTO NUDOS CRÍTICOS ........................................................... 6
DELIMITACIONES DEL PROBLEMA ........................................................................... 7
FORMULACIÓN DEL PROBLEMA ............................................................................... 7
EVALUACIÓN DEL PROBLEMA ................................................................................... 8
OBJETIVOS DEL PROBLEMA ...................................................................................... 9
OBJETIVO GENERAL ..................................................................................................... 9
OBJETIVOS ESPECÍFICOS .......................................................................................... 9
ALCANCE DEL PROBLEMA ......................................................................................... 9
JUSTIFICACIÓN E IMPORTANCIA ............................................................................ 10
CAPITULO II ................................................................................................................... 11
MARCO TEORICO ........................................................................................................ 11
ANTECEDENTES .......................................................................................................... 11
FUNDAMENTACIÓN TEÓRICA .................................................................................. 17
FUNDAMENTACION LEGAL ....................................................................................... 27
XI
PREGUNTA CIENTÍFICA A CONTESTARSE .......................................................... 31
DEFINICIONES CONCEPTUALES ............................................................................ 32
CAPITULO III .................................................................................................................. 33
FACTIBILIDAD OPERACIONAL.................................................................................. 33
FACTIBILIDAD TÉCNICA ............................................................................................. 34
FACTIBILIDAD LEGAL ................................................................................................. 35
FACTIBILIDAD ECONÓMICA ...................................................................................... 35
ETAPAS DE LA METODOLOGÍA DEL PROYECTO ............................................... 37
Fase 1.- Análisis de la red inalámbrica actual. .......................................................... 38
Fase 2.- Propuesta de diseño ...................................................................................... 43
Fase 3: Simulación de proyecto ................................................................................... 50
Fase 4.- Pruebas y mejoras ......................................................................................... 53
Fase 5.- Documentación ............................................................................................... 59
ENTREGABLES DEL PROYECTO ............................................................................. 60
FreeRadius ...................................................................................................................... 64
Proxy Transparent (Squid & SquidGuard).................................................................. 77
CRITERIOS DE VALIDACIÓN DE PROYECTOS .................................................. 101
PROCESAMIENTO Y ANÁLISIS ............................................................................... 101
METODOLOGIA DE LA INVESTIGACION .............................................................. 101
DISEÑO DE LA INVESTIGACION ............................................................................ 101
MODALIDAD DE LA INVESTIGACION .................................................................... 102
TIPO DE INVESTIGACIÓN ........................................................................................ 102
CAPITULO IV ................................................................................................................ 104
CRITERIOS DE ACEPTACIÓN DEL PRODUCTO O SERVICIO ........................ 104
CONCLUSIONES......................................................................................................... 105
RECOMENDACIONES ............................................................................................... 105
BIBLIOGRAFÍA ............................................................................................................. 106
ANEXOS ........................................................................................................................ 109
XII
ABREVIATURAS
CINT Carrera de Ingeniería en Networking y Telecomunicaciones
CISC Carrera de Ingeniería en Sistemas Computacionales
HTTP Protocolo de Transferencia de Hiper Texto
HTTPS Protocolo de Transferencia de Hiper Texto seguro
URL Localizados de Fuente Uniforme
DB Base de datos
XIII
ÍNDICE DE CUADROS
CUADRO 1
Causas y consecuencias del Problema ........................................................... 6
CUADRO 2
Cantidad estimado de equipos y materiales para la instalación. ................. 34
CUADRO 3
Herramientas tecnológicas para administración ........................................... 35
CUADRO 4
Presupuesto Estimado .................................................................................... 36
CUADRO 5
Fases del Proyecto de Tesis ........................................................................... 37
CUADRO 6
Lista de servicios prioritarios para configurar QoS ...................................... 41
CUADRO 7
Comparación de herramientas open source ................................................. 43
CUADRO 8
Comparación de access point ........................................................................ 48
XIV
INDICE DE GRÁFICOS
GRÁFICO 1
Ubicación de la Carrera de Ingeniería en Sistemas y Networking ................. 5
GRÁFICO 2
Esquema general Sistema de autenticación hotspot y uso de sistema
operativo del Router Mikrotik ......................................................................... 13
GRÁFICO 3
Topología de gestión inalámbrica: Elaboración propia basada en Inventario
departamento TIC’s del GAD-Ibarra ............................................................... 15
GRÁFICO 4
Inicio de ClarkConnect 5.0 .............................................................................. 17
GRÁFICO 5
Componentes de Infraestructura de una red inalámbrica ............................ 19
GRÁFICO 9
Switch Catalyst 3750-E .................................................................................... 38
GRÁFICO 10
Pruebas del monitoreo de red ........................................................................ 39
GRÁFICO 11
Pruebas de ancho de banda CNT ................................................................... 40
GRÁFICO 12
Status de evaluación de popularidad firewall/router ..................................... 42
GRÁFICO 13
Diseño de la red inalámbrica CNT .................................................................. 44
GRÁFICO 14
Diseño de la implementación del firewall/router ........................................... 45
GRÁFICO 15
Conexión física ................................................................................................ 46
GRÁFICO 6
Netgate XG-7100 .............................................................................................. 47
GRÁFICO 7
Access Point Ubiquiti UniFi AC Pro AP ......................................................... 49
XV
GRÁFICO 8
Switch JetStream Gestionable L2 PoE+ de 8 Puertos Gigabit con 2 Slots
SFP ................................................................................................................... 49
GRÁFICO 16
Servicios .......................................................................................................... 50
GRÁFICO 17
Herramienta IDS ............................................................................................... 51
GRÁFICO 18
Visualizacion de flujos de datos activos de hosts conectado a la red ........ 52
GRÁFICO 19
Herramienta Monitoreo .................................................................................... 52
GRÁFICO 20
Apreciación del tráfico en forma gráfica ........................................................ 53
GRÁFICO 21
Portal cautivo ................................................................................................... 54
GRÁFICO 22
Credenciales para el ingreso del portal cautivo ............................................ 54
GRÁFICO 23
Usuarios conectados....................................................................................... 55
GRÁFICO 24
Bloqueo de sitios web ..................................................................................... 56
GRÁFICO 25
Bloqueo de puertos de Aplicaciones de juego .............................................. 56
GRÁFICO 26
Autenticación por vouchers............................................................................ 57
GRÁFICO 27
Usuarios conectados usando vouchers ........................................................ 57
GRÁFICO 28
Status vouchers en uso .................................................................................. 58
GRÁFICO 29
Registro de acceso al portal cautivo por credenciales ................................. 58
GRÁFICO 30
Registro de acceso al portal cautivo por voucher ........................................ 59
XVI
ÍNDICE DE ANEXOS
ANEXO 1
Monitoreo de la red ........................................................................................ 110
ANEXO 2
Entrevista 1 .................................................................................................... 111
ANEXO 3
Entrevista 2 .................................................................................................... 112
ANEXO 4
Entrevista 3 .................................................................................................... 113
ANEXO 5
Documento de aprobación de la Carrera de Sistemas Computacionales . 114
ANEXO 6
Documento de aprobación de la Carrera de Networking y
Telecomunicaciones...................................................................................... 115
ANEXO 7
Ubicación de conexión de la planta baja ..................................................... 116
ANEXO 8
Ubicación de conexión del primer piso........................................................ 117
ANEXO 9
Ubicación de conexión del segundo piso .................................................... 118
ANEXO 10
Ubicación de conexión del tercer piso ......................................................... 119
ANEXO 11
Netgate XG-7100 pfSense Security Gateway ............................................... 120
ANEXO 12
Especificaciones de Access Point Ubiquiti UniFi AC Pro AP ..................... 121
ANEXO 13
Switch JetStream Gestionable L2 PoE+ de 8 Puertos Gigabit con 2 Slots
SFP ................................................................................................................. 122
XVII
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
Diseño y simulación de portal cautivo, que permita: autenticación,
aplicación de herramientas, políticas de seguridad, QoS y sonda
de red para el filtrado de contenido mediante
equipo UTM en la CISC-CINT
Autor: Linda Inés Andrade Cayambe
Tutor: Ing. Christian Omar Picón Farah.
RESUMEN
El proyecto tiene como objetivo diseñar una propuesta con ambiente controlado
de herramientas administrativas y portal cautivo para el ingreso de la red
inalámbrica en la carrera de Networking y Sistemas de la Universidad de
Guayaquil mediante el uso de software open source para el manejo y
administración de la red wireless, a través de políticas de seguridad para prevenir
problemas en la red, mediante autenticación, monitoreo, bloqueo de contenido
malicioso, acceso a páginas web, calidad de servicio, utilizando procesos como:
análisis, propuesta de diseño, simulación de proyecto, pruebas y mejoras,
documentación con herramientas del tipo freeradius, ntopNG, pfblockerNG, squid,
squidguard, IDS/IPS (Suricata), Traffic Shaper.
XVIII
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
Diseño y simulación de portal cautivo, que permita: autenticación,
aplicación de herramientas, políticas de seguridad, QoS y sonda
de red para el filtrado de contenido mediante
equipo UTM en la CISC-CINT
Author: Linda Inés Andrade Cayambe
Advisor: Ing. Christian Omar Picón Farah
ABSTRACT
The project aims to design a proposal with controlled environment of administrative
tools and captive portal for the entry of the wireless network in the Networking and
Systems career of the University of Guayaquil through the use of open source
software for the management and administration of the wireless network, through
security policies to prevent network problems, through authentication, monitoring,
blocking of malicious content, access to web pages, quality of service, using
processes such as: analysis, design proposal, project simulation, tests and
improvements, documentation with tools such as freeradius, NtopNG,
pfblockerNG, squid, squidguard, IDS / IPS (Meerkat), Traffic Shaper.
1
INTRODUCCIÓN
La administración de una red inalámbrica gestiona el aumento de la fiabilidad,
debido a QoS (Calidad de Servicio), seguridad y monitoreo constante. Cada vez,
las empresas o instituciones presentan conflictos en la red, y el uso indiscriminado
de los recursos de la red. Por esto, se busca mejorar la calidad de internet y
seguridad ante cualquier tipo de problema o amenaza. Actualmente, el sondeo de
la red brinda información como: la intensidad de la señal inalámbrica, anomalía,
entre otros. Con esta solución, nos permitirá realizar las respectivas
configuraciones para establecer políticas de seguridad y administración según las
necesidades de la institución.
La congestión se debe al uso excesivo de este recurso, por ello los usuarios
pierden conexión o presentan lentitud en la red. Generalmente, las causas de la
saturación de la red se presentan por aumento de usuarios u operaciones en
internet. Casi siempre, sucede en redes abiertas debido que no se limita el ancho
de banda, ni define la importancia de las solicitudes al equipo. Como solución, la
herramienta tecnológica QoS (Calidad de Servicio) de preferencia establece la
prioridad a servicios importantes como: correo electrónico, páginas de
investigación, para beneficio de la institución. Finalmente, el objetivo es mejorar el
rendimiento de la red y no interrumpir las operaciones diarias.
La aplicación de herramientas a nivel de open source gestiona la seguridad y
administración de una red. Con la instalación de los servicios establecidos se
convierte en un equipo UTM; por consiguiente, es robusto, escalable y presenta
alta disponibilidad. Se implementa políticas de seguridad a través de filtrado de
contenido malicioso, inapropiado, no deseado y el uso del monitoreo constante en
la red. Se ofrece funciones de administración centralizada a través de la
instalación de la herramienta tecnológica para enfrentar conexiones ilícitas que
perjudiquen a la institución.
2
El monitoreo de la red analiza equipos o dispositivos conectados de forma diaria
y constante. Con él, se controla y detecta cualquier comportamiento anormal en
el tráfico de red. Por esta razón, el sondeo de la red informa de sobrecargas y
fallos. La monitorización nos facilita datos sobre del uso excesivo del ancho de
banda. Casi siempre, el colapso y fallas en la red ocurren en momentos de máximo
trabajo o flujo de datos (horas pico). Por lo cual, se detecta posibles
inconvenientes antes de que ocurra una saturación o caída de las redes.
El portal cautivo es una página especial, el cual nos permite ingresar las
respectivas credenciales antes de acceder a la red. Adicionalmente, se
personaliza los parámetros que debe completar el usuario o aceptar un acuerdo
para navegar por internet y se configura para establecer un tiempo permanente o
temporal. En este caso, en la simulación del proyecto cada usuario deberá
ingresar con sus credenciales que se enviarán al correo institucional. Por lo cual,
si algún usuario no tiene acceso a internet en ese momento, se da la opción de
acceder temporalmente a la red mediante un voucher hasta que obtenga sus
credenciales para ingresar, es válido para los usuarios que pertenecen a la
institución.
El firewall/router vigila el tráfico y realiza el enrutamiento de paquetes de datos.
Además, con la instalación de otros servicios se convierte en un equipo UTM de
tal manera que garantiza la seguridad y escalabilidad de la red. Por esto, se
determina realizar las configuraciones necesarias para la implementación de
varias herramientas tecnológicas como:
• Portal cautivo, Gestor de autenticación
• Monitoreo de manera exhaustiva de la red, se define el comportamiento de
los dispositivos conectados a la red.
• IDS (Sistema de Detección de Intrusión) Sistema que monitorea el tráfico
de la red y genera alertas hacia anomalías en la transmisión de datos.
• QoS (Control de Calidad) se controla el ancho de banda estableciendo
prioridades según las necesidades de la institución.
3
• Proxy. - Permite o bloquea el contenido de sitios web.
La herramienta open source ofrece servicios con funciones de seguridad y
administración realizando sus respectivas configuraciones adecuadas según las
necesidades que se establezca. Pfsense es un software libre con funcionalidad de
firewall/router basado en la distribución de Linux: FreeBSD.
Primer capítulo, presenta los inconvenientes de la conexión de la red inalámbrica
como: el colapso de la red y problemas de seguridad. Por esto, se brinda
soluciones de administración y prevención en la red de la Carrera de Ingeniería
en networking y sistemas del centro.
Segundo capítulo, se centra en escenarios similares como ocurre en la institución.
Además, se determina la importancia del uso de herramientas tecnológicas que
solventan la red y se define conceptos importantes del proyecto.
Tercer capítulo, se establece la factibilidad del proyecto basándose en las
entrevistas abiertas, monitoreo de la red. Aparte, se desarrolla el rediseño de la
red inalámbrica para solventar los inconvenientes establecidos. Por este motivo,
se define la instalación de las herramientas tecnológicas. Además, se plantea un
manual de las configuraciones realizadas y la descripción de las fases del
proyecto.
Cuarto capítulo, define los resultados óptimos mediante la instalación de Pfsense
con la implementación de herramientas tecnológicas realizando la configuración
adecuada se determina las conclusiones y recomendaciones para la
administración y seguridad de la red Wireless de manera correcta
4
CAPÍTULO I
EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
UBICACIÓN DEL PROBLEMA EN UN CONTEXTO
La Facultad de Ciencias Matemáticas y Físicas del centro se encuentra situado en
Víctor Manuel Rendón 429 entre Baquerizo Moreno y Córdova como se visualiza
en el gráfico 1, fue creado con el objetivo de formar profesionales en el campo de
la tecnología informática, a fin de estar al frente de grandes proyectos innovadores
debido a los conocimientos tecnológicos y científicos que hemos adquirido a lo
largo de años de estudio. Por tanto, se ha utilizado los recursos brindados por la
institución para el aprendizaje. Dicho esto, existen problemas de conexión, no
existe control de acceso y no presenta mecanismos de seguridad contra ataques
informáticos que protejan la integridad de la información o las actividades diarias
de la institución.
Los alumnos constantemente hacen sus proyectos, tareas, prácticas en sus
laptops, celulares. Debido a eso, se da importancia que ingresen a una red de
forma segura y estable, con la prioridad de que los usuarios cumplan con sus
tareas.
5
GRÁFICO 1
Ubicación de la Carrera de Ingeniería en Sistemas y Networking
Víctor Manuel Rendón 429 entre Baquerizo Moreno y Córdova
Fuente: Google Maps
Elaborado por: Linda Inés Andrade Cayambe
La institución académica de nivel superior tiene brechas de seguridad debido a
que usuarios que no pertenecen a la carrera se conectan a la red. Como resultado,
se satura la red por gran cantidad de peticiones innecesarias y no presenta
medidas de seguridad para prevenir, gestionar y acceder a la red. Por este motivo,
el Departamento de Coordinación de Software debe tomar sugerencias y
recomendaciones.
La CISC-CINT necesita un rediseño e implementación de infraestructura de red
inalámbrica que garantice la conectividad segura y estable. Por tanto, se instala
herramientas de código abierto, para establecer políticas de seguridad y acceso,
con la intención de enfrentar diferentes situaciones de riesgos que no genere
inconvenientes para los usuarios.
6
SITUACIÓN CONFLICTO NUDOS CRÍTICOS
La CISC-CINT no maneja un plan de prevención de congestionamiento o de una
red segura debido a que cualquier usuario puede ingresar porque su sistema de
seguridad y administración de red es bajo. En la actualidad, no es posible detectar
y prevenir algún problema, ni controlar el acceso a la red como se muestra en el
cuadro 1. El inconveniente de no contar con un diseño administrativo que
establezca las respectivas medidas de prevención como: el monitoreo,
seguimiento y control. Los ataques informáticos se pueden suscitar en cualquier
momento. Por ese motivo, se busca brindar una conexión segura y estable,
detectar las vulnerabilidades con anticipación actuando de manera oportuna y
garantizar buena calidad y estabilidad de conexión o internet en las instalaciones
del centro.
CUADRO 1
Causas y consecuencias del Problema
Causas Consecuencias
Sin herramientas de acceso y políticas de seguridad.
Acceso anónimo sin seguimiento, uso inapropiado de los recursos del internet
La institución no cuenta con un sistema de gestión de ancho de banda.
Sobrepasar el ancho de banda y que no responda de inmediato ya que sus recursos se usan para programas no indispensables: juegos, páginas indebidas, etc.
No monitorear la red No detectar los equipos inactivos y anomalías
No establecer un proxy para restringir páginas web.
Páginas no útiles y no autorizadas.
Fuente: Datos de la investigación
Elaborado por: Linda Inés Andrade Cayambe
7
DELIMITACIONES DEL PROBLEMA
DELIMITACIÓN DE LA INVESTIGACIÓN
Campo: Tecnológica.
Área: Administración de la red Wireless de la CISC-CINT.
Aspecto: Red abierta y no dispone de políticas de seguridad.
Tema: Diseño y simulación de portal cautivo, que permita: autenticación,
aplicación de herramientas, políticas de seguridad, QoS y filtrado de contenido
mediante equipo UTM en la CISC-CINT.
FORMULACIÓN DEL PROBLEMA
En el análisis de la actual infraestructura de red de la CISC-CINT se estableció
que la seguridad de red que debería manejar el Departamento de Coordinación
de Software como anticipar, detectar y prevenir inconvenientes de lentitud de la
red o pérdida de conexión. En consecuencia, no presenta políticas de seguridad
y administración. Por ese motivo, es difícil combatir con los problemas de la red,
sobre todo en horas pico donde no se define la prioridad de banda ancha como
correo, investigaciones, sistemas virtuales, navegación en internet, según las
necesidades que requiera la carrera. Generalmente es utilizada para ocio como
juegos, videos y esto consume el ancho de banda, debido a eso los alumnos y
profesores no pueden gestionar para asuntos académicos.
Este diseño de red garantiza mayor estabilidad, escalabilidad, confiabilidad,
implementando servicios para soluciones administrativas y así extender sus
funcionalidades para los usuarios que se conectan a la red wireless.
8
EVALUACIÓN DEL PROBLEMA
Delimitado: El análisis se realiza en la CISC-CINT ubicada en las instalaciones
del centro, se define las falencias que tiene la red wireless en dichas instalaciones,
en las cuales cabe recalcar que no existe ni un medio de administración. Como
objetivo es proponer la forma y metodología correcta para llevar a cabo dicha red.
Claro: Del análisis realizado se llega a la conclusión que no hay la adecuada
administración de la red Wireless así que los ataques y el uso indiscriminado de
la red es inevitable, ya que no lleva ningún método de monitoreo.
Evidente: El acceso libre hacia la red wireless provoca una congestión abismal
de los recursos de internet y de la red en general.
Concreto: Se tiene claro los problemas de conectividad y seguridad en la red
donde se establece mejoras en su infraestructura de red con las herramientas
open source.
Relevante: Resolver la pérdida de conectividad y congestión de red que pueden
ocurrir en momentos críticos.
Factible: La tecnología wireless con sus métodos de autenticación y políticas de
seguridad han tenido una gran evolución para la correcta administración de una
red, gracias al software open source es posible la administración de una red.
Identifica los productos esperados: Los administradores controlan el acceso
mediante el uso de herramientas tecnológicas.
9
OBJETIVOS DEL PROBLEMA
OBJETIVO GENERAL
Diseñar una red inalámbrica administrable para supervisar y gestionar el acceso
de los recursos de la CISC-CINT mediante el uso de una herramienta tecnológica
open source garantizando una conexión estable y segura a los usuarios al ingresar
a la red.
OBJETIVOS ESPECÍFICOS
• Recolectar información de la situación actual de la red y sus recursos.
• Analizar la red inalámbrica actual de la carrera.
• Diseñar propuesta de red inalámbrica basado en buenas prácticas.
• Investigar posibles equipos de comunicación a ser usado en propuesta de
diseño.
• Realizar simulación de herramienta de gestión en ambiente controlado.
ALCANCE DEL PROBLEMA
Se define un plan de diseño en un escenario de prueba mediante el uso de
herramientas tecnológicas open source para poder dar solución de administración
a la institución de manera segura, confiable y escalable. Para determinar las
condiciones de la red actual de la institución, se realizará monitoreo de la red para
poder obtener gráficas de uso, solicitudes, puertos usados, etc.
Se establecerá métodos de autenticación para el ingreso de los usuarios
autorizados, utilizando los recursos de la CISC-CINT dando así una conexión
restringida, segura y confiable.
10
Se implementará reglas de seguridad para el bloqueo de conexión, puertos o
direcciones IP no autorizadas en el que se podrá detectar y prevenir ataques de
cualquier tipo que puedan perjudicar a la institución.
Se implementará métodos de filtrado web para bloqueo de contenido malicioso y
páginas web innecesarias, así como se establecerá políticas de prioridad para la
navegación como correo electrónico, paginas académicas, que son más usados
en la institución.
JUSTIFICACIÓN E IMPORTANCIA
Debido que la red es abierta y no está protegida es necesario tomar medidas de
seguridad, ya que usuarios no autorizados pueden introducir virus o ataques en el
sistema, o robar nuestros datos y hacer uso indebido de ello.
Se ha establecido realizar un previo análisis de la red donde se determina que
herramientas tecnológicas serán implementadas para un software personalizado
según las necesidades de la institución, proporcionar los más altos niveles de
seguridad, confianza, rendimiento y escalabilidad. El software libre se instala,
configura y gestiona herramientas, donde se garantiza la seguridad en un alto nivel
para proteger la integridad de los activos conectados a la red.
La solución permitirá proteger nuestro sistema administrativo de red donde se va
a gestionar los recursos, de tal forma que permita uso exclusivamente académico,
donde los usuarios que pertenezcan en la CISC-CINT puedan autenticarse (login).
Los administradores de red realicen el monitoreo de la red Wireless para el control
y administración del uso de recursos informáticos para garantizar la
funcionabilidad y eficacia de la red.
11
CAPITULO II
MARCO TEORICO
ANTECEDENTES
El 7 del mes de diciembre del año 2017 José Vicente Núñez Noboa en la Facultad
de Ciencias Físicas y Matemáticas de la Carrera de Ingeniería en Networking y
Telecomunicaciones de la Universidad de Guayaquil previo de la obtención del
título de Ingeniero en Networking y Telecomunicaciones plantea en su tema de
tesis diseño e implementación de seguridad perimetral para la infraestructura de
la empresa FASAKO S.A. usando herramientas open source. Se destaca en su
estudio sobre el uso de una herramienta tecnológica de código abierto de
prevención, control y gestión para mejoras en la infraestructura de red brindando
mejor calidad en el servicio de Internet e incrementar el ancho de banda por
motivos laborales, realizando su respectiva instalación y configuración de cada
servicio en la cual se garantiza un mayor nivel de protección de integridad de datos
de los usuarios, así como mitigar cualquier tipo de ataque o daño que puede
ocasionar en el sistema de seguridad. Se debe gestionar problemas de prevención
y monitoreo para anticipar cualquier problema y evitar que sea más grande o más
fuerte, con la finalidad proteger la red frente amenazas de seguridad. (Núñez
Noboa, 2017)
Tiene como objetivo administrar la red Wireless donde la implementación del
equipo de frontera es robusto, escalable y seguro, en el cual su función es realizar
la inspección, control y filtrado de tráfico usando listas de control y acceso, las
cuales autorizan o rechazan todo el tráfico de datos de la red de FASAKO S.A. La
12
herramienta tecnológica deberá anticipar y responder ante problemas de
prevención, estableciendo políticas de seguridad y gestionar el uso del ancho de
banda sobre todo en horas críticas para evitar la lentitud o pérdida de la red.
(Núñez Noboa, 2017)
El 26 de Febrero del año 2016 Jaime Fernando Santillán Cazares y Carlos Patricio
Villalta Cedeño en la Facultad de Ciencias Administrativas de la Universidad de
Guayaquil previo a la obtención del título de Ingeniero en Networking y
Telecomunicaciones presenta como propuesta de implementación de un portal
cautivo hotspot, para brindar el servicio de internet inalámbrico en negocios pymes
y soho (small office home office) de la ciudad de Guayaquil. Se establece
beneficios en el costo de esta tecnología donde se instala en un equipo y se
convierte en un router con herramientas: firewall, access point, routing, VPN, etc.
Pueden trabajar con dos proveedores de internet sin perder la conexión,
ofreciendo servicios de calidad. La implementación de un portal cautivo hotspot
como se muestra en el gráfico 2 trata de un dispositivo que permite el ingreso a
internet mediante una red Wireless. Tiene una cobertura amplia que cambia
dependiendo de la clase de antena, y de factores externos como interferencias,
barreras, canal saturado, etc; que deterioran la recepción de la señal. Establece
políticas de conexión gratis sin necesidad de autenticarse u horarios de
conectividad, entre otros. Un punto importante para mitigar cualquier ataque de
los hackers es establecer encriptación de seguridad WAP y WEP como medida
de protección a la información sensible ya que su finalidad es robar, modificar los
datos con el fin de perjudicar o arruinar la reputación de la empresa, ya que los
usuarios decidirán que no presenta la seguridad adecuada y no es confiable dar
sus datos. Se emplea métodos para autenticarse como validación de sus
credenciales utilizando el servicio RADIUS, y administración del ancho banda
estableciendo prioridad de navegación utilizando hotspot. (Santillán Cazares &
Villalta Cedeño, 2016)
Se establece políticas de seguridad sobre el acuerdo que los usuarios deben
aceptar para acceder a la red inalámbrica, donde se protege la información no sólo
13
del usuario sino de la empresa. La administración de la red WIFI mediante el portal
cautivo permite el uso fácil de su interfaz donde los usuarios deben ingresar sus
datos para su validación al acceso de la red, se recopila información necesaria
para el control del uso de internet. (Santillán Cazares & Villalta Cedeño, 2016)
GRÁFICO 2
Esquema general Sistema de autenticación hotspot y uso de sistema
operativo del Router Mikrotik
Fuente: (Santillán Cazares y Villalta Cedeño, 2006)
Elaborado por: Linda Inés Andrade Cayambe
Mikrotik RouterOS se convierte en un router donde tiene implementado un sistema
operativo y funciona como access point. El portal cautivo hostpot redirecciona a
una página particular donde recoge los datos de los usuarios al momento de
autenticarse y validar sus credenciales para poder navegar por internet. Se
almacena la información en una base de datos, y es un sistema centralizado de la
administración de la red inalámbrica. (Santillán Cazares & Villalta Cedeño, 2016)
14
El día 25 de Mayo del año 2015 Myriam Paola Ipiales Túquerres en la Facultad de
Ingeniería en Ciencias Aplicadas de la Universidad Técnica del Norte previo a la
obtención del título de Ingeniera en Electrónica y Redes de Comunicación
presenta como tema de tesis administración de la red inalámbrica del Gobierno
Autónomo Descentralizado de San Miguel de Ibarra a través de La plataforma
Mikrotik basada en el Modelo de gestión FCAPS de la ISO, plantea la
administración centralizada de la red wifi a través de la herramienta tecnológica
open source The dude de Mikrotik como se muestra en el gráfico 3, se determina
políticas de administración para optimizar la técnica FCAPS (Fallos,
Configuración, Contabilidad, prestaciones y seguridad) de la ISO: monitorear la
red de forma constante obteniendo en tiempo real el debido informe del estado de
los dispositivos con el fin de mejorar el servicio, en caso de alguna anomalía
generar alertas y actuar sobre el mismo. Se presta los servicios necesarios para
su debida administración optimizando los recursos de la red donde los usuarios
pueden conectarse de forma eficiente. Las herramientas implementadas son
firewall, servidor DHCP, servidor DNS, hotspot o portal cautivo, user manager
(paquete del sistema RouterOS, presenta una administración avanzada para
controlar quienes se conectan a la red), Thunder Cache (sistema web cache
almacena contenidos de acceso en la red, con actualizaciones de Windows y
antivirus), Modulo Ups (supervisa el Sistema de Alimentación Ininterrumpida y la
configuración respectiva del router en el manejo de cualquier corte eléctrico y se
restablezca sin ningún daño) y Servidor de Tiempo (sincronización de tiempo de
la mayoría de los equipos conectados en la red). (Ipiales Túquerres, 2015)
15
GRÁFICO 3
Topología de gestión inalámbrica: Elaboración propia basada en Inventario
departamento TIC’s del GAD-Ibarra
Fuente: Ipiales Túquerres, 2015
Elaborado por: Linda Inés Andrade Cayambe
El modelo de gestión The dude se centra en los requerimientos a nivel de
hardware y software, en el monitoreo, control y procedimiento correcto. La
administración de la red Wireless consta de un servidor local y el manejo se
gestiona en una interfaz gráfica en una laptop. Además, se podrá conectar a través
de una VPN para el constante monitoreo. (Ipiales Túquerres, 2015)
Requerimientos a nivel de software, se enfoca en la red wifi y el modelo de gestión
FCAPS de ISO, incluye el software de Gestion The dude de Mikrotik es la parte
fundamental para la administración wifi, donde la mayoría de los equipos es de
marca Mikrotik y permite el acceso remoto para el monitoreo continuo. Se añade
las herramientas de gestión donde el wireshard analizador de tráfico detalla el
16
rendimiento de la red, se usa VPN y herramientas Mikrotik que permiten controlar
la red: winbox (configuración), entre otros. (Ipiales Túquerres, 2015)
Requerimientos a nivel de hardware, es necesario saber la ubicación del cuarto
de telecomunicaciones y aplicar las buenas prácticas para un equipo robusto.
Además, se realiza el monitoreo de la red, el ingreso de manera remota para el
manejo y control del servidor. La finalidad de todo es brindar una red confiable y
segura. Para los ciudadanos de la Ciudad de Ibarra y los turistas se ofrece un
buen servicio de internet mediante navegación gratuita en sitios estratégicos,
estableciendo la prioridad de ancho de banda a determinados paquetes de datos.
(Ipiales Túquerres, 2015)
En el año 2010 Patricio Esteban Ávila Santacruz en la Facultad de Facultad de
Ingeniería en Sistemas e Informática previo a la obtención del título de Ingeniero
en Sistemas e Informática presenta como tema de tesis Optimización y
administración para el uso del Internet en la red de Policía de Migración a nivel
nacional utilizando herramientas bajo Linux, se basa en el uso del software
ClarkConnect para gateway como se muestra en el gráfico 4 en el ingreso
simultáneo a varios a clientes en una conexión, y su administración es centralizada
para el manejo de los recursos informáticos. Se usa el balanceo que distribuye la
carga de tareas para mejorar el rendimiento de la red en tiempo crítico. También,
se utiliza el filtrado de contenido web con el fin de evitar cualquier anomalía
estableciendo políticas de seguridad para el bloqueo de páginas web, un rango de
direcciones IP como servidores, puertos, países peligrosos, paginas indebidas, de
ocio. Otra herramienta informática que usa es proxy donde almacena memoria
caché de sitios de internet que ha visitado anteriormente, y si vuelve a realizar la
búsqueda accederá de inmediato. Como solución, se administra el ancho de
banda para limitar la capacidad de carga y descarga de archivos ya que en horas
críticos presenta lentitud en internet. Por este motivo, se realiza el manejo y
rapidez de respuesta mediante QoS para optimizar los recursos de la red mediante
Bandwith Management. (Ávila Santacruz, 2010)
17
GRÁFICO 4
Inicio de ClarkConnect 5.0
Fuente: Ávila Santacruz, 2010
Elaborado por: Linda Inés Andrade Cayambe
FUNDAMENTACIÓN TEÓRICA
Introducción a las Redes Inalámbricas
La conexión de una red nos permite acceder y utilizar los recursos, sus beneficios
es la inmediata instalación, implementación en precios bajos y movilidad, se utiliza
en áreas públicas, empresas, en cualquier lugar del mundo con el fin de acceder
a internet, ya que la tecnología va cada vez evolucionando, y continuamente
extendiendo sus innovaciones para el beneficio del usuario. (Mena Flores & Jara
Llumigusín, 2013)
18
Definición de Red inalámbrica
Las redes inalámbricas son aquellas que usan ondas electromagnéticas para que
los dispositivos electrónicos puedan conectarse a la red sin necesidad de utilizar
algún cable, dentro de un área determinada. (Salazar, 2016)
Características de la red inalámbrica
Inmediata instalación. – Tiempo corto de implementación, no arruina la estética
del sitio. (Mena Flores & Jara Llumigusín, 2013)
Implementación en precios bajos. - El costo al principio de una red Wireless
puede ser más alta que la red cableada, pero presenta un gran provecho en un
tiempo extendido. (Mena Flores & Jara Llumigusín, 2013)
Movilidad. - Los usuarios pueden conectarse en cualquier lugar dentro de la
cobertura de red, sin ir a un sitio especifico. (Mena Flores & Jara Llumigusín, 2013)
Escalabilidad. – El aumento de nuevos usuarios no necesita grandes reformas
en la red inalámbrica y puede ser instalado en cualquier tipo de topología. (Mena
Flores & Jara Llumigusín, 2013)
Componentes de una red inalámbrica
Puntos de acceso. – Es el medio de comunicación de datos inalámbricos y
cableadas.
Estaciones. – Son equipos o dispositivos que pueden navegar en la red
inalámbrica (Solano Jimenéz & Oña Garcés, 2009)
19
GRÁFICO 5
Componentes de Infraestructura de una red inalámbrica
Fuente: (Mena Flores & Jara Llumigusín, 2013)
Elaborado por: Linda Inés Andrade Cayambe
Seguridades inalámbricas
El peligro de la información sensible siempre será el objetivo de los hackers, en
las cuales pueden receptarlo y utilizarlo para un propósito de robo, manipulación,
chantaje o averiguar el conocimiento de sus habilidades sobre vulnerabilidades
encontradas, sea cual fuese el caso es una violación a nuestra privacidad, donde
los ataques pueden producirse por personas contratadas para desestabilizar la
seguridad de la red, o por aquellos que no tienen experiencia y tratan de probar
sus conocimientos en temas de hacking, o por el personal autorizado la cual es
más peligroso y logra exponer las brechas de seguridad que tiene la red. (Mena
Flores & Jara Llumigusín, 2013)
Seguridad Física
Proteger todos los equipos y dispositivos conectados a la red, utilizando las
buenas prácticas en normas e instalación que garantice el largo periodo útil,
evitando fallas y proteger ante catástrofes naturales, uso indebido y acceso no
autorizado. (Mena Flores & Jara Llumigusín, 2013)
20
Portal Cautivo
Es aquella que vigila el tráfico de datos y fuerza al usuario ir a una página especial
para acceder a los recursos informáticos. El cliente al conectarse a la red se le
asigna una IP a través del servidor DHCP. (Asencio Cevallos, 2016)
Es utilizada en las redes inalámbricas como método de seguridad, ya que los
usuarios que deseen acceder a la red para utilizar los recursos informáticos deben
brindar cierta información o aceptar condiciones de uso. (Mena Flores & Jara
Llumigusín, 2013)
Es aquella que obliga al usuario a usar una página especial de autenticación para
ingresar a la red.
Características
• Limitar las conexiones de cuantos usuarios pueden acceder a la red.
• Limitar el tiempo de conexión.
• Sitio de la página web del portal cautivo del tipo https.
• Al autenticarse se redirecciona a una página configurada por el
Administrador de red.
• Varios mecanismos de autenticación:
✓ Transparente. - No se completa ningún dato
✓ Usuarios base de datos locales/remotos. – En la base de datos
están definidos que usuarios pueden autenticarse
✓ RADIUS. – Usado para numerosos servidores RADIUS y sus
capacidades son:
➢ Obliga a la re- autenticación
➢ Actualiza cuentas de usuarios
➢ Se autentica utilizando MAC, usuario y contraseña.
Portales Cautivos por Software
Esta implementado en programas, para su funcionamiento se instalan y se
realizan las respectivas configuraciones en un servidor local de la red. Ejemplo:
PfSense (FreeBSD) (Mena Flores & Jara Llumigusín, 2013)
21
Ventajas de los Portales Cautivos
Presentar publicidad y encuestas
Definir políticas de uso
Administración de autenticación
Estadísticas de empleo (Mena Flores & Jara Llumigusín, 2013)
Protocolo AAA
Autenticación
Se identifica al usuario, verificando las credenciales facilitados por el cliente con
el servidor AAA, si es correcto accede a la red, en caso contrario se bloquea el
ingreso a la red. (Asencio Cevallos, 2016)
Autorización
Determina los permisos de acceso de los recursos que tiene cada cliente. (Asencio
Cevallos, 2016)
Contabilidad
Registro de datos sobre la cantidad de uso de los recursos en la red. (Asencio
Cevallos, 2016)
Autenticación
Usuario: Se identifica en tiempo real si el cliente es quien asegura ser.
En conocimiento: Es algo que el cliente y el sistema sabe. (Hernández López,
2013)
En pertenencia: Se asocia a dispositivos físicos, donde se guarda datos únicos,
para identificar al usuario. (Hernández López, 2013)
22
Políticas de seguridad
Se administra para evitar o mitigar ataques de seguridad, se integra políticas y
privilegios que tiene cada usuario las cuales son manejados por el administrador
de red. Las políticas de seguridad se definen de acuerdo con las necesidades de
la empresa u organización utilizando herramientas tecnológicas para la protección
de la red. (Jadán Montero, 2013)
Mecanismos de seguridad
Prevención. – Se define la información cifrada, control de accesos, donde actúa
o protege ante un posible ataque.
Detección. – es aquella que avisa o alerta de algún ataque.
Recuperación. – Detección de algún daño en la red y restablecer la operación de
forma correcta. (Álvarez Rincón, 2014)
Creación de Políticas de Seguridad
Almacenamiento de Contraseñas
Los usuarios tienen asignado un usuario y contraseña, y cualquier uso indebido
será reportado y notificado en nuestro sistema. (Álvarez Rincón, 2014)
Control de acceso
Acceso a la red. – Solo los usuarios autorizados pueden ingresar a la red
mediante mecanismos de autenticación. (Álvarez Rincón, 2014)
Lista de usuarios. – En la base de datos estará almacenada los usuarios que
están registrados. (Álvarez Rincón, 2014)
Registro de actividades. -Para detectar cualquier uso indebido o dañino que
pueda perjudicar en la red. (Álvarez Rincón, 2014)
23
Acceso a Internet. -Las personas autorizadas tendrán acceso a navegar por
internet. (Álvarez Rincón, 2014)
Restricción a sitios web. -Se bloquea el acceso a páginas inseguras que pueda
perjudicar a la empresa. (Álvarez Rincón, 2014)
Control de tráfico
Ancho de banda
No sobrecargar la red por el uso indebido, para evitar pérdidas o lentitud de
conexión ya sea por visitas a sitios web como videos no adecuados, entre otros,
solo dar prioridad a fines de estudio. (Álvarez Rincón, 2014)
Herramientas Tecnológicas
PfSense
Es una herramienta tecnológica open source, su sistema operativo es FreeBSD,
El firewall/router se gestiona por completo a través de la interfaz web, se realiza
las configuraciones necesarias para establecer servicios de DNS, DHCP, VPN,
entre otros. Además, realiza funciones como monitoreo de red, administración del
ancho de banda, filtrado de contenido, etc. Demostrando que es un sistema
completo para combatir vulnerabilidades y administración de la red, brindando
calidad de internet al usuario. (Gutierrez Zea, 2014)
Squid
Es un proxy caché de páginas guardadas que son usadas de forma recurrentes y
filtrado de sitios web, permite el manejo de acceso y realiza bloqueo de páginas
web, por dirección IP, entre otros. (Guills, 2015)
Características
• Posee caché de HTTP, FTP y URL
24
• Realiza peticiones HTTP, HTTPS y FTP a usuarios que deseen conectarse
a alguna página web y se guarda de manera local los sitios visitados por
los usuarios mediante el caché. (ecured, 2019)
• Acceso de inmediato a las páginas que ha visitado anteriormente. (ecured,
2019)
Squidguard
Filtrado de contenido web, un plugin de Squid de políticas establecidas por el
administrador de red para el bloqueo o redirección de sitios web, extensas
características según lo requiera la empresa. (Guills, 2015)
Características
• Limita el acceso de clientes a ciertos servidores web o URL
• Bloquea ciertas páginas web o URL utilizando una lista negra
• Redirecciona las páginas que no son autorizadas a una página de
información. (Pfsense Squid, 2019)
• Se puede configurar por bloqueo de dominios
• Se puede bloquear por expresiones como “sexo” y “porno” (Guills, 2015)
Firewall
Es aquella que autoriza o bloquea el tráfico de red al mismo tiempo.
Características
• Filtrado de contenido
• Políticas de enrutamiento
• Creación de aliases para realizar la configuración sencilla que se
encuentran agrupados con varias IP públicas o servidores, redes o
puertos. (firewallhardware, 2019)
• Las reglas del firewall son aquellos que permiten o deniegan el acceso de
conexiones, especificando el tipo de red o protocolos de comunicaciones,
entre otros. (firewallhardware, 2019)
25
Freeradius
Es de código abierto, donde se autentican los usuarios a través de una base de
datos creado en Freeradius o se enlaza con un gestor de base de datos.
• Admite todo tipo de autenticación EAP.
• Se conectan con gestores de base de datos como MySQL, PostgreSQL,
etc.
• Cuenta con su propio certificado SSL/TLS.
Ntopng
Es aquella que sondea el tráfico de paquetes en tiempo real y presenta datos
históricos.
Características
• Se clasifica el tráfico de red según sus criterios (dirección IP, puertos,
sistemas autónomos, entre otras). (ntop, 2019)
• Presenta la información en tiempo real.
• Sondea y realiza un informe de todo lo que ocurre en la red, como su
rendimiento, latencias, etc. (ntop, 2019)
• Muestra información de protocolos de aplicación
• Soporte para IPV4, IPV6, Capa 2, SNMP.
• Informe de hosts sospechosos y maliciosos, etc. (ntop, 2019)
pfBlockerNG
Es aquella que bloquea sitios no confiables de diferentes niveles por medio de
descargas de listas y se establece en las reglas del firewall para prevenir ataques
en la red. (linuxmanr4, 2019)
Características
• Uso de la base de datos GEOIP
• Bloqueo de direcciones IP:
✓ Malware
26
✓ spammers
✓ Entre otros ataques
✓ Bloqueo de sitios no seguros a nivel mundial
Traffic Shaper
Modelado de tráfico y Calidad de servicio (QoS) se usa para el control del uso del
ancho de banda de cada dispositivo conectado en la red. (Guills, 2015).
Se utiliza políticas de gestión de tráfico para que el rendimiento de la red sea
eficiente y veloz. (Pfsense Traffic Shapper, 2019)
Características
• Se realiza configuraciones para establecer que ciertos paquetes se de
mayor prioridad y utilicen un alto ancho de banda. (Pfsense Traffic
Shapper, 2019)
• Limita el acceso por HTTPS.
• Limita el ancho de banda a una IP específica.
• Creación de limitadores de subida y bajada de paquetes.
• Uso de wizard para crear colas y reglas automáticamente.
IDS/IPS Suricata
Suricata es un open source, IDS (Sistema de Detección de Intrusos) aquella que
alerta si hay ataques o paquetes sospechosos e IPS (Sistema de Prevención de
Intrusos) actúa ante un ataque o abuso.
Características
• Multi-threading, es aquella que procesa bastantes hilos (que inspecciona
la red, compara firmas y se ejecutan las alertas), maneja un conjunto de
procesos que se ejecutan al mismo tiempo a la vez. (alienvault, 2019)
• Muestra estadísticas de rendimiento.
• Detección de Protocolos automáticos. (semanticscholar, 2018)
27
FUNDAMENTACION LEGAL
UTILIZACION DE SOFTWARE LIBRE EN LA ADMINISTRACION PUBLICA
Decreto Ejecutivo 1014
Rafael Correa Delgado
PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA
Considerando:
Que en el apartado g) del numeral 6 de la Carta Iberoamericana de Gobierno
Electrónico, aprobada por la IX Conferencia Iberoamericana de Ministros de
Administración Pública y Reforma del Estado, realizada en Chile el 1 de junio del
2007, se recomienda el uso de estándares abiertos y software libre, como
herramientas informáticas;
Que es el interés del Gobierno alcanzar soberanía y autonomía tecnológica, así
como un significativo ahorro de recursos públicos y que el software libre es en
muchas instancias un instrumento para alcanzar estos objetivos;
Que el 18 de julio del 2007 se creó e incorporó a la estructura orgánica de la
Presidencia de la República la Subsecretaría de Informática, dependiente de la
Secretaría General de la Administración, mediante Acuerdo No. 119, publicado en
el Registro Oficial No. 139 de 1 de agosto del 2007;
Que el numeral 1 del artículo 6 del Acuerdo No. 119, faculta a la Subsecretaría de
Informática a elaborar y ejecutar planes, programas, proyectos, estrategias,
políticas, proyectos de leyes y reglamentos para el uso de software libre en las
dependencias del Gobierno Central; y, En ejercicio de la atribución que le confiere
el numeral 9 del artículo 171 de la Constitución Política de la República.
Decreta:
Art. 1.- Establecer como política pública para las entidades de la Administración
Pública Central la utilización de software libre en sus sistemas y equipamientos
informáticos.
28
Art. 2.- Se entiende por software libre, a los programas de computación que se
pueden utilizar y distribuir sin restricción alguna, que permitan su acceso a los
códigos fuentes y que sus aplicaciones puedan ser mejoradas.
Estos programas de computación tienen las siguientes libertades:
a) Utilización del programa con cualquier propósito de uso común;
b) Distribución de copias sin restricción alguna;
c) Estudio y modificación del programa (Requisito: código fuente disponible); y,
d) Publicación del programa mejorado (Requisito: código fuente disponible).
Art. 3.- Las entidades de la Administración Pública Central previa a la instalación
del software libre en sus equipos, deberán verificar la existencia de capacidad
técnica que brinde el soporte necesario para el uso de este tipo de software.
Art. 4.- Se faculta la utilización de software propietario (no libre) únicamente
cuando no exista una solución de software libre que supla las necesidades
requeridas, o cuando esté en riesgo la seguridad nacional, o cuando el proyecto
informático se encuentre en un punto de no retorno.
Para efectos de este decreto se comprende como seguridad nacional, las
garantías para la supervivencia de la colectividad y la defensa de patrimonio
nacional. Para efectos de este decreto se entiende por un punto de no retorno,
cuando el sistema o proyecto informático se encuentre en cualquiera de estas
condiciones:
a) Sistema en producción funcionando satisfactoriamente y que un análisis de
costo beneficio muestre que no es razonable ni conveniente una migración a
software libre; y,
b) Proyecto en estado de desarrollo y que un análisis de costo - beneficio muestre
que no es conveniente modificar el proyecto y utilizar software libre.
29
Periódicamente se evaluarán los sistemas informáticos que utilizan software
propietario con la finalidad de migrarlos a software libre.
Art. 5.- Tanto para software libre como software propietario, siempre y cuando se
satisfagan los requerimientos, se debe preferir las soluciones en este orden:
a) Nacionales que permitan autonomía y soberanía tecnológica;
b) Regionales con componente nacional;
c) Regionales con proveedores nacionales;
d) Internacionales con componente nacional;
e) Internacionales con proveedores nacionales; y,
f) Internacionales.
Art. 6.- La Subsecretaría de Tecnologías de la Información como órgano regulador
y ejecutor de las políticas y proyectos informáticos en las entidades del Gobierno
Central deberá realizar el control y seguimiento de este decreto.
Para todas las evaluaciones constantes en este decreto la Subsecretaría de
Tecnologías de la Información establecerá los parámetros y metodologías
obligatorias.
Art. 7.- Encárguese de la ejecución de este decreto los señores ministros
coordinadores y el señor Secretario General de la Administración Pública y
Comunicación.
30
Código Orgánico de Economía Social de los Conocimientos, Creatividad e
Innovación.
Apartado Segundo
De las tecnologías libres y formatos abiertos.
Artículo 142.-Tecnologías libres
Se entiende por tecnologías libres al software de código abierto, los estándares
abiertos, los contenidos libres y el hardware libre. Los tres primeros son
considerados como Tecnologías Digitales Libres.
Se entiende por software de código abierto al software en cuya licencia el titular
garantiza al usuario el acceso al código fuente y lo faculta a usar dicho software
con cualquier propósito. Especialmente otorga a los usuarios, entre otras, las
siguientes libertades esenciales:
• La libertad de ejecutar el software para cualquier propósito;
• La libertad de estudiar cómo funciona el software, y modificarlo para
adaptarlo a cualquier necesidad. El acceso al código fuente es una
condición imprescindible para ello;
• La libertad de redistribuir copias; y,
• La libertad de distribuir copias de sus versiones modificadas a terceros.
Se entiende por código fuente, al conjunto de instrucciones escritas en algún
lenguaje de programación, diseñadas con el fi n de ser leídas y transformadas por
alguna herramienta de software en lenguaje de máquina o instrucciones
ejecutables en la máquina.
Los estándares abiertos son formas de manejo y almacenamiento de los datos en
los que se conoce su estructura y se permite su modificación y acceso no
imponiéndose ninguna restricción para su uso. Los datos almacenados en
formatos de estándares abiertos no requieren de software propietario para ser
utilizados. Estos formatos estándares podrían o no ser aprobados por una entidad
internacional de certificación de estándares.
31
Contenido Libre es el acceso a toda la información asociada al software,
incluyendo documentación y demás elementos técnicos diseñados para la entrega
necesarios para realizar la configuración, instalación y operación del programa,
mismos que deberán presentarse en estándares abiertos.
Se entiende por hardware libre a los diseños de bienes o materiales y demás
documentación para la configuración y su respectiva puesto en funcionamiento,
otorgan a los usuarios las siguientes libertades otorgan a los usuarios las
siguientes libertades:
• La libertad de estudiar dichas especificaciones, y modificarlas para
adaptarlas a cualquier necesidad;
• La libertad de redistribuir copias de dichas especificaciones; y
• La libertad de distribuir copias de sus versiones modificadas a terceros.
El Estado en la adquisición de bienes o servicios incluidos los de consultoría de
tecnologías digitales, preferirá la adquisición de tecnologías digitales libres. Para
el caso de adquisición de software se observará el orden de prelación previsto en
este código.
PREGUNTA CIENTÍFICA A CONTESTARSE
¿Es posible crear una red wireless administrable, estable y segura a través de
softwares open source, en las que se pueda solventar las necesidades para el
acceso a internet?
32
DEFINICIONES CONCEPTUALES
FreeBSD
Es un sistema operativo de la distribución de Linux.
GEOIP
Se trata de base de datos de geolocalización IP para el bloqueo de las direcciones
IP de gran parte de los países peligrosos, brinda información actualizada y de
forma gratuita. (MAXMIND, 2019)
DHCP
Asigna las direcciones IP de manera dinámica a usuarios.
Proxy
Es aquella que se encuentra entre el servidor y cliente. El cliente quiere conectarse
fuera de la red y el proxy permite o no recibir datos, y si es así se encarga de
conectarse con el servidor estableciendo su conexión y entrega la información que
solicito el cliente. (pfSense Proxy, 2019)
Proxy transparente
Es un servidor intermediario entre el usuario y la página web que quiere ir. Se
realiza en nivel de red y no es necesario realizar la configuración en cada usuario,
ni siquiera sabrá que lo está usando. (Servidor proxy, 2019)
Aliases
Especificaciones de grupos de puertos, direcciones IP y URL, definidos bajo un
nombre característico.
33
CAPITULO III
PROPUESTA TECNOLÓGICA
ANÁLISIS DE FACTIBILIDAD
Se realiza un determinado estudio y desarrollo para cumplir con los requerimientos
solicitados para obtener nuestros objetivos. Al inicio se plantea el problema y
cuáles son las razones de la situación actual de la infraestructura de la red en la
CISC-CINT. Se define cuáles son los inconvenientes que presenta, lo siguiente es
buscar la solución ante un análisis factible para establecer los recursos
tecnológicos que se necesita en la implementación de la herramienta open source
en la administración de la red de servicios para mejoras en su rendimiento y
seguridad en la red.
FACTIBILIDAD OPERACIONAL
La carrera de ingeniería en networking y sistemas ubicado en las instalaciones del
centro ha dado su total autorización para realizar las respectivas entrevistas y
levantamiento de información para cumplir con las fases del proyecto planteando
un rediseño de la red inalámbrica mediante la instalación del software open source
pfSense para el beneficio de los profesores, alumnos y personal administrativo de
la carrera y mejorar la calidad de internet. De acuerdo con los documentos se
establecen lo expuesto en el anexo 5 y 6.
34
FACTIBILIDAD TÉCNICA
De acuerdo con el estudio realizado sobre que recursos necesita las instalaciones
del centro CISC-CINT, se recomienda la instalación del proyecto de tesis a partir
del cuarto de telecomunicaciones utilizando los racks y rejilla de cableado aéreo,
lo que nos permitirá implementar la herramienta tecnológica pfSense con sus
funcionalidades sin mayores contratiempos debido que su instalación no presenta
ningún costo con la finalidad de solventar todas las necesidades de la institución.
Se establece instalar equipos robustos que solventen las necesidades de la
institución como se muestra en el cuadro 2.
CUADRO 2
Cantidad estimado de equipos y materiales para la instalación.
Equipo Descripción Cantidad
Router/firewall Netgate XG-7100 1
Switch administrable Switch JetStream Gestionable L2
PoE+ de 8 Puertos Gigabit con 2
Slots SFP. (Anexo 9)
4
Rollo cable UTP Rollo Cable F/utp Cat 6a Blindado
305m Panduit
4
Conector Jack rj45 + Caja
para Jack rj45
Kit Caja Sobrepuesta 40mm + 1 X
Jack Cat6 + Face Plate Simple.
14
Patch cord Red Patch Cord 1 Pie Cat 6 14
Patch cord Cable De Red Utp Patch Cord
Nexxt Cat6 Certificado 3 Pies
21
Patch panel Patch Panel categoría 6 UTP 12
puertos linkedpro
4
AP UAP-AC-PRO-Unifi Access Point
AC PRO (Ver Anexo 7 y 8)
14
Total 76
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
35
FACTIBILIDAD LEGAL
Con respecto al diseño y simulación de la administración de la red wireless en la
instalación de la herramienta tecnológica pfSense, no habría inconveniente
realizar la implementación de acuerdo con la ley ecuatoriana debido que el
software libre puede ser instalada en los sistemas informáticos, se puede utilizar
para modificar su código abierto, y ofrecer servicios con la respectiva
personalización para realizar mejoras en beneficio de la institución.
FACTIBILIDAD ECONÓMICA
El software pfSense de código abierto para la instalación no presenta un costo,
pero si solicita el pago para el encargado de realizar la implementación de la
herramienta tecnológica. Además, como toda persona o empresa que ofrece sus
servicios, presenta propuesta y prototipo, una vez aceptado se realiza la
instalación y el periodo de prueba como cualquier proyecto después de su
implementación. Se detalla las herramientas que se va a implementarán en el
cuadro 3:
CUADRO 3
Herramientas tecnológicas para administración
Herramienta Servicio Licencia
PfSense Firewall/router Código abierto
NtopNG Network traffic Código abierto
Suricata IDS/IPS Código abierto
Dhcpd DHCP Service Código abierto
Freeradius Base de datos Código abierto
Traffic shapper QoS Código abierto
Squid Proxy Código abierto
SquidGuard Plugin de Squid Código abierto
pfBlockerNG Bloquear GeoIP, publicidad y otros. Código abierto
DNSBL Bloqueo de dominio Código abierto
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
36
Aunque este software open source nos brinda todas las posibilidades de solventar
las solicitudes y las necesidades, se aconseja ubicarlo en un clon o appliance. En
el caso de instalación, se recomienda equipos tecnológicos robustos que se
adaptan a las características necesarias para la administración inalámbrica, sobre
todo en términos de conexiones concurrentes que pueda gestionar todas estas
solicitudes simultáneamente. Para una infraestructura proyectada a 10 años se
determina equipos como se muestra en el cuadro 4.
CUADRO 4
Presupuesto Estimado
Equipo Cant. Descripción Valor Unitario
Costo
Router/firewall 1 Netgate XG-7100 $ 999,00 $ 999,00
Switch administrable
4 Switch JetStream Gestionable L2 PoE+ de 8
Puertos Gigabit con 2 Slots SFP (Anexo 9)
$ 155,19 $ 620,76
Cable UTP 4 Rollo Cable F/utp Cat 6a Blindado 305m Panduit
$ 298,00 $ 1192,00
Conector Jack rj45 + Caja
para Jack rj45
14 Kit Caja Sobrepuesta 40mm + 1 X Jack Cat6 +
Face Plate Simple
$ 8,30 $ 116,20
Patch cord 14 Red Patch Cord 1 Pie Cat 6
$ 1,74 $ 24,36
Patch cord 21 Cable De Red Utp Patch Cord Nexxt Cat6 Certificado 3 Pies
$ 3,50 $ 73,50
Patch panel 4 Patch Panel categoría 6 UTP 12 puertos linkedpro
$ 23,47 $ 93,88
AP 14 UAP-AC-PRO- Unifi Access Point AC PRO
(Ver Anexo 7 y 8)
$ 200,00 $ 2.800,00
Total $ 5.919,70
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
37
ETAPAS DE LA METODOLOGÍA DEL PROYECTO
Según el estudio realizado se determina utilizar la metodología de proyecto
PPDIOO (Preparar, Planificar, Diseñar e Implementar), se contempla las cuatro
primeras fases debido que se ha planteado un diseño y una simulación del
prototipo de cómo sería al instalar pfSense con sus funcionalidades para la
administración de la red Wireless. El método se basa en satisfacer las
necesidades de la institución mediante un sistema centralizado que permite el
desarrollo de las actividades estableciendo parámetros de administración y
seguridad. Se describe las fases para el rediseño y simulación de la administración
de la red wireless como se visualiza en el cuadro 5.
CUADRO 5
Fases del Proyecto de Tesis
Fase Objetivo Función Metodología
Análisis de la red inalámbrica actual
-Análisis de la infraestructura de la red actual. -Análisis de software.
-Determinar falencias en la red. -Análisis de Entrevistas. -Realizar monitoreo de la red. -Comparación de software.
Exploratorio
Propuesta de diseño
Plantear un diseño que mejore el servicio de la red.
-Obtener diseño de red anterior. -Diseño que mejore el servicio de la red. -Descripción de equipos.
Descriptivo
Simulación de proyecto
Instalación y configuración de herramientas open source.
- Servicios instalados y activos dentro del ambiente controlado.
Experimental
Pruebas y mejoras
Realizar la verificación y ajustes para la mejora del rendimiento de la red.
-Ingreso a la red inalámbrica. -Bloqueo de páginas innecesarias y maliciosas.
Experimental
Documentación Proporcionar manuales configuración de herramientas tecnológicas.
-Desarrollo de manual
técnico dentro de las
configuraciones de la
simulación planteada.
Exploratoria y Descriptiva
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
38
Fase 1.- Análisis de la red inalámbrica actual.
Análisis de la infraestructura de la red.
Para el análisis de la infraestructura anterior de la institución se realizó entrevistas
abiertas con el docente encargado de la administración de informática donde se
visualiza en el anexo 2, en la cual se concluyó que no hay un diseño de
infraestructura confiable. Además, se determina que hay libre acceso para
ingresar a cualquier página de internet, como se muestra en el anexo 1. Se realizó
un estudio de los equipos que cuenta la institución para la instalación del software
open source y se determinó que se debe innovar con equipos robustos para evitar
problemas al implementar el nuevo diseño de red inalámbrica, porque se
encuentran operativos o no hay soporte como se muestra en él gráfico 9.
GRÁFICO 6
Switch Catalyst 3750-E
Fuente: cisco.com
Elaborado por: Linda Inés Andrade Cayambe
39
Se realizó el monitoreo de cómo trabaja la red de la institución como se muestra
en el gráfico 10. La sonda demostró que tienen dos redes conectadas al router
más cercano, y de ser posible tener acceso al mismo, que por cuestiones legales
me limite a solo saber que se podía visualizar.
GRÁFICO 7
Pruebas del monitoreo de red
Fuente: Red de la Carrera de Ingeniería en Networking y Sistemas
Elaborado por: Linda Inés Andrade Cayambe
Según lo investigado la conexión de internet es brindado por el ISP a través de
fibra óptica desde el cuarto de telecomunicaciones de la ciudadela universitaria
donde se encuentra la matriz hasta la carrera de Ingeniería en Networking y
Sistemas en las instalaciones del centro.
La CISC-CINT tiene personal administrativo, alumnos, profesores conectándose
diariamente a internet. El uso excesivo de consumo de ancho de banda en
paquetes de datos referente a ocio o juegos es debido que no hay filtrado de
contenido, por lo cual hay resultados críticos en el momento de navegación, por
eso el rendimiento disminuye y en ciertas horas presenta saturación en la red.
40
Se realizó pruebas del consumo de ancho de banda a través de la herramienta
SPEEDTEST como se puede mostrar en el gráfico 11 en la cual nos permite
evaluar el ancho de banda, saber la velocidad de carga y descarga que se realiza
en la red.
GRÁFICO 8
Pruebas de ancho de banda CNT
Fuente: SPEEDTEST
Elaborado por: Linda Inés Andrade Cayambe
Se plantea dar mayor prioridad de ancho de banda a fines académicos y disminuir
paquetes innecesarios obteniendo como resultado el acceso a internet sin
inconvenientes. En el cuadro 6 podremos observar los servicios más utilizados por
parte de los usuarios.
41
CUADRO 6
Lista de servicios prioritarios para configurar QoS
Prioridad
SIUG
Office 365
Páginas académicas
Youtube
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
Análisis de software
Cada trimestre se hacen evaluaciones, a nivel de comunidad como firewall/router,
ámbitos administrativos y seguridad, donde ocupa en tercer lugar pfsense, pero a
nivel open source gracias por sus funcionalidades, su gratuidad y estabilidad
ocupa el primer lugar como se visualiza en el gráfico 12.
42
GRÁFICO 9
Status de evaluación de popularidad firewall/router
Fuente: https://www.itcentralstation.com/categories/firewalls
Elaborado por: Linda Inés Andrade Cayambe
Pfsense es una de las mejores herramientas debido a sus funcionalidades, tanto
que otras herramientas open source copian cierto porcentaje del código de
desarrollo como se muestra en el cuadro 7.
43
CUADRO 7 Comparación de herramientas open source
Características PFsense OPNsense
Código Propio 10% de pfsense
Licencia Código abierto Código abierto
Costo Gratis Gratis
Instalación de
paquetes de
terceros
Si No
Interfaz grafica De 2.3 migrado a
Bootstrap
Bootstrap basado
en Phalcon PHP
Framework
Equilibrio de carga
de entrada del
servidor
Si Si (configuración
del servidor
virtual)
Configurar y filtrar
/aislar múltiples
Si -
RRD Graphs Si No
Sotfware de
incursión
Si totalmente
compatible
No todos
oficialmente
compatible
Fuente: https://www.firewallhardware.it/en/pfsense-vs-opnsense-technical
Elaborado por: Linda Inés Andrade Cayambe
Fase 2.- Propuesta de diseño
Diseño anterior de la red inalámbrica
En la última milla se conectaba al router del ISP, daba internet al switch de
Excelencia UG que alimentaba a los AP y no contaba con restricción de
navegación y acceso libre en la cual cualquier usuario podría ser partícipe de la
red, donde se muestra en el gráfico 13.
44
GRÁFICO 10
Diseño de la red inalámbrica CNT
Fuente: Carrera de ingeniería en networking y sistemas
Elaborado por: Linda Inés Andrade Cayambe
Rediseño de la red inalámbrica
Se define el cableado backbone, desde el segundo piso segregando hacia los
demás pisos con destino a los switchs PoE de cada piso, de ahí en adelante la
conexión se especificará dependiendo de los requerimientos de la institución
teniendo en cuenta que los APs nos brindan varias opciones posibles para su
configuración como se define en el gráfico 14.
45
GRÁFICO 11
Diseño de la implementación del firewall/router
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
Cada AP será ubicado en sectores estratégicos de difusión en el momento de
implementación; en la planta baja, primer piso y segundo piso se ubicarán 4 APs
y en el tercer piso 2 APs, se considera que las paredes nos debilitarán el alcance
de la zona de la facultad de Ciencias Físicas y Matemáticas, pero los APs
abastecerán toda la cobertura, este equipo maneja un rango de 122 metros y su
transmisión máxima de 22 dBm. Se recomienda como sería las conexiones e
instalaciones por piso en el gráfico 15.
El cableado estructurado y los equipos se ubicarán en la planta baja de la
Dirección de Carrera de Sistemas Computaciones como se visualiza en el anexo
7, en el primer piso estará ubicado en el Departamento de Vinculación como se
muestra en el anexo 8, en el segundo piso en el Departamento de Coordinación
46
de Software como se encuentra en el anexo 9 y en el tercer piso se ubicará en la
biblioteca como se especifica en el anexo 10.
GRÁFICO 12
Conexión física
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
47
Descripción de equipos
El equipo Netgate XG-7100 como se puede observar en el gráfico 6 está asociada
al desarrollo de pfSense, el hardware es robusto y escalable para conexiones
simultáneas, que brinda funcionalidades de firewall, enrutador LAN o WAN,
DHCP, DNS, IDS/IPS, VPN se detalla las características principales en el gráfico
6. Para sus especificaciones técnicas dirigirse al anexo 11.
GRÁFICO 13
Netgate XG-7100
Fuente: https://www.netgate.com/solutions/pfsense/xg-7100-1u.html
Elaborado por: Linda Inés Andrade Cayambe
Ubiquiti UAP-AC-PRO es uno de las mejores access point en el mercado, presenta
conexión PoE, velocidades altas, antena interna de doble banda 3dBi con
tecnología 3 × 3 MIMO, como se muestra en el cuadro 8.
48
CUADRO 8
Comparación de access point
Ubiquiti UAP-AC-
PRO Linksys LAPAC1750
TP-link EAP320
Tecnología wifi
Doble banda AC1750 Doble banda AC1750
Doble banda AC1200
Velocidades Hasta 1300Mbps en 5Ghz
Hasta 450Mbps en 2.4Ghz
Hasta 1300Mbps en 5Ghz
Hasta 450Mbps en 2.4Ghz
Hasta 867 Mbps en 5 GHz Hasta 300Mbps
en 2.4Ghz
Diseño de la antena
Antenas de doble banda 3 × 3
tecnología MIMO 3dBi cada banda
Antenas de doble banda 3 × 3
tecnología MIMO 1.7dBi @ 2.4G,
1.9dBi @ 5G
Omni 2.6dBi cada tecnología de banda MIMO
Equidad de tiempo y dirección de banda
Si Dirección de la banda
Si
Colocación Exterior Interior Interior Interior
Puerto Ethernet
2 puertos Gigabit Ethernet
1 x puerto LAN Gigabit con IEEE
802.3at PoE +
1x puerto Gigabit Ethernet
Gestión wifi Unifique el software del controlador v4 para ayudarlo a
administrar clientes de alta densidad en
todos los sitios
Control de punto único para
agrupamiento
Software de controlador
EAP gratuito: gestión sencilla
de hasta cientos de EAP
Fuente: https://wifi-lifestyle.com/ubiquiti-vs-linksys-vs-tp-link-wireless-ac-
access-point
Elaborado por: Linda Inés Andrade Cayambe
Ubiquiti UAP-AC-PRO como se muestra en el gráfico 7, presenta el manejo
centralizado mediante el software UniFi Controller, en el cual nos ayuda en la
gestión de red inalámbrica para administrar todos los puntos de acceso. Para sus
especificaciones técnicas se encuentra en el anexo 12.
49
GRÁFICO 14
Access Point Ubiquiti UniFi AC Pro AP
Fuente: https://aire.ec/tienda/ubiquiti/unifi/unifi-access-point-uap-ac-pro/
Elaborado por: Linda Inés Andrade Cayambe
El switch JetStream Gestionable L2 PoE+ de 8 Puertos Gigabit con 2 Slots SFP
es administrable, y presenta el estándar PoE donde el mismo cable ethernet
incorpora alimentación de energía con la conexión de datos. Favorables para
administración y seguridad. Estos dispositivos son una solución económica. Para
más información visualizar el anexo 13.
GRÁFICO 15
Switch JetStream Gestionable L2 PoE+ de 8 Puertos Gigabit con 2 Slots
SFP
Fuente: https://www.tp-link.com/es/business-networking/managed-
switch/t2500g-10mps/
Elaborado por: Linda Inés Andrade Cayambe
50
Fase 3: Simulación de proyecto
Se muestra los servicios instalados junto a otros que se crearon por defecto que
nos permitirá administrar la red inalámbrica con la herramienta pfSense definidos
en el gráfico 16.
GRÁFICO 16
Servicios
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
51
Se visualiza las alertas que genera IDS (Sistema de Detección de Intrusos) de
Suricata de todo lo que pasa a través de la red como algún malware y todas las
peticiones solicitadas al firewall.
GRÁFICO 17 Herramienta IDS
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
El ntopNG nos va a permitir llevar el siguimiento de los hosts conectados a la red
como se visualiza en el gráfico 18.
52
GRÁFICO 18
Visualizacion de flujos de datos activos de hosts conectado a la red
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
En el monitoreo muestra los dispositivos de los usuarios que se conectan a la red
con sus direcciones IP, el tiempo de conexión, la tasa de transferencia, la cantidad
de megas que han usado hasta el momento desde que empezó analizar la red
como se visualiza en el gráfico 19.
GRÁFICO 19
Herramienta Monitoreo
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
53
Visualizar el tráfico de la interfaz WIFI en el gráfico 20.
GRÁFICO 20
Apreciación del tráfico en forma gráfica
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
Fase 4.- Pruebas y mejoras
Realizar la verificación y ajustes para la mejora del rendimiento de la red.
Se comenzó a probar cada una de las herramientas tecnológicas instaladas y se
realiza pruebas con la finalidad de corregirlo o mejorarlo en nuestro sistema
centralizado, desde la conexión WIFI que se conectarán los usuarios por lo cual
será manejado por el docente encargado de la administración de informática.
Una vez terminado todas las configuraciones, vamos a acceder a la red, pero
antes visualizamos el portal cautivo como se muestra en el gráfico 21.
54
GRÁFICO 21
Portal cautivo
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
Utilizamos las credenciales creadas para acceder a la red, en el cual el tiempo de
desconexión será tras la inactividad de dos horas por parte del usuario, como se
muestra en el grafico 22.
GRÁFICO 22
Credenciales para el ingreso del portal cautivo
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
55
Se visualiza en el status del portal cautivo a los usuarios que están conectados
mediante el uso de sus credenciales como se muestra en el gráfico 23.
GRÁFICO 23
Usuarios conectados
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
Vemos los bloqueos a paginas indebidas definidos en la herramienta SquidGuard,
como se visualiza en el gráfico 24.
56
GRÁFICO 24 Bloqueo de sitios web
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
A través del firewall bloqueamos el acceso no solo a páginas web sino también a
los aplicativos de juegos en línea como, por ejemplo, League of Legends, ver
gráfico 25.
GRÁFICO 25 Bloqueo de puertos de Aplicaciones de juego
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
57
Se observa que otra forma de autenticarse es a través de los vouchers que tendrá
el tiempo limitado de 2 horas, para que en ese tiempo los usuarios puedan
autenticarse con sus respectivas credenciales como se visualiza en el gráfico 26.
GRÁFICO 26
Autenticación por vouchers
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
En el status del portal cautivo, en el rol de vouchers, muestra los activos, usados
y los disponibles.
GRÁFICO 27 Usuarios conectados usando vouchers
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
58
Se visualiza los usuarios conectados a la red mediante el uso de vouchers, como
se visualiza en el gráfico 28.
GRÁFICO 28 Status vouchers en uso
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
Para la demostración del funcionamiento y registro de acceso a la red verificamos
que se puede realizar hasta 2 conexiones simultáneas en la consola de
administración a como se muestra en el gráfico 29.
GRÁFICO 29
Registro de acceso al portal cautivo por credenciales
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
59
En esta imagen vemos el registro de acceso a la red mediante el uso de vouchers
como se visualiza en el gráfico 30.
GRÁFICO 30 Registro de acceso al portal cautivo por voucher
Fuente: Linda Inés Andrade Cayambe
Elaborado por: Linda Inés Andrade Cayambe
Fase 5.- Documentación
Proporcionar manuales de instalación y configuración de herramientas
tecnológicas.
Se presenta los oficios de aceptación para realizar el levantamiento de información
de la infraestructura de la red inalámbrica en el anexo 5 y 6. Y se realiza los
manuales de configuración que están definidos en los entregables del proyecto
que serán útiles para el Departamento de Coordinación de Software, en los cuales
se detalla los pasos realizados con el fin de obtener los resultados factibles en el
rediseño de la red inalámbrica de la Carrera de ingeniería en networking y
sistemas.
60
ENTREGABLES DEL PROYECTO
Manual de Configuración
Una vez que se haya instalado pfSense se procederá a configurar la nueva interfaz
para propagar por DHCP a través de los AP dentro de la simulación.
Damos click en , luego en
61
Habilitamos la interfaz y le damos un nombre en nuestro caso WIFI
62
Designamos el tipo de configuración en nuestro caso es IPv4 estático y le damos
el rango según sea necesario.
Se guarda y nos aparecerá este mensaje para aplicar los cambios hechos.
63
A continuación, ingresamos a la pestaña Services para poder configurar el DHCP
Server de la interfaz anteriormente configurada por la cual la llamamos wifi.
Para terminar, ingresamos al firewall y creamos una regla en la cual permitamos
el acceso a internet a través de esta interfaz que posteriormente será delimitada
con los distintos servicios que instalemos y configuremos dentro de nuestro
firewall.
64
FreeRadius
Dentro de la pestaña de Services se encuentra la paquetería FreeRadius donde
se realiza las configuraciones necesarias para verificar autenticaciones en un
repositorio local de base de datos.
Ingresar a la opción de configuraciones y dejamos por defecto.
65
Si encuentra problemas con algunos contadores al usar 'Amount of
Download/Upload/Time', puede verificar esto para deshabilitar el módulo en la
parte final del panel de configuración.
Luego configuramos las interfaces para especificar los puertos escucha de cada
una de las acciones qué admite o genera el freeradius con sus respectivos puertos
1812-1813-1816, que son de autenticación, contador y estatus, respectivamente.
66
Como se muestra en el cuadro, en la sección interfaces se configura el puerto
1813 en el tipo de interfaz contador.
Se visualiza las interfaces creadas de Freeradius.
La interfaz NAS se realiza la siguiente configuración
Creamos una nueva interfaz NAS para hacer la conexión con el repositorio dentro
del pfSense. (Servidor de autenticación)
67
Definimos la interfaz WIFI ubicando la ip y ubicamos las credenciales del mismo y
guardamos.
68
Para la simulación necesitaremos otro servidor de autenticación, para crearlo
ingresamos al administrador de usuarios y daremos clic en servidor de
autenticación el cual nos dejará crear una nueva base de datos enlazada al
freeradius.
System->User Manager->Authentication Servers
69
Creamos una nueva base de datos de tipo RADIUS para la vinculación con
FreeRadius
Después de crear nuestro servidor de autenticación, damos paso a crear los
usuarios disponiéndoles de hasta dos conexiones simultáneas por usuario.
70
Configuración de portal cautivo
El método de autenticación es para el ingreso de usuarios autorizados.
Ingresamos a Services, daremos clic en portal cautivo y agregamos una nueva
zona en la cual saldrá un formulario que tendremos que especificar las
configuraciones del mismo.
71
Las configuraciones serán tanto la descripción como las interfaces en la cual va a
funcionar. Aparte, tendremos un sinnúmero de opciones como tiempo inactivo de
120min el usuario se desconectaría automáticamente y se específica el máximo
número de conexiones concurrentes es hasta 20 dispositivos para ingresar a
través del portal cautivo en nuestra simulación.
Habilitar ventana emergente de cierre de sesión. Si está habilitada, aparecerá una
ventana emergente cuando se permita a los clientes conectarse a través del portal
cautivo. Esto también permite a los clientes desconectarse explícitamente antes
de que ocurra el tiempo de espera inactivo o difícil.
72
En la siguiente imagen veremos una opción para habilitar el uso del portal cautivo
personalizado, daremos clic si deseamos crear un sistema personalizado de
autenticación, en este caso se creó el HTML, hay que tomar en cuenta que esto
solo nos brindará el método de autenticación de usuario y contraseña, pero el
sistema de vouchers se configura en otra pestaña.
73
Especificamos el servidor de autenticación en el cual escogemos el radius.
74
Se habilita el sistema de contador radius. Si está habilitado, se realizará una
solicitud de contabilidad para los usuarios identificados en cualquier servidor
RADIUS. Y seleccionamos "Interino", las solicitudes de "Actualización de
contabilidad" se enviarán regularmente (cada minuto) al servidor RADIUS, para
cada usuario conectado. Una vez terminados seleccionamos guardar.
75
Una vez terminado de configurar el portal damos clic en editar para programar los
vouchers con los cuales daremos acceso de forma temporal durante 2 horas a
internet para que puedan conectarse al correo y conseguir sus credenciales.
Primero generamos una llave para encriptación y le damos el tamaño de bits con
un valor de 8, reserva un rango en cada comprobante para almacenar el número
de rollo al que pertenece.
Definimos los bits por ticket en 10, reserva un rango en cada cupón para
almacenar el número de ticket al que pertenece.
76
Una vez guardado las condiciones de creación de los tickets, procedemos a
crearlos.
Ingrese el número de rollo (0..255) que se encuentra en la parte superior de los
comprobantes generados / impresos.
Se crea un rollo con 400 vouchers para la conexión de 120 minutos.
77
Proxy Transparent (Squid & SquidGuard)
Una vez instalado el paquete procederemos a realizar las siguientes
configuraciones del proxy server donde seleccionaremos la interfaz WIFI, para
restringir acceso a ciertas páginas web.
78
En la siguiente imagen visualizaremos la configuración de proxy transparente eso
nos ayudará que no sea necesario configurar en cada host y funcione como
pasarela. Además, seleccionaremos Bypass Proxy para que los destinos en el
espacio de direcciones privadas (RFC 1918) se pasan directamente a través del
firewall, no a través del servidor proxy.
79
Ya que hoy en día la mayoría de las páginas web manejan certificados SSL/TLS
y no solo se maneja páginas http sino también https, en este caso es necesario
activar la intercepción de certificados. La paquetería freeradius viene con un
certificado autoritativo y lo usaremos para interceptar los certificados de las
páginas bloqueadas.
A continuación, veremos la configuración de un paquete que se encuentra
anexado al Squid que nos ayudará a mantener una lista de acceso agrupada y
ordenada atribuido a nosotros, de manera gratis por páginas qué se dedican a la
organización de direccionamiento y agrupación por el tipo de contenido de página
web con la cual utilizaremos esta ventaja para realizar los bloqueos.
80
Para obtener la lista negra seleccionamos Blacklist y ubicaremos la URL de
descarga del paquete.
Una vez ingresado nos movilizamos a Blacklist y seleccionamos descargar con lo
cual obtendremos el paquete para el respectivo bloqueo.
81
A continuación, veremos una lista de páginas por contenido, aquí seleccionamos
que por defecto todo sea accesible y empezamos a definir las que se bloquearan,
aun así, no tendremos el 100% pero sí un 80% páginas por categoría bloqueadas,
para ese 20% es necesario utilizar otro sistema de bloqueo posteriormente
mencionado.
82
83
Al final de la configuración habilitamos y damos en Aplicar.
PfBlockerNG
Esta herramienta será el complemento del Proxy Transparente con la finalidad de
bloquear de manera exhaustiva subdominios y dominios con DNSBL, rangos de
direccionamiento en el planeta no aceptados a su conexión, debido a temas de
seguridad se utilizarán el sistema de GeoIP.
Habilitamos el pfBlockerNG.
84
Informes de alertas al ingresar páginas con rango de IP no confiables. DNSBL
forma parte de pfBlockerNG, se recopila la actividad de dominios rechazados.
Hablilitaremos el DNSBL, esto habilitará la lista de bloqueo de DNS para dominios
y subdominios.
85
Se realiza bloqueos manualmente de dominios como redes sociales y páginas
de ocio.
Seleccionamos la accion “Deny Both” de las listas que se escribirán dentro del
firewall.
Especificamos en DNSBL Easylist la lista del agrupamiento de direcciones de las
categorías que se desea bloquear como ventanas emergentes de publicidad y
páginas indebidas.
86
GeoIP
Se encuentra la base de datos de geolocalización IP para el bloqueo de las
direcciones IP de gran parte de los países que efectúan cyber-ataques, brinda
información actualizada y de forma gratuita.
87
88
89
Genera las alertas de los bloqueos que se han establecido.
90
Suricata
En las interfaces se configura para el funcionamiento del sistema de detección
de intrusos.
Habilitar las interfaces WAN y WIFI todo por defecto para que se genere solo
alertas.
91
Se instala reglas para alertar anti-malware en ETOpen.
Se establece reglas de Snort donde estan disponibles gratuitamente que han sido
enviados por miembros de la comunidad de codigo abierto Snort.
92
Además se descargará automáticamente las actualizaciones para la base de
datos GeoIP.
93
Se copia los mensajes de Suricata en el registro del sistema de firewall.
Se genera alertas de detección de intrusos, además todas las peticiones al
firewall.
Firewall
NAT Port Forward a Virtual IP del DNSBL para el análisis de las resoluciones de
los dominios y verificación de las reglas de bloqueo (No Editar)
94
Aliases
Configuración sencilla de agrupación de puertos, IP, URL para de esta forma
utilizarlos en los bloqueos.
Reglas del firewall
En la regla de la interfaz LAN se crean automáticamente estas reglas para obtener
navegación y acceso al webconfigurator.
Definimos las reglas de navegación para dejar pasar por el interfaz WIFI de tipo
IPv4 que tenga cualquier protocolo y provenga de la porción de red. Se bloquea
el acceso al firewall desde la red wifi y se deniega el acceso a puertos de juegos
en línea, damos guardar y aplicar cambios.
95
Traffic Shaper
Nos brinda un asistente de configuración
Firewall->Traffic Shaper->Wizard
Seleccionamos LAN/WAN para hacer un sistema general de prioridad.
Especificamos el número de interfaces WAN y LAN a configurar, en nuestro caso
en la simulación manejamos 2 LAN y una de ellas es WIFI.
96
Definimos los tipos de configuración como prioridad.
Ya que no se maneja VoIP no se configura.
Otros protocolos básicos de configuración para establecer la prioridad.
97
98
Una vez terminados damos click en Finish
99
Y reiniciamos el sistema con las configuraciones actuales.
Y al final verificamos la creación de los filtros por interfaz.
100
ntopNG
Habilitar el paquete y definimos una contraseña para la administración web y
seleccionamos las interfaces que va a analizar. En nuestro caso solo
seleccionaremos la red WIFI.
101
CRITERIOS DE VALIDACIÓN DE PROYECTOS
Tras haber hecho las entrevistas sobre los problemas del diseño de la red actual
y de que existen equipos informáticos viejos, se determina que no existe un diseño
idóneo para una debida administración del sistema Wireless de la carrera. Por lo
cual, se busca innovar el hardware mediante equipos robustos y escalables. Con
respecto al software, se detallan las herramientas tecnológicas que se va a instalar
con sus respectivas configuraciones para mitigar los problemas que se han
presentado, por ejemplo, la asignación DHCP a través de los AP a la red pública
genera demasiado tráfico y el hecho de que los bloqueos y accesos no existen a
las distintas páginas que existen alrededor del mundo. Como resultado, causó una
congestión y uso absurdo, y sin limitaciones de la red, genera un gran malestar
dentro de los usuarios principales que son los alumnos ya que esta red no cuenta
con un medio de autenticación y delimitación de acceso a páginas y distintas
aplicaciones, nos vemos en comentarios como los siguientes. “es demasiado
lento" o como otros más escuchados “me es imposible conectarme" o también “la
señal es muy baja" entre otros factores que los usuarios han determinado como
un sistema demasiado ineficaz.
PROCESAMIENTO Y ANÁLISIS
METODOLOGIA DE LA INVESTIGACION
DISEÑO DE LA INVESTIGACION
Tras la siguiente investigación se realizará un análisis de la problemática mediante
un conjunto de técnicas y procedimientos para acceder a la información necesaria
para resolver los problemas que susciten, donde se plantea una solución que nos
llevará a la ventaja de poder solventar las necesidades de los usuarios de la
carrera proponiendo una solución útil y eficaz. (Robles, 2019)
102
MODALIDAD DE LA INVESTIGACION
La investigación exploratoria realiza un análisis del estudio del problema, no
presenta un conocimiento completo que responda a todas las dudas, pero si busca
obtener la información esencial que nos dará la idea inicial y nos servirá para
proseguir una investigación de manera más profunda. (universia, 2017)
La investigación descriptiva recoge información del estudio de la situación del
problema o tema, buscara ser concreto en presentar los resultados en la
presentación de hipótesis. Se debe tener claro que datos debemos recolectar
como: métodos, hechos, entre otros. Definir donde y a quienes se recolectará
información, etc. (universia, 2017)
La investigación factible, consiste en un análisis profundo donde prueba que la
investigación es realizable y plantea una propuesta efectiva para solucionar los
problemas que subsisten, donde se garantiza su viabilidad. (normasapa, 2019)
TIPO DE INVESTIGACIÓN
La investigación descriptiva se centra en la situación de los usuarios con respecto
a las necesidades de la Carrera de Ingeniería en Networking y Sistemas, se
plantea que soluciones acierta en dar buenos resultados tecnológicos,
estableciendo varios procesos que se va a seguir, para confirmar la hipótesis que
se haya planteado, enfocándonos en un sistema de calidad y cantidad, se debe
de satisfacer las necesidades, requerimientos y número de usuarios dentro de las
instalaciones.
Esta investigación tiene alcance de factibilidad, almacena información de
personas entrevistadas por las cuales han suscitado problemas, dado que son
usuarios directos del mismo servicio el cual son propensos a disfunción sobre las
peticiones de éstos. Para el análisis de la situación se realiza las entrevistas a
usuarios con conocimiento del tema con el fin de entender exactamente las
103
necesidades para la administración de la red inalámbrica dentro de las
instalaciones de la carrera ubicada en el centro en la ciudad de Guayaquil para
manejar los problemas y cambios, con el fin de gestionar la configuración de
acceso a los recursos del sistema de wifi en dichas instalaciones.
TÉCNICAS E INSTRUMENTOS DE RECOLECCION DE DATOS
RECOLECCIÓN DE DATOS
La investigación de diagnóstico plasma en este proyecto que se realiza en la
CISC-CINT que se encuentra las instalaciones en el centro, la información
recopilada en este desarrollo, en la cual se ha realizado un análisis profundo de lo
más importante y esencial para el planteamiento del diseño y simulación. El
estudio que se basa en esta investigación es el análisis exhaustivo de sucesos en
diferentes ámbitos de la información recopilada para la toma de decisiones.
INSTRUMENTOS
Observación: Interactuar con los usuarios que pertenecen en la institución con la
finalidad de saber los procesos relevantes que realizan en internet de la
infraestructura de la Carrera de Ingeniería en Sistemas y Networking, esta
información se verifica en el anexo No. 4.
Entrevista: Con este método obtenemos la apreciación de los distintos usuarios
de la institución mediante entrevistas abiertas donde nos permite apreciar
respuestas de cómo realizar un análisis profundo, de la lentitud en la red sobre
todo en horas críticas, de plantear una herramienta tecnológica que permita
administrar la red wireless para de las cuales tomaremos en cuenta los anexos
No. del 3 al 5.
104
CAPITULO IV
CRITERIOS DE ACEPTACIÓN DEL PRODUCTO O
SERVICIO
1.- Se recolecto información del estado de la red inalámbrica mediante la
autorización por parte de la Carrera de Ingeniería en Networking y Sistemas.
2.- Se realizó pruebas para demostrar los resultados óptimos a través de la
implementación del software open source y utilizar un método de autenticación
para brindar soluciones de seguridad y administración, incluyendo:
• Instalación de herramientas tecnológicas con sus respectivas
configuraciones según las necesidades de la institución.
• Implementación de un portal cautivo que: constará de dos métodos de
autenticación para evitar el acceso fraudulento y el cual manifiesta de un
método adyacente temporal para así obtener el correo institucional y allí
poder encontrar las credenciales del método principal, para el acceso a
través de usuario y contraseña de forma ilimitada.
3- La calidad de internet será elevada debido que se dará a prioridad a páginas
web de estudio, pruebas, proyectos, investigación, todo para beneficios
académicos, incluido youtube aunque también es una forma de distracción, pero
los alumnos usan de principal herramienta para guiarse en temas de talleres o
proyectos.
4.- Se tendrá una constancia de las páginas que ha visitado cada usuario, y así
saber la razón de uso de los recursos de la institución.
5.- La limitación de ingreso de usuarios nos brindará tiempos de respuesta más
cortos, acceso seguro y confiable a los recursos de la institución.
105
6.- Con la instalación de las herramientas tecnológicas se busca combatir la
latencia y salida a la red, sobre todo en hora pico.
CONCLUSIONES
Se determina que el software open source solventa de manera eficaz las
necesidades de la institución para administrar la red wireless, mejora la
funcionabilidad y rendimiento de la red con medidas de seguridad y métodos de
autenticación. Se obtendrá un control total de cada una de las herramientas
tecnológicas y recursos de la institución. La red inalámbrica de la carrera de
ingeniería de networking y sistemas será monitoreada constantemente y
administrada de manera eficaz. Se restringe el acceso a usuarios no autorizados,
se obtiene alertas y bloqueo a páginas web.
RECOMENDACIONES
Para el uso del software open source con todas sus funcionalidades se sugiere
utilizar equipos como puntos de acceso Ubiquiti Unifi AC PRO por su alto
rendimiento, escalabilidad y capacidad de cobertura. Además, un equipo Netgate
XG-7100 1U rackeable y precargado con el software pfSense, que está diseñado
para una larga vida útil de implementación con soluciones de seguridad y
administración.
Se recomienda un correcto uso del servidor que contendrá el firewall/router
pfSense, ya que una mala configuración de este repercutiría en el desarrollo del
presente proyecto de tesis y futuras implementaciones.
106
BIBLIOGRAFÍA
alienvault. (2019). Obtenido de https://www.alienvault.com/blogs/security-
essentials/suricata-ids-threading-capabilities-overview
Álvarez Rincón, W. A. (Septiembre de 2014). Obtenido de
https://repository.usta.edu.co/bitstream/handle/11634/3576/Alvarezwilliam20
14.pdf?sequence=1
Álvarez Rincón, W. A. (Septiembre de 2014). Obtenido de
https://repository.usta.edu.co/bitstream/handle/11634/3576/Alvarezwilliam20
14.pdf?sequence=1
Asencio Cevallos, J. E. (Abril de 2016). Obtenido de
http://repositorio.ug.edu.ec/bitstream/redug/11932/1/B-CINT-PTG-
N.64%20ASENCIO%20CEVALLOS%20JAVIER%20ENRIQUE.pdf
Ávila Santacruz, P. E. (2010). Obtenido de
http://repositorio.espe.edu.ec/handle/21000/347
Documentación de Netgate. (2019). Obtenido de
https://docs.netgate.com/pfsense/en/latest/packages/package-
list.html?highlight=pfblockerng
ecured. (2019). Obtenido de https://www.ecured.cu/Squid#Caracter.C3.ADsticas
Erazo Pancho, J. A. (Junio de 2015). Obtenido de
http://repositorio.ug.edu.ec/bitstream/redug/10325/1/PTG-658-
Erazo%20Pancho%20Jimmy%20Andr%c3%a9s.pdf
Fierro Fierro, M. M., & González Bonifaz, F. A. (3 de Febrero de 2012).
firewallhardware. (2019). Obtenido de http://www.firewallhardware.es/pfsense.html
Freeradius.org. (2018). Obtenido de https://freeradius.org
Guills, S. A. (Septiembre de 2015).
Gutierrez Zea, G. X. (6 de Enero de 2014). Obtenido de
http://www.ptolomeo.unam.mx:8080/xmlui/bitstream/handle/132.248.52.100/
3041/Tesis.pdf?sequence=1
Hernández López, J. Á. (15 de Noviembre de 2013). Obtenido de
http://www.ptolomeo.unam.mx:8080/xmlui/bitstream/handle/132.248.52.100/
2644/tesis.pdf?sequence=1
Ipiales Túquerres, M. P. (25 de Mayo de 2015). Obtenido de
http://repositorio.utn.edu.ec/bitstream/123456789/4463/1/04%20RED%20058
%20TESIS.pdf
107
Jadán Montero, A. S. (2013). Obtenido de
https://repositorio.espe.edu.ec/bitstream/21000/7039/1/T-ESPE-047113.pdf
Lancho González, Á. (2017). Obtenido de
http://oa.upm.es/49677/1/TFG_ALVARO_LANCHO_GONZALEZ.pdf
linuxmanr4. (2019). Obtenido de https://linuxmanr4.com/category/linux-y-software-
libre/pfsense/
MAXMIND. (2019). Obtenido de https://dev.maxmind.com/geoip/geoip2/geolite2/
Mena Flores, D. X., & Jara Llumigusín, J. J. (octubre de 2013). Obtenido de
https://dspace.ups.edu.ec/bitstream/123456789/5348/1/UPS-ST001027.pdf
normasapa. (2019). Obtenido de http://normasapa.net/que-es-un-proyecto-factible-y-
como-abordarlo-en-una-tesis/
ntop. (2019). Obtenido de https://www.ntop.org
Núñez Noboa, J. V. (7 de Diciembre de 2017). Obtenido de
http://repositorio.ug.edu.ec/bitstream/redug/23732/1/B-CINT-PTG-
N.210.N%C3%BA%C3%B1ez%20Noboa%20Jos%C3%A9%20Vicente.pdf
Ñique Mozzani, V. A. (2016). Obtenido de
http://repositorio.usil.edu.pe/bitstream/USIL/2481/1/2016_%C3%91ique_Imple
mentacion_de_solucion_de_autenticacion.pdf
ostecblog. (2018). Obtenido de https://ostec.blog/es/seguridad-perimetral/qos-y-sus-
beneficios
pfSense Backup and Restore. (2019). Obtenido de
https://docs.netgate.com/pfsense/en/latest/backup/index.html
pfSense OpenVPN. (2019). Obtenido de
https://docs.netgate.com/pfsense/en/latest/vpn/openvpn/index.html
pfSense Proxy. (2019). Obtenido de https://docs.netgate.com/pfsense/en/latest/cache-
proxy/index.html?highlight=proxy
Pfsense Squid. (2019). Obtenido de https://docs.netgate.com/pfsense/en/latest/cache-
proxy/index.html?highlight=proxy
Pfsense SquidGuard. (2019). Obtenido de
https://docs.netgate.com/pfsense/en/latest/cache-proxy/squidguard-
package.html
Pfsense Traffic Shapper. (2019). Obtenido de
https://docs.netgate.com/pfsense/en/latest/book/trafficshaper/index.html
questionpro. (2019). Obtenido de https://www.questionpro.com/blog/es/investigacion-
exploratoria/
108
Robles, F. (2019). Obtenido de lifeder.com: https://www.lifeder.com/diseno-de-
investigacion/
Salazar, J. (2016). Redes Inalámbricas. Obtenido de
https://upcommons.upc.edu/bitstream/handle/2117/100918/LM01_R_ES.pdf
Santillán Cazares , J. F., & Villalta Cedeño, C. P. (26 de Febrero de 2016). Obtenido de
http://repositorio.ug.edu.ec/bitstream/redug/19639/1/Propuesta%20de%20Im
plementacio%20de%20un%20Portal%20Cautivo%20Hotspot%2C%20para%20bri
ndar%20el%20servicio%20de%20Internet%20Inalambrico%20en%20negocios%2
0Pym~1.pdf
SECURITY ARTWORK. (1 de Junio de 2015). Obtenido de
https://www.securityartwork.es/2015/06/01/bloqueando-trafico-con-
pfblockerng/
Seguridad Informática. (21 de Noviembre de 2009). Obtenido de
https://seguinfo.wordpress.com/2009/11/21/%C2%BFque-es-ipsec/
semanticscholar. (2018). Obtenido de
https://pdfs.semanticscholar.org/f7b4/6651170f46329fd79e18d2168528fb0d41
76.pdf
Servidor proxy. (2019). Obtenido de
https://es.wikipedia.org/wiki/Servidor_proxy#Proxies_transparentes
Solano Jimenéz, J. M., & Oña Garcés, M. B. (2009). Obtenido de
http://dspace.espoch.edu.ec/bitstream/123456789/103/1/18T00381.pdf
Suricata. (2019). Obtenido de https://suricata-ids.org/
universia. (4 de Septiembre de 2017). Obtenido de
https://noticias.universia.cr/educacion/noticia/2017/09/04/1155475/tipos-
investigacion-descriptiva-exploratoria-explicativa.html
xatakamovil. (2019). Obtenido de https://www.xatakamovil.com/conectividad/nat-
network-address-translation-que-es-y-como-funciona
109
ANEXOS
110
ANEXO 1 Monitoreo de la red
Fuente: Carrera de Ingeniería en Networking y Telecomunicaciones
Elaborado por: Linda Inés Andrade Cayambe
111
ANEXO 2
Entrevista 1
112
ANEXO 3
Entrevista 2
113
ANEXO 4
Entrevista 3
114
ANEXO 5
Documento de aprobación de la Carrera de Sistemas Computacionales
115
ANEXO 6 Documento de aprobación de la Carrera de Networking y
Telecomunicaciones.
116
ANEXO 7 Ubicación de conexión de la planta baja
117
ANEXO 8 Ubicación de conexión del primer piso
118
ANEXO 9 Ubicación de conexión del segundo piso
119
ANEXO 10 Ubicación de conexión del tercer piso
120
ANEXO 11
Netgate XG-7100 pfSense Security Gateway
Fuente: https://www.netgate.com/solutions/pfsense/xg-7100-1u.html
121
ANEXO 12
Especificaciones de Access Point Ubiquiti UniFi AC Pro AP
Fuente: https://aire.ec/tienda/ubiquiti/unifi/unifi-access-point-uap-ac-pro/
122
ANEXO 13
Switch JetStream Gestionable L2 PoE+ de 8 Puertos Gigabit con 2 Slots
SFP
123
Fuente: https://www.tp-link.com/es/business-networking/managed-
switch/t2500g-10mps/