CAPÍTULO 1

Introducción

En este capítulo se presenta una descripción general de todos los pasos que llevaron al desarrollo del proyecto, que lleva como título “Análisis y Simulación de Controles de Tráfico Dentro de una Red Empresarial Utilizando Listas de Control de Acceso”. El mismo incluye antecedentes o estudios previos relacionados con el proyecto, la justificación del mismo, la forma en que implementó el proyecto y los objetivos. En posteriores capítulos se explicará conceptos generales sobre el proyecto, los pasos seguidos para el desarrollo del mismo, las pruebas y medidas que se realizaron en las mismas, los resultados que se obtuvieron y finalmente un resumen y las conclusiones a las que se llegaron.

1.1 AntecedentesOriginalmente las Listas de Control de Acceso (ACL – Acces Control List) fueron diseñadas con fines de control de acceso a recursos de una red de datos por conmutación de paquetes, en la actualidad las ACL son la piedra angular de muchos sistemas operativos de red, tales como el Sistema Operativo de Interconexión (IOS – Internetwork Operating System) de la empresa norteamericana Cisco®, hoy en día el más extendido y convertido en un estándar.

Sobre este sistema operativo de red (IOS) se han realizado una serie de estudios previos en los cuales se implementan controles de tráfico dentro del diseño de una red utilizando ACL, entre los cuales se pueden destacar los siguientes:

Diseño de una Red de Área Local (LAN – Local Area Network) para la escuela Acacia (2003). Proyecto realizado por: Oscar Carmona, Eiling Díaz, Marjorie Mora y Juan Carlos Reyes, estudiantes de cuarto año de la carrera de Ing. en Telecomunicaciones de la Universidad Fermín Toro, ubicada en Caracas, Venezuela. Este proyecto consiste básicamente en el diseño de una red LAN para la escuela Acacia; en la cual se ofrece conexión a internet a través de un enlace frame-relay y mantiene una conexión directa a un centro de datos a través de un enlace T1 punto a punto. Adicionalmente la LAN ofrece servicio de conexión a los distintos grupos de trabajos: administrativos y alumnos. En este proyecto se implementó las ACL para poder controlar el tráfico entrante y saliente de la red de estudiante y administrativos; permitiendo solo tráfico de páginas web y denegando todo el resto del tráfico de internet (Transferencia de archivos, Mensajería Instantánea, etc.). Adicionalmente se implemento ACL para dar permiso de enrutamiento paquetes entre una red y otra a una(s) máquina(s) o hacia los Servidores [5].

Análisis, Diseño y Optimización de una red Local con Inter-Vlans Troncalizadas y Seguridad de Acceso Mediante la Aplicación de ACL (2004). Tesis de Grado realizada por María Auxiliadora Desiderio Rodrigo y Pedro José Solís Sánchez, de la carrera de Ing. en Electrónica y Telecomunicaciones; Escuela Superior Técnica

3

Litoral, Guayaquil, Ecuador. Finalizada en Noviembre de 2005. Esta tesis consiste en el diseño de una red local con tres redes locales virtuales, las cuales se comunican entre ellas de manera troncalizada, para esto se utilizó un enrutador que permite la comunicación entre ellas. Se implementaron protocolos de enrutamiento en la red y además se aplicaron controles de tráfico dentro de la red, por motivos de seguridad, para evitar que una de las tres redes virtuales no se pudiera comunicar con las otras dos redes virtuales [6].

Proyecto VOIP (2008). Proyecto realizado por: Pedro Juan Caballero, estudiante de Técnico en Electrónica Informática de la Universidad ORT del Uruguay. Finalizado en octubre de 2009. El objetivo de este proyecto es brindar servicios de telefonía entre sucursales ubicadas en cuatro distintos departamentos del Uruguay, además se ofrece conectividad entre las mismas a nivel de datos, protegiendo la privacidad entre Grupos de Trabajo, controlando la salida a Internet de los empleados de la Sucursal Central ubicada en la capital Montevideo. Existe un Depósito ubicado en San José que es monitoreado mediante una Cámara IP. Un grupo de trabajo denominado Grupo A tienen salida a Internet pero la misma debe ser controlada mediante la implementación de ACL en los enrutadores de frontera, que les da salida hacia Internet, ya que en este grupo de trabajo, solo la terminal de administración tiene acceso completo a internet, en cambio las demás terminales solo puede acceder a protocolo de aplicación de páginas web y el resto del tráfico es denegado (Transferencia de Archivos, Mensajería Instantánea, etc.). Adicionalmente se deniega el tráfico entre el grupo de trabajo A y el resto de los grupos de trabajo [7].

1.2 JustificaciónCon el desarrollo de este proyecto se desea implementar una política de control de tráfico a través de un software de simulación de redes como lo es Packet Tracer, en el cual se simula el diseño de una red empresarial, con cuatro oficinas o sucursales, en las que se aplicarán configuraciones de ACL a los dispositivos enrutadores (routers) de cada sucursal dentro de la red. Las ACL no son más que guiones de configuración del router que controlan si un router acepta o rechaza un paquete que llega a una de sus interfaces.

Con la simulación de esta red empresarial se estaría comprobando la forma en que trabajan las ACL, las cuales son declaradas en cada interfaz de los routers dentro de la red; por otra parte, las ACL ayudan a mejorar el rendimiento de la red al filtrar y controlar el flujo del tráfico que se da entre las distintas terminales (hosts) de la red. Adicionalmente se estaría proporcionando un nivel básico de seguridad para el acceso a la red, ya que las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma área. Sumado a lo anterior, otra propiedad importante de la aplicación de ACL en el diseño y simulación de una red sería el control que se ejerce sobre los servicios de red a los cuales acceden los hosts, ya que otra característica importante de las ACL es que las mismas pueden permitir o denegar el acceso de un usuario a diferentes tipos de archivos con protocolos de aplicación como lo son: Protocolo de Transferencia de Archivos (FTP – File Transfer Protocol), servicios de páginas web (HTTP – Hypertext Transfer Protocol), entre otros protocolos de aplicación.

4

Sumado a lo anterior, se medirá la forma en que los routers utilizan las declaraciones de las ACL para realizar un filtrado del tráfico de la red que estamos simulando. Dicho filtrado se medirá en función de los tipos de paquetes que llegan al router y si los mismos son rechazado o aceptados, de acuerdo a las sentencias o guiones de ACL programados dentro del router. Para medir esto se utilizará una herramienta de simulación que posee el Packet Tracer con la cual se puede capturar los paquetes que viajan a través de la red y que se envían entre los distintos dispositivos que componen la red simulada (routers, switch (conmutadores), hosts, etc); para entonces analizar las Unidades de Datos de Protocolo (PDU – Protocol Data Unit) de las mismas. Con ésta herramienta se podrá observar la forma en que los routers aceptan o rechazan un paquete que llega a una de sus interfaces al aplicarle las sentencias ACL que tenga programada, y adicionalmente se analizará la PDU del paquete que se capture, permitiendo observar que ocurre en cada capa del modelo de referencia de Interconexión de Sistemas Abiertos (OSI - Open System Interconnection).

1.3 Implementación del ProyectoEl proyecto consiste en la simulación de una red empresarial en la cual se aplicó configuraciones ACL para regular el tráfico a través de toda la red. La empresa tiene oficinas en cuatro ciudades (Chiriquí, Penonomé, Ciudad de Panamá y Colón). Tres de las oficinas se conectarán mediante enlaces seriales de línea dedicada T1 (X.25) (Ciudad de Panamá, Colón y Penonomé). La cuarta oficina, Chiriquí, se conectó al resto de la red mediante un enlace Frame Relay simulado mediante un router configurado como conmutador Frame Relay, adicionalmente el router de la sucursal de Chiriquí posee habilitado el Protocolo de Configuración Dinámica de Host (DHCP - Dynamic Host Configuration Protocol). La sucursal de la Ciudad de Panamá está conectada a Internet mediante un proveedor de Servicios de Internet Nacional (ISP – Internet Service Provider); este proveedor de servicios es simulado mediante un servidor web conectado al router de la Ciudad de Panamá. La oficina de Penonomé, posee una LAN compleja, por lo que se implementó el uso de redes de Área Amplia Virtuales (VLAN – Virtual Local Network), aumentando de esta forma la seguridad y permitiendo agrupar a los usuarios de forma lógica. La LAN de la sucursal de Colon cuenta con un punto de acceso inalámbrico, para determinados host dentro de esta LAN, y adicionalmente el router de ésta sucursal tiene habilitado el protocolo DHCP.

Se implementó adicionalmente en el router de salida hacia Internet (Ciudad de Panamá) Traducción de Dirección de Red (NAT- Network Address Translation) para permitir la conexión a Internet; ya que este servicio permite que el tráfico con direcciones privadas dentro la red puedan salir hacia Internet con direcciones públicas, direcciones que son las que utilizan los proveedores de servicios.

El control de tráfico se implementó mediante las declaraciones de ACL, de acuerdo con las siguientes políticas:

La red LAN de la sucursal de Chiriquí tiene denegado cualquier tipo de tráfico que utilice los siguientes protocolos de aplicación: Protocolo de Transferencia Simple de Correos (SMTP – Simple Mail Transfer Protocol) y el Protocolo de Transferencia de Archivos (FTP – File Transfer Protocol). El resto del tráfico para ésta LAN está permitido.

5

En la red LAN de la sucursal de Colón, el host correspondiente a la Oficina 2 tiene bloqueado el acceso hacia el host correspondiente a la oficina de Administración de la red LAN de la sucursal de Panamá, adicionalmente tiene bloqueado también el tráfico hacia la red de Administrativos en una de las VLAN de la sucursal de Penonomé. El resto del tráfico para ésta LAN está permitido.

En la red LAN de la sucursal de la Ciudad de Panamá, el host correspondiente a la oficina de Administrativos de Panamá tiene bloqueado el tráfico que utilice aplicaciones con protocolo de páginas web, es decir protocolo HTTP, adicionalmente el host correspondiente a la oficina de Ventas de Panamá tiene bloqueado el tráfico que utilice aplicaciones de Protocolo de Oficina de Correo versión 3 (POP – Post Office Protocol). El resto de tráfico para ésta LAN está permitido.

Se utilizó direccionamiento de máscaras de subred de longitud variable con la dirección privada 172.16.0.0/16 que permite un total de 65536 direcciones dentro de nuestro diseño de red, esta dirección fu dividida en subredes más pequeñas de acuerdo a los requerimientos de cada sucursal.

1.4 Delimitación del ProyectoEn el desarrollo de éste proyecto solo se analiza la forma en que los routers utilizan las declaraciones de las ACL para realizar un filtrado del tráfico de la red que estamos simulando, a nivel de captura de paquetes y análisis de las PDU de las mismas, no se analizan la carga del tráfico a nivel de retardos y ancho de banda entre los enlaces de los routers que conforman la red.

1.5 Objetivos1.5.1 Objetivos Generales

Desarrollar una red empresarial, que permita representar el funcionamiento y las soluciones basadas en el uso de ACL para la implementación de controles de tráfico.

1.5.2 Objetivos Específicos Simular mediante Packet Tracer una red empresarial de cuatro sucursales y

capturar los paquetes que se generan producto del tráfico dentro de la red.

Verificar como las declaraciones o sentencias de ACL aplicadas a las interfaces de los routers admiten o rechazan los paquetes que les llegan a sus interfaces.

Analizar estos paquetes capturados a nivel de las PDU que generan durante su recorrido por los routers, switch y hosts de la red.

Comprobar que las ACL producen un control del tráfico que se genera dentro de una red.

6

CAPÍTULO 2

Conceptos Asociados al Proyecto

Dentro de los conceptos más importantes que se emplean para el desarrollo de este proyecto se encuentran los siguientes: Enlace Frame Relay, ACL, VLAN, servicios NAT y protocolo DHCP. En éste capítulo desarrollaremos cada uno de éstos conceptos, los cuales fueron de mucha importancia para la simulación de la red.

Dentro de la simulación de la red se utiliza el protocolo Frame Relay para enlazar las sucursales de Chiriquí y Penonomé. Frame Relay constituye un protocolo WAN de alto rendimiento, ya que el mismo es económico en comparación con las líneas dedicadas; este protocolo funciona en las capas físicas y de enlace de datos del modelo de referencia OSI. Los proveedores de red comúnmente implementan Frame Relay para voz y datos, como técnica de encapsulación, utilizada entre redes de área local a través de una red WAN. Cada usuario final obtiene una línea privada (o línea arrendada) a un nodo Frame Relay. La red Frame Relay administra la transmisión a través de una ruta cambiante transparente para todos los usuarios finales. Cuando las empresas de comunicaciones usan Frame Relay para interconectar dos redes, un router de cada red es el Equipo Terminal de Datos (DTE – Data Terminal Equipment). Una conexión serial, como una línea arrendada T1/E1, conecta el router al switch Frame Relay de la empresa de comunicaciones en el punto de presencia más cercano para la empresa. El switch Frame Relay es un dispositivo de Equipo Terminal del Circuito de Datos (DCE – Data Comunication Equipment). Los switches de red mueven tramas desde un DTE en la red y entregan tramas a otros DTE en forma de DCE [3].

La conexión a través de una red Frame Relay entre dos DTE se denomina Circuito Virtual (VC - Virtual Circuit). Los circuitos son virtuales dado que no hay una conexión eléctrica directa de extremo a extremo. La conexión es lógica y los datos se mueven de extremo a extremo, sin circuito eléctrico directo. Con los VC, Frame Relay comparte el ancho de banda entre varios usuarios, y cualquier sitio puede comunicarse con otro sin usar varias líneas físicas dedicadas. Los VC proporcionan una ruta de comunicación bidireccional de un dispositivo a otro. Los VC se identifican a través de un Identificador de Canal del Circuito Establecido (DLCI - Data Link Connection Identifier). Los valores de DLCI comúnmente son asignados por el proveedor de servicios Frame Relay (por ejemplo, la compañía telefónica). En principio, Frame Relay acepta un paquete de un protocolo de capa de red como IP. A continuación, lo ajusta con un campo de dirección que incluye el DCLI y un campo de suma de verificación (checksum). Adicionalmente se agregan campos señaladores para indicar el comienzo y el fin de la trama. Después de haber encapsulado el paquete, Frame Relay pasa la trama a la capa física para su transporte [3].

7

Otro concepto de mucha importancia para el desarrollo de este proyecto es las denominadas Listas de Control de Acceso (ACL), las cuales se pueden definir como una configuración de router que controla si un router permite o deniega paquetes según el criterio encontrado en el encabezado del paquete. Las ACL son unos de los objetos más comúnmente utilizados en el software IOS de Cisco®, la cual es la marca de los routers que utilizamos dentro del software de simulación de Packet Tracer. Las ACL también se utilizan para seleccionar los tipos de tráfico por analizar, reenviar o procesar de otras maneras. Como cada paquete llega a través de una interfaz con una ACL asociada, la ACL se revisa de arriba a abajo, una línea a la vez, y se busca un patrón que coincida con el paquete entrante. La ACL hace cumplir una o más políticas de seguridad corporativas al aplicar una regla de permiso o denegación para determinar el destino del paquete. Es posible configurar las ACL para controlar el acceso a una red o subred [4].

Dentro de los router utilizados para la simulación del proyecto existen dos tipos de ACL que pueden ser declaradas: las ACL estándares que permiten autorizar o denegar el tráfico desde las direcciones IP de origen. No importan el destino del paquete ni los puertos involucrados, y las ACL extendidas que permiten filtran los paquetes IP en función de varios atributos, por ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP de origen, puertos TCP de destino e información opcional de tipo de protocolo para una mejor disparidad de control. Se tiene que tener mucho cuidado con el tipo de ACL que se utilizará para controlar el tráfico dentro de un diseño de una red, ya que estos controles producen retardos en la red, ya que hacen consumir tiempo y recursos al router, mientras los mismos son procesados. Al hacer una declaración de ACL la misma debe controlar el tráfico de la red desde lo más particular a lo más general; en el caso del diseño de la red del proyecto, se utilizaron ACL extendidas para cumplir los requerimientos de control de tráfico; adicionalmente las mismas fueron ubicadas en la interfaz que une al router con la red LAN cuyo tráfico va a ser regulado, ya que no deben colocarse en los enlaces seriales, ya que estos enlaces poseen toda la carga del tráfico de la red, lo cual puede producir retardos substanciales dentro de la red. Finalmente al programar las ACL dentro de un router, las mismas se deben declarar y luego se deben asignar a la interfaz apropiada dentro del router. En la figura 2.1 se puede observar la forma en que los routers utilizan las ACL para denegar o permitir el tráfico que llega a sus interfaces [4].

Figura 2.1 Esquema de funcionamiento de las ACL [4].

8

Otro aspecto implementado dentro de este proyecto es el uso de VLAN en la sucursal de Penonomé. Una VLAN se puede definir como una subred IP separada de manera lógica. Las VLAN permiten que redes de IP y subredes múltiples existan en la misma red conmutada. Las VLAN se declaran y luego se asignan a un rango de puertos de los switches dentro de una red. Existen cuatro tipos de VLAN que se pueden configurar dentro de un swtch: VLAN de datos que envía sólo tráfico de datos generado por el usuario, VLAN predeterminada, en la cual pertenecen por defecto todos los puertos del switch y hace a todos parte del mismo dominio de broadcast, VLAN nativa el cual utiliza un estándar de encapsulación IEEE 802.q, que admite el tráfico que llega de muchas VLAN (tráfico etiquetado) como también el tráfico que no llega de una VLAN (tráfico no etiquetado); y VLAN administrativa la cual se configura para acceder a las capacidades de administración de un switch [3].

En el router que permite la conexión a internet de toda la red simulada en el proyecto, se implemento un servicio denominado NAT, cuya utilidad consiste en que el mismo ahorra direcciones IP al permitir que las redes utilicen direcciones IP privadas. NAT traduce direcciones internas, privadas y no enrutables a direcciones públicas enrutables. NAT tiene el beneficio adicional de agregar un nivel de privacidad y seguridad a una red porque oculta las direcciones IP internas de las redes externas. Un dispositivo que ejecuta NAT generalmente opera en la frontera de una red de conexión única, como en el caso del diseño de la red simulada en este proyecto [4].

Finalmente uno de los últimos conceptos a definir dentro de este capítulo, es el protocolo DHCP, cuya operación funciona en un modo de cliente/servidor y opera como cualquier otra relación cliente/servidor. Cuando un host se conecta a un servidor de DHCP, el servidor asigna o arrienda una dirección IP a ese host. El host se conecta a la red con esa dirección IP arrendada hasta que el arrendamiento vence. El host debe comunicarse periódicamente con el servidor de DHCP para extender el arrendamiento. Este mecanismo de arrendamiento garantiza que si se traslada o apaga un host, éste no bloquee direcciones que no necesita. El servidor de DHCP devuelve estas direcciones al conjunto de direcciones y las vuelve a asignar según sea necesario [4].

Dentro del desarrollo del proyecto se utilizo el protocolo DHCP para asignarle una bolsa de direcciones a las redes de las sucursales de Chiriquí y de Colón, es decir que los routers de estas sucursales fueron configurados como servidores DHCP.

9

CAPÍTULO 3

Desarrollo del Proyecto

Al desarrollar la simulación de la red empresarial utilizando el Packet Tracer, de acuerdo con los requerimientos definidos en la sección de Implementación del Proyecto del capítulo 1, se implemento primero el diagrama lógico y físico de la red, la cual se puede apreciar en las figuras 3.1 y 3.2. Dentro del diagrama lógico se puede observar la conexión entre los distintos routers de cada sucursal de la red; el enlace Frame Relay que existe entre las sucursales de Chiriquí y Penonomé el enlace entre los routers de las sucursales de Panamá, Colón y Penonomé, adicionalmente se aprecia que el router de Panamá es el router de frontera, es decir el router que brinda conexión hacia Internet a toda la red empresarial. En el diagrama físico se puede observar un esquema de la ubicación física de cada una de las sucursales de la red.

Figura 3.1 Diagrama lógico de la Red Empresarial implementada.

El direccionamiento de todos los dispositivos de la red se muestran en la tabla 3.1, en la cual se observa que las direcciones fueron asignadas de acuerdo a los requerimientos de número de hosts de cada una de las sucursales de la red empresarial. Luego de esto se habilitaron todas las interfaces de cada uno de los routers de la red, de acuerdo con el esquema de direccionamiento planteado en la tablas 3.1 y 3.2, posteriormente se creó el enlace Frame Relay entre las sucursales de Chiriquí y Penonomé, el cual se simula mediante un router configurado como

10

conmutador Frame Relay al cual se le asigna un numero de DLCI de 102 para el enlace con Penonomé y un número de DLCI de 202 para el enlace con Chiriquí, de esta forma se logra la conectividad entre éstas dos sucursales.

Figura 3.2 Diagrama físico de la Red Empresarial implementada.

Tabla 3.1 Esquema de direccionamiento IP de la red implementada

Sucursal (Router) Interfaz/Máscara de subred

Colón Se0/0 172.16.7.1/30

Colón Fa0/0 172.16.10.1/24

Penonomé Fa0/1 Fa0/1 no ip address – Fa0.1.1 172.16.4.1/24 – Fa0.2 172.16.5.1/24 – Fa0.3 172.16.6.1/24

Penonomé Se0/0 172.16.7.9/30

Penonomé Se0/1 172.16.7.6/30

Chiriquí Fa0/0 172.16.0.1/22

Chiriquí Se0/0 172.16.7.10/30

Ciudad de Panamá Fa0/0

10.0.0.1/8

Ciudad de Panamá Fa1/0

172.16.11.1/24

Ciudad de Panamá Se0/0

172.16.7.5/30

Ciudad de Panamá Se0/1

172.16.7.2/30

11

Tabla 3.2 Esquema de direccionamiento IP de la red implementadaNombre Conjuntos de direcciones

Conjunto DHCP de Chiriquí

172.16.0.5 – 172.16.3.254 /22

LAN de Penonomé VLAN1 IP 172.16.4.2 – 172.16.4.254 /24

VLAN2 IP 172.16.5.2 – 172.16.5.254 /24

VLAN3 IP 172.16.6.2 – 172.16.6.254 /24

Posteriormente se configuró el enrutamiento entre los routers de distintas sucursales, en la LAN de Chiriquí se implementó el Protocolo de Encaminamiento de Información (RIP- Routing Information Protocol) versión 2, y en los routers de las sucursales de Penonomé, Colón y Panamá se configuró el Protocolo de Enrutamiento de Estado de Enlace (OSPF - Open Shortest Path First)

Luego en el switch de la sucursal de Penonomé fue configurada 3 VLAN, las cuales se denominaron: VLAN de administrativos, de ventas y de gerencia, la interfaz del router de Penonomé se configuró también para admitir las 3 VLAN.

La salida hacia la red de Internet fue simulada mediante un servidor ISP, el cual contiene servicios de HTTP y servicios de de nombre de dominio (DNS – Domain Name Server).

Finalmente se implementaron las ACL apropiadas de acuerdo con las políticas de control de tráfico definidas en la sección de Implementación del Proyecto del capítulo 1, las cuales se programaron de la siguiente manera:

En el router de la sucursal de Chiriquí se programaron las siguientes ACL extendidas, las cuales deniegan tráfico que utilice aplicaciones SMTP y FTP, el resto del tráfico está permitido; esta ACL fue aplicada en la interfaz FastEthernet0/0 como entrada.Chiriqui#show access-lists Extended IP access list 101deny tcp 172.16.0.0 0.0.3.255 any eq smtpdeny tcp 172.16.0.0 0.0.3.255 any eq ftppermit ip any any (10 match(es))

En el router de la sucursal de Colón se programaron las siguientes ACL extendidas, en las cuales la Oficina 2 tiene bloqueado el acceso hacia el host correspondiente a la oficina de Administración de la red LAN de la sucursal de Panamá, adicionalmente tiene bloqueado también el tráfico hacia la red de Administrativos en una de las VLAN de la sucursal de Penonomé. El resto del tráfico para ésta LAN está permitido; esta ACL fue aplicada en la interfaz FastEthernet0/0 como entrada.Colon#show access-lists Extended IP access list 115deny ip host 172.16.10.2 host 172.16.11.2deny ip host 172.16.10.2 172.16.4.0 0.0.0.255permit ip any any (8 match(es))

12

En el router de la sucursal de Panamá se programaron las siguientes ACL extendidas, en las cuales se declara que el host correspondiente a la oficina de Administrativos de Panamá tiene bloqueado el tráfico que utilice aplicaciones con protocolo de páginas web, es decir protocolo HTTP, adicionalmente el host correspondiente a la oficina de Ventas de Panamá tiene bloqueado el tráfico que utilice aplicaciones de Protocolo de Oficina de Correo versión 3 (POP – Post Office Protocol). El resto de tráfico para ésta LAN está permitido; esta ACL fue aplicada en la interfaz FastEthernet1/0 como entrada.Panamacity#show access-lists Extended IP access list 120deny tcp host 172.16.11.2 any eq wwwdeny tcp host 172.16.11.3 any eq pop3permit ip any any

Al realizar las capturas de paquetes utilizando la herramienta de análisis y captura de PDU del Packet Tracer, se completó la tabla 3.3, en donde de acuerdo al protocolo de aplicación, se puede verificar si las políticas de control de tráfico implementadas dentro de la red se están ejecutando, al establecer si la solicitud de un protocolo de aplicación en especifico entre dos hosts de la red tienen éxito o no.

Tabla 3.3 Resultados obtenidos mediante la captura de paquetes en la red implementada (Continua en la página siguiente)

Origen del Tráfico Destino del Tráfico Protocolo Resultado

Host en LAN Chiriquí ISP HTTP Éxito

Host en LAN Chiriquí ISP SMTP Falla

Host en LAN Chiriquí ISP FTP Falla

Host en LAN Chiriquí Cualquier host de las otras sucursales de la

red

Ping (ICMP)

Éxito

Host en VLAN Admin., Ventas y

Gerencia de LAN de Penonomé

Cualquier host de las otras sucursales de la

red

Ping (ICMP)

Éxito

Host en VLAN Admin., Ventas y

Gerencia de LAN de Penonomé

ISP HTTP, SMTP,

FTP, etc.

Éxito

13

Origen del Tráfico Destino del Tráfico Protocolo Resultado

Host Oficina 1 en LAN Colón

Host Admin. en LAN Colón

Ping (ICMP)

Falla

Host Oficina 1 en LAN Colón

Host en la VLAN de Admin. De Penonomé

Ping (ICMP)

Falla

Host en LAN de Colón

Cualquier host de las otras sucursales de la

red

Ping (ICMP)

Éxito

Host en LAN de Colón

ISP HTTP, SMTP,

FTP, etc.

Éxito

Host Admin. Panamá ISP HTTP Falla

Host Ventas. Panamá

ISP POP3 Falla

Host Ventas. Panamá

ISP HTTP, SMTP, menos POP3

Éxito

Host de LAN de Panamá

Cualquier Host de la red menos el host de

Oficina 1 de Colòn

Èxito

En las figuras 3.3 se observa el tráfico capturado para una solicitud web (HTTP) en Packet Tracer, en dónde se puede analizar la PDU que se genera en la solicitud de la página web en la LAN de Chiriquí. En la figura 3.4 se puede ver como el router rechaza el tráfico originado en la LAN de Chiriquí cuyo puerto de destino sea un puerto de aplicaciones de correo electrónico SMTP, o aplicaciones de Transferencia de Archivo FTP.

En la figura 3.5 se observa el tráfico capturado con origen en el host Oficina 1 de la LAN de Colón y cuyo destino es el host Administración en la LAN de Panamá, en dónde se puede analizar la PDU que se genera. En la figura 3.6 se puede observar el tráfico capturado con origen en el host de Oficina 1 en la LAN de colón y cuyo destino es el host de la oficina de Ventas en la LAN de Panamá, también se puede analizar la PDU que se genera. Las mismas mediciones se realizaron con el resto del tráfico generado en la simulación de la red.

14

Figura 3.3 Tráfico capturado para una solicitud web (HTTP) y PDU que se genera en la solicitud de la página web en la LAN de Chiriquí.

15

Figura 3.4 Tráfico originado en la LAN de Chiriquí cuyo puerto de destino es el puerto de aplicaciones de correo electrónico SMTP.

16

Figura 3.5 Tráfico capturado con origen en el host Oficina 1 de la LAN de Colón y cuyo destino es el host Administración en la LAN de Panamá.

17

Figura 3.6 Tráfico capturado con origen en el host de Oficina 1 en la LAN de colón y cuyo destino es el host de la oficina de Ventas en la LAN de Panamá.

18

CAPÍTULO 4

Resultados

Como se observó en el capítulo 3 en la tabla 3.1 al realizar las capturas de paquetes utilizando la herramienta de análisis y captura de PDU del Packet Tracer se puede verificar si las políticas de control de tráfico implementadas dentro de la red se están ejecutando, al establecer si la solicitud de un protocolo de aplicación en especifico entre dos hosts de la red tienen éxito o no. Por lo tanto se observa el efecto que tiene sobre el tráfico de la red la implementación de ACL en los routers, ya que el mismo ejerce un control del tráfico que llega a la interfaz de las redes LAN de cada sucursal en la red empresarial simulada.

Al analizar lo ocurrido en la figura 3.3 a 3.6 del capítulo 3 se observa lo que ocurre específicamente en la interfaz del router donde fue aplicado la ACL en donde se ejercer un control del tráfico que cursa a través del mismo, ya que las ACL en los routers de las sucursales de Chiriquí, sucursal de Colón y sucursal de Panamá fueron aplicadas en la interfaz que conecta la red LAN de cada sucursal con su respectivo router.

En la figura 4.1 se puede observar lo que ocurre cuando un host en la LAN de Chiriquí intenta acceder a una aplicación Web (HTTP). Al llegar el paquete a la interfaz de LAN del router, se le aplican las declaraciones de ACL que se encuentran asignadas a esa interfaz. En la línea remarcada roja se observa que el router aplica la ACL, y encuentra que coincide con uno de los criterios establecidos por el ACL declarado en esa interfaz, la cual establece que el tráfico con puerto de destino HTTP es permitido, entonces el router lleva el paquete hacia una interfaz de salida para que el paquete pueda ser encaminado a su destino. Razón por la cual se remarca en color verde en el simulador que la solicitud HTTP fue exitosa.

En la figura 4.2 se puede observar lo que ocurre cuando un host en la LAN de Chiriquí intenta acceder a una aplicación con puerto de destino SMTP. Al llegar el paquete a la interfaz de LAN del router, se le aplican las declaraciones de ACL que se encuentran asignadas a esa interfaz. En la línea remarcada roja se observa que el router aplica la ACL, y encuentra que coincide con uno de los criterios establecidos por el ACL declarado en esa interfaz, la cual establece que el tráfico con origen en la LAN Chiriquí con destino al puerto SMTP está denegado, entonces el router deniega el paquete y el mismo es eliminado. Razón por la cual se remarca en color verde en el simulador que la solicitud SMTP no tuvo éxito.

El análisis es simular para el tráfico capturado que se muestra en las figuras 3.5 y 3.6 del capítulo 3, ya que en estas capturas se están aplicando las políticas de control de tráfico asignadas a los routers de cada sucursal de la red.

19

Figura 4.1 Análisis de la PDU que se genera cuando se intenta acceder a una aplicación HTTP desde la LAN de Chiriquí.

20

Figura 4.2 Análisis de la PDU que se genera cuando se intenta acceder a una aplicación SMTP desde la LAN de Chiriquí.

Se puede establecer que cuando se declara una ACL en la programación de un router en una red y la misma es asignada a una interfaz del router, entonces ésta se aplica línea por línea desde la primera sentencia hasta la última sentencia a los paquetes que llegan a esa interfaz; si el router encuentra que existe una coincidencia con una de las ACL asignadas a esa interfaz entonces procede a ejecutarla. Por lo tanto las declaraciones o sentencias de ACL que se le asignen a una interfaz de un router van a determinar el tipo de tráfico que puede cursar o no desde un punto de la red hacia otro, dependiendo de los criterios de dirección de red de origen y de destino, dirección de host de origen y de destino y puerto TCP de destino.

El tráfico de la red simulada en este proyecto queda limitado de acuerdo a los criterios de control establecido en el planteamiento de éste proyecto, lo que nos muestra que las ACL constituyen una herramienta muy poderosa para ejercer controles de tráfico dentro de una red, y adicionalmente las mismas deben ser aplicadas con mucho cuidado, ya que si son aplicadas en cualquier punto de la red la misma podría producir retardos significativos y disminuir el desempeño general de la red.

21

CAPÍTULO 5

Resumen y Conclusiones

5.1 ResumenEn resumen el desarrollo de este proyecto se logró implementar una política de control de tráfico a través de un software de simulación de redes como lo es Packet Tracer, en el cual se simula el diseño de una red empresarial, con cuatro oficinas o sucursales, en las que se aplicarán configuraciones de ACL a los dispositivos enrutadores (routers) de cada sucursal dentro de la red.

La red tiene oficinas en cuatro ciudades (Chiriquí, Penonomé, Ciudad de Panamá y Colón). Tres de las oficinas se conectaron mediante enlaces seriales de línea dedicada T1 (X.25) (Ciudad de Panamá, Colón y Penonomé). La cuarta oficina, Chiriquí, se conectó al resto de la red mediante un enlace Frame Relay simulado mediante un router configurado como conmutador Frame Relay, adicionalmente el router de la sucursal de Chiriquí tiene habilitado DHCP. La sucursal de la Ciudad de Panamá está conectada a Internet mediante un ISP. La oficina de Penonomé se implementó el uso de VLAN aumentando de esta forma la seguridad y permitiendo agrupar a los usuarios de forma lógica. La LAN de la sucursal de Colon cuenta con un punto de acceso inalámbrico y servicios DHCP. Adicionalmente en el router de salida hacia Internet (Ciudad de Panamá) se utilizan servicios NAT.

Con la simulación de esta red empresarial se comprobó la forma en que trabajan las ACL, las cuales son declaradas en cada interfaz de los routers dentro de la red; por otra parte, las ACL ayudan a mejorar el rendimiento de la red al filtrar y controlar el flujo del tráfico que se da entre las distintas terminales (hosts) de la red. Adicionalmente se estaría proporcionando un nivel básico de seguridad para el acceso a la red, ya que las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma área. Otra propiedad importante de la aplicación de ACL en el diseño y simulación de una red sería el control que se ejerce sobre los servicios de red ya que las mismas pueden permitir o denegar el acceso de un usuario a diferentes tipos de archivos con protocolos de aplicación como lo son: HTTP, SMTP, FTP, entre otros.

En la simulación de ésta red se utiliza una herramienta de captura de paquetes que posee el Packet Tracer con el cual se puede capturar el tráfico que se genera dentro de la red, entre los distintos puntos de la red; para que posteriormente pueda ser analizada las PDU de las mismas. Con ésta herramienta se podrá observar la forma en que los routers aceptan o rechazan un paquete que llega a una de sus interfaces al aplicarle las sentencias ACL que tenga programada, y adicionalmente se analizará la PDU del paquete que se capture, permitiendo observar que ocurre en cada capa del modelo de referencia OSI.

22

5.2 Conclusiones.En conclusión podemos plantear lo siguiente:

La ACL son guiones de configuración de router que utiliza el filtrado de paquetes para controlar si un router permite o deniega el ingreso de paquetes, según el criterio ubicado en el encabezado del paquete.

Las ACL también se utilizan para seleccionar los tipos de tráfico por analizar, reenviar o procesar de otras maneras.

Existen dos tipos de ACL: estándar, extendidas. En el desarrollo de este proyecto se implementó ACL del tipo extendida.

Las ACL estándares permiten autorizar o denegar el tráfico desde las direcciones IP de origen. No importan el destino del paquete ni los puertos involucrados.

Las ACL extendidas permiten filtran los paquetes IP en función de varios atributos, por ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP de origen, puertos TCP de destino e información opcional de tipo de protocolo para una mejor disparidad de control.

El tráfico de la red simulada en este proyecto queda limitado de acuerdo a los criterios de control establecido en el planteamiento de éste proyecto, lo que nos muestra que las ACL constituyen una herramienta muy poderosa para ejercer controles de tráfico dentro de una red.

Se debe tener mucho cuidado al aplicar las ACL dentro de una red, ya que las ACL aplicadas a un router provoca que el mismo consuma recursos del router, y por lo tanto se generan retardos en los paquetes que ingresan a las interfaces donde se encuentran asignadas las ACL.

El uso de software de simulación ayudan a diseñar, analizar y mejorar el desempeño de una red antes de ser implementada en la realidad, ya que la simulación permite realizar un gran número de pruebas y medidas, que nos aseguran que nuestro diseño será el más eficiente.

23

Referencias Bibliográficas

[1] O. Gerometta, Guía de Preparación para el Examen de Certificación CCNA v4.0, Ed. Buenos Aires, Argentina: LibroNauta, 2007. [2] CCNA 3 and 4 Companion Guide (Cisco Networking Academy Program), Cisco Systems Inc, Cisco Networking Academy, 2003.[3] E. Ariganello, Redes Cisco: Guía de Estudio para la Certificación CCNA 640-802, 1st. ed. Buenos Aires, Argentina: Ra-Ma Ed., 2008.[4] A. Gallegos de Torres, Routers Cisco, 2nd. ed. México D.F., México: Anaya Multimedia Ed., 2009.[5] (2003) Proyectos de la Academia Cisco Regional de la Universidad Fermín Toro. [Online]. Disponible en:http://mail.umc.edu.ve/umc/opsu/contenidos/cisco/requisitos.htm[6] M. Desiderio, y P. Sánchez, “Análisis, Diseño y Optimización de una Red Local con Intervlans Troncalizada y Seguridad de Acceso Mediante la Aplicación de ACL”, Tesis de Grado, Escuela Superior Politécnica del Litoral, Guayaquil, Ecuador, Nov. 2005.[7] (2008) Pagina web del Proyecto VOIP. [Online], Disponible en: http://proyectovoip.com/

24